Compliance Aziendale
Compliance aziendale: come gestire il rischio di non conformità. Obiettivo: migliorare la competitività e non incorrere in danni economici e reputazionali. Per gestire i rischi di compliance le aziende devono mettere a punto un insieme di processi e strutture organizzative funzionali alla prevenzione delle violazioni di norme, regole o standard, da cui possono derivare sanzioni, perdite operative, danni reputazionali e provvedimenti di interdizione parziale o totale dell’attività. tale concetto è solitamente associato anche al principio di onestà ed etica nei comportamenti, spesso in relazione a veri e propri codici etici o deontologici dei settori di appartenenza.
Il rischio compliance interessa tutte le imprese, a prescindere dall’ampiezza o dal tipo di business, nell’ambito di un più articolato sistema di gestione dei rischi aziendali. Già da diversi anni all’attenzione di banche, imprese di assicurazione e grandi gruppi multinazionali, nel mondo delle istituzioni finanziarie deve essere gestito obbligatoriamente da una specifica funzione.
Per le istituzioni non finanziarie, la presenza di una funzione di compliance non è obbligatoria e nasce soprattutto dalle riflessioni condotte a livello internazionale, anche a fronte di scandali e fallimenti specie in campo finanziario, che hanno evidenziato l’esigenza di rafforzare i presidi organizzativi volti ad assicurare la piena osservanza delle normative riguardanti l’attività svolta e, in particolare, le relazioni con la clientela.
Il progressivo ampliarsi dell’ambito applicativo del Dlgs 231/01 sulla responsabilità amministrativa delle persone giuridiche ha incrementato l’attenzione di tutte le imprese verso l’istituzione di una tale funzione e, più in generale, verso una più articolata gestione del rischio di non conformità.
La Governance può essere sistematicamente definita come “il metodo attraverso il quale le aziende sono dirette e controllate. Nella gestione dell’impresa, esiste un legame imprescindibile fra i seguenti tre elementi:
- Gli obiettivi, che l’organizzazione si prefigge di raggiungere;
- I rischi, ovvero eventi che possono incidere negativamente sul perseguimento degli obiettivi, valutati in termini di probabilità e impatto;
- I controlli, ovvero le protezioni da mettere in atto per prevenire/mitigare/contenere gli effetti negativi generati dal concretizzarsi di eventi rischiosi.
Il sistema di controllo interno e di gestione dei rischi “SCI-GR” è quindi uno snodo cruciale della governance di una società. Il rischio è il filo conduttore del sistema dei controlli, il quale ruota intorno all’identificazione, valutazione e monitoraggio dei rischi aziendali.
L’architettura del sistema di controllo interno e di gestione dei rischi va definita specificamente per ogni singolo caso, in relazione al tipo di attività svolta, alla dimensione della società, alla struttura del gruppo, al contesto regolamentare.
Il sistema dei controlli deve essere “integrato” nell’assetto organizzativo, amministrativo, contabile e di governo societario e le sue componenti devono essere tra loro coordinate e interdipendenti.
I principi di architettura sono:
- La separazione di ruoli e compiti (segregation of duties), che quale obiettivo primario quello di ridurre il rischio di frodi ed errori e viene perseguita attraverso la suddivisione delle attività/responsabilità, relative ad un determinato processo aziendale, tra differenti funzioni/individui
- L’accountability di informazioni e processi, intesa quale attribuzione della responsabilità incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da un’organizzazione, sulla base delle proprie capacità, abilità ed etica.
- La tracciabilità dei dati e delle informazioni, in modo da rendere attendibile, ricostruibile e valutabile un’attività o un processo.