L’internazionalizzazione degli scambi e la molteplicità dei testi normativi nazionali o internazionali – che si tratti di anticorruzione e antifrode, di lotta contro il riciclaggio di denaro (LCB) e di finanziamento del terrorismo (FT), di protezione dei dati personali (RGPD), di rispetto della concorrenza, di embarghi o di altre misure restrittive – hanno esteso il raggio d’azione della funzione compliance ad altri settori. Questo va ben oltre la semplice prevenzione della corruzione di funzionari pubblici stranieri.
Alcune aziende hanno istituito, prima di altre, dei dipartimenti compliance all’interno della loro organizzazione. Sono state anzitutto le imprese le cui attività sono regolamentate: gli istituti bancari, finanziari e assicurativi, l’industria farmaceutica, della difesa, dell’energia, della sanità, della chimica, per citare solo alcuni esempi. In questo caso, trattandosi di settori sensibili, la decisione di creare una funzione compliance, in seno a tali organizzazioni, è disposta dalla legge o dai regolamenti.
Per le altre imprese le cui attività non sono regolamentate, invece, la decisione di dotarsi di una funzione compliance propria incaricata del pilotaggio, l’attuazione e la sorveglianza del programma di conformità è oggetto di un atto di gestione da parte del management.
Si tratta di un punto importante, in quanto dimostra che la decisione non è imposta dall’autorità di regolamentazione, ma il gruppo dirigente ha volontariamente deciso di intraprendere un processo di conformità per far evolvere la cultura imprenditoriale e le pratiche di buona governance, sensibilizzare i dipendenti e i dirigenti ai rischi di non-conformità e promuovere il rispetto delle leggi e dei regolamenti applicabili.
Il posizionamento della funzione compliance nell’organizzazione può variare in ragione delle dimensioni, della natura e della complessità delle attività svolte, del profilo di rischio e del governo societario.
Così, nelle grandi imprese, l’equipe di direzione riterrà opportuno centralizzare la funzione compliance e piazzare il responsabile di questa alla testa di un team composto da numerosi collaboratori. Nelle imprese più piccole, tale missione di controllo può essere affidata ad un responsabile o ad un prestatore esterno.
Per aiutare le imprese a strutturare, all’interno della loro organizzazione, una funzione di compliance integrata, efficace e competente in vari settori, sono state adottate a livello europeo e nazionale una serie di raccomandazioni.
Ad esempio, in Europa, l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) ha pubblicato, il 5 giugno 2020, le «Finalreport Guidelines on certain aspects of the Mifid II compliance function requirements» che apportano chiarezza e coerenza nell’applicazione dei requisiti della MIFID II (Direttiva 2014/65/UE) per quanto riguarda la funzione compliance delle imprese di investimento[1].
Analogamente, in Francia, l’Agence française anticorruption (AFA) ha elaborato una guida pratica sulla governance della «funzione conformità anticorruzione nell’impresa» destinata agli enti soggetti agli obblighi della legge Sapin II. In Italia, Confindustria e altre associazioni di categoria (Abi, Ania, Assogestioni…) hanno adottato linee direttrici che rafforzano il sistema di controllo interno e i programmi di conformità delle imprese oggetto del decreto legislativo 231/2001.
Tutti questi dispositivi hanno diversi punti in comune, in particolare per quanto riguarda il ruolo del responsabile, i compiti affidati alla funzione compliance e le relazioni tra quest’ultima e il consiglio di amministrazione.
Ruolo e profilo del responsabile della funzione compliance
La funzione compliance è una funzione sensibile e strategica: la sua ragion d’essere è di limitare i rischi di non-conformità e di assicurarsi che i valori e le regole interne (programmi di conformità, procedure e protocolli) di prevenzione dei rischi e di controllo interno sono rispettati nell’impresa e nelle relazioni con le parti interessate.
L’alta dirigenza ha quindi la responsabilità di identificare, all’interno dell’organizzazione, il responsabile o i membri del dipartimento compliance e di dotarli di mezzi, umani e finanziari, necessari all’adempimento della loro missione.
Il capo della funzione compliance è incaricato di elaborare i programmi di conformità e di pilotarne l’attuazione e l’aggiornamento. Per essere efficace e svolgere appieno il proprio ruolo, il responsabile deve possedere conoscenze e competenze approfondite in materia di controllo interno e di gestione dei rischi. Ma soprattutto deve dar prova di integrità, indipendenza di giudizio e avere libero accesso al consiglio di amministrazione.
Il responsabile riferisce all’equipe di direzione in merito alla diffusione e al funzionamento dei programmi di conformità. Tale compito implica la redazione di un reporting destinato al consiglio di amministrazione e, se del caso, al comitato d’audit e al comitato di controllo interno.
Compiti della funzione compliance
Il responsabile della funzione compliance deve in particolare svolgere i seguenti compiti:
- Assicurare e diffondere il controllo regolamentare
- Stabilire e diffondere norme e procedure in materia di conformità
- Formare e informare sui rischi di non conformità e sui dispositivi da attuare
- Consigliare e assistere gli altri dipartimenti dell’impresa per qualsiasi elemento legato alla conformità
- Realizzare e attuare la mappatura dei rischi di non conformità e il Codice di condotta
- Monitorare e assicurare il controllo continuo della conformità
- Istituire un dispositivo di lotta contro la corruzione
- Istituire un sistema di allarme etico
- Garantire l’aggiornamento di protocolli, procedure e programmi di conformità.
Ruolo e responsabilità del consiglio di amministrazione
Un elemento essenziale per il buon funzionamento della funzione compliance è l’impegno del consiglio di amministrazione a promuovere i valori e comportamenti rispettosi delle leggi, dei regolamenti e delle linee direttrici applicabili all’impresa.
Gli obiettivi della funzione compliance saranno più facili da raggiungere se i ruoli e le responsabilità sono ben identificati e la loro attribuzione è nota e ben compresa all’interno dell’organizzazione. Il consiglio di amministrazione e il gruppo direttivo sono quindi direttamente coinvolti in questo processo. In particolare, essi devono verificare che l’impresa disponga di un quadro di gestione del rischio di non-conformità efficace e che le politiche e procedure siano sviluppate, applicate e aggiornate.
E sono sempre questi organi direttivi che devono promuovere e sviluppare la cultura della conformità all’interno dell’organizzazione. Più sarà considerata come uno strumento integrato del processo produttivo, più sarà accettata da un capo all’altro dell’organizzazione dell’impresa e il lavoro della funzione compliance ne risulterà facilitato.gp@giovannellapolidoro.com