di Gianni CARBONE
È POSSIBILE UN NUOVO PARADIGMA DELLE TRE LINEE DI DIFESA A VANTAGGIO DELLE PMI?
Il 2019, come hanno scritto alcuni illustri colleghi della “professione” di compliance/auditing, il d.lgs 231/2001 ha raggiunto la maggiore età. Quando si raggiungono i 18 anni, secondo la legge si hanno nuovi diritti, ma anche molti altri doveri ed oneri. Ed anche il d.lgs 231/2001 non si è sottratto a ciò.
Il 2019 è l’anno che ha visto l’inasprirsi della legislazione per poter garantire maggiore trasparenza, combattere l’evasione e la corruzione, favorire un ambiente più sano (a titolo esemplificativo, Codice della crisi d’impresa e dell’insolvenza, inserimento dei reati tributari tra quelli previsti dal d.lgs 231/2001).
Personalmente ho percepito che nel 2019, anche attraverso le azioni degli uomini e delle donne delle istituzioni, i lavori, i workshop e le tavole rotonde dei diversi networks in ambito “governance, compliance, controllo” per “evangelizzare” la comunità imprenditoriale sulla necessità del rispetto delle regole ed infine attraverso gli esempi di singoli individui, è aumentata la consapevolezza che non si può pensare solo al guadagno senza irrobustire i pilastri della Legalità, della Sostenibilità Etica, della Trasparenza, della Compliance.
Tuttavia, se da un punto di vista “teorico” la definizione di una Governance a tutto tondo potrebbe risultare implementabile in tutte le realtà aziendali/imprenditoriali/economiche-finanziarie, con i necessari adattamenti in funzione della dimensione organizzativa e del contesto, la realtà del tessuto economico italiano mostra ancora ampi margini di sensibilizzazione ed attuazione di un sistema di gestione del business imperniato sulla gestione efficace dei rischi e sul “controllo”. Il motivo risiede nel fatto che solo attraverso l’identificazione, misurazione e gestione delle minacce e delle opportunità, coniugati con una “non formale” compliance e con una filosofia comportamentale etica si può garantire la sostenibilità delle organizzazioni e dunque la creazione del valore, preservando ed irrobustendo l’asset più tangibile esistente: LA REPUTAZIONE.
Con questa premessa, mi sono posto alcune domande: come consentire alla rete imprenditoriale/aziendale italiana di generare valore nel rispetto delle leggi, assumendo comportamenti etici ad ogni livello, agendo in modo sostenibile per contribuire al futuro dei nostri figli più “HUMAN-ETHIC”? Può esistere un altro paradigma delle linee di difesa affinché le imprese NON distruggano valore?
Ho cercato di dare una risposta attraverso la presentazione di un approccio INTEGRATO delle linee di difesa, coordinate e/o sintetizzate dalla figura dell’Internal Auditor, ma senza prescindere dal primario elemento di questa proposta di paradigma: IL COMPORTAMENTO UMANO.
LA “RISK & CONTROL GOVERNANCE” NEL TESSUTO ECONOMICO ITALIANO
Secondo il rapporto ISTAT del 2016, le imprese con almeno un addetto son poco più di 3,3 milioni così ripartitati
È evidente che il 99% delle imprese è costituito da meno di 50 addetti. Ossia, il tessuto economico italiano è essenzialmente costituito da Micro imprese, spesso a conduzione familiare.
Nell’Aprile del 2017 l’indagine di Confindustria sulla diffusione dei Modelli di organizzazione, gestione e controllo ex d.lgs. 231/2001 (“MOG”, “MOGC231”) rilevava che il 64% delle imprese era senza MOG. Delle imprese con il MOG, l’88% era costituito da grandi imprese. E i nuovi sistemi di “Whistleblowing” sono ancora agli albori nella maggior parte delle PMI.
Il tessuto economico italiano fa fatica ad implementare sistemi efficaci di “compliance” che permettano di creare valore nel rispetto della legalità e della sostenibilità etica. Nello stesso tempo però sono diversi i procedimenti 231 che interessano le PMI. Senza dimenticare che anche le grandi imprese (nel senso più ampio di organizzazioni economiche e finanziarie) seppur con framework di controllo interno strutturati, risultano vulnerabili e potenzialmente soggetti a procedimenti di giustizia, quando tali framework non sono efficaci.
Si pone un fondamentale punto interrogativo. Come bilanciare un “effettivo” sistema di controllo interno e gestione dei rischi, come volano per non distruggere valore, con la conformazione del tessuto economico italiano? In altri termine come coniugare il “costo e l’organizzazione” del controllo e della conformità con la configurazione snella delle PMI senza appesantire il conto economico?
L’interrogativo comune, che è sovente ripetuto dal management delle PMI, spesso costituito dalla famiglia imprenditoriale, titolare dell’impresa, è in realtà viziato da un elemento dell’equazione non rappresentato. Quale sarebbe il costo per non avere un sistema di controllo e gestione dei rischi adeguato che consenta di prevenire che venga comminata una sanzione? Oppure aumentando il grado dell’onere, quali sarebbero le ripercussioni della perdita di reputazione?
È compito dei professionisti delle materie di auditing, controllo interno, compliance, risk management, privacy/DPO, information security, quality, ESG (includendo anche le figure di consulenza e/o controllo previsti dalle diverse normative come l’Organismo di Vigilanza, il RPC, DPO, il Responsabile Antiriciclaggio, ecc.) che, a parere di chi scrive, oggi non possono più essere ricondotti alla mera sfera di “controllori” ma di “business partner”. Essi devono “navigare” insieme alla proprietà e/o al Management assumendo un ruolo di “timonieri” che conoscendo la struttura della nave, le sue debolezze e punti forti, sapendo anticipare la direzione del soffio dei venti e l’intensità delle onde (rischi), permettono con ragionevole certezza il raggiungimento degli obiettivi.
Ma a rileggere il paragrafo precedente si contano almeno una decina di “rappresentazioni” di funzioni /strutture di assurance/consulenza a vario titolo di secondo e terzo livello, potenzialmente presenti all’interno di un’organizzazione aziendale. Una pletora di professionisti che imporrebbero senza indugio all’imprenditore italiano di riflettere a lungo sull’implementazioni di sistemi di prevenzione e controllo. Vi sono alcuni ruoli richiesti dalle norme (l’OdV, il DPO, il RPCT, Collegio Sindacale) ed altre (come la “revisione interna”, il responsabile antiriciclaggio, il risk manager) richieste dalle autorità di vigilanza come Banca d’Italia. Ed infine, per le società quotate in Borsa, in base al Codice di Autodisciplina, si suggerisce di nominare il Responsabile della funzione Internal Audit come parte integrante del Sistema di Controllo Interno.
A parere di chi scrive, è proprio il termine “integrazione” la chiave di lettura per un’assurance agile. Dove “agile” non deve intendersi come semplice, banale, formale. Anche se spesso l’azione dell’integrazione richiede un percorso condiviso e fortemente ricercato in prima istanza dalle funzioni aziendali di controllo (FAC) che devono farsi portavoce nei confronti del Management e della Proprietà degli efficaci vantaggi dell’integrazione delle FAC.
Prima di proporre, in particolare per l’ambito delle imprese non soggette a regolamentazione delle autorità di vigilanza del settore bancario/assicurativo, un possibile assetto di “assurance integrata agile”, scorriamo brevemente le diverse anime del controllo interno che possono ritrovarsi nelle realtà imprenditoriali (di natura privata, ma anche pubblica e/o a partecipazione pubblica).
LE LINEE DI CONTROLLO: IL FRAMEWORK
Il sistema dei controlli interni è rappresentato dal modello delle tre linee di difesa, che devono essere intese non come linee “sequenziali”, bensì come diverse facce di un UNICO framework di controllo.
L’articolo 2381, 3° comma del codice civile prevede che “il Consiglio di Amministrazione valuti l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società”. L’articolo 2381, 5° comma del codice civile prevede che “gli organi delegati curino che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura ed alle dimensioni dell’impresa”.
Il Codice della Crisi d’impresa e dell’insolvenza (D.lgs. 12 gennaio 2019, n. 14) prevede che l’imprenditore individuale adotti misure idonee a rilevare tempestivamente lo stato di crisi ed assuma senza indugio le iniziative necessarie a farvi fronte. L’imprenditore collettivo deve, in termini analoghi, adottare un assetto organizzativo adeguato ai sensi art. 2086 c.c., ai fini della tempestiva rilevazione dello stato di crisi e dell’assunzione di idonee iniziative.
Secondo quanto previsto dall’art. 2086 c.c. nel testo integrato dalla riforma, l’imprenditore, che opera in forma societaria o collettiva, ha difatti il dovere di:
- istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale;
- attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale.
Inoltre le norme sulla Responsabilità amministrativa degli enti (d.lgs 231/2001), sulla Protezione dei dati personali (EU GDPR 2016/679), sull’Antiriclaggio (d.lgs 231/2007 e s.m.i), sulla Sicurezza sui luoghi di lavoro, sulla prevenzione della corruzione in ambito pubblico e privato, pongono sempre in capo all’imprenditore (individuale o in forma collettiva o sociale) l’obbligo di istituire adeguati ed efficaci assetti organizzativi e di controllo affinché i dettami normativi siano rispettati con l’obiettivo di proteggere il valore a beneficio di tutti gli stakeholders (responsabilità socio-etica-economica).
Da questa rappresentazione emerge che le linee di “difesa”non operano per implementare effettivi sistemi di gestione dei rischi, ma contribuiscono in base alle proprie aree di competenze e di indipendenza ad assicurare che i sistemi di gestione dei rischi e l’adeguatezza dei presidi di controllo siano efficaci. Tuttavia, invece rileviamo come spesso funzioni interne come la Compliance, Quality Assurance, HSE, Privacy, Security, Risk Management si adoperino a sviluppare sistemi di “conformità”, sostituendosi alla necessaria attività del Consiglio di Amministrazione o dell’Imprenditore (Amministratore Unico) a definire gli indirizzi sul sistema di gestione dei rischi e a valutare periodicamente l’adeguatezza dei presidi , per verificare che gli obiettivi (economici, finanziari, strategici, commerciali, organizzativi, ecc.) siano raggiunti attraverso una funzione indipendente di “assurance” come l’internal audit, che spesso è assente nelle PMI.
Cerchiamo allora di sintetizzare in maniera “agile” un assetto dei presidi di controllo e gestione non solo dei rischi ma anche delle opportunità per un imprenditore tipo italiano. Tale modello, di base, potrebbe anche essere applicato a realtà più complesse nel caso anche esse volessero avere una governance agile.
Intervento del Dott. Gianni CARBONE – Esperto in Auditing, Ethics, Compliance, Risk Management