A più di 20 anni dall’emanazione del D.Lgs. 231 è possibile affermare che il parto che ha dato alla luce la più illuminata Legge di regolamentazione della compliance sia stato in realtà un parto…. “prematuro”.
Prematuro semplicemente perché alla fine degli anni 90 la compliance non esisteva; è stata creata dopo, quando l’effettiva riforma del sistema normativo regolatorio ha imposto l’adozione di sistemi che incrociassero i campi di operazione degli enti con le fattispecie di legalità applicabili.
Indice degli argomenti
L’evoluzione della compliance: dalla carta alla pratica
La nascita di un sistema di regolamentazione della compliance prima che la compliance stessa diventasse un tema “scottante”, ha fatto in modo che questo sistema di regolamentazione (o di gestione “ordinata” se vogliamo usare un altro termine), contenuto nei cosiddetti modelli organizzativi cartacei in formato da “cassetto”, fossero la necessaria e sufficiente risposta alle poche Procure della Repubblica che avevano cominciato ad interessarsi di responsabilità penale/amministrativa/organizzativa degli enti.
D’altro canto, la legge era stata emanata per porre fine all’impossibile lavoro che i giudici dovevano svolgere per coinvolgere gli enti nelle malefatte dei loro rappresentanti.
Il dettato D.Lgs. 231 su questo aspetto è molto chiaro: se ci sono le condizioni (e le condizioni ci sono quasi sempre) l’azienda non riesce facilmente a districarsi dalle condotte criminali dei suoi dirigenti, soprattutto se quelle condotte (in modo anche indiretto) hanno generato un vantaggio a favore dell’ente, attraverso il semplice arricchimento illegittimo del suo patrimonio.
Le prime norme di interesse: fiscali e societarie
A fine anni 90 le uniche norme che suscitavano interesse (e timore) erano soprattutto quelle fiscali (la riforma risaliva alla meta degli anni 70 ma la revisione del testo unico delle imposte dirette e della fine degli anni 80) e un po’ quelle societarie. Persino gli enti che oggi sono regolamentati dal Tuf e controllati da Consob e Banca d’Italia, vivevano in un limbo di impagabile libertà di movimento.
Poi, a cascata, è iniziata una panrivoluzione del sistema regolatorio. Le spinte riformatrici del 68 sono finalmente riuscite a far accettare lo spirito della costituzione della repubblica. Sembra uno scherzo, ma il primo vero segnale di adozione della costituzione italiana (entrata in vigore nel 1948) sono il referendum sull’aborto e sul divorzio dei primi anni 70.
E cosi, negli anni fino al 2000, sono state via via emanate leggi per regolamentare:
- La sicurezza sul lavoro
- La sicurezza ambientale
- La malversazione e la corruzione
- Il contrabbando e la contraffazione
- La protezione dei beni immateriali
- Ecc. ecc.
La compliance prende forma: dall’ordine normativo all’etica aziendale
La compliance ha cominciato ad avere una sua giustificazione: mettere ordine nelle regole di funzionamento dal punto di vista dell’interessato.
Cioè prevenire e invertire l’ordine dei fattori: non sei più tu Stato a controllarmi e a spiegarmi come si fa, ma sono io a rendermi parte attiva nel rispetto delle regole per una questione etica e, con senso del pragmatismo, per evitare sanzioni in caso di controllo.
La normativa internazionale e il ruolo del compliance manager
Se si chiede a Google: quando è nata la compliance, il primo articolo che compare (non credo per motivi meritori ma di marketing) è quello di “Risk and Compliance Platform Europe” che dice: “Nel 2005 il Comitato di Basilea per la vigilanza bancaria, quando ha introdotto la norma sulla Compliance, la Funzione Compliance e la figura del Compliance Manager, intendeva introdurre una svolta al sistema di governo d’impresa o governo societario delle banche, ovvero con la governance ci si riferiva all’insieme di regole di ogni livello che disciplinano la gestione e la direzione di una società o di un ente, pubblico o privato”.
Dopo le esperienze dei clamorosi fallimenti in USA come il caso Enron, e successivamente anche con gli scandali bancari, ci si rese conto che i modelli di governance sino ad allora adottati erano inadatti per garantire un controllo efficace della vita delle imprese e, conseguentemente, degli effetti sulla società.
Si decise quindi l’introduzione della Compliance e della figura del Compliance Manager come cardine del sistema dei controlli di una banca. Questa fu dettata dall’esperienza maturata dopo l’introduzione, già da alcuni anni, in USA dei modelli della Sarbanes-Oxley Act o SOX e del Framework COSO di gestione dei rischi e dei controlli, norme e leggi dove ci si era resi conto nel frattempo del valore centrale del rischio di non aderenza alle norme, o di Compliance, definito ormai come: il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni.
Tratto da “Modello Organizzativo Ex. D.LGS. 231/2001 – La digitalizzazione del processo di adozione” di Giovanni Taliento.
L’implementazione del Modello 231 nelle aziende
A questa rivoluzione, le aziende hanno risposto dotandosi delle più svariate e diverse forme organizzative e, soprattutto, integrando la funzione risk e compliance nel flusso informativo cosiddetto “ordinario”, utilizzando le infrastrutture già presenti nell’azienda, spesso di difficile integrazione con le specifiche tematiche dei controlli.
D’altro canto, è difficile pensare che un’azienda dotata del più moderno ERP, dei più avanzati sistemi di controllo di gestione, dei più moderni sistemi di gestione dei processi, potesse andare nel cassetto a rispolverare il modello organizzativo cartaceo 231 e comprendere che in quelle regole è contenuta la metodologia da applicare per il più moderno ed efficace sistema di gestione della compliance.
Difatti, la maggior parte delle aziende ha preferito rivolgersi a chi si occupava di sistemi complessi e chiedere di creare qualcosa di collaterale ed integrato con i sistemi esistenti. Tutti per strade diverse, tutti con soluzioni diverse e, soprattutto, perdendo la visione omogenea della funzione all’interno dell’azienda.
Linee guida del D.Lgs. 231: un sistema di prevenzione e controllo
Sarebbe bastato seguire il dettato del D.Lgs. 231 2001:
- Spiega a tutti i dipendenti cosa è la compliance e la funzione risk;
- Crea delle regole interne ed esterne di comportamento e divulgale in un codice etico;
- Crea un sistema disciplinare per chi non rispetta le regole.
E questo assolve alla parte preventiva, poi:
- Crea un sistema di deleghe e controllo tale per cui le responsabilità siano ben definite in un quadro di segregation of duty dove ognuno ha un ruolo, una funzione rappresentativa ed un certo livello di responsabilità;
- Crea delle aree separate per controllare i rischi, ciascuna con le sue tematiche corrispondenti, guarda caso, alla tipologia di reati previsti dal decreto;
- Valuta questi rischi e metti in atto azioni di rimedio laddove ti è possibile migliorare il tuo grado di compliance;
- Istituisci un organismo di vigilanza che non svolge una funzione ispettiva, ma di controllo di funzionamento del modello.
E questo assolve alla parte di controllo, poi:
- Rivedi il tutto periodicamente perché potrebbero cambiare le leggi che governano la compliance o potrebbero cambiare le condizioni di contesto (sia interne che esterne) con il coinvolgimento di nuove regole.
- Continua a tenere informate le tue persone. Fai cultura e diffondi il verbo del rispetto delle regole.
Nessun ente potrà mai influenzare (anche con il più stretto dei controlli), il libero arbitrio di un dipendente che commette un crimine, ma se il sistema di prevenzione e controllo applica tutti i punti dall’1 al 9, chi commette un crimine lo fa violando le regole di compliance interne, ovvero violando il modello organizzativo: l’azienda non è responsabile.
L’impatto dell’intelligenza artificiale sulla Compliance
Infine, sempre all’insegna della modernità di una norma che ha 20 anni, il modello organizzativo inteso come sistema di prevenzione e controllo è la tematica normativa che più si presta all’impiego dell’intelligenza artificiale nei seguenti tre momenti:
- Come AI generativa, nella scrittura delle regole interne;
- Come AI ad ausilio della reportistica, in quanto permette di interrogare il sistema con linguaggio naturale rendendo tutto più semplice;
- Come AI analitica, affinare la valutazione dei rischi ovvero il risk assessment;
Case Study: un esempio di implementazione dinamica
Un’azienda manifatturiera italiana ha recentemente rivisitato il proprio Modello 231 per adattarlo alle nuove esigenze di mercato e alle normative ambientali stringenti.
Attraverso un processo di risk assessment dettagliato, l’azienda ha identificato nuove aree di rischio legate alla sostenibilità e alla sicurezza informatica.
Integrando queste aree nel proprio Modello 231, l’azienda è riuscita non solo a migliorare la propria conformità normativa, ma anche a rafforzare la propria resilienza complessiva.
