di Marco AVANZI
Osservando gli sviluppi della normativa d’impresa, nonché le vie ormai tracciate dalle istituzioni europee e internazionali, vale la pena compiere qualche riflessione in relazione al tema dei sistemi integrati di compliance e la loro sempre maggiore utilità in futuro per le organizzazioni che riusciranno a coglierne i benefici.
L’integrazione di diversi sistemi di gestione del rischio porta con sé notevoli benefici per le organizzazioni in termini di: ottimizzazione di costi, dati disponibili, aggregazione di criteri di valutazione e semplificazione nei flussi di comunicazione.
Chi si occupa della materia è ben conscio delle difficoltà che si possono riscontrare nel momento in cui vi sia l’esigenza di fornire al management visioni immediate, chiare e precise dei rischi gestiti quando diversi modelli di gestione devono parlare tra loro e giungere a sintesi.
Questa esigenza sarà sempre maggiore, soprattutto considerando gli scenari di necessaria integrazione tra le valutazioni di compliance e i potenziali effetti in termini di business, continuità aziendale, forward looking e non da ultimo valutazioni e reportistica in tema di sostenibilità.
Il percorso di avvicinamento tra valutazioni del rischio economico, di conformità, di governance e sostenibilità impongono sempre più una riflessione sul tema dell’integrazione delle valutazioni del rischio, specialmente in uno scenario dove valutazioni risk based, in passato volontarie o di soft law, assumono sempre più i contorni di obblighi di compliance.
Questo percorso è reso palese da numerose circostanze che coinvolgono la realtà aziendale.
Una prima osservazione risulta oggi ancora più attuale alla luce della recente entrata in vigore del Codice della Crisi d’Impresa. Non può sfuggire ad una riflessione l’importanza data dal legislatore agli “adeguati assetti organizzativi” che richiamano fortemente gli aspetti “organizzativi” del MOG ex D. Lgs. 231-01. Questo obbligo in carico agli amministratori nonché sottoposto agli organi di vigilanza come controllo, rimanda, seppur in ottica di prevenzione della crisi, ad un assetto di flussi di comunicazione, monitoraggio e controllo che possono avere una rilevanza anche ai fini 231, quantomeno per i collegamenti, diretti e indiretti, che vi sono con possibili fattispecie di reato. L’integrazione delle valutazioni del rischio strumentali ad un efficiente flusso di comunicazione è palese nella sua utilità.
Altresì recente è l’approvazione della legge comunitaria 2021 dove, tra i tanti provvedimenti, vi è altresì la delega al recepimento della direttiva in materia di cc.dd. Whistleblowing. Questo strumento, onde evitare di farlo divenire (come spesso accaduto) un mero esercizio formale, dovrebbe cogliere l’attenzione degli addetti al settore per prevedere l’integrazione dello strumento all’interno di tutte quelle situazioni normative o di altri sistemi di gestione che richiamano “dedicati canali di comunicazione” a partire dalla normativa in materia di anticorruzione, all’utilizzo dei canali di comunicazione all’interno di alcuni aspetti del mondo della salute e sicurezza sul lavoro (pensiamo alle modalità di valutazione dei rischi da stress lavoro correlato) nonché all’interno di quei protocolli in materia di diritti umani come gli Stakeholders Management Systems che prevedono i cc.dd. Grievance Mechanism [vedasi aspetti correlati all’implementazione di sistemi ISO26000-SA8000 o UN Guiding Principles on Business and Human Rights (UNGPs)] senza dimenticare i profili legati ai canali di comunicazione in materia di D. Lgs. 231 del 2001.
Con il richiamo ad uno strumento di soft law come quello delle Nazioni Unite, non si può non considerare gli aspetti, in divenire cogenti, degli obblighi in materia di due diligence all’interno della supply chain in vista della bozza direttiva UE. Questa proposta, oltre a richiamare la predetta guida UN, richiama l’assetto di Due Diligence proposto dalle Multinational Guidelines on Responsible Business Conduct di OECD che fanno dell’approccio basato sul rischio e nella verifica anche delle terze parti la chiave della prevenzione degli impatti su valori quale ambiente, diritti umani, governance e prevenzione della corruzione.
Gli aspetti di verifica delle terze parti sono, altresì, ulteriori elementi comuni di varie discipline e modelli di gestione che potrebbero essere oggetto di integrazione e sinergia in ottica di efficientamento nella valutazione dei rischi. Pensiamo, oltre alla predetta:
- proposta di direttiva,
- agli aspetti di cui alla 231 del 2007 in materia di antiriciclaggio,
- alle due diligence in materia anticorruzione per transazioni a “rischio alto” come richiamati dallo standard ISO 37001,
- alle misure di prevenzione di rischi reato in materia 231, in special modo in relazione a reati associativi o di corruzione (pubblica e tra privati),
- senza tralasciare tutto il mondo della Trade Compliance e delle norme in materia di sanzioni internazionali, dual use goods ed embargo.
Ma altresì il tema dell’integrazione non deve dimenticare altre questioni, usualmente separate, ma con rilevanti punti in comune quali:
- l’esecuzione degli obblighi di qualifica ai sensi dell’art. 26 del D. Lgs. 81.08 ma, altresì,
- in materia di protezione dei dati in special modo in riferimento al principio coniato dell’EDPB di Know your transfer che rimanda ad obblighi di vera e propria due diligence nei confronti di terze parti quando è coinvolto un trasferimento di dati personali.
Non solamente processi e misure possono essere oggetto di una riflessione in ottica di integrazione ma, altresì, la considerazione stessa dei rischi da valutare e gestire.
Guardando ai profili legati alla protezione dei dati personali non può altresì sfuggire come la struttura della normativa in sé preveda diversi profili di rischio da considerare quali:
i) il rischio di violazione/omissione di specifici adempimenti richiesti al titolare del trattamento;
ii) la valutazione in senso stretto del rischio di un trattamento in relazione all’evento perdita del dato (etc.) con il punto di osservazione del soggetto interessato e dei suoi diritti e libertà fondamentali e considerando ciò, sin dalla progettazione del trattamento, nella selezione delle misure di sicurezza e nella valutazione delle potenziali conseguenze nei casi previsti dall’art. 35.
Il richiamo alle misure di sicurezza e ai principi del GDPR, in ottica di strumenti informatici e gestione delle informazioni in esso contenute, richiama a sua volta la sfera della gestione del rischio di Information Security e i modelli di gestione ISO27000 che prendono rilevanza anche in ottica 231 in riferimento ai reati informatici e alle procedure e protocolli atti a prevenire questa tipologia di reati presupposto.
Non può non farsi un accenno anche al mondo dell’ambiente e della salute e sicurezza sul lavoro. In questa specifica area vengono in rilievo sia i rischi prettamente di violazione normativa dei precetti previsti dalle predette normative, i rischi penali e 231 derivanti dalla commissione di specifici reati ma, altresì, il pregiudizio ad ambiente e persone che possono essere il seguito del concretizzarsi di questi eventi.
Questo duplice aspetto (rischio/violazione normativa e rischio/pregiudizio a valori-persone-ambiente) oltre a ritrovarsi nelle materie di EH&S e Data Protection si rileva altresì in:
- materie come la prevenzione del rischio corruzione,
- nei modelli di gestione del rischio antitrust (in relazione al corretto svolgimento delle dinamiche di mercato) nonchè
- in relazione ai diritti di tutti quegli stakeholders persone fisiche che possono essere pregiudicati dall’agire aziendale (diritti dei consumatori, commercio di prodotti alimentari, genuinità degli appalti, pratiche commerciali scorrette, condizioni di lavoro, diritti dei lavoratori, fenomeni di caporalato)
- ma altresì stakeholders persone giuridiche nelle relazioni B2B; pensiamo alla normativa in materia di UTP Unfair Trading Practice in materia agroalimentare.
Tutte queste tematiche presentano, dal punto di vista della conformità, sempre due profili principali di interesse:
i) il rischio violazione del precetto;
ii) il rischio pregiudizio ad un soggetto/valore/assets con le relative conseguenze per l’impresa e i suoi membri apicali.
Questi aspetti comuni dell’evoluzione delle normative d’impresa e delle fonti di responsabilità d’impresa devono condurre a comprendere la necessità di valutazione del rischio nella forma più sinergica e integrata possibile, in primo luogo, per il semplice fatto che sarà sempre l’ente e l’organo gestorio che dovranno far fronte alle conseguenze negative della manifestazione del rischio e devono, questi, essere in grado di valutare le loro scelte e strategie sulla base anche di questi fattori che possono impattare, in aggiunta, sulla continuità stessa dell’impresa stessa.
Quest’ultimo richiamo alla continuità d’impresa non può non far tornare ai concetti precedentemente espressi in materia di “crisi d’impresa” dove l’ottica forward looking richiede, altresì, coscienza di tutti quei fenomeni che possono impattare sulla solidità aziendale.
Questa necessità di focalizzarsi sulla gestione del rischio e sulla duplice veste del concetto di rischio è chiara nell’ultima edizione del Codice di Corporate Governance e al suo art. 6 recante: il sistema di controllo interno e di gestione dei rischi è costituito dall’insieme delle regole, procedure e strutture organizzative finalizzate ad una effettiva ed efficace identificazione, misurazione, gestione e monitoraggio dei principali rischi, al fine di contribuire al successo sostenibile della società.
Se quanto abbiamo visto sin d’ora sicuramente rientra nel tema dei principali rischi non si dimentichi il richiamo al successo sostenibile chiaramente richiamato e definibile come la continuità a lungo termine dell’impresa a beneficio della stessa e anche degli stakeholders.
Va da sé che se l’obiettivo, oltre alla continuità d’impresa, è il successo sostenibile anche per gli stakeholders e, come abbiamo visto prima, molti dei rischi di compliance sono rischi che possono impattare anche sugli stakeholders stessi, all’interno della gestione integrata dei rischi di compliance non può non rientrate anche il tema della sostenibilità e dei valori ESG.
Questo passaggio è rilevante per chi si occupa di rischi di compliance in quanto dovrà considerarsi nel panorama delle possibili conseguenze negative del rischio non solo la conseguenza pregiudizievole per l’ente (sanzionatoria o di pregiudizio alla continuità) ma altresì la conseguenza all’esterno dell’ente stesso.
In uno scenario di evento di rischio dovrà abbracciarsi, anche per la compliance, quel concetto di “doppia materialità” proprio delle valutazioni in ottica di rischi ESG andando a comprendere ciò che è materiale per l’azienda stessa ma, in aggiunta, ciò che è materiale in direzione opposta perchè può influire e pregiudicare all’esterno dell’ente i.e. il mondo degli stakeholders.
Ecco che all’interno di questo filone trovano necessità di integrazione gli aspetti di reporting di sostenibilità su materie proprie della compliance (vedi come esempio GRI in materia corruzione) ma altresì in ambito di due diligence su terze parti ( UNGPs e OECD RBC).
Questa panoramica vuole evidenziare come vi siano ormai numerosi punti di contatto tra discipline e tematiche (apparentemente) diverse che potrebbero trovare elevazione e miglioramento negli approcci integrati al rischio di compliance dato che le basi su cui appoggiano sono per lo più le medesime. Ad oggi sembra essere molto lontano uno schema generale di gestione della compliance aziendale richiesto alle imprese e, come per molti altri casi ormai, l’integrazione di questi aspetti è lasciata alle singole imprese più lungimiranti che comprendono come questo percorso possa portare ad un miglioramento delle performance, della reputazione e ad una riduzione di costi gestori nonché, non da ultimo, una più chiara visione dei rischi aziendali strumentale ad una migliore definizione e controllo delle proprie strategie e obiettivi di business.