di Marco AVANZI
Un tema di rilievo all’interno delle organizzazioni aziendali riguarda il controllo e monitoraggio della propria supply chain e delle proprie terze parti all’interno degli assetti di gestione del rischio aziendale.
Posto come i rischi per un’entità aziendale possano derivare da fonti interne ma, altresì, da fonti esterne, nel momento in cui un business specifico dipenda o comunque veda parte delle proprie attività condivise con terzi, questi terzi devono essere oggetto di attenzione e di assorbimento all’interno della valutazione e gestione dei rischi. A sua volta, la maggiore presenza di soggetti esterni o la maggior dipendenza del proprio business da questi comporta, proporzionalmente, una maggior attenzione.
Osservando gli sviluppi a livello normativo nazionale ma soprattutto comunitario, emerge la necessità di considerare le valutazioni del rischio di business partner con approcci sempre più olistici e comprensivi di plurime tematiche.
Questa necessità soddisfa, in prima battuta le esigenze di mitigazione di singoli e specifici rischi ma, altresì, prospettive di efficienza aziendale tendenti ad eliminare valutazioni plurime e ridondanti nei processi e considerazioni trasversali dei rischi.
Sino ad oggi le considerazioni dei rischi legati ai partner aziendali sono state affrontate per la maggiore in modo settoriale, ossia legate a singoli rischi (corruzione, riciclaggio di denaro, qualità, etc..) ma le prospettive future sembrano tendere verso approcci olistici e più trasversali. Un esempio sono alcune proposte normative in materia di mandatory due diligence sulla supply chain a livello UE ma, altresì, gli approcci di Responsible Business Conduct e di sostenibilità oggetto di attenzione a livello internazionale.
Proviamo a delineare lo scenario generale del tema e quali strumenti le organizzazioni possono prendere in considerazione per affrontare il tema e prepararsi agli scenari futuri.
La necessità o meno di porre attenzione alle terze parti e quindi alla loro struttura, conformità e adeguatezza passa in prima battuta nel comprendere:
- quanto il business aziendale, in termini di capacità di raggiungere gli obiettivi, strategici, di continuità e sostenibilità, sia correlato a beni o servizi di terze parti, (pensiamo per esempio a tematiche di continuità operativa);
- quali di queste terze parti siano fornitori rilevanti in termini di raggiungimento dei target industriali (perché svolgono servizi strategici o critici per l’azienda, o perché dal loro operato può derivare il rispetto o meno di norme, standard qualitativi, impegni contrattuali etc..);
- quali siano i settori e i paesi in cui operano al fine di identificare potenziali esposizioni di rischio anche per l’azienda committente (in particolar modo pensiamo al rischio di responsabilità solidale in varie materie: consumatori, o responsabilità cumulate per sanzioni amministrative o omessi versamento d’imposte etc..).
Porsi questi quesiti è il primo passo per circoscrivere quali siano le terze parti più rilevanti da sottoporre ad una attenta analisi al fine di evidenziare i rischi che potrebbero indirettamente colpire l’azienda.
Di altrettanta rilevanza il tema delle verifiche sui partner aziendali quando si tocca il tema della legalità, sostenibilità e delle strategie aziendali di corporate responsibility che un’organizzazione intenda perseguire. Nonostante le aziende facciano rilevanti sforzi interni per orientare le proprie azioni verso svolte sostenibili, l’assenza di controllo sui propri partner e sulle filiere può portare a situazioni di grave non conformità.
IL QUADRO EUROPEO
È all’interno del quadro europeo che si intravede ad oggi una forte spinta verso l’introduzione di obblighi di due diligence sulla supply chain e in particolar modo nei lavori della Commissione UE Study on due diligence requirements through the supply chain – Final report(1).
In questo documento la Commissione UE propone le prime linee di una futura regolamentazione in materia di due diligence obbligatoria per le imprese nella supply chain specificando come rilevante sia la due diligence per “identificare, prevenire, mitigare e tenere conto degli “impatti aziendali negativi, che è il linguaggio introdotto dalle Nazioni Unite Principi guida su imprese e diritti umani (“UNGPs”), e incorporati nel Linee guida OCSE per imprese multinazionali (“Linee guida OCSE”)(2) da estendere ad altre aree di condotta aziendale responsabile come l’ambiente e il cambiamento climatico, conflitto, diritti del lavoro, concussione e corruzione, divulgazione e interessi dei consumatori, come così come nella dichiarazione tripartita dell’OILv(Organizzazione Internazionale del Lavoro) di principi concernenti le multinazionali imprese e politica sociale (“Dichiarazione MNE”)”(3).
Nel definire le possibili linee di questa tipologia di due diligence la Commissione UE nel documento sopra citato analizza le practices attualmente vigenti in diverse giurisdizioni puntualizzando ove tali attività vengano svolte o meno avendo come obiettivi la verifica aggiuntiva di impatti su rischi climatici, ambientali e sociali.
Emergono anche esempi di modelli aziendali utilizzati che si alternano tra l’adozione di strumenti prettamente contrattuali recanti obblighi di aderenza a codici di condotta, o specifiche regole di cui dare trasparenza, con altri più legati ai concetti di monitoring and control più orientati alla puntuale verifica e test di effettivo adempimento a principi e obblighi.
Il filo che sembra accomunare molte tipologie di due diligence sembra appoggiare sui concetti di: trasparenza, tracciabilità e monitoraggio; steps che vedono come antecedenti necessari:
- una mappatura della supply chain (e relativi partner) con
- una valutazione dei rischi dedicata in termini di impatto e probabilità specifica su determinate filiere e industries.
Vedremo come si evolverà la discussione in materia e se i lavori preparatori tenderanno verso una soluzione obbligatoria e uniforme per tutte le imprese operanti nello spazio dell’Unione Europea.
Può essere utile comprendere quali siano le tematiche e le aree che ad oggi considerano le attività di due diligence su filiera, soggetti giuridici e fisici nonché intere reti di imprese e permettere alle imprese di iniziare a ragionare su quali siano gli strumenti da potenzialmente considerare durante un’attività di due diligence.
Questi spunti vanno considerati come di carattere generale stante l’approccio ampio e multifattoriale della prospettiva europea avente ad oggetto uno spettro esteso di valori e principi da considerare. Mutuare considerazioni già operanti in altri settori permette di comprendere quali siano gli strumenti presenti e considerabili pro futuro.
ALCUNI STRUMENTI PER L’APPROCCIO ALLA DUE DILIGENCE SUI PARTNER COMMERCIALI
Uno Strumento di partenza utile e interessante per approcciare la materia è la linea guida in materia di Responsible Business Conduct dell’OECD(4) nella quale vengono esposti gli approcci metodologici, e tecnici, per implementare attività di analisi dei rischi che possono impattare sulla RBC anche in relazione alle relazioni con i partner commerciali e la supply chain. Questa linea guida si focalizza principalmente sugli impatti che determinate situazioni possono avere in materia di:
- condizioni di lavoro,
- corruzione e legalità,
- ambiente,
- diritti umani,
- trasparenza e
- diritti dei consumatori.
La mappatura della propria supply chain in questo contesto risulta fondamentale per comprendere le possibili violazioni normative, i possibili rischi ambientali o legati allo sfruttamento dei lavoratori che possono insinuarsi all’interno della filiera. I suggerimenti che emergono sono molteplici ma sicuramente uno è molto utile: oltre alle verifiche delle credenziali del partner al momento dell’on boarding, il suggerimento è quello di settare specifici control point nell’intera filiera, volti a verificare la costante permanenza di standard o requisiti dichiarati dal partner commerciale, sia legati a temi di compliance, sia di qualità, sia di sostenibilità. Un approccio di on going check che tutela nel lungo periodo la permanenza dei requisiti.
Il tema del rischio di terze parti coinvolge quindi tematiche diverse ma interconnesse. Tra i vari temi ci sono sicuramente i modelli di compliance e in generale i modelli di organizzazione gestione e controllo del rischio di legalità. Collegamenti con queste aree si possono trovare nelle numerose linee guida che propongono soluzioni o opzioni di gestione del rischio corruzione. A partire dai modelli proposti da UNDC e OECD sino ovviamente agli standard più nazionali (UK Bribery ACT – DOJ) nelle proposte di implementazione sono numerosi i richiami ad attività di due diligence su terze parti dove il focus principale riguarda:
- la struttura e composizione di corporate governance,
- la reputazione e
- il coinvolgimento in vicende passate ma altresì
- la consistenza economica
al fine di identificare situazioni anomale rispetto a quelle che si potrebbe ragionevolmente attendersi da una società del medesimo mercato o settore.
Un settore in cui la due diligence sui soggetti è sicuramente ampiamente sviluppata è l’area dell’antiriciclaggio e della prevenzione del finanziamento del terrorismo. All’interno di questa area tematica la verifica dei soggetti trova un elemento metodologico fondamentale nella verifica di Red Flags o schemi di anomalia che, ove presenti, rappresentano una possibile situazione di rischio che necessita di ulteriore verifica e approfondimento. Ma altresì, rimanendo su questa area tematica, fondamentale è l’analisi relativa a contatti con paesi a rischio o sanzionati o, in aggiunta, il contatto con soggetti definibili persone politicamente esposte.
Questo tipo di verifiche tornano utili in ambito compliance anche in relazione a rischi più domestici.
Estendendo il perimetro emerge anche la necessità di considerare il rischio “lavoro nero” e quindi l’opportunità di verificare l’effettiva base di lavoro di un soggetto partner, le capacità tecnico produttive e organizzative, il ricorso al subappalto, ponendo in relazione tutti questi aspetti con l’effettivo costo del servizio/bene pagato e paragonandolo al costo medio di mercato al fine di identificare aree di possibili lavorazioni in sottocosto da attenzionare.
Le azioni appena viste, oltre a permettere una certa prevenzione in termini di rischi legati al mondo compliance permettono altresì di gestire altre tipologie di rischio che possono costituire conseguenza non immediata ma indiretta di una violazione di compliance di un partner commerciale.
Pensiamo solo al rischio reputazionale. La capacità di un’azienda di porre in essere un’attività di verifica dei propri partner al fine di identificare fattori o circostanze che potrebbero portare a violazioni di norme o principi in palese contrasto con i principi e valori della società committente. Pensiamo al tema degli standard di qualità per prodotti destinati all’alimentazione o alla cura della persona. Ma altresì a quei temi legati ai concetti di sostenibilità che trovano nelle supply chain molto spesso le loro fragilità.
Per restare più vicino a fenomeni attuali pensiamo alla possibile presenza di eventi o fattori che interrompono una supply chain impedendo ad un’azienda di portare a termine il proprio ciclo produttivo sia a causa di fattori esterni (un evento naturale) sia a causa di fattori interni al partner (un sequestro giudiziario a seguito di gravi violazioni di norma).
to be continued 1/2
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(2) OECD – Linee Guida OCSE destinate alle Imprese Multinazionali, 2011
(3) ILO (International Labour Organization) – Dichiarazione tripartita di principi sulle imprese multinazionali e la politica sociale, Marzo 2017