***
Il quadro storico-normativo
Negli ultimi anni, soprattutto grazie alla spinta della normativa europea, si è affermato un vero e proprio principio di “compliance aziendale”, fondato sul principio di accountability, ossia di responsabilizzazione dell’ente stesso. Tale principio segna il passaggio da un approccio meramente formale consistente nel semplice rispetto della normativa vigente, ad un approccio sostanziale (risk based approach). Gli obblighi giuridici vengono così tradotti in misure preventive, imponendo alle società di adottare effettivi ed adeguati sistemi di prevenzione e gestione dei rischi.
Il primo esempio in Italia si ha con il d.lgs. 626/94, il quale recependo otto direttive europee sulla sicurezza e l’igiene sul lavoro, attua il passaggio da un sistema normativo meramente risarcitorio ad un sistema essenzialmente preventivo.
Se con il d.lgs. 626/94 il legislatore italiano introduce nel nostro ordinamento la c.d. norma di prevenzione, l’esperienza più significativa arriva, tuttavia, negli anni Duemila con il d.lgs. 231/01, il quale introduce la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”. È con tale intervento normativo che si afferma per la prima volta il concetto di “colpa di organizzazione”. L’elemento della responsabilità dell’ente è riscontrabile nella carenza di controllo e di vigilanza, nonché nell’assenza di misure prevenzionistiche e protezionistiche, che hanno permesso il verificarsi del reato. Si assiste, pertanto, ad una nuova forma di colpa che segna il passaggio dall’approccio normativo della responsabilità all’approccio pragmatico della responsabilizzazione.
La suddetta filosofia della prevenzione e della responsabilizzazione propria dei sistemi di compliance ha subito un notevole sviluppo. Il legislatore comunitario e quello nazionale hanno esteso sempre più gli obblighi di compliance volti ad assicurare una maggiore prevenzione di illeciti all’interno della vita aziendale. Gli enti devono, pertanto, garantire la conformità non più solo alle regole derivanti dal d.lgs. 231/01, ma anche a quelle previste in materia di Crisi di impresa, di Antiriciclaggio, di Anticorruzione e trasparenza, di Antitrust, di Tutela dei dati personali, nonché in ambito di Bilancio di sostenibilità e di Regolamenti aziendali.
Gli elementi dei sistemi di compliance
In una prospettiva generale, si osserva come tutti i sistemi di compliance attribuiscano al privato-imprenditore/operatore economico un duplice compito: quello di valutare i potenziali rischi e, conseguentemente, quello di adottare delle misure volte a ridurli per evitare la responsabilità da organizzazione.
Se duplice è il compito incombente sulle imprese, molti di più sono gli elementi comuni che definiscono e costituiscono i sistemi di compliance.
Si pensi all’analisi del rischio necessaria alla predisposizione del Modello di Organizzazione e Gestione ex art. 6, comma 2, del d.lgs. 231/01, così come alla valutazione di impatto prevista dall’art. 35 del Regolamento (UE) 2016/679 per la misurazione dell’impatto sui diritti e le libertà delle persone dovuto ad un’eventuale violazione dei dati personali. Anche le altre materie rimarcano tale impostazione e, invero, il d.lgs. 81/08 in materia di Salute e sicurezza sui luoghi di lavoro introduce agli artt. 17, 28 e 29 il Documento di Valutazione dei Rischi (DVR), così come la disciplina dell’Antiriciclaggio pone in capo al privato degli obblighi di adeguata verifica della clientela e di segnalazione di operazioni sospette, nello stesso modo in ambito dell’Anticorruzione che in quello dell’Antitrust. Da ultimo, il nuovo Codice della Crisi di impresa, prevede che venga effettuata una rilevazione tempestiva degli indici e degli indicatori di allerta al fine di poter prevenire/sanare la crisi e definire un modello organizzativo che permetta le rilevazioni degli indici sopra specificati.
Una volta, valutato ed analizzato il rischio dell’impresa in relazione a ciascuna specifica disciplina, lo step successivo consiste nell’adozione di modelli organizzativi o di sistemi e misure tecniche-organizzative, la cui efficacia è garantita da una frequente attività di auditing volta alla verifica dell’effettiva implementazione nonché al conseguente rispetto. Obiettivo, quest’ultimo, perseguito anche dalla presenza di un sistema sanzionatorio che garantisca effettività all’intero sistema implementato.
Componente essenziale dell’attività di controllo è poi quella dei flussi informativi. La raccolta di informazioni consente, infatti, di prendere coscienza della reale situazione aziendale e, pertanto, di poter intervenire tempestivamente nell’attività di prevenzione del rischio.
Ulteriori elementi che rendono efficaci ed effettivi i sistemi di compliance sono dati poi da una corretta ripartizione dei compiti e delle responsabilità all’interno della società, attraverso la predisposizione, ad esempio, di un sistema di deleghe, di lettere di incarico, designazioni o di nomine ad autorizzati, nonché dall’attività formativa volta ad istruire i soggetti su come conformarsi a quanto richiesto dalla norma.
Uno sguardo all’approccio integrato
Sono, dunque, molteplici gli elementi che costituiscono e definiscono i sistemi di compliance e, pensando alla vita dell’ente come ad un “unicum,” appare pertanto utile ricorrere ad un sistema che abbracci le diverse discipline attraverso l’utilizzo dei medesimi metodi di analisi del rischio e dei medesimi criteri per il controllo e per la prevenzione dello stesso, pur preservandone la rispettiva specificità.
Si parla, in tal senso, di “compliance integrata”. Il fine di tale integrazione risiede principalmente nel rafforzamento della cultura del rischio e della conseguente prevenzione dello stesso, attraverso la definizione e lo scambio reciproco di flussi informativi. Il compito della compliance integrata consiste, in termini di metodo, nella definizione dei flussi informativi nonché dei documenti e delle procedure attraverso l’utilizzo di un linguaggio e di una metodica comuni a tutte le diverse discipline. Ciò, oltre a garantire una maggiore uniformità a livello di policy aziendale, consente di ridurre costi ed energie, evitando sovrapposizioni e duplicazioni e rende l’intero sistema di compliance maggiormente effettivo ed efficace in quanto fa sì che le procedure siano più comprensibili e più facilmente applicabili.