La compliance definisce l’insieme di processi e procedure che permettono di adeguarsi a normative, standard, codici di condotta e linee guida nazionali e internazionali. I presidi operativi e organizzativi possono essere obbligatori, richiesti quindi per poter operare in un mercato, oppure facoltativi per offrire un’ulteriore garanzia che l’azienda, lo Studio professionale o l’organizzazione agisca in modo etico verso tutti i portatori di interesse (stakeholder).
Al centro del processo di compliance c’è la gestione del rischio (risk management), che inizia con un audit per verificare lo stato di conformità ed eventuali carenze, prosegue con l’implementazione di azioni e comportamenti specifici e si conclude con il monitoraggio costante dei rischi individuati e dell’efficacia dei processi adottati. Si tratta di un sistema circolare, che prosegue nel tempo ed è soggetto a costanti verifiche, aggiornamenti e integrazioni.
Lo scenario attuale della compliance
La compliance normativa é molto di più di un mero obbligo di legge ponendosi come un fattore determinante per proteggere il proprio business e competere nei mercati. Da un lato sono cresciute le norme e le procedure obbligatorie a cui attenersi, dall’altro lo scenario economico è diventato sempre più complesso, con la crescita dei potenziali rischi che possono danneggiare un’impresa o uno Studio professionale.
Le violazioni della compliance, oltre a prevedere sanzioni economiche o penali, portano a danni reputazionali che possono compromettere la propria posizione di mercato. Occorre quindi attrezzarsi in modo preventivo per far fronte alla crescente complessità di questo scenario. Aziende e Professionisti sono infatti ritenuti responsabili qualora non abbiano implementato un adeguato sistema di compliance o se non monitorano i rischi connessi alle loro attività. Questo riguarda ogni tipo di organizzazione, pubblica e privata, grande e piccola.
Lo scenario attuale vede emergere i seguenti trend:
- Crescita delle normative obbligatorie, nazionali e internazionali
- Crescita dell’impatto operativo e organizzato delle procedure di compliance
- Centralità dell’approccio basato sul rischio
- Centralità della compliance per operare in un numero crescente di mercati
- Crescita esponenziale dei rischi cyber e di sicurezza dei dati
Adempiere alle normative comporta dei costi, l’impiego di risorse dedicate e un notevole impegno organizzativo. Non farlo, tuttavia, espone a rischi con ricadute economiche e reputazionali molto più gravi.
L’approccio basato sul rischio
Le diverse normative e gli approcci alla compliance convergono su un punto cardine: l’approccio basato sul rischio (Risk Based Approach). L’approccio prevede un’analisi preventiva delle potenziali vulnerabilità a cui è esposta l’organizzazione e delle misure adottate per contrastarle. Nel caso fossero carenti o inadeguate, ad esempio rispetto al progresso tecnologico o a condizioni organizzative, occorre rimediare attraverso procedure, misure tecnico-organizzative e codici di comportamento definiti con precisione rispetto a situazioni specifiche. Aziende e Professionisti sono infatti chiamati a valutare e adottare tutte le misure necessarie a mitigare il rischio (principio di responsabilità, accountability).
A prescindere dalla normativa di riferimento, occorre conoscere tutti i potenziali rischi di incorrere in sanzioni, danni economici e reputazionali, blocchi operativi e comportamenti potenzialmente illeciti. E, naturalmente, prevenirli prima che si verifichino delle situazioni critiche.
Gli ambiti della compliance normativa
La compliance aziendale abbraccia un campo molto esteso che richiede un approccio integrato e interdisciplinare attraverso l’intervento di figure diverse all’interno dell’organizzazione. Le principali aree di compliance, non sempre obbligatorie per ogni tipo di organizzazione e azienda, sono:
- Regolamentazioni di settore
- Modello Organizzativo 231
- GDPR Privacy & Cyber Security
- Salute e sicurezza sui Luoghi di Lavoro
- Normativa ambientale
- Proprietà intellettuale
- Anticorruzione
Nell’ambito bancario e finanziario e per alcuni destinatari non finanziari (ad esempio Commercialisti, Avvocati, Notai, Agenzie Immobiliari, Mercanti d’arte e Antiquari, attività legate al commercio di oro, case da gioco e gioco on-line, ecc.) si aggiunge poi la normativa antiriciclaggio.
Il Sistema di Compliance
Aziende e Professionisti sono chiamati ad di applicare una gestione preventiva del rischio in un contesto normativo che sotto la spinta del legislatore europeo ha esteso il proprio ambito di intervento. Come abbiamo visto, il perimetro è piuttosto esteso e la responsabilità spazia in ambiti molto diversi, dalla tutela della privacy alla cyber security, dalla responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica alle diverse normative di settore. L’elenco potrebbe continuare a lungo, da qui la necessità di implementare un Sistema di Compliance che consideri tutti gli elementi di rischio.
Si tratta di introdurre una cultura della compliance che si traduca in una conformità sostanziale e adeguata alle specifiche caratteristiche dell’organizzazione. Da un lato diventa sempre più fondamentale la formazione e la condivisione delle procedure, dall’altro il monitoraggio costante dei rischi e dell’efficacia delle misure adottate per mitigarli.
E’ preferibile non ricorrere a soluzioni standard, così come il non considerare la compliance normativa come un semplice obbligo a cui adeguarsi (il cosiddetto approccio formale). Senza dubbio, uno degli obiettivi principali resta evitare possibili sanzioni, che possono essere piuttosto pensanti. L’approccio sostanziale è però da considerarsi come un’opportunità per rispondere alla crescente complessità nella gestione organizzativa, ottimizzando i processi e migliorando la capacità dell’organizzazione di operare in scenari economico-normativi sempre più sfidanti per manager e Professionisti.
