Gestire Sistemi Complessi

Compliance Manager – Ruoli, funzioni e prospettive future

20 settembre 2021

di Cipriano FICEDOLO e Alessandro CERBONI

Nel mese di aprile l’Organizzazione Internazionale per la Standardizzazione, comunemente conosciuta come ISO, ha pubblicato la norma 37301 Compliance Management System, di cui si parla ampiamente in altra sezione di questo sito(1).

Occorre a monte di qualsiasi considerazione chiarire che la Compliance è ormai divenuta non più un aggettivo ma, una disciplina professionale ben precisa che richiede un approccio multidisciplinare e trasversale a molte altre discipline professionali.

Fra le principali troviamo sicuramente la necessità di un buon bagaglio di competenze giuridico legali, ma oggi queste non sono più l’essenziale per ragionare di Compliance, occorre infatti comprendere che una organizzazione per essere compliant, o acquiescente, all’insieme di leggi, norme e regolamenti richiede di essere resa tale in modo intrinseco, e non solo formale, e quindi occorre capire e conoscere le più avanzate tecniche di governance aziendale.

In tal senso la disciplina oggi ormai fondante, ben più delle competenze legali, è la Scienza dei Sistemi Complessi, sì perché qualsiasi organizzazione è, che piaccia o meno, un sistema complesso dinamico e come tale è gestibile solo se si adottano gli strumenti cognitivi e culturali che la Scienza della Complessità ci mette a disposizione per la gestione dei sistemi complessi dinamici.

Ci rendiamo conto che questa affermazione è dirompente nel quadro dell’intera dottrina della Compliance, ma non si può più continuare a fare finta ed ignorare che un’impresa è un semplice sistema complicato guidabile con semplicistici regolamenti e un sistema di indici di controllo.

Anche nella recente norma ISO 37301, come vedremo più avanti, indirettamente si fa riferimento a questa consapevolezza che è una transizione obbligata. Questo aspetto sarà ancora più evidente nelle prossime norme rivolte alla governance di una organizzazione dove saranno introdotti dei criteri globali per rendere efficace l’attività di governance di una organizzazione.

È una norma e, come tutte le norme, richiede e persegue una logica di “misurazione” e di evidenze di tipo formale ma è proprio questo aspetto, molto contraddittorio, che la espone ad una applicazione errata e fallace.

È inevitabile che, in tema di Compliance come disciplina, si debba procedere per gradi nell’acquisizione del corretto modo di pensare (Mindset).

Ai temi dei sistemi complessi si deve poi associare un minimo di competenza di neurologia comportamentale perché per rendere compliant una organizzazione occorre avere presente che l’organizzazione è un insieme persone, esseri umani, che interagiscono e in questo operano come agenti dotati di razionalità limitata.

Questo implica che tutti i sistemi di gestione delle persone non possono assolutamente fare fondamento sulla figura mitologica di esseri umani dotati di razionalità assoluta e su questa costruire regole e comportamenti che sono solo frutto di un’astrazione intellettuale.

Disquisire di come un “essere razionale” dovrebbe comportarsi e scrivere regolamenti e fare formazione con tale presupposto è fondare un modello di Compliance su fondamenta di sabbia che crolleranno al primo movimento in cui il sistema di scelte e di interazioni è messo in uno stato di incertezza.

Sino ad oggi con tale presupposto si sono sviluppati modelli di comportamento in cui gli esseri umani erano considerati alla stregua di oggetti della fisica classica dove ad ogni azione o causa deve corrispondere uno specifico effetto e le relazioni sono perfettamente lineari.

Nulla di più errato gli esseri umani sono poco razionali e fortemente interconnessi e l’azione non è mai lineare ma si innesca sempre una catena di reazioni e loop che si manifestano anche nel soggetto che ha iniziato l’azione o la scelta e con tempi differenti.

Questo rende i sistemi non prevedibili o illusoriamente prevedibili.

I tempi poi degli effetti delle scelte non sono sempre immediati ma si manifestano traslati nel tempo e questo contribuisce maggiormente all’illusione di aver adottato, e misurato, un effetto positivo in senso di Compliance del sistema.

Aggiungiamo che esiste del modello cognitivo per affrontare i sistemi complessi, conosciuto più comunemente in letteratura come “la legge di Ashby” o “la legge della varietà necessaria”, che mette in relazione la complessità (varietà, diversità) di un sistema con la complessità di chi è chiamato a gestire tale sistema.

Più precisamente la legge sostiene che se un sistema vuole controllare un secondo sistema, allora deve poter mostrare una “varietà” uguale o superiore a quel secondo sistema, un concetto fondamentale che nella pratica spiega perché qualsiasi soluzione “complicata”, come manuali, liste di controllo o altri sistemi di cultura meccanicistica di fatto sono inefficaci quando non finiscono per incrementare la complessità del sistema che si vorrebbe gestire.

Da qui la celebre frase di Ashby (only variety can destroy variety):

  • potrò gestire o controllare un sistema solo se si dispone di una varietà di comportamenti uguale o superiore.

Fatta questa necessaria premessa cerchiamo quindi di definire il minimo di conoscenze che oggi deve acquisire un moderno Compliance Manager, ovvero definire la figura professionale che sia in grado di attuare e rendere efficace la disciplina della Compliance.

Con questo contributo vorremmo cercare, sperando di riuscirci, di darvi la corretta e reale definizione della figura del Compliance Manager, il suo ruolo in azienda, ma soprattutto quale sia il giusto mindset necessario per diventare Compliance Manager.

Questo tema del corretto background del Compliance Manager per le possibili prospettive future di una professione e una disciplina che sicuramente avrà nei prossimi anni un ruolo centrale in ambito aziendale e che non è certo iscrivibile nei paragrafi di una sola norma così come non lo è per altre figure professionali come ingegneri, architetti, medici avvocati, etc.

Visto che, il compito che ci prefiggiamo è molto arduo si è deciso di prendere spunto dal recente libro “Il Tutto è Più Della Somma Delle Parti – Compliance, Governance & Intelligence” scritto da Alessandro Cerboni, Vice Presidente di Assocompliance il quale, ha sentito l’esigenza di fare chiarezza relativamente alle materie che sono necessarie per completare il bagaglio professionale di un Compliance Manager.

Nel mese di novembre 2019 fummo intervistati dal Sole 24Ore sulle prospettive future della figura del Compliance Manager ed in quell’occasione Alessandro affermò che nei prossimi anni ci sarebbe stata una forte richiesta da parte delle aziende di questa nuova figura professionale.

MA CHI È IL COMPLIANCE MANAGER?

È quindi un professionista addestrato a ragionare per sistemi, in grado di affrontare i temi che lo riguardano su base multidisciplinare, di operare in team con professionisti e competenze diverse quali quelle legali, aziendali, economiche; aver approfondito nel proprio corso di studi i sistemi complessi, la complessità in genere, oltre ad avere nozioni di neurologia comportamentale (non psicologia).

Un professionista in grado di comprendere i processi interni di una organizzazione in modo da identificare quelli che possono essere sede o origine di comportamenti contrari al modello di Compliance.

Oggi si sta prefigurando, anche con l’affermarsi dei criteri non finanziari della gestione delle imprese, come ad esempio i parametri ESG, la necessità di poter valutare ex-ante l’intero modello di governance di un’impresa e stabilire se una organizzazione sia coerente con i criteri di Compliance complessiva a cui si vuole e, ormai si deve attendere.

Deve saper quindi definire anche i processi di verifica e i sistemi di segnalazione di quei fattori che possono indicare una possibile deriva rispetto al comportamento complessivo dell’organizzazione rispetto al modello di Compliance definito o atteso (by design – by default) .

I modelli di valutazione e controllo tradizionali, per quanto possano sembrare razionali, completi e ben fatti, ovvero basati sulla logica rigidamente razionale (molto ansiolitica), su premio/punizione, disposizioni imperative di tipo binario (o SI o NO), sono da tempo alla sbarra per la loro manifesta inefficacia.

Poiché è il comportamento complessivo dell’aggregato di persone (agenti) che rende il comportamento dell’organizzazione o dell’azienda compliant.

Di conseguenza, il Compliance Manager deve essere in grado di percorrere l’intero sistema della Compliance, dialogare con i vari presidi della stessa definiti per uso interno o, per rispetto di specifiche norme di legge, quali ad esempio il DPO, ma anche il responsabile Amministrativo, il Collegio Sindacale, l’ODV, il responsabile della sicurezza, ed altre figure che si rendessero necessarie.

QUALE È IL SUO RUOLO IN AZIENDA

È evidente, per quanto detto che una tale figura necessiti dell’indipendenza, dell’autonomia e della terzietà rispetto all’intera impresa, e non può che essere una figura collocata in staff al vertice aziendale; deve poter esaminare trasversalmente l’intera organizzazione o azienda, al fine di sviluppare, definire e impostare nel continuo quelle misure e quegli interventi che si rendessero necessari per adeguare il sistema della Compliance globale, a cui l’organizzazione o l’impresa deve tendere.

Questo vale soprattutto se il modello di governance segue uno schema rigidamente piramidale, ma vale anche in generale nei modelli di leadership condivisa come stanno nascendo in molte organizzazioni.

Questi ultimi modelli consentono un grado di resilienza superiore rispetto a quelli tradizionali consentendo di far auto-emergere più facilmente innovazione e comportamenti virtuosi, dando all’intero corpo dei membri di una organizzazione l’opportunità di esprimere ciascuno le proprie capacità. Quindi sostanzialmente è un ruolo di vertice in staff a chi ha la responsabilità politico strategica della conduzione di un’impresa o un’organizzazione.

In tale contesto, con l’introduzione di norme come il whistleblowing diviene quasi il destinatario ideale di tali informazioni perché sono comunque informazioni chiave per rilevare possibili criticità, specie legali, e mancanze di conformità del sistema della Compliance.

Anche nei rapporti con le autorità di controllo di mercato o giuridiche si stanno configurando ipotesi di una sua chiamata in causa per documentare quanto si è concretamente fatto, oltre la facciata dei regolamenti e delle carte, per rendere non solo formalmente Compliance l’organizzazione.

È sicuramente una figura consultiva a cui rivolgersi e che deve fornire a chi ha il compito o il potere di disporre e decidere tutte le informazioni utili affinché le decisioni siano sempre il più possibile coerenti con il sistema della Compliance.

In questo non sarebbe male una capacità di svolgere una sorta di attività di intelligence, non solo normativa, ma strategica, quella che chiamiamo Compliance intelligence o Compliance strategica. Siamo quindi di fronte ad una figura nuova di professionista che, a differenza di quelle tradizionali, ha una specializzazione che consiste nel saper coniugare discipline.

Abbiamo accennato ai presidi di Compliance, questi sono richiesti per la complessità di specifiche tematiche normative, si pensi al DPO che oggi deve saper gestire anche i temi tecnici della cybersecurity.

Quest’ultimo però, non può essere solo un tecnico poiché:

  1. deve saper gestire anche le implicazioni giuridiche del dato personale e dell’identità nei vari processi e utilizzi;
  2. deve, inoltre, conoscere anche conoscere l’organizzazione e le implicazioni organizzative conseguenti a come queste informazioni transitano attraverso l’intera organizzazione;
  3. infine, deve analizzare tutta la filiera dai fornitori ai clienti di un’impresa.

In questi casi di verticalizzazione e specializzazione il Compliance Manager deve fornire il supporto perchè queste figure, parti del sistema della Compliance globale, con compiti di gestione di una parte del sistema complessivo, possano armonizzarsi con le altre che vanno a comporre il sistema della Compliance globale o integrata.

Nella seconda parte dell’articolo tratteremo nello specifico la normativa di riferimento in Italia relativa alla figura professionale del Compliance Manager.

Intervento di:

Cipriano FICEDOLO

Alessandro CERBONI, Vice Presidente di  Assocompliance

 

to be continued 1/2

LEGGI QUI l’articolo successivo 2/2,  Compliance Manager: la normativa di riferimento professionale


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Cfr. F.D. Attisano (2021), “L’ISO 37301: per un sistema integrato di gestione della conformità”; www.riskcompliance.it



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *