di Ermelindo LUNGARO
La sfida a cui sono sottoposte le imprese chiamate alla ripresa delle attività nella fase 2, in questo periodo emergenziale da COVID 19, è sicuramente un importante stress test di resilienza, non solo in termini di business continuity ma anche sotto il profilo della tenuta e dell’efficacia del sistema dei controlli interni.
In altri termini è un’opportunità unica per le imprese di fare un bel tagliando alla compliance, ove già esistente, piuttosto che comprenderne il valore e avviare un percorso qualora ciò non sia stato fatto prima.
Mi riferisco in particolare alle imprese private che non fanno business in settori regolati (es. banche, assicurazioni, Pubblica Amministrazione) e che ora probabilmente con la fase 2 si renderanno conto che non possono prescindere dalla compliance, considerandone anche le potenzialità come fattore competitivo di successo.
Relativamente invece al Coronavirus come cartina di tornasole sul livello di maturità della compliance, sarebbe utile fare tesoro di quanto accaduto, ad esempio, nell’area salute e sicurezza sul lavoro (SSL), che nella prima fase dell’emergenza, ha colto tutti impreparati e ha fatto emergere, in alcuni casi, la poca conoscenza dei diversi compiti dei vari “attori” del sistema di controllo (es. RSPP (Responsabile del Servizio di Prevenzione e Protezione), DDL (Datore di Lavoro), Medico Competente, Responsabile Sistema Gestione HSE (Health, Safety & Environment), Comitato di Crisi, OdV, ecc.).
Se guardiamo alla compliance 231, da una prima analisi, basata sull’esperienza, possiamo affermare che c’è stata un’evoluzione dei profili di rischio dall’inizio dell’emergenza ad oggi, in funzione dei vari momenti e delle scelte politiche che mutano rapidamente e che sono tutt’ora in fase di definizione.
La Fase 1 è stata la fase della vera e propria emergenza e la priorità per le imprese, per scelta volontaria o meno, è stata individuata nella tutela della SSL dei lavoratori, in attesa che si facesse chiarezza a livello normativo, come accaduto con le misure imposte per la prima volta dal Protocollo del 14 marzo 2020, fra Governo e parti sociali, e con successivi provvedimenti attuativi.
Dalla seconda metà di marzo stanno emergendo altri profili di rischio 231 oltre ai rischi SSL, legati alla fase di riapertura delle attività accompagnata ad oggi dai decreti legge cd «cura Italia» e «liquidità», che danno possibilità alle imprese di usufruire della concessione di finanziamenti/garanzie pubbliche piuttosto che indennizzi e premi (compresi benefici fiscali). Mi riferisco ad esempio agli illeciti nell’ambito dei rapporti con la PA, ai reati in ambito tributario (es. in violazione delle disposizioni previste dal D.L. 18 marzo 2020, “Cura Italia” ad esempio relativamente al credito di imposta per gli NPL), ai reati societari (es. violazione della corretta informazione societaria per il bilancio oppure pratiche di corruzione fra privati, in nuovi ambiti quali ad esempio la supply chain e/o la gestione dei claim con clienti per ritardi nella consegna), ai delitti contro l’industria il commercio, per frode in commercio (ad esempio la vendita di presidi o DPI senza le adeguate certificazioni), ai reati di riciclaggio e autoriciclaggio con particolare riferimento al settore bancario come segnalato dalle recenti note del 16 aprile 2020 dall’UIF e dalla Banca d’Italia (ad esempio nell’ambito del crowdfunding e/o della concessione di finanziamenti pubblici e/o di garanzie pubbliche alle imprese).
Ci sono inoltre realtà che prima del COVID-19 non avevano particolari profili di rischio 231 in materia SSL come ad esempio le banche o la grande distribuzione, che in questa fase sono “strategiche” e vedono moltiplicati i rapporti con l’utenza.
L’OdV in questo nuovo contesto dovrebbe proseguire in continuità d’azione le sue attività di vigilanza sul Modello 231, non solo sul piano formale ma anche sostanziale.
L’Organismo di Vigilanza, che non ha compiti «gestori» (pena la compromissione della sua autonomia e indipendenza), ha però il dovere di attivarsi prontamente, coordinandosi con le altre funzioni aziendali, per comprendere ad esempio se:
- l’impresa possa proseguire nelle proprie attività (eventualmente previa comunicazione al Prefetto) in seguito agli ultimi provvedimenti restrittivi sull’esercizio dell’attività di impresa;
- l’impresa abbia messo in atto alcuni cambi al business model per reagire alla crisi produttiva (cd. business resilience) e/o partecipi a gare per la cessione di dispositivi medici utili per la prevenzione e cura del COVID-19 (anche attraverso le procedure semplificate previste dal D.L. 14/2020);
- l’impresa abbia posto in essere le misure necessarie per prevenire il rischio di contagio riferibile alle attività di impresa (es. aggiornamento DVR, misure di prevenzione previste dalle linee guida INAIL, costituzione di un Comitato di crisi ad hoc, ecc.) e la struttura abbia recepito e osservi tali misure;
- la società usufruisca o prevede di usufruire dei vantaggi previsti dal Decreto Cura Italia o Liquidità (es. accesso ad ammortizzatori sociali);
- la società abbia rapporti con organi ispettivi e pubbliche autorità per le eventuali autorizzazioni necessarie alla prosecuzione delle attività e per le segnalazioni di situazione critiche;
- se, ove esistente, all’interno del Piano di Gestione delle Crisi(1) ci sono dei flussi informativi verso l’OdV e/o altri Organi di controllo interno (Internal Audit) ed esterno (Collegio Sindacale)
A completamento di tali attività potrebbe essere inoltre opportuno avere una raccolta dei provvedimenti dei governi regionali, che impattano sulle aree di business della Società, per la prevenzione e gestione dell’emergenza epidemiologica da COVID-19, al fine di integrare le esigenze di compliance a quelle già previste a livello nazionale.
Raccolte tali informazioni, l’OdV potrà meglio intercettare potenziali red flags, utili non solo a comprendere la tempestività del management nell’individuare eventuali azioni correttive nei controlli di primo livello, ma anche segnalare tempestivamente al CdA la necessità o meno di aggiornare il Modello 231.
L’emergenza COVID-19, di per sé, infatti non implica automaticamente la necessità di aggiornare il Modello 231, qualora questo sia già completo ed idoneo. Piuttosto comporta l’obbligo di rivedere il sistema gestionale sottostante, ovvero deve essere il management a valutare la necessità di procedere ad un follow up della valutazione dei rischi, con conseguente adozione di eventuali ulteriori misure di prevenzione.
Sempre nell’ambito delle sue attività di competenza, l’OdV, coordinandosi, ove esistenti, con la funzione Compliance e/o Internal Audit, potrebbe anche valutare la necessità di:
- Aggiornare il Piano di Vigilanza al fine di valutare il livello di efficacia delle azioni di risposta messe in campo dal management per mitigare i rischi 231 e nello stesso tempo monitorare il grado di adeguatezza dei protocolli di controllo 231, avviamento eventualmente alcuni audit ad hoc.
- Aggiornare la Circolare dei flussi informativi su eventuali aree a maggior rischio 231, ad esempio prevedendo la condivisione di documenti/informazioni con il Comitato previsto dal Protocollo anti COVID-19 nei luoghi di lavoro del 14 marzo 2020 (ove costituito), rendicontazione sull’impiego dei finanziamenti agevolati nel rispetto dei limiti di utilizzo previsti dal decreto Liquidità piuttosto che un’informativa periodica da parte del Responsabile del Sistema HSE/RSSP, in funzione degli sviluppi normativi nazionali/regionali.
- Prevedere all’interno della relazione annuale verso il CdA un’adeguata informativa dei presidi messi in atto per la prevenzione dei rischi specifici derivanti dall’emergenza da Coronavirus (es. modifica del DVR, eventuali procedure aziendali emesse/modificate ad hoc, verifiche condotte sul rispetto delle stesse).
- Promuovere e/o avviare altre azioni finalizzate a diffondere la cultura della prevenzione dei rischi 231 in questa particolare fase emergenziale, ad esempio rafforzando le tutale per i whistleblower piuttosto che formazione ad hoc sui comportamenti da adottare (es. in materia SSL per la gestione dei rapporti con il personale esterno) in aula e/o on line.
Possiamo quindi sinterizzare, che grazie ad una buona attività di coordinamento tra l’OdV e le funzioni aziendali, che svolgono controlli di primo (maggiormente coinvolte dai rischi da pandemia COVID-19) e/o secondo/terzo livello, nonché mediante la tempestiva e puntuale previsione/gestione dei flussi informativi, l’OdV è in grado di intercettare eventuali aree di intervento sul Modello 231 da segnalare prontamente al CdA e mettere in “sicurezza” l’azienda.
È indubbio che il valore che le imprese vorranno attribuire alla compliance 231 nella ripresa delle attività aziendali dipenderà come sempre dalla sensibilità della governance ma presumo sarà determinante anche la capacità degli Organi di controllo interno (es. Internal Audit, Compliance, OdV, ecc.) di dare un taglio concreto e soluzioni efficaci nel rispetto della sostenibilità economica in questa delicata fase di crisi.
Intervento di Ermelindo LUNGARO, Founder My Compliance – Docente Master Anticorruzione, Università degli Studi Tor Vergata
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Elaborati seguendo le indicazioni delle normative di settore (come la Direttiva NIS per gli Operatori di Servizi Essenziali o la Bank recovery and resolution – Directive 2014/59/EU – e la Circolare 285/2013 per le banche) ovvero la letteratura e le best practice di riferimento