Compliance-Integrazione

Spunti e pratiche per l’integrazione dei sistemi di gestione (CMS)

13 settembre 2021

di Marco AVANZI

Dove possiamo trovare spunti tecnici o input per comprendere come questo trend sia in corso e quali strumenti utili possiamo utilizzare per questi obiettivi di integrazione dei CMS, Compliance Management System?

Un primo spunto di necessità di integrazione è sicuramente all’interno delle aggiornate linee guida di Confindustria in materia di MOG 231. Senza entrare nel dettaglio delle modifiche, qui alcuni input che ci fanno propendere per un approccio integrato alla compliance:

  • Responsabilità della holding: le linee guida intervengono su questo aspetto richiamando alcuni principi in tema. A prescindere dai casi in cui possa essere ravvisato un coinvolgimento, l’organizzazione dovrà pensare ai rischi di potenziale trasmissione della responsabilità alla holding e ove dovessero esservi in astratto situazioni esposte, integrare i CMS di gruppo con misure che permettano il controllo del rischio;
  • Sistemi integrati di gestione dei rischi#1: al fine di migliorare l’efficienza dei controlli e dei flussi di informazione: su questo profilo l’organizzazione dovrebbe pensare ad alcuni step per poter iniziare a tendere verso un coordinamento dei sistemi di gestione in essere. Un punto di partenza potrebbe essere l’integrazione o l’uniformità dei criteri di rappresentazione e valutazione del rischio al fine di permettere un “dialogo” tra le evidenze che emergono dai vari sistemi di gestione e comprendere in modo più facile le interrelazioni tra i rischi.
  • Sistemi integrati di gestione dei rischi#2: La presenza di sistemi di valutazione e rappresentazione del rischio allineati aiutano sicuramente anche le attività di reporting. Di fronte ad un management che necessita di ricevere informazioni chiare e oltretutto correlate, la presenza di criteri uniformi è sicuramente un aiuto alla predisposizione di un assetto di reporting che permette compiutamente al management il proprio agire informato
  • Sistemi integrati di gestione dei rischi#3: l’integrazione delle attività di assessment e valutazione sono sicuramente utili ed efficaci ad una efficiente gestione dei controlli. Questi potranno essere svolti da plurime funzioni diverse ma saranno in grado di dialogare al fine di poter compiutamente comparare rischi e risultati ovviando a potenziali duplici lavori. Un classico esempio potranno essere i Tax Compliance Framework.
  • Informazioni non finanziarie: le linee guida prevedono uno specifico paragrafo sul tema portando le tematiche della sostenibilità anche nella sfera di interesse del modello 231 per specifiche aziende.
  • Whistleblowing: le linee guida intervengono anche su questo tema dando indicazioni in relazione ai canali di comunicazione e ai soggetti riceventi o competenti per la gestione.

L’integrazione dei sistemi di compliance trova spunti e forza anche in altre prospettive.

Basti pensare alle tematiche legate alla RBC (Responsible Business Conduct) e agli sviluppi in tema di green deal europeo e rendicontazione delle informazioni non finanziarie. La direzione in cui sta andando il legislatore comunitario è quello di una estensione degli obblighi di disclosure sui temi ambientali, sociali e di governance che rilevano ai fini della sostenibilità coinvolgendo un più ampio bacino di imprese. Questa estensione del perimetro di rendicontazione comporta la necessità che certe tematiche vengano considerate, in primis da un punto di vista della conformità normativa quale adempimento richiesto, in seconda battuta da un punto di vista organizzativo sul come controllare e rendicontare tali informazioni e la gestione dei temi correlati.

Soltanto pensando ai temi sociali entrano in gioco sistemi di gestione che controllano rischi legati all’ambiente di lavoro o alle catene di fornitura. Anche su questi temi l’adozione di determinati framework o linee guida potrebbe essere un passo utile per facilitare le valutazioni del rischio/temi e il controllo e reporting congiunto. Su questo aspetto le integrazioni dei sistemi di compliance con i flussi di sistemi SA8000 o ISO26000 potrebbe essere un passo efficiente per mutuare valutazioni già svolte e integrare possibili scenari di rischio e punti di controllo all’interno di framework di compliance più ampi.

Ovviamente le organizzazioni dovrebbero pensare anche in ottica sicurezza sul lavoro. L’adozione di determinati framework di gestione, in primis quelli ISO45001, se opportunamente coordinati permettono il dialogo con altri sistemi di gestione (struttura HLS) e l’integrazione con MOG e CMS che considerano questi rischi all’interno del loro perimetro d’azione. Medesimo ragionamento per la tematica ambientale dove strumenti come la ISO14001 permettono di raggiungere i medesimi risultati.

Va considerata anche la direzione intrapresa dall’UE in materia di obblighi di Due Diligence.

È del Marzo 2021 l’annuncio della Commissione finalizzato all’introduzione di obblighi di due diligence nelle supply chain sui temi ambientali, diritti umani e buona governance per la prevenzione di reati e corruzione. Queste iniziative tendono all’introduzione di obblighi cogenti di valutazioni del rischio e rendicontazione nuovi, su temi ampi e su operations anche non EU ma che intendono operare in UE. Ciò comporta la necessità di conoscenza e controllo della propria supply chain nonché l’integrazione delle valutazioni di rischio interne con quelle esterne e afferenti ai propri stakeholder.

All’interno dei temi “sociali”, degli aspetti di corporate responsibility e politiche di condotta responsabile rientrano altresì la tutela dei dati del personale e dei consumatori ove dovessero essere stakeholder dell’azienda.

Anche sotto questo profilo risulta utile affrontare l’integrazione delle valutazioni del rischio e relativi criteri in congiuntura con gli aspetti di controllo e reporting dei cc.dd. Data Protection Management System (DPMS). Rischi e scenari critici che emergono all’interno di queste tematiche possono avere impatti sui temi indicati ma altresì essere spunto per interventi in materia 231 e reati informatici quanto meno sotto il profilo degli strumenti di controllo del rischio implementati dall’organizzazione su temi GDPR, ma mutuabili su tematiche di prevenzione di illeciti. Anche qui spunti per la gestione e l’adozione di criteri d’ausilio possono venire dalle linee guide presenti in materia ed emanate da autorità garanti (ICO, CNIL) e da organizzazioni sovranazionali (ENISA, EDPB).

Ovviamente, data la stretta correlazione su alcuni temi, i CMS e relativi DPMS potrebbero usufruire dei flussi di gestione organizzati all’interno di linee guida e modelli implementati per la più ampia tutela della sicurezza delle informazioni. Anche su questo pilastro l’adozione di modelli di gestione promossi a livelli internazionale o gli standard ISO27000 proprio per la loro struttura di “management system” trovano un terreno fertile per l’integrazione dei flussi di valutazione del rischio, comunicazione e controllo.

Di recente è stata emanata anche la norma ISO 37002 sui sistemi di Whistleblowing. Orientarsi a tale linea guida permette di creare sinergie e correlazioni con processi gestori di rischi specifici, in primis quelli 231 per il richiamo formale all’istituto, ma anche per i più internazionali ABMS (Antibribery management system). Questi modelli di gestione del rischio corruzione portano elementi valutativi e di controllo che possono essere integrati con i MOG 231 o con framework internazionali, per le grandi organizzazioni, strutturati sulla base del UK Bribery Act, del FCPA e di altre norme domestiche in materia. Anche in questo caso trattare il rischio in questione nell’ottica di un sistema di gestione permette di mutuare attività già svolte integrandole, con le modifiche opportune, in altri modelli di gestione.

Ovviamente non potevano mancare gli spunti in temi di Governance. La richiesta di assetti organizzativi adeguati da parte della legislazione italiana e l’introduzione di temi di valutazioni del rischio e di aspetti legati alla sostenibilità tra gli obiettivi del management (vedi l’ultimo aggiornamento del Codice di Corporate Governance) porta questi temi all’attenzione dei board in relazione ai loro obblighi di azioni e organizzazione nonché di definizione delle strategie societarie.

Basti solo considerare alcuni temi che a livello nazionale e internazionale sono entrati o stanno entrando nel perimetro delle questioni societarie come:

  • Il rapporto tra statuti societari e successo sostenibile;
  • La remunerazione dei vertici in relazione a temi etici e di sostenibilità;
  • Obblighi di rendicontazione e valutazioni di impatto su tematiche ESG;
  • Deviazioni rispetto alla regola della Business Judgment Rule per gli amministratori ove nelle scelte strategiche non dovessero perseguire specifici obiettivi sostenibili o pregiudicassero tali valori.

Questi sono solamente alcuni spunti che manifestano chiaramente alcuni trend che coinvolgono i CMS e che necessitano di riflessione e forse di un nuovo approccio iniziando a considerare:

  • Il dialogo tra funzioni interne per il raggiungimento di una visione integrata e olistica dei rischi;
  • La dismissione di un modello di compliance burocratico ma invece attivo e proattivo;
  • L’estensione dei temi “compliance sensitive” considerati;
  • Un cambio di prospettiva di chi si occupa di compliance non più legato esclusivamente ad aspetti meramente normativi affrontando un cambio di approccio multidisciplinare e maggiormente a 360 gradi.

2/2

LEGGI QUI l’articolo precedente  1/2,  Modelli di Compliance tra nuove norme e necessità di integrazione



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *