I soggetti coinvolti nella compliance

Il rispetto delle leggi e dei regolamenti è un aspetto fondamentale della

governance di ciascuna impresa. Qualunque sforzo al riguardo non può pre-

scindere da un vero e proprio impegno (commitment) da parte dei più alti vertici aziendali volto all’esatta individuazione delle aree di rischio e alla prevenzione delle possibili violazioni. Infatti, solo la convinzione e l’impe- gno costante, continuo e manifesto del management possono assicurare che ciascun soggetto dell’organizzazione operi considerando la compliance come proprio obiettivo e si adoperi per raggiungerlo. Il supporto dei vertici aziendali, in altre parole, è essenziale per poter creare una cultura del rispetto della legge all’interno dell’organizzazione. Di conseguenza, è necessaria la cooperazione da parte di tutti i livelli aziendali, poiché ognuno dovrà rispet- tare le norme e uniformarsi a quanto stabilito nella strategia interna, atteso che le condotte del singolo individuo comportano la responsabilità e la puni- bilità dell’impresa nella sua totalità.

Ad essere coinvolti nel processo di controllo di compliance sono sostan- zialmente, a livello interno, i Compliance Officier (o corporate compliance

179

è di verificare la conformità normativa e procedurale dell’operazioni azien- dali, di standardizzare gli obiettivi di controllo e di verifica interni ed esterni, oltre a quello di seguire tutti i cambiamenti e le innovazioni necessarie per assimilare le nuove regole e le nuove politiche. Oggi il Compliance Officier sta iniziando ad essere presente anche in organizzazioni diverse da quelle finanziarie.

Uno dei compiti principali del compliance manager, oltre alla valutazione e gestione del rischio, è la costruzione dell’inventario normativo, la valuta- zione dell’impatto sui processi e l’integrazione con il sistema dei controlli interni.

Un inventario normativo deve possedere delle funzionalità che permet- tano di: inserire in un database i testi delle norme in maniera strutturata per evidenziare adempimenti e sanzioni; creare delle classificazioni personaliz- zate con relazioni esplicite; indicare le relazioni con altre norme; indicare le relazioni con i processi aziendali; indicare i controlli posti a verifica del ri- spetto di una norma e in quale parte del processo intervengono. La parte più impegnativa del lavoro (oltre che tenersi aggiornati sulle nuove disposizioni dalle varie fonti normative) è creare una classificazione coerente.

Esistono sul mercato prodotti per la gestione del rischio operativo o più genericamente a supporto della governance risk and compliance che inte- grano tra loro gli strumenti di inventario normativo, modello dei processi e dei controlli.

La valutazione del rischio compliance ex post deve prevedere un sistema di raccolta delle perdite operative dove specificare, tra i dati dell’evento di perdita, anche la norma e l’adempimento disatteso. Se l’inventario normativo è ben strutturato ed integrato in un sistema di gestione del rischio, indicando il processo e l’attività, l’elenco degli adempimenti relativi dovrebbe essere automatico.

Con una base dati di perdite operative integrata all’inventario normativo si possono analizzare le perdite per norma, per processo/attività e verificare

ex post la qualità dei controlli. Il solo fatto di avere uno strumento che per-

mette di associare adempimenti a processi rende immediatamente visibile tutto ciò che “rimane scoperto”, cioè la possibilità che alcune norme restino inapplicate per mancanze procedurali, inoltre consente di definire meglio gli impatti dei cambiamenti procedurali dovuti al recepimento di una nuova nor- mativa. In mancanza di dati di perdita, la valutazione del rischio compliance si può fare, in modo analogo a quanto accade per il rischio operativo, sotto- ponendo alla valutazione di esperti alcuni scenari di perdita.

180

È possibile utilizzare anche dei key risk indicator (KRI)15 _{tematici per il}

rischio compliance, che possono evidenziare il rischio insito in un sistema complesso.

Pertanto la funzione del Chief Compliance Officer è quella di assicurare comportamenti corretti e trasparenti, controllare e valutare l’adeguatezza e l’efficacia delle procedure interne.

Nell’ambito della compliance un ruolo di particolare importanza è quello svolto dell’Alta direzione, che ha responsabilità per:

 allineare correttamente gli impegni di compliance con i valori, gli obiettivi e le strategie aziendali;

 comunicare gli impegni di compliance per costruire consapevolezza e motivare i dipendenti nel dedicarsi al sistema di gestione;

 incoraggiare tutti i dipendenti ad accettare l’importanza del raggiun- gimento degli obiettivi di compliance per cui sono responsabili;  creare un ambiente dove riferire le non conformità sia incoraggiato e i

dipendenti siano mantenuti al sicuro da ritorsioni;

 identificare e agire prontamente per correggere o indirizzare le non conformità;

 assicurarsi che le politiche, le procedure e i processi aziendali suppor- tino e incoraggino la compliance.

Come precisato nell’ISO 19600, tutti gli elementi considerati nel sistema di gestione sono adattati alla compliance. Gli standard indirizzano l’atten- zione ai ruoli e alle responsabilità, al CdA, agli impiegati così come all’indi- pendenza del compliance officier16 _{e in generale della funzione di com-}

pliance.

Attori esterni che svolgono controlli di compliance sono il collegio sin- dacale, che riscontra la corretta amministrazione ed organizzazione aziendale e il rispetto della normativa, e il revisore legale, che si occupa di verificare il riscontro e la conformità del bilancio e della contabilità ai fatti aziendali, alla normativa e ai principi contabili.

15 _{Alcuni esempi di indicatori compliance sono: numero estinzioni rapporto per cause legate alla}

trasparenza/totale estinzioni; numero operazioni non adeguate/totale ordini investimento; perdite operative per norma/margine di intermediazione; numero investigazioni aperte da autorità esterne; numero cause legali intentate da clienti.

16 _{Può trattarsi di una sola persona o di un organo collegiale e può essere composto da elementi}

interni, cui affidare la responsabilità della funzione così come da professionisti esterni, tutti co- munque autorevoli e indipendenti con comprovate esperienze maturate in materia di revisione e controllo ed una robusta conoscenza del quadro normativo domestico e sovranazionale.

181

Box 1 La Disciplina della responsabilità amministrativa delle persone giuridiche

Alcune norme incidono in modo particolare sulla compliance aziendale. Tra le disposizioni normative più significative ricordiamo il D. Lgs. 231/2001 (e successivi aggiornamenti) “Disciplina della respon- sabilità amministrativa delle persone giuridiche”. Tale normativa è finalizzata a promuovere l’adozione di strumenti, come modelli di organizzazione, di gestione e di controllo, organismo di vigilanza, atti ad escludere totalmente o parzialmente la responsabilità dell’ente nelle ipotesi di commissioni di partico- lari tipologie di reato. Queste norme, in concreto, conducono a sanzionare le società che, grazie alle azioni di soggetti apicali o di sottoposti, traggono ingiusti profitti e realizzano comportamenti vietati. Per favorire l’adozione di comportamenti virtuosi da parte delle società, è data la possibilità di esclu- dere l’applicazione di sanzioni per le organizzazioni che:

 si dotano di un modello di “organizzazione e gestione” idoneo a prevenire il compiersi dei reati delle fattispecie previste dal legislatore (ex art. 6 D. Lgs. 231/2001)17_;

 nominano un Organismo di Vigilanza dotato di autonomi poteri di iniziativa e controllo che volga una sufficiente vigilanza;

 e che il soggetto apicale non abbia eluso fraudolentemente le procedure operative e di controllo previste dal modello.

Da un punto di vista concreto la società che intende adottare un modello di organizzazione e gestione ex art. 6 deve innanzitutto identificare i rischi, ovvero apprezzare i rischi di reato potenziale delle sin- gole attività e allo stesso tempo individuare le aree più esposte alla commissione di determinati reati. Successivamente la società deve dotarsi di un codice etico, di un sistema sanzionatorio e di una serie di protocolli di prevenzione, di regole e di procedure idonee a prevenire la commissione di reati, al- meno dal punto di vista teorico.