5. I CONTROLLI DI COMPLIANCE
5.4. Il piano di compliance
Il raggiungimento dell’obiettivo di compliance presuppone un’adeguata pianificazione delle strategie di compliance da porre in essere, che si forma- lizza nel piano o programma di compliance.
I piani di compliance rappresentano il complesso di misure organizzative e procedurali idonee a prevenire comportamenti non in linea alle norme e a riscontrarli, quando si verificano, favorendo allo stesso tempo la consapevo- lezza in ordine alla loro gravità.
La definizione del piano di compliance si caratterizza, indipendentemente dalla dimensione aziendale, per la presenza di fasi che sono comuni a tutte le imprese ma che, di fatto, si articolano in modo differente in funzione dei fattori distintivi della singola realtà aziendale, quali il tipo e la dimensione, il settore di attività, le caratteristiche del mercato, il grado di interazione con i concorrenti. Un piano/programma di compliance standardizzato, infatti, 7 La funzione di controllo “di secondo livello” è istituzionalmente incaricata di verificare la
conformità dell’operato delle strutture aziendali alla normativa primaria e secondaria e al cor-
174
non potrebbe riflettere le peculiarità e le esigenze di ogni impresa e, pertanto, non potrebbe consentire di sviluppare una effettiva politica di conformità. Qualsiasi modello deve essere predisposto “su misura” per ciascuna impresa tenendo conto delle specificità della stessa e del mercato in cui opera. Questo significa che le PMI potranno ricorrere a programmi di compliance che, nel rispetto di alcuni principi-guida, siano meno strutturati di quelli necessari nelle grandi imprese.
Un possibile approccio è quello fornito dalle Linee Guida dell’Associazione Italiana Compliance o quello della norma ISO 19600:2014 o una loro combina- zione. Entrambi i riferimenti seguono l’approccio basato sui rischi e appaiono in linea con i principi di base del SCI. Gli obblighi di compliance, di fatto, sono determinati dal contesto e dall’ambiente in cui opera l’organizzazione. Ciò si- gnifica che l’organizzazione identifica quali richieste, necessarie e attese dagli
stakeholder, sono da considerare come obblighi per l’organizzazione e che
quindi bisogna rispettare.
Tale analisi è necessaria al fine di predisporre un programma di com-
pliance basato cioè sulle reali caratteristiche e le conseguenti necessità
dell’impresa. Sulla base della valutazione del rischio devono essere fissate le priorità da gestire, identificate in quelle attività che presentano maggiori ri- schi di compliance (espressi come la probabilità del verificarsi e l’impatto della conseguenza di una non-compliance). Basandosi sulla valutazione del rischio di compliance, si disegnano misure di mitigazione del rischio. Di con- seguenza tali misure sono implementate, monitorate e valutate.
Analizzando più nello specifico il processo, dopo l’analisi del contesto esterno ed interno, la norma ISO 19600:2014, identifica quattro successivi step. Il primo step è quello della pianificazione (plan). In tale step si identificano gli obblighi derivanti dalle normative/regolamenti cogenti e da impegni volon- tari di conformità8 e si valutano i rischi derivanti da tali obblighi (mappatura dei
rischi)9. Tale analisi si traduce nella strategia da adottare all’interno dell’orga-
nizzazione. Gli obblighi di compliance devono essere documentati in modo op- portuno. La fase successiva è quello del fare (do). In questa fase le misure defi- nite in sede di pianificazione devono essere implementate e monitorate attra- verso opportuni meccanismi precedentemente definiti.
8 Esempi possono esser leggi, regolamenti, autorizzazioni, licenze, ordini, regole, sentenze,
procedure, politiche, codici di condotta volontari, principi volontari
9 Il rischio può essere definito come un qualsiasi fattore o evento che possa allontanare una
organizzazione dal raggiungimento dei suoi obiettivi. Il rischio aziendale è connaturato con il fare impresa, e la sua totale eliminazione è impossibile. Si veda Gazzani M., Roffia P., Santini R. (2011), PMI, regole, bilancio, controllo. EGEA.
175
Sviluppare
Implementare Valutare
Fig. 1 - Relazione tra gli elementi di compliance management nell’ISO 19600
Fonte: ISO 19600
L’organizzazione deve identificare e valutare i rischi di compliance se- condo uno schema di gradualità che consenta all’impresa di agire in via prio- ritaria sulle aree maggiormente interessate (valutazione dei rischi). I rischi vengono di norma pesati secondo una misurazione bidimensionale, consi-
Identificazione dei problemi interni
ed esterni
Identificazione delle richieste da
parte degli stakeholder
Determinazione dello scopo e istituzione del sistema di ge-
stione della compliance
Buoni principi di corporate governance
Identificazione delle policy in tema di compliance
Identificazione degli obblighi di compliance e valutazione
dei rischi
Funzione di compliance indipendente Responsabilità a tutti i livelli
Funzione di supporto
Pianificazione indirizzata ai rischi di compliance e per ottenere i risultati
prefissati Gestione delle non-
compliance e miglioramento continuo Pianificazione operativa e controllo dei rischi di compliance Valutazione delle performance e compliance reporting Mantenere
176
derando la probabilità di manifestazione ed il relativo impatto. I rischi sono quindi classificati elevato, medio e basso10 in termini di importanza relativa
fra loro, le decisioni in termini di trattamento del rischio viene assegnata al
risk owner, ossia al soggetto che ne ha le leve di conoscenza e di intervento
maggiori11.
Il terzo step è quello della verifica (check). In tale fase il programma di
compliance deve essere costantemente rivisto sulla base dei controlli effet-
tuati nonché in occasione di modifiche o introduzione di attività/prodotti/ser- vizi; in caso di modifiche alla struttura o alla strategia dell’impresa, in caso di significativi cambiamenti esterni, a seguito di modifiche degli obblighi di conformità al verificarsi di una non conformità12.
L’ultima fase è quella dell’azione (Act). In tale fase i risultati (positivi o negativi) ottenuti devono essere utilizzati come fonte critica per un continuo miglioramento del proprio programma di compliance. La compliance si man- tiene attraverso l’identificazione di variazioni e novità legislative, regola- mentari, codicistiche e tutti i possibili obblighi di compliance per garantire il mantenimento della conformità.
Il continuo monitoraggio adottato nei diversi step consente di gestire tem- pestivamente i casi di non conformità. Il controllo di compliance non è un semplice process end-to-end quanto piuttosto un processo circolare che ne- cessita di continua revisione e affinamento dovendo rispondere a sollecita- zioni esterne che si evolvono e modificano nel corso del tempo.