L’evoluzione legislativa degli ultimi anni, soprattutto nel nostro Paese, con la conseguente introduzione di nuovi adempimenti e responsabilità, e l’incremento del rischio reputazionale in un contesto che ormai supera i confini nazionali, ha portato le organizzazioni a focalizzare ed affrontare in modo più consapevole e strutturato i possibili problemi di Compliance.
A questo l’ISO ha affiancato un lavoro di normazione che, nell’ambito del filone delle ISO 37000 “Governance of organisations”, ha portato alla nascita di una specifica norma che regolamenta i Sistemi di Gestione della Compliance: la UNI ISO 37301:2021 “Sistemi di gestione per la compliance – Requisiti con guida per l’utilizzo”.
La norma indirizza le organizzazioni all’adozione di un efficace sistema di misure organizzative allo scopo di dimostrare il proprio impegno a conformarsi non solo a leggi, requisiti regolamentari, codici di settore e specifiche organizzative (es. codici di condotta aziendali), ma anche a favorire un comportamento socialmente responsabile dell’impresa.
Questo standard consente soprattutto di governare i rischi aziendali in maniera integrata e permette di far dialogare le procedure ed i controlli, riferibili anche a sistemi normativi differenti, evitando sovrapposizioni e reciproche interferenze. Essa specifica i requisiti e fornisce linee guida per sviluppare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di un’organizzazione che possa essere di rassicurazione alle proprie parti terze interessate.
La norma UNI ISO 37301 e il D.Lgs. 231/2001
Partendo dalle premesse e dal concetto di Compliance e Governance di “alto livello” e analizzandoli anche rispetto agli specifici punti previsti dalla struttura dell’HLS (High Level Structure), è facilmente intuibile quanto questa norma possa essere un importante supporto ai temi più ampi e specifici del dettato legislativo, in particolare per quanto attiene i reati amministrativi declinati dal D.Lgs.231/2001.
Analizzando la norma si vede come la UNI ISO 37301:2021 possa rappresentare la naturale “impalcatura” su cui andare a consolidare gli altri sistemi di gestione in un’ottica di Sistema Integrato. Alzando lo sguardo sull’intera organizzazione è anche possibile intuire come questo Sistema Integrato possa fungere da utile – se non indispensabile – supporto che può sostanziare e dimostrare l’effettività dei Modelli di Organizzazione, Gestione e Controllo costruiti in conformità al D.Lgs.231/2001.
In questo caso, possiamo raggiungere un livello ancora più completo ed esaustivo di integrazione ed è possibile quindi parlare di “Sistema di Gestione Integrato Aziendale”.
A supporto dell’ipotesi di stretta sinergia tra la ISO 37301 e il D.Lgs.231/2001, ci viene una conferma anche dalla recente revisione delle Linee Guida 231 di Confindustria, nelle quali si dichiara che “è ormai dato acquisito che il rischio di compliance, ossia di non conformità alle norme, comporta per le imprese il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative ovvero di autoregolamentazione, molte delle quali rientrano nel novero dei reati di cui al D.Lgs. 231/2001.
Ciò posto, la gestione dei numerosi obblighi di compliance, secondo un approccio tradizionale, può risultare connotata da una pluralità di processi, informazioni potenzialmente incoerenti, controlli potenzialmente non ottimizzati, con conseguente ridondanza nelle attività.
Il passaggio ad una compliance integrata potrebbe permettere invece agli Enti di:
- razionalizzare le attività (in termini di risorse, persone, sistemi, ecc.);
- migliorare l’efficacia ed efficienza delle attività di compliance;
- facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati espressamente previsti come fondanti la responsabilità degli enti)”.
E ancora: “In quest’ottica, un approccio integrato dovrebbe, quindi, contemplare procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi. Le società tenute al rispetto delle diverse normative dovrebbero valutare l’opportunità di predisporre o integrare tali procedure tenendo conto delle peculiarità sottese a ciascuna di esse, portando a sintesi gli adempimenti, individuando le modalità per intercettare e verificare gli eventi economici e finanziari dell’impresa nell’ottica del corretto agire”.
Risulta quindi piuttosto evidente che un “Sistema di Gestione Integrato Aziendale” sia la soluzione più opportuna per presidiare in modo sinergico i diversi fronti “sensibili” e “rilevanti”, sia nell’ottica del rispetto dei requisiti delle norme ISO, sia nel costruire l’insieme di procedure e protocolli su cui fondare i Modelli e dimostrarne la reale aderenza ai processi aziendali.
Purtroppo, è ancora troppo diffusa l’errata convinzione che il Modello Organizzativo 231 di una azienda sia esclusivamente il documento composto da Parte Generale e Parti Speciali, Codice Etico e Sistema sanzionatorio e disciplinare portati in approvazione al Consiglio di Amministrazione. Quelli elencati sono documenti estremamente importanti, ma rappresentano la cornice del reale sistema di regole scritte e presidi di controllo, formalizzati e diffusi, nonché della loro attuazione a prevenire la commissione dei reati 231.
Norme volontarie e Modelli 231: analogie e differenze
Provando ora ad entrare maggiormente nel merito dei requisiti della norma e di quelli legislativi del D.Lgs.231/2001, cerchiamo di comprendere meglio le principali analogie e differenze.
Partendo dal concetto menzionato precedentemente, ricordiamo che i sistemi di gestione ISO sono sistemi assolutamente volontari, adottati per garantire il raggiungimento dello “scopo” della norma di riferimento. Hanno inoltre come destinatari stakeholders interni ed esterni che beneficiano di tali misure virtuose in un’ottica di miglioramento continuo nel tempo.
Scopo quindi dei sistemi, in prima istanza, è quello di rispondere ai dettami della norma volontaria che li descrive, ed è questo obiettivo che verifica l’organismo di parte terza quando li sottopone ad audit per il rilascio della certificazione.
Il “Modello di Organizzazione, Gestione e Controllo” ha invece la finalità di definire un contesto all’interno del quale, se rispettate le misure prescrittive e preventive e supportati da una corretta vigilanza, non debba essere possibile commettere un “reato 231” se non in modo fraudolento eludendo il sistema di prevenzione e controllo impostato dall’Ente.
Qual è allora il collegamento tra i due mondi?
Il beneficio di un sistema di gestione, se adattato ed integrato con le finalità del Modello Organizzativo di Gestione e Controllo, aiuta ad identificare, progettare, implementare e rivedere idonei presidi di controllo che, pur non essendo garanzia assoluta di prevenzione del reato 231, aiuta in modo significativo una Organizzazione a strutturare basi solide per sviluppare il “MOG” e fornire evidenze solide di “adeguatezza” e di “effettività”, fondamentali per potere dimostrare l’esimenza dei Modelli aziendali (vd. Tabella 1).
Non potendo analizzare in dettaglio tutti i requisiti, si sceglie di analizzare uno dei concetti più rilevanti introdotti dall’HLS, il “Risk based thinking”, mettendolo in comparazione col concetto di analisi del rischio che troviamo nell’attuazione del D.Lgs. 231/2001.
Iniziamo dicendo che negli ultimi anni si è assistito ad un incremento di attenzione al concetto di rischio. Il rischio viene normalmente inteso come un evento da temere, una parentesi negativa in un principio di equilibrio controllato.
Il rischio, essendo un evento “temuto”, deve quindi essere identificato, misurato, prevenuto, ridotto fino al principio ideale della sua eliminazione alla fonte. Tale principio si avvicina molto a quello definito nell’ambito dei reati amministrativi dove il rischio, da identificare e valutare (“risk mapping” e “risk assessment”), viene inteso come la capacità della commissione del reato in quanto i processi sensibili identificati, sia per i reati cosiddetti colposi che dolosi, non sono adeguatamente presidiati in termini di regole comportamentali (protocolli), organizzazione e governance, vigilanza e controllo nonché attuazione di tutto quanto previsto nel sistema dei presidi identificati (efficacia/effettività del Modello).
Per la costruzione del Modello è necessario procedere ad una accurata analisi dei rischi aziendali (risk mapping) e ad una loro valutazione in termini di possibilità di accadimento del reato (risk assessment), che preveda:
- la definizione di una mappa documentata, specifica ed esaustiva, dei processi aziendali a rischio;
- l’elaborazione di una mappa documentata delle potenziali modalità attuative degli illeciti nelle aree di rischio individuate;
- la valutazione delle probabilità di accadimento dell’evento e dell’impatto dell’evento stesso.
Passando invece alla norma ISO 37301, vediamo che i rischi di compliance comprendono:
- i rischi di compliance intrinseci (rischi affrontati dall’organizzazione in assenza misure di trattamento del rischio;
- i rischi di compliance residui (rischi non efficacemente tenuti sotto controllo mediante le misure esistenti di trattamento del rischio).
Possiamo affermare che il rischio mappato e sorvegliato dal sistema di gestione della compliance risulta principalmente quello della violazione di legge: l’adozione di un sistema standardizzato di presidi sulla compliance comporta, in termini di sanzioni evitate, reputazione, fiducia degli stakeholder, un importante beneficio.
La nuova norma ha una valenza ampia ed i concetti di “analisi di rischio” e di “compliance” possono essere applicati anche in ambiti diversi da quelli tipici dei gestori di sistemi, come ad esempio si rileva nella recente revisione delle “Norme di comportamento del Collegio Sindacale di società non quotate” predisposte dal Consiglio nazionale dei dottori commercialisti ed esperti contabili (CNDCEC, gennaio 2021). Anche in questo ambito professionale, spesso “lontano” dai classici sistemi di gestione, i contenuti della nuova norma e della ISO 31000 possono assumere un importante ruolo metodologico e di indagine che ben si sposano con i nuovi e più stringenti obblighi di vigilanza sulle leggi e sullo statuto cui gli organi di controllo sono tenuti anche in materia di D.lgs 231 e s.m.i.
Alessandro Foti
Coordinatore UNI/CT 016/GL09 “Governance delle organizzazioni”
Coordinatore nazionale CTS AIAS sui “Sistemi di gestione”