Le numerose leggi e regolamenti a livello nazionale e internazionale hanno determinato un aumento notevole della complessità del quadro normativo in cui le aziende operano, introducendo responsabilità in capo alle stesse e ai loro Vertici, ha decisamente aumentato il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione.

Per sostenere le sfide future ed essere concorrenziali sul mercato nazionale ed internazionale, una azienda deve essere solida nella sua struttura e deve proteggere e regolare nel miglior modo i propri asset strategici.

All’aspetto sanzionatorio di non poco conto che segue un mancato adeguamento, il legislatore ha però contrapposto fattori incentivanti.

A fronte dell’adozione da parte dell’azienda di efficaci sistemi di controllo e di adozione ed effettiva attuazione di programmi di Compliance, infatti, si sostanziano vantaggi che vanno dalla riduzione delle sanzioni applicabili fino a vere e proprie condizioni esimenti.

Inoltre, all’interno degli accordi con clienti e partner strategici, sono sempre più frequenti e richiesti vincoli contrattuali che prevedono obblighi di conformità reciproci a norme e regolamenti quale condizione necessaria per l’efficacia degli accordi stessi.

Dunque, partendo da tali presupposti è una necessità per le piccole e medie imprese sul mercato nazionale o che si preparano ad una internazionalizzazione, affrontare in modo strutturato e coordinato le tematiche di Compliance, al fine di assicurare la conformità dei processi e dei comportamenti ai requisiti normative attraverso indirizzi e standard procedurali condivisi.

Allora come si abbassa il rischio di non conformità?

Monitorando lo stesso livello di conformità e le conseguenze correlate (penali, economiche e di reputazione) derivanti dai mancati adempimenti e definendo i fattori preventivi e correttivi di contenimento del rischio.

Il rischio di non conformità alle norme manifesta, in generale, una maggiore concentrazione in corrispondenza di quelle aree di business sottoposte a numerose disposizioni regolamentari come ad esempio attività di intermediazione, trasparenza verso i clienti, gestione dei conflitti di interesse, ecc..

I processi aziendali, infatti, maggiormente impattati dalle normative sono quelli legati alla gestione caratteristica dell’impresa, quali: approvvigionamenti, produzione e gestione delle operation, vendite.

Non a caso le normative a maggiore impatto percepito sono anche quelle ad oggi più consolidate e gestite: al primo posto, infatti, è stata indicata la normativa sulla Salute e sicurezza dei luoghi di lavoro (D.Lgs 81/08), seguita da quella sulla Responsabilità amministrativa degli Enti (D.Lgs 231/01) e dalla Regolamentazione di settore.

Risulta, invece, ancora ridotto l’impatto percepito di tematiche emergenti, quali l’Antiriciclaggio, l’Antitrust, Privacy, sicurezza informatica, contrattualistica  e normativa ambientale.

L’azienda piccola o grande che sia dovrà esaminare la propria struttura di governance e suddividere ed individuare le macro aree di criticità procedendo:

• con l’accertamento (assessment): l’intero processo prende avvio dall’individuazione delle aree a maggiore rischio di non conformità al fine di valutare la validità dei controlli già esistenti su quelle aree e l’eventuale necessità di apportare modifiche organizzative o procedurali;
• con la gap analisys: il confronto fra le direttive predisposte nella fase di accertamento e le situazioni di rischio effettivamente realizzatesi sono ascrivibili a due principali cause: il mancato o errato recepimento delle linee proposte; la consapevolezza di una rischiosità residuale considerata non eliminabile.

I temi di Compliance sono per loro natura trasversali all’organizzazione e ai suoi processi. La loro gestione integrata si fonda principalmente su:

• efficacia del sistema di Policy e Procedure;
• coordinamento fra Funzioni/Direzioni;
• disponibilità di competenze interne specifiche volte a coordinare e gestire in modo efficace ed efficiente le diverse tematiche.

In tema Compliance, però, spesso le PMI hanno un approccio destrutturato e di tipo reattivo, ovvero si attivano secondo necessità, spesso a seguito di indagini da parte delle Autorità, anomalie e/o non conformità riscontrate.

I presidi sono per lo più parziali e incompleti, anche a causa dell’assenza di adeguate competenze interne e della presenza di sistemi di governance non sempre chiari.

Le aziende devono entrare nell’ottica di dotarsi di veri e propri programmi strutturati di gestione della Compliance volti ad analizzare e gestire, in via preventiva, le tematiche normative anche con avvio di programmi di formazione ed effettuazione di attività di verifica (audit).

Il cambiamento dell’approccio alla gestione della Compliance è quindi rilevante e deve essere progressivo verso modelli di business sempre più “sociali”, consapevoli e conformi alle normative.

Olivia Bosaz

Founder, DPO – Data Protection Officer, Studio Legale Bosaz