Una formazione “integrata” per una… compliance “integrata”

L’integrazione dei vari modelli organizzativi e gestionali

Un numero sempre maggiore di obblighi e adempimenti normativi (spesso onerosi e complessi) hanno progressivamente aumentato l’eventualità che un’azienda incorra in una “non conformità”. Conseguentemente è aumentato il rischio di andare incontro a sanzioni amministrative o, nei casi più gravi, addirittura a sanzioni penali.

La tendenza ad prevedere normative caratterizzate da approcci risk based, ha quindi spinto le imprese all’adozione di differenti compliance program (1). In questi casi ai modelli organizzativi e di gestione, previsti dalle singole discipline, si affiancano anche processi di gestione del rischio che mettono in contatto gli aspetti tecnico giuridici con i temi dell’efficienza dei processi operativi (es. sistemi qualità) (2). In tale contesto si sono sviluppati sistemi di gestione integrata della compliance (e dei rischi connessi), intesi come quel complesso di attività che, ottimizzando risorse e standard operativi, ha come obiettivi: a) la conformità delle operazioni a leggi e regolamenti, b) l’affidabilità e l’integrità delle informazioni, c) la salvaguardia del patrimonio aziendale, d) l’efficacia ed efficienza delle operazioni (3).

Ma come è possibile implementare un approccio che permetta di conseguire una condizione di conformità normativa integrata?

Il segreto è quello di puntare verso una formazione interdisciplinare che intercetti tutti gli ambiti complementari alla gestione della compliance nelle sue multiformi manifestazioni. In questo modo la formazione può costituire veramente un decisivo fattore di vantaggio competitivo nei confronti dell’ambiente in cui l’azienda opera.

La compliance integrata e le Linee Guida di Confindustria

L’opportunità di aderire ad una compliance integrata è stata richiamata e ribadita dalla stessa Confindustria che ha sottolineato quanto sia necessario “..contemplare procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi…Le società tenute al rispetto delle diverse normative dovrebbero valutare l’opportunità di predisporre o integrare tali procedure tenendo conto delle peculiarità sottese a ciascuna di esse, portando a sintesi gli adempimenti, individuando le modalità per intercettare e verificare gli eventi economici e finanziari dell’impresa nell’ottica del corretto agire..” (4).

Il risk based thinking e il sistema di gestione della qualità

Nel contesto delle norme ISO 9001:2015 l’approccio verso la compliance integrata è realizzato attraverso il cd Risk Based Thinking, cioè attraverso una modalità di gestione del rischio che  deve diventare un vero e proprio atteggiamento culturale dell’organizzazione. Tale atteggiamento deve consentire di valutare e gestire ogni processo di lavoro in ragione degli imprevisti che si presentano nel raggiungimento degli obiettivi aziendali. In questo modo per la gestione della qualità si realizza attraverso la “.. capacità di ciascuno…di assumere decisioni e intraprendere azioni non in modo meccanico e acritico, ma come effetto di una valutazione razionale delle possibili conseguenze, positive o negative, delle proprie scelte…” (5).

Una compliance normativa integrata pertanto non potrà concretamente realizzarsi se non si sviluppa una vera cultura organizzativa verso la gestione di rischi. Una cultura che deve investire, però, tutti i livelli dell’organizzazione e deve realizzarsi attraverso efficaci policy formative. Solo un approccio di questo tipo permette a tutto il personale di saper riconoscere le varie tipologie di rischio, saperle stimare in termini di probabilità di occorrenza e di impatto e di saper contribuire in modo proattivo alla loro mitigazione mediante la diffusione di buone prassi e adeguate regole di comportamento.

La compliance integrata e la UNI ISO 37301

Sul tema della cultura della compliance a livello organizzativo particolarmente interessante è la pubblicazione, avvenuta il 13 aprile del 2021, della nuova norma ISO 37301/2021 – Compliance management systems requirements with guidance for use. Trattasi di uno standard, certificabile, in cui vengono specificati i requisiti e fornite le linee guida per istituire, sviluppare, attuare, 

valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di un’organizzazione. In questo nuovo standard assume specifica rilevanza, tra l’altro, proprio il riferimento alla necessità di creare una cultura della compliance che proprio nella formazione trova il suo ideale strumento di attuazione. In tali casi è indispensabile che l’organismo di governo e l’alta direzione dimostrino il proprio impegno ed esplicitino, in modo chiaro ed inequivocabile, il proprio commitment su tale versante. Lo schema in menzione richiede tra l’altro, non solo l’introduzione di una Funzione di Compliance (che tenga conto delle Compliance Obligations e dei conseguenti Compliance Risk) ma anche di un cd Operational Control, che altro non è che un codice di condotta che promuove, in maniera proattiva, la Compliance Culture. 

Le interconnessioni formative tra le varie discipline

Non tutte le organizzazioni, tuttavia, si pongono su questa linea di pensiero e, spesso, proprio con riguardo alla formazione commettono un grave errore. L’attività formativa, in assenza di policy e di linee di indirizzo strategiche, viene infatti progettata in relazione alle esigenze esclusivamente di una singola funzione e di una singola disciplina normativa. Non si percepisce, in realtà, che la formazione ha una valenza trasversale che deve saper intercettare in modo integrato le differenti esigenze di compliance che emergono dall’analisi di processi di lavoro a cui partecipano le differenti aree dell’organizzazione.
Si pensi al riguardo alle problematiche che possono emergere, in termini di efficacia operativa, per effetto di una visione compartimentata di aspetti concernenti:
a) la normativa antiriciclaggio, la normativa sulla protezione dei dati personali e la disciplina anticorruzione, con riguardo all’istituto del whistleblowing, alla conservazione dei dati e alla riservatezza delle segnalazioni;
b) la normativa sulla sicurezza del lavoro e la disciplina della protezione dei dati, con riguardo alla valutazione preliminare dei requisiti dei fornitori e al trattamento dei dati sanitari dei dipendenti,
c) la disciplina sulla responsabilità amministrativa degli enti e le disciplina antiriciclaggio e anticorruzione, con riguardo alla valutazione dei fattori di rischio inerenti al processo di acquisto,
d) la normativa antitrust e quella sulla protezione dei dati personali, con riguardo alla rilevanza delle informative verso gli interessati/consumatori e alle pratiche commerciali scorrette (6);
e) il General Data Protection Regulation (GDPR 679/2016), la Direttiva UE – Network and Information Security – NIS (7) e la disciplina sul Perimetro Nazionale della sicurezza Cibernetica. Le richiamate normative rilevano in ragione non solo delle procedure e delle misure necessarie per una efficace valutazione, sotto il profilo tecnico, della sicurezza delle reti, dei sistemi informativi, ma anche per gli obblighi di segnalazione di violazioni dei dati e/o incidenti informatici (8). Plurimi obblighi di comunicazione verso differenti Autorità di controllo (in ordine a incidenti sulle reti o a violazioni dei dati personali) sono infatti previsti in capo a medesimi soggetti destinatari delle prescrizioni di legge (si pensi al riguardo agli intermediari bancari);
f) la normativa sulla responsabilità degli enti (D.lgs. 231/2001) e la normativa sulla protezione dei dati personali, con riferimento all’implementazione di sistemi di prevenzione e gestione di rischi concernenti i reati informatici (che di fatto sono casi di data breach qualificati),
g) le disposizioni attuative adottate dall’Agenzia delle Entrate in relazione al regime di adempimento collaborativo (Tax Control Framework) (9), e la disciplina in tema di responsabilità amministrativa degli enti (D.lgs. 231/2001) con riguardo ai reati presupposto di natura tributaria.
Le cyber-minacce che incombono su tutti gli asset aziendali rappresentano altresì fattori di rischio che impattano in modo trasversale rispetto a tutte le menzionate discipline (10).

Analoghe esigenze di valutazione integrata possono sorgere in ordine al coordinamento e alla puntuale definizione dei flussi informativi, da e per i differenti organi di controllo interno aziendali (11). La necessità di assicurare un costante raccordo operativo richiede, quindi, una conoscenza delle normative e delle prassi operative di riferimento da parte di tutti coloro che devono assicurare la continuità dei flussi informativi aziendali (in modo ascendente o discendente).

Conclusioni

Emerge in modo evidente, in sostanza, la necessità (e soprattutto l’utilità) di realizzare sessioni formative con un approccio unitario e interdisciplinare in cui i docenti sappiano fornire ai “discenti” spunti di riflessione tra differenti adempimenti relativi alle varie normative che, spesso, non possono essere applicate in modo settoriale ma richiedono un approfondimento con un approccio organico e integrato.

Note

1. Tarantini G., Compliance program e compliance manager: come tramutare i rischi in opportunità, in https://addconsulting.it/2015/12/02/compliance-program-e-compliance-manager-come-tramutare-i-rischi-in-opportunita/. Per Compliance Program si intende il sistema complessivo di regole, in cui vengono inquadrati i presidi organizzativi e procedurali volti alla prevenzione dei principali rischi di natura legale (ma non solo) a cui è esposta un’azienda. La metodologia da adottare prevede un percorso che, partendo dalla ricognizione delle principali normative ad elevato impatto che insistono sull’azienda, e dalla mappatura dei processi e delle attività all’interno delle quali si configurano i rischi di infrazione delle medesime, svolge e ripete periodicamente l’analisi e la gestione dei rischi per la predisposizione, la gestione, l’aggiornamento e il monitoraggio di un insieme di regole coerente con le policy aziendali ed efficace a mitigare i rischi (risk management).
2. Avanzi M., Modelli di compliance tra nuove norme e necessità di integrazione, in https://www.riskcompliance.it/news/modelli-di-compliance-tra-nuove-norme-e-necessita-di-integrazione/, 31 agosto 2021. L’autore evidenzia la necessità di evitare di considerare i rischi in modo disaggregato in quanto si potrebbero determinare potenziali incongruenze gestorie, aggravi di costi, inefficienza o addirittura omesse valutazioni di alcuni profili di Compliance.
3. Ordine dei dottori commercialisti e degli esperti contabili di Torino, I COMPLIANCE PROGRAMS nell’ordinamento italiano, in https://www.odcec.torino.it/public/convegni/i_compliance_programs_nell_ordinamento_italiano_rev_3.3.pdf.
4. Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo, in https://www.confindustria.it/wcm/connect/68e8ada9-cbfa-4cad-97db 82ba3cc3e963/Position+Paper_linee+guida+modelli+organizzazione_giugno2021_Confindustria.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=ROOTWORKSPACE-68e8ada9-cbfa-4cad-97db-82ba3cc3e963-nFyjPuZ.
5. https://fortunatomafrici.it/il-blog/la-strategia-basata-sul-rischio/. L’autore evidenzia che “.. i la gestione del rischio e già per sua natura presente in tutto ciò che tutti facciamo prima di assumere qualsiasi decisione…”. Nell’ambito dei Sistemi di Gestione per la Qualità, il rischio è per definizione effetto dell’incertezza (da UNI EN ISO 9000:2015), dove il termine “effetto” indica una deviazione, sia in senso positivo che negativo, rispetto a quanto atteso mentre con incertezza si intende lo stato, anche parziale, di carenza di informazione riguardante la comprensione o la conoscenza di un evento, delle sue conseguenze e della loro probabilità..”.
6. Da ultimo, troverano un ulteriore punto di contatto con quanto previsto nel decreto legislativo 173/2021, relativo alla sicurezza digitale garantita per contratto dal fornitore, che ha come obbiettivo l’attuazione della direttiva UE n. 770/2019.
7. N.1148/2016, recepita in Italia con D.Lgs. 65 del 18 maggio 2018.
8. Sebbene l’oggetto di tutela di tali discipline sia differente, si tratta di provvedimenti strettamente collegati, in quanto uno tutela il “contenuto” (i dati personali) e l’altro il “contenitore” (le reti e i sistemi informativi e informatici).
9.  Istituito con il decreto legislativo 5 agosto 2015, n. 128 Rubricato “Disposizioni sulla certezza del diritto nei rapporti tra fisco e contribuente, in attuazione degli articoli 5, 6 e 8, comma 2, della legge 11 marzo 2014, n. 23”.
10. Si pensi all’adozione di un regolamento informatico interno, che spieghi come utilizzare gli strumenti informatici e gli indirizzi di posta elettronica necessari allo svolgimento del proprio lavoro da coordinare con quello relativo ai controlli di sicurezza che il titolare può eseguire, per mezzo dell’amministratore di sistema, ove nominato, nel rispetto dei diritti riconosciuti ai lavoratori dalla legislazione vigente (L. 300/1970).
11. Si pensi, ad esempio, all’Organismo di Vigilanza, ex D.lgs. 231/01, al Responsabile della Protezione dati, al Responsabile della funzione antiriciclaggio, al Responsabile anticorruzione e trasparenza, al Responsabile della sicurezza del lavoro, al Collegio sindacale, alla funzione di internal auditing e alla funzione compliance.

Dott. Gaetano Mastropierro
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO e AML Manager
Dott. Alfredo Sanfelice
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO e AML Manager

Per chi fosse interessato a percorsi formativi integrati (privacy e antiriciclaggio) anche nella prospettiva della certificazione delle competenze, può consultare il sito di MTS Consulenze https://www.espertocompliance.it/corsi-e-event