Il sistema dei controlli delineato dalla “231”
Le opportunità della correlazione tra
l’Organismo di Vigilanza e la Funzione di Compliance
...verso una Compliance 2.0
di Ermelindo Lungaro
(...segue dalla 1^ puntata)
3.
Le opportunità della correlazione tra l’Organismo di Vigilanza e la
Funzione di Compliance
Il sistema di controllo interno delineato dalla
normativa 231 individua - lo si è detto in premessa - l’attore principale
nell’Organismo di Vigilanza, ovvero in un Organismo appositamente costituito,
dotato di autonomi poteri di iniziativa e di controllo, e incaricato del precipuo
scopo di vigilare sul funzionamento e l’osservanza del Modello (cioè dello
stesso sistema di controllo interno) e di curarne l’aggiornamento.
Senza voler qui approfondire aspetti di
dettaglio tecnico giuridici, quel che si ritiene utile rimarcare è l’essenza
del ruolo attribuito a questo Organismo nel fornire rassicurazione al Consiglio
di Amministrazione (e conseguentemente alla proprietà) in merito all’idoneità
del sistema di controllo interno nel prevenire il rischio da illecito, attraverso
un’attività che in concreto ne assicuri: (i) verifica dell’adeguatezza e dell’efficacia
in termini di individuazione dei processi sensibili in relazione alle aree di
rischio di atto illecito, di gestione dei correlati rischi e di disegno dei correlati
presidi di controllo; (ii) verifica del mantenimento in continuità di tale
adeguatezza ed efficacia garantendo che si proceda alle integrazioni ed agli
aggiornamenti necessari in relazione all’evoluzione di contesto non solo
normativo; (iii) vigilanza sull’adeguata implementazione, con particolare
riferimento alla corretta attuazione dei presidi di controllo previsti; (iv)
vigilanza su un’adeguata formazione, diffusione e conoscenza, anche promuovendo
azioni a tal fine necessarie.
Un’attività di “cura” e di “vigilanza” così
intesa abbraccia l’intero perimetro del sistema di controllo interno dalla fase
del disegno a quella della corretta implementazione. Il tutto si colloca, poi,
in un sistema di flussi informativi da e verso l’Organismo di Vigilanza (tra
cui quello delle segnalazioni o whistleblowing)
che deve alimentare l’attività dallo stesso svolta.
Ma affinché l’attività dell’Organismo di
Vigilanza (in genere costituito da un numero ristretto di professionisti) possa
effettivamente garantire efficacia con continuità di azione è indispensabile il
supporto e la sinergia con Funzioni aziendali che, per un verso, abbiano i
medesimi requisiti di indipendenza a garanzia dell’obiettività di giudizio e,
per altro verso, l’expertise e le connotazioni proprie dell’attività di
controllo.
In effetti, la Funzione che può garantire tale
sinergica azione è - a parere di chi scrive - la Funzione di Compliance ove
l’assetto interno ne inquadri la giusta fisionomia.
L’attività esercitata dalla Funzione di Compliance
correttamente intesa è infatti caratterizzata dall’essere un processo di
controllo finalizzato alla prevenzione dei rischi di corruzione e più in
generale normativi ed alla previsione di comportamenti che evitino illeciti
attraverso un’attività che assicuri il presidio trasversale della Funzione sul
sistema di controllo interno in termini di: (i) disegno, attraverso la
valutazione dei presidi di controllo e l’individuazione di azioni correttive di
allineamento - ex ante; (ii) monitoraggio
nell’implementazione, attraverso la partecipazione ad attività formativa e la
consulenza specialistica e focalizzata alla concreta attuazione del corretto
disegno da parte del management
durante la propria attività operativa - ongoing;
(iii) verifica di conformità, attraverso l’analisi documentale della
corrispondenza delle attività espletate con il disegno dei controlli - ex post.
Come è stato osservato in un approfondimento
focalizzato su una vision della
Funzione di Compliance a cui si rinvia per una più analitica disamina della sua
attività[1], un’adeguata
valutazione di Compliance dovrebbe pertanto
incentrarsi su un ciclo sistemico << … che preveda il presidio della Funzione su: (i) predisposizione di un
Modello aziendale di organizzazione, gestione e controllo coerente con principi
generali e speciali di controllo idonei a prevenire i rischi normativi nella
vision ampia sopra considerata ed i rischi specifici correlati a singoli
processi; (ii) aggiornamento costante del Modello alla luce dell’evoluzione
normativa, dell’organizzazione aziendale, dell’assetto dei poteri e della
mappatura dei processi; (iii) allineamento del disegno dei controlli ai
principi generali e speciali definiti nel Modello; (iv) partecipazione
all’implementazione dell’attività attraverso consulenza specialistica; (v)
svolgimento costante di formazione e sensibilizzazione del personale sul
Modello 231 e sulla regolamentazione interna, con particolare attenzione alla
fase di avvio dell’implementazione di nuovi presidi di controllo anche
attraverso attività indipendenti di “accompagnamento” alla corretta esecuzione
delle attività nel rispetto di tali presidi di controllo; (vi) effettuazione di
verifiche documentali di conformità sulla corretta implementazione del disegno
dei controlli; (vii) implementazione di adeguati flussi informativi da e verso
il management nonché verso gli Organi Sociali e, nel caso del Modello 231,
l’Organismo di Vigilanza.
È di
ogni evidenza, pertanto, che laddove la Funzione Compliance è intesa nel senso
e nella natura descritta …, anche l’esimente prevista dal D.Lgs 231/2001 ne
esce grandemente rafforzata. In caso contrario permane la sensazione che il
Modello 231, comunque si configuri, sia un mero adempimento formale ed
addirittura fastidioso perché privo di senso adeguato; la sua capacità di
portare valore all’organizzazione ne risulterebbe irrimediabilmente
compromessa. …>>
Ulteriore considerazione da effettuare in
proposito è la circostanza che il perimetro dei rischi normativi presidiato
dalla Funzione di Compliance è ancor più ampio di quello specificatamente
previsto dalla normativa 231 in quanto un adeguato presidio di conformità non
può prescindere dalla valutazione dei rischi che pregiudichino: (i) l’eticità,
attraverso comportamenti illeciti, corruttivi e non coerenti con la vision e
mission aziendale; (ii) la trasparenza, attraverso comportamenti di mala gestio
o comunque di non corretto governo societario o addirittura illegali; (iii) la
continuità, attraverso comportamenti che non assicurino presidio alla valutazione
di sostenibilità economica; (iv) l’assunzione di decisioni consapevoli,
attraverso comportamenti che non garantiscano almeno analisi istruttorie
segregate nel rispetto di ruoli e responsabilità, oggettività delle scelte,
univocità ed integrità del dato sorgente, formalizzazione dei livelli di
valutazione, evidenza documentale; (v) la congruità giuridica, attraverso
attività che non assicurino l’assunzione di impegni verso terzi coerenti con la
decisione a monte e con la necessaria tutela degli interessi dell’Azienda
nonché formalizzati nel pieno rispetto degli specifici poteri; (vi) la verifica
della coerenza dell’implementazione con la decisione assunta per l’assenza di
monitoraggio e flussi informativi. A ciò devono poi aggiungersi, naturalmente, i
rischi specifici di natura normativa anche non penalistica che connotano i
singoli processi.
Processi, infatti, che non garantiscano presidi
di valutazione e dunque di controllo (in termini di disegno così come di attuazione)
idonei a prevenire siffatti rischi costituiscono di per sé potenziale fonte di mala gestio e di non correttezza,
trasparenza ed eticità e dunque di illecito.
Anche da un punto di vista etimologico e sotto
il profilo della ratio, la Compliance
non può, in definitiva, essere solo conformità al codice penale, è qualcosa di
molto di più[2].
Ne consegue che la valorizzazione del ruolo
svolto dalla Funzione di Compliance fornisce un ulteriore veicolo di più solida
garanzia di adeguatezza del sistema di controllo interno in un’accezione di
prevenzione dal rischio di non conformità normativa più ampia di quello proprio
e penalmente rilevante previsto dalla normativa 231.
Secondo questa vision - che a sua volta si collega a quella che mira alla
costruzione di un assetto integrato dei controlli di secondo e di terzo livello
di cui si fa cenno nel paragrafo che segue - la Funzione di Compliance può
rappresentare quel necessario ed adeguato anello di congiunzione con
l’Organismo di Vigilanza quale longa
manus della sua attività, creando così sinergia ed ottimizzando il
controllo all’interno dell’Azienda in ottica, per un verso, di efficacia, efficienza ed economicità del
controllo stesso e, per altro verso, di garanzia di adeguatezza in un percorso
che consolidi sempre più correttezza, trasparenza e rispetto delle regole a
beneficio della reputazione aziendale, degli obiettivi strategici perseguiti e
del contesto delle relazioni con gli stakeholder interni ed esterni.
Il tutto deve naturalmente avvenire, in primis, secondo un approccio
strategico condiviso con l’Organo di Vertice di Indirizzo - e formalizzato in
un documento che definisce la politica e gli obiettivi misurabili e monitorabili
nel tempo - nonché attraverso modalità operative di raccordo anche funzionale e
dei flussi informativi con il coinvolgimento, all’occorrenza, delle altre
Funzioni di controllo indipendenti, tra le quali la Funzione di Internal Audit a
cui affidare specifici audit (da non confondere con le verifiche di conformità
proprie della Compliance) anche in materia 231 di cui l’Organismo di Vigilanza
ravvisi l’esigenza nel contesto delle proprie istruttorie e, più in generale, dell’attività
dallo stesso svolta.
2.
Una riflessione sistemica conclusiva
Un’ulteriore riflessione nella visione
sistemica delineata è utile focalizzare sull’approccio che deve guidare il
controllo nell’ottica tracciata dal Legislatore 231 e, più in generale, nella
costruzione ed implementazione di un assetto idoneo alla prevenzione dei rischi
aziendali.
I profili di questo approccio, a parere di chi
scrive, devono incentrarsi sugli aspetti di seguito indicati.
· Commitment,
soprattutto iniziale, da parte del Vertice
La consapevolezza della rilevanza di una
cultura del controllo quale essenziale leva per il perseguimento degli
obiettivi aziendali deve costituire obiettivo strategico primario dell’Azienda
e deve essere testimoniata quotidianamente (al riguardo, basterebbe aggiungere,
fra i topics delle agende degli incontri direzionali, anche uno dedicato alla
compliance, assegnazione di budget dedicati, monitoraggio delle performance, etc.)
· Indipendenza
delle Funzioni di controllo di secondo e di terzo livello
Il controllo di secondo (essenzialmente la Funzione
di Compliance[3]) e di terzo livello
(quest’ultimo da parte dell’Organismo di Vigilanza oltre che, ove sussistente,
della Funzione di Internal Audit) integra il controllo di primo livello
effettuato dal management di line nel
contesto della gestione operativa e,
come tale, deve essere indipendente in quanto l’indipendenza garantisce obiettività di giudizio, capacità cioè di
esprimere un’opinion che consideri compiutamente e trasversalmente tutti i
fattori di rischio oggetto dell’analisi di adeguatezza, senza interferenze e
condizionamenti provenienti dagli specifici obiettivi delle line operative.
Il controllo indipendente, per essere
effettivo, efficace ed omogeneo, deve vedere il coinvolgimento sinergico di
tutte le Funzioni di controllo di secondo e di terzo livello opportunamente
allocate in un’area omogenea e coordinata di indipendenza, pur dovendo ciascuna
di tali Funzioni conservare la propria specificità nel contesto del processo
valutativo di competenza. In tale ambito occorre quantomeno un coordinamento
tra tali Funzioni secondo un framework
predefinito di flussi informativi ed incontri ad hoc per analisi e reportistica.
· Approccio
della Funzione Compliance - e, più in generale di tutte le Funzioni di
controllo - di supporto al Management
Un management che conosca, apprezzi e condivida
gli obiettivi migliorativi del controllo come funzionali ai propri obiettivi
manageriali è, infatti, maggiormente propenso ad implementarli e monitorarli.
Tutto questo, si ritiene, può costituire
elemento unitario ed inscindibile per soddisfare all’obiettivo cardine del
controllo di fornire assurance agli Organi Sociali nella valutazione del
disegno e della sua corretta implementazione per un’adeguata gestione/prevenzione
dei rischi normativi di illecito e, come si è detto, più in generale rischi
aziendali che il sistema di controllo deve prevenire.
In questo scenario, in definitiva, la Funzione
di Compliance, a parere di chi scrive, può fornire un contributo distintivo ed
aggiuntivo – sempreché adeguatamente integrato nel sistema di controllo interno
- in un contesto di valorizzazione che si focalizzi anche e soprattutto nel
momento preventivo (e dunque del disegno) e di “accompagnamento” alla corretta
implementazione attraverso la sistematica e continuativa diffusione pervasiva
nel tessuto aziendale della cultura della legalità, trasparenza, eticità e
correttezza; cultura che è il corredo necessario per l’effettivo conseguimento
di un adeguato assetto di prevenzione dei rischi.
Naturalmente affinché tutto questo avvenga è anche
necessario un approccio della Funzione di Compliance (e dunque delle persone
che vi lavorano) proattivo ma umile, aperto all'ascolto ed alla comprensione
delle esigenze operative nel contesto dell'obiettivo di controllo perseguito,
sempre e solo fondato su analisi rigorose (e mai su mere opinioni) e dunque su
conseguenti conclusioni tratte da valutazioni compiutamente supportate da
continuo ed intelligente studio normativo e di contesto. Il commitment aziendale (e la Funzione
preposta delle Risorse Umane) deve in questo collaborare - se effettivamente
crede nel valore aggiunto della Compliance - con una selezione rigorosa delle
persone che scelgono Compliance: persone volenterose, integre e solide nei
valori e nella trasparenza anche di atteggiamenti, orientate alla progettualità
e non ad atteggiamenti meramente impiegatizi, con solide basi di preparazione
professionale che il contesto specifico ed il team di inserimento richiedono (inevitabilmente, nel team componenti essenziali sono: logica
giuridica, expertise in tecniche di
controllo e capacità di analisi, sensibilità di governance, abilità di esposizione formale che sia semplice,
chiara, coerente e sintetica).
[1] La
Funzione Compliance - un momento di riflessione sulla sua natura e “raison
d’etre”, a cura di Carlo Regoliosi, Corrado Papa, Laura Cellamare;
pubblicazione sulle riviste on line www.reatisocietari.it e
www.231farmaceutiche.it.
[2] E ciò trova ulteriore
conferma nella circostanza che sussistono settori normativamente o comunque di
fatto obbligati ad avere un sistema di compliance. Il riferimento è certamente
al settore privato bancario ed assicurativo (se non si considerano le esigenze
specifiche peraltro del settore delle società con azioni quotate e del settore
sanitario), oltre che evidentemente a quello pubblico in cui sussiste l’obbligo
di prevenire la corruzione nella nozione di cattiva amministrazione (e quindi
non solo penalmente rilevante) secondo le indicazioni fornite dall’ANAC
all’interno del Piano Nazionale Anticorruzione.
[3] Un processo di maturo
consolidamento dell’assetto dei controlli aziendali (anche nell’ottica
dell’auspicato assetto integrato di cui si accenna nel punto che segue)
dovrebbe gradualmente portare - affinché i benefici si espandano ulteriormente
- ad un’indipendenza ed integrazione (nel rispetto delle specificità di
ciascuna) di tutte le Funzioni di controllo di secondo e di terzo livello. Si
pensi al riguardo al Servizio Prevenzione e Protezione, al Data Protection
Officer, alla Funzione che presidia le certificazioni di Qualità e – non
secondario ma anzi prioritario – al Controllo di Gestione.