di Francesco Domenico ATTISANO
Un’opportunità per migliorare i Programmi di conformità ed etica delle organizzazioni
Lo scorso mese (l’11 novembre 2020), il Committee of Sponsoring Organizations of the Treadway Commission ha pubblicato la sua ultima guidance, intitolata: Compliance Risk Management: Applying the Coso ERM Framework.
Il COSO con la collaborazione della Society of Corporate Compliance and Ethics (SCCE) e della Health Care Compliance Association (HCCA) ha definito delle nuove linee guida sull’applicazione dell’Enterprise Risk Management (ERM) alla gestione del rischio di compliance.
Il nuovo documento è meritevole di nota, visti i dettagli forniti e la specificità su come applicare il modello Enterprise Risk Management – Integrating Strategy with Performance per la gestione e mitigazione dei rischi di conformità. In particolare, dal punto di vista strutturale, il documento (composto da 29 pagine di dettagli e specifiche, più 2 appendici) descrive le caratteristiche dei programmi di conformità ed etica associati e applicabili a ciascuna delle cinque componenti(1) del COSO ERM 2017 e dei venti principi del framework sottostanti.
Tuttavia, bisogna subito avvertire tutti i lettori che, il paper si fonda sulle attuali aspettative e migliori pratiche dei programmi di conformità ed etica statunitensi (quest’ultimi basati sulle linee guida federali statunitensi e sulla legislazione globale, in termini di etica e conformità), allineandoli con il COSO 2017. Malgrado ciò, può essere utilizzato come spunto di riferimento in ogni entity, di qualsivoglia paese.
A parere di chi scrive, il documento applicativo, se opportunamente cucito addosso alla singola azienda, può essere un adeguato strumento per valutare gli attuali programmi di gestione dei rischi di conformità ed etica delle organizzazioni, correlandolo al più famoso e utilizzato framework di gestione dei rischi d’impresa.
Nel contempo, ricordandoci sempre che l’obiettivo di compliance con leggi e regolamenti è uno dei tre fondamentali obiettivi del sistema di controllo interno di un’organizzazione, la guidance può essere di valido aiuto per chi deve strutturare nella propria entity un modello di Enterprise Risk Management, proiettato al raggiungimento di tale obiettivo.
Bisogna, peraltro, rammentare – col fantomatico rischio di essere ripetitivi nel dire sempre le stesse cose – che i rischi di conformità seppur considerati rischi cd comuni abbracciano una molteplice serie di eventi potenzialmente negativi per le aziende.
Proprio per questo motivo, uno dei compiti più impegnativi dei piani e programmi di compliance ed etica aziendale è l‘identificazione della miriade di rischi di conformità a cui sono esposte le organizzazioni, viste le migliaia di leggi e regolamenti (ad esempio: dall’antitrust, alla privacy, alle frodi, alla responsabilità amministrativa, alla normativa fiscale, ai diritti di proprietà intellettuale, alla sicurezza sui luoghi di lavoro, ai requisiti per la concessione di licenze, agli standard ambientali). Per di più, queste minacce cambiano costantemente e incrementano con la proliferazione di nuove normative che modificano i requisiti legali e normativi, a cui le aziende sono sottoposte.
Altro tema correlato nella definizione dei programmi di compliance ed etica è l’interconnessione tra i rischi; in quanto, il verificarsi di un evento di tale categoria (di conformità) potrebbe comportare:
- responsabilità finanziarie dirette o indirette,
- sanzioni civili per l’organizzazione e/o per i suoi dipendenti,
- sanzioni normative (come ad esempio l’interruzione temporanea delle attività) o
- altri effetti ancor più negativi per l’azienda (vedasi i rischi d’immagine o di reputazione, con impatti sulle valutazioni e scelte degli investitori e aspettative degli stakeholder di riferimento).
La mancanza di un adeguato sistema di gestione del rischio di conformità mette l’organizzazione in una situazione scoperta o di debolezza in materia di conformità, lasciando all’organizzazione un prezzo molto alto da pagare. Le analisi di mercato mostrano che l’importo speso per implementare e mantenere un sistema di controllo della conformità è molte volte inferiore alle possibili multe e sanzioni. L’esempio più lampante è quello che accaduto a Google nel 2017, quando le è stata addebitata una multa di 2,7 miliardi di dollari per aver manipolato i risultati di ricerca e violato le leggi antitrust.
In considerazione di quanto sopra, per funzionare effettivamente, un programma di compliance ed etica deve essere sviluppato attraverso un processo strutturato e integrato per rilevare, identificare e tracciare puntualmente tutti i rischi di conformità insiti all’interno dell’organizzazione.
Ancora, una valutazione del livello di esposizione dell’organizzazione al rischio di conformità può permettere di comprendere il significato delle sue carenze e violazioni esistenti. La mancanza di cognizione sull’attuale situazione di rischio dell’organizzazione e la sua esposizione al rischio di conformità possono influire negativamente sulle decisioni dell’entity, a proprio danno.
Bisognerebbe, inoltre, cogliere l’occasione di rafforzare il presidio del rischio di conformità attraverso l’implementazione di un robusto processo di misurazione, gestione e controllo del rischio medesimo e, al contempo, definire meccanismi di assurance integrata, considerando tutte le tipologie di controllo attivate e attivabili dall’organizzazione. A tal proposito, risulta importante non solo implementare strumenti per identificare violazioni e carenze sistemiche nelle attività dell’organizzazione, ma anche aggiornarli.
Infatti, un aspetto importante dell’ERM, che non va mai sottovalutato, è la sua attenzione alla creazione, protezione e realizzazione di valore per le organizzazioni. In tal senso, un programma di compliance ed etica a tutto tondo supporta ognuno di questi tre obiettivi, in quanto, se efficace, può consentire ad un’organizzazione di perseguire con più fiducia nuovi opportunità di creazione di valore. Inoltre, un valore che è stato creato da un’organizzazione può essere rapidamente compromesso quando è intaccato da violazioni di leggi o regolamenti. Quindi, un programma di compliance ed etica efficace può preservare questo valore e consentire all’organizzazione di realizzarlo pienamente.
In una prospettiva generale, a conferma del potenziale beneficio dell’adozione dell’ERM applicato ai rischi di conformità, nell’ultimo decennio si sta assistendo ad un vero e proprio principio di “compliance aziendale”, fondato sul principio di accountability e nel contempo c’è stata una generale spinta verso un approccio effettivo e sostanziale basato sui rischi.
È opinione di chi scrive che il successo di un efficace programma di conformità ed etica dipenda principalmente da due elementi essenziali:
1) La creazione di una cultura della compliance e dell’etica, fattore determinante per un sistema di controllo della compliance. La culture, infatti, aiuta a prevenire o ridurre al minimo le violazioni commesse dai dipendenti nel corso delle loro attività. Una cultura della conformità e dell’etica fa parte della cultura aziendale e mira a garantire che non vi sia ignoranza dei requisiti normativi/ regolamentari/ procedurali tra i dipendenti. Inoltre, una cultura della compliance carente, unitamente alla mancanza di chiare distinzioni nella funzionalità del personale può impattare negativamente sui processi dell’entity, riducendone la qualità e l’efficienza. Una compliance ed ethic culture inizia con un impegno sincero alla conformità e all’etica a livello di leadership.
2) La reale volontà e dall’enforcement del board aziendale (in 4 parole: Tone at the top), in quanto definisce i valori guida di un’entity e il clima etico. Al vertice, inoltre è richiesto di svolgere un ruolo di risk oversight che consta:
- nella supervisione dei ruoli e delle responsabilità del processo di ERM,
- nella definizione della tipologia e del livello di rischio di compliance che l’organizzazione è disposta ad assumere per raggiungere i propri obiettivi,
- nella decisione delle modalità con cui i rischi devono essere gestiti.
Altri fattori determinanti, che differenziano degli efficaci programmi di compliance ed etica basati sulla gestione dei rischi, rispetto a programmi impostati al solo rispetto delle norme e dei regolamenti, sono:
- La nomina delle persone giuste – in termini di professionalità e di sinceri principi valoriali di etica integrità e moralità – nel ruolo di responsabili della compliance, del risk mgt e dell’internal audit, con un’adeguata allocazione di risorse necessarie per promuovere la conformità e risolvere i potenziali problemi scaturenti dalla non conformità dell’organizzazione o di strutture della stessa.
- Il supporto e dalla collaborazione attiva – nell’esecuzione delle iniziative di compliance ed etica – da parte del management e del senior management, che interagendo con le funzioni di rischio, compliance e controllo possono adottare tempestive misure preventive o correttive.
- L’incremento della sinergia tra le funzioni di compliance, risk management e internal audit, mediante un sistema strutturato di flussi di comunicazione, pianificazione coordinata e reporting.
In conclusione, come qualsiasi modello, l’ERM va disegnato (ideato), adattato e implementato (ritagliato) in maniera sartoriale e coscienziosa.
Infine, a parere di chi scrive, bisogna pensare che la compliance e l’etica debbano essere considerate delle opportunità per le organizzazioni aziendali, per preservare e creare valore sia per gli shareholder che per gli stakeholder.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) 1. Governance e cultura; 2. Strategia e impostazione – definizione degli obiettivi; 3. Performance; 4. Riesame e revisione; 5. Informazione, comunicazione e reporting.
Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2017), “Enterprise Risk Management – Integrating Strategy with Performance”; www.coso.org
Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2020), “Compliance risk management: applying the COSO ERM framework”; www.coso.org
F.D. Attisano (2020), “Tone from the top e Risk awareness driver fondamentali della Risk culture”; www.riskcompliance.it
F.D. Attisano (2020), “La Corporate culture: fattore determinante del successo”; www.riskcompliance.it
F.D.Attisano (2019), “Il Rischio come opportunità per gestire l’incertezza”; www.riskcompliance.it
Cfr. F.D. Attisano (2019), “Enterprise risk management: un profondo cambiamento nella gestione del rischio d’impresa”; www.riskcompliance.it
F.D. Attisano , R.Rosato (2019), “Ridefinire la Protezione”, Rivista Internal Audit. n.103 ottobre – dicembre 2019; www.aiiaweb.it
F.D. Attisano (2019), “La nuova visione del rischio e del risk management”; www.riskcompliance.it
K. Tysiac (2020), “How to apply COSO’s ERM framework to compliance risk management”; www.journalofaccountancy.com