Compliance

La Compliance evoluzione di una professione

2 ottobre 2019

di Alessandro CERBONI

Nel 2005 il Comitato di Basilea per la vigilanza bancaria, quando ha introdotto la norma sulla Compliance, la Funzione Compliance e la figura del Compliance Manager, intendeva introdurre una svolta al sistema di governo d’impresa o governo societario delle banche, ovvero con la governance ci si riferiva all’insieme di regole di ogni livello che disciplinano la gestione e la direzione di una società o di un ente, pubblico o privato.

Dopo le esperienze dei clamorosi fallimenti in USA come il caso Enron, e successivamente anche con gli scandali bancari, ci si rese conto che i modelli di governance sino ad allora adottati erano inadatti per garantire un controllo efficace della vita delle imprese e, conseguentemente, degli effetti sulla società.

Si decise quindi l’introduzione della Compliance e della figura del Compliance Manager come cardine del sistema dei controlli di una banca. Questa fu dettata dall’esperienza maturata dopo l’introduzione, già da alcuni anni, in USA dei modelli della Sarbanese-Oxley Act o SOX e del Framework COSO di gestione dei rischi e dei controlli, norme e leggi dove ci si era resi conto nel frattempo del valore centrale del rischio di non aderenza alle norme, o di Compliance, definito ormai come:
«il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni:

  • di norme imperative o mandatory (di legge o di regolamenti) ovvero
  • di autoregolamentazione o voluntary (es. statuti, codici di condotta, codici di autodisciplina, norme di settore) o
  • comportamenti scorretti (social and human behavioral) ».

Lo sforzo normativo e regolamentario che ci si trovava di fronte dopo Basilea 2 poneva come parte centrale gli sforzi per affrontare e migliorare le questioni di vigilanza bancaria introducendo nuovi criteri per attuare i principi di “sana e prudente gestione” di un’impresa focalizzando l’attenzione sul fattore Compliance, e conseguentemente la funzione Compliance e il suo responsabile: il Compliance Manager, quale elemento cardine per banche ed oggi per qualsiasi azienda dopo questi anni di esperienza e maturazione del tema della Compliance.

Anche nel mondo delle normazioni volontarie, come le ISO, si è arrivati a formulare nel 2014 una norma specifica la ISO 19600 Compliance management systems – Guidelines, (pubblicata in Italia nel 2016) come un insieme di linee guida per i sistemi di gestione della Compliance, con lo scopo di supportare lo sviluppo, l’attuazione, la valutazione, il mantenimento ed il miglioramento di un sistema di gestione della Compliance di un’organizzazione.
Questa si basa quindi su principi ed indirizzi di buona governance, proporzionalità, trasparenza e sostenibilità, ed è applicabile a tutti i tipi di organizzazioni, indipendentemente da dimensione, strfuttura, natura e complessità dell’organizzazione stessa.

La norma, che è un insieme di linee guida, è emessa dal COMITATO SULLA GOVERNANCE ORGANIZZATIVA dell’ISO dove si tratta del grado di trasparenza di un’organizzazione, come è diretta, come viene gestita. Questi sono tutti aspetti che riguardano il governo di un’organizzazione e il sistema con cui è diretta, controllata e ritenuta responsabile per raggiungere il suo scopo principale sul lungo termine.

Il nuovo Comitato ISO intende soddisfare questi obiettivi attraverso lo sviluppo di norme in materia di governance organizzativa e ha proposto la creazione dell’ISO/TC 309 o di “Governance of organizations”.
Una buona governance indirizza le organizzazioni verso il successo e la sostenibilità nel tempo e ha lo scopo di aiutare le organizzazioni a perseguire le proprie finalità con successo per conto delle persone verso le quali sono responsabili. Questo deve comportare, ad esempio,

  • che un’organizzazione renda chiari il suo scopo e i suoi valori agli stakeholders,
  • e che agisca con trasparenza in riferimento al proprio business”.

Consoliderà le buone prassi in materia di governance delle prestazioni organizzative attraverso lo sviluppo di norme che integrino tutti gli aspetti: la gestione, il controllo, la responsabilità ed il rispetto; l’attuazione di tali norme è proprio un compito della Compliance.

Secondo il Comitato tutti i tipi di organizzazioni potranno beneficiare del lavoro dell’ISO/TC 309. La prima norma, per esempio, dovrà fornire principi e linee guida generali, di alto livello, su come creare un sistema di governance efficace nelle organizzazioni di ogni dimensione: dalla grande multinazionale alla piccola impresa individuale.
Le norme elaborate dal Comitato potranno essere utili anche alle autorità legislative come strumenti a sostegno delle politiche pubbliche e di controllo per gli organi giudiziari.

Accanto a questa norma generale sulla governance, il TC 309 prevede di concentrare i lavori normativi sulle politiche di segnalazione di illeciti, sulla Compliance e sulla corruzione.
Il Comitato beneficia del supporto di un gruppo di esperti che ha già elaborato la ISO 37001 sui sistemi di gestione per la prevenzione della corruzione e la ISO 19600 sui sistemi di gestione della Compliance.

Questi lavori vogliono contribuire al raggiungimento dell’Obiettivo 16 per lo Sviluppo sostenibile delle Nazioni Unite(2), volto alla promozione della pace, della giustizia e di istituzioni forti, aumentando la trasparenza e la responsabilità, così come la buona direzione e il controllo, delle organizzazioni. Ovvero attuare il famoso principio di Sana e prudente gestione.

Nelle imprese infatti la Compliance è solitamente associata anche al principio di onestà ed etica nei comportamenti e di buone relazioni con il sistema in cui un’organizzazione opera, spesso definite su veri e propri codici etici o deontologici dei settori di appartenenza.
Il rischio Compliance interessa quindi tutte le imprese, a prescindere dall’ampiezza o dal tipo di business, nell’ambito di un più articolato sistema di gestione dei rischi aziendali.

Già da diversi anni nella governance di:

  • banche,
  • imprese di assicurazione e
  • grandi gruppi multinazionali,
  • nel mondo delle istituzioni finanziarie oltre che nelle imprese quotate

è obbligatoriamente richiesta una funzione di Compliance e la gestione mediante una specifica figura di Compliance.

Per le organizzazioni non indicate sopra, la presenza di una funzione di Compliance in Italia non è obbligatoria, ma nasce soprattutto dalle riflessioni condotte a livello internazionale, anche a fronte di scandali e fallimenti specie in campo economico; si pensi al fenomeno degli NPL (not performing loans) o delle aziende in crisi, che hanno evidenziato l’esigenza di rafforzare i presidii organizzativi volti ad assicurare la piena osservanza delle normative e la qualità dei modelli riguardanti l’attività svolta e, in particolare, le relazioni con il mercato.

In Italia il progressivo ampliarsi dei reati ricompresi nell’ambito applicativo del D.lgs 231/01 sulla responsabilità amministrativa delle persone giuridiche(3) ha incrementato l’attenzione di tutte le imprese e le organizzazioni verso l’istituzione di una tale funzione che operi a 360° su tutto l’orizzonte dei rischi che incombono nell’organizzazione e, più in generale, verso una più articolata gestione del rischio di Compliance.

I supervisori delle organizzazioni devono quindi essere in grado di sviluppare dei modelli di controllo e di mitigazione dei fattori di rischio che siano efficaci e non mere elencazioni di ipotetici rischi o Checklist, più o meno automatizzate e ricche, ma devono essere certi che politiche efficaci siano diffuse e assimilate ad ogni livello dell’organizzazione e che le procedure e i processi siano progettati e attuati in modo da essere intrinsecamente compliant. A questo deve coesistere un’attività di monitoraggio nel continuo associato ad una visione ex-ante di scouting dei fattori di rischio in modo che la direzione possa preventivamente intraprendere le azioni correttive appropriate quando vengono identificati rischi dalla Compliance.

Come detto il rischio di Compliance spesso è tradotto come rischio di non conformità, si fa uso di un termine fuorviante in quanto dà l’errata idea che ci si debba conformare mediante adempimenti formali; all’opposto Compliance è qualcosa che deve portare ad un comportamento proattivo o acquiescente alle norme in modo tale che l’agire stesso sia intrinsecamente compliant.
Bene lo esprimono questo concetto i cardini della nuova norma sulla sicurezza dei dati personali, anche questo un presidio di Compliance, con i termini di “by design e by default” e con il concetto di Accountability.
Il primo implica infatti che l’agire e i processi siano naturalmente incorporanti il rispetto delle varie normative, il secondo implica la responsabilità, da parte degli amministratori, di essere coscienti e responsabili dell’efficacia della gestione sia sul piano della sostenibilità economica e di mercato, sia su quello di responsabilità per tutti gli stakeholder.

A nostro avviso, conviene sempre considerare che il rischio di Compliance ingenera quasi sempre anche fattori di rischio operativo spesso con l’escalation verso aspetti di natura reputazionale, elementi che rientrano nella sfera dei fattori intangibili d’impresa, quantificabile economicamente solo dopo che si sono verificati, e che per certe tipologie di organizzazioni possono avere effetti di natura economica ben superiori al valore dell’impresa o dell’organizzazione stessa.
Nel campo della responsabilità delle persone giuridiche condizioni di non Compliance hanno portato in molti casi al commissariamento dell’azienda o alla sua liquidazione, si pensi ad esempio al caso Parmalat, o ai recenti scandali bancari o, più di recente, al caso del “ponte Morandi”.

I compiti e le competenze di un moderno Compliance Manager sono quindi molto vasti, si va da nozioni di natura giuridica a quelle di natura economica sino anche a quelle tecniche per il settore dell’organizzazione in cui opera.

La nuova Compliance richiede oggi anche la capacità di agire su base pluridisciplinare e di avere competenze nel campo della gestione dei sistemi complessi; per comprendere un sistema occorre raggiungere un grado di complessità pari o superiore al sistema che si vuole affrontare e un’organizzazione è un sistema complesso.
Poiché un’organizzazione è anche un sistema frutto dell’interazione tra persone servono anche nozioni di neurologia comportamentale per comprendere ad es. perché un insieme di persone di sani principi possa collettivamente far emergere un comportamento illecito.

Il cammino della Compliance è solo agli inizi ma già è spinto oltre, verso traguardi e temi che ne ampliano gli orizzonti culturali, occorre superare gli approcci della filosofia riduzionistica che vede nella scomposizione in parti l’idea della comprensione del tutto: il tutto in un sistema complesso dinamico è diverso dalla somma delle sue parti e quindi il suo comportamento complessivo può non essere presente nelle sue singole componenti.

Come abbiamo scritto, oggi si è consapevoli che un’azienda o un’organizzazione è un sistema complesso e richiede quindi la comprensione delle nuove discipline quali l’intelligenza artificiale, la scienza della complessità che domina il mondo della fisica quantistica, lo studio del comportamento umano secondo i recenti studi di neurologia comportamentale poiché si deve tenere conto che noi esseri umani siamo dotati di razionalità limitata, si deve pertanto essere coscienti che questo influenza il nostro comportamento e le nostre scelte, facendoci ottenere successi, ma anche inducendoci in errori cognitivi che troppo spesso sono alla base di effetti negativi non previsti per quanti regolamenti e manuali si possano aver scritto o implementato nelle Checklist. Le metodiche più avanzate oggi stanno lasciando la composizione di tomi di regole imperative verso l’introduzione di tecniche quali il nudging (la spinta gentile), l’uso di formulazioni euristiche per una più facile assimilazione dei processi mentali che orientano gli individui di una organizzazione verso scelte e un agire più aderente alle caratteristiche reali del pensiero umano.

In molti settori come quello aeronautico, ad es., la consapevolezza di questi fattori e la complessità dei comportamenti derivanti dall’interazione tra esseri umani, fallaci e razionalmente limitati, ha rivoluzionato i criteri di valutazione dei rischi e della loro mitigazione, introducendo nuovi ambiti di regole e criteri per fronteggiare queste nuove sfide che oggi la Compliance deve imparare a gestire nel futuro immediato.

 

Intervento del Dott. Alessandro CERBONI – Consulente e VicePresidente Assocompliance

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)  Basel Committee, Compliance and the Compliance Function in Banks, 2005

(2)  ONU, Obiettivo 16, per lo Sviluppo Sostenibile

(3)  D.Lgs. 231/01 sulla responsabilità amministrativa delle persone giuridiche



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *