LGRC, la compliance aziendale, cos'è e come si è evoluta, a chi si rivolge e quali obiettivi si pone, il modello 231

Cos'è la compliance aziendale

[Torna su]

Il rispetto della legalità e della correttezza negli affari è elemento indispensabile dell'attività d'impresa, fondata essenzialmente sulla fiducia.

Con l'acronimo LGRC, si fa riferimento alla gestione della Legal Governance, Risk & Compliance, l'attività che ha ad oggetto il complesso insieme di processi, regole, strumenti e sistemi utilizzati dalla funzione legal aziendale, per adottare, implementare e monitorare un approccio integrato ai problemi legati al business che variano da caso a caso.

In ambito aziendale il termine Compliance è utilizzato con il significato di conformità ad una legge (per es. il rispetto delle norme per la tutela del lavoro minorile, o di quelle che vietano l'emissione di gas tossici in particolari lavorazioni), a uno standard (per es. standard relativi alla qualità o al la certificazione del bilancio), a best practice (per es. modalità di comportamento delle associazioni di categoria) e a politiche imprenditoriali (per es. il rispetto del codice etico aziendale).

In una prospettiva economico-aziendale, il termine Compliance è messo in relazione al sistema di controllo interno e di gestione dei rischi, inteso come "l'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l' identificazione, la misurazione, la gestione e il monitoraggio dei principali rischiā€¦ Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l'efficienza e l'efficacia dei processi aziendali, l'affidabilità delle informazioni fornite agli organi sociali ed al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne" (Comitato per la Corporate Governance, Borsa Italiana S.p.a., Codice di Autodisciplina, luglio 2018).

Gli obiettivi della compliance aziendale

[Torna su]

La Compliance Aziendale - vale a dire la flessibilità dell'azienda e la sua capacità di adeguarsi alle norme ed esserne conforme - agisce dunque sulle scelte strategiche dell'imprenditore.

La compliance si prefigge, al contempo, di prevenire il rischio di non conformità dell'attività aziendale alle norme, e di implementare e consolidare il rapporto fiduciario con la clientela e, in senso ampio, con gli stakeholders.

Tradizionalmente l'attività di compliance aziendale è intesa in maniera restrittiva rispetto alle imprese cui si rivolge, in particolare:

  • agli enti e alle imprese operanti nel mondo bancario e finanziario;
  • alle attività imprenditoriali che hanno rapporti con la pubblica amministrazione (quindi quasi tutte le imprese);
  • alle società quotate in borsa ed operanti sui mercati finanziari;
  • alla stessa pubblica amministrazione, in quanto molte attività pubbliche sono state ricomprese all'interno di stringenti regole comportamentali ed etiche (si pensi, ad esempio, alla disciplina anticorruzione).

A chi si rivolge la compliance aziendale

[Torna su]

In realtà, la compliance è destinata a tutte le imprese (micro, piccole, medie, grandi) e agli enti, pubblici o privati, in quanto anche una piccola azienda che non opera nel settore bancario o non svolge servizi finanziari, si trova a dover gestire la propria conformità normativa in uno dei seguenti settori (indicati a titolo esemplificativo e non esaustivo):

  • Tutela del Consumatore;
  • Certificazioni di qualità e Normative ISO;
  • Sicurezza Informatica e Data protection;
  • Prevenzione degli incidenti e Sicurezza sul posto di lavoro;
  • Normativa Antiriciclaggio;
  • Privacy e Trattamento dei dati personali;
  • Lotta alla corruzione;
  • Responsabilità degli enti e delle persone giuridiche ex D.lgs. 231/2001.

Le attività di Compliance svolte in questi, e altri, settori hanno tutte come scopo il raggiungimento dello stesso obiettivo: riorganizzare la struttura aziendale fornendo all'organizzazione interna delle misure preventive per evitare il rischio di subire sanzioni (civili, penali o amministrative, reputazionali) senza perdere in competitività sul mercato, valorizzando contemporaneamente l'immagine e la reputazione dell'impresa al fine di aumentare la fiducia dei propri clienti, stakeholder e stockholder.

Un corretto utilizzo della compliance aziendale, quindi, aiuta le imprese a:

  • promuovere e consolidare i propri principi etici;
  • a migliorare le proprie relazioni con la clientela;
  • a tutelare gli amministratori da possibili responsabilità;
  • ad armonizzare e meglio controllare i comportamenti dei manager e dei dipendenti.

D.lgs. 231/2001 e modello organizzativo, di gestione e controllo aziendale

[Torna su]

In tema di Compliance Aziendale, di fondamentale importanza è l'adozione, da parte dell'impresa, del Modello organizzativo, di gestione e controllo aziendale previsto e (poco) disciplinato dal d.lgs. 231/2001, che permette all'impresa, in particolare, di:

  • Evitare il rischio di sanzioni (pecuniarie o interdittive) con potenziali gravissimi danni patrimoniali e d'immagine all'azienda;
  • Evitare il formarsi di pratiche corruttive all'interno della struttura aziendale, nonché di rischi per la salute e la sicurezza dei lavoratori e/o ambientali e di commettere altri reati definiti "presupposto" della responsabilità degli enti;
  • Mantenere la buona reputazione aziendale e la fiducia degli stakeholders;
  • Creare vantaggi competitivi in uno scenario di business che sempre più premia comportamenti etici;
  • Accrescere il valore dell'impresa a favore degli azionisti.

Infatti lo scopo del d.lgs. 231, che disciplina la responsabilità da reato delle società e degli enti, è quello di prevenire e reprimere la commissione di diversi reati da parte dei soggetti legati da un rapporto funzionale/organico con l'ente, come gli amministratori, i dipendenti, i fornitori.

Essa introduce per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito.

In pratica, l'ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli enti e gli interessi economici dei soci, i quali, fino all'entrata in vigore del d.lgs. 231/2001, non subivano conseguenze a seguito della realizzazione di reati commessi, a vantaggio o nell'interesse della società, dagli amministratori e/o dai dipendenti.

Sono ormai trascorsi diversi anni dall'introduzione nel nostro ordinamento del d.lgs. 231/2001.

La normativa, emanata inizialmente nel 2001, era il risultato del recepimento di varie Convenzioni internazionali soprattutto in tema di lotta alla corruzione, ed era inizialmente circoscritta alla repressione di reati e illeciti nei rapporti tra privati e pubblica amministrazione; essa, con il passare degli anni, si è estesa ad altre materie, come i reati societari e finanziari, il riciclaggio e l'autoriciclaggio, la tutela della salute sul posto di lavoro, il market abuse, la tutela del diritto d'autore, i reati societari, i delitti informatici, i reati ambientali, di terrorismo e di criminalità organizzata, i reati contro l'industria e il commercio (per citare i più rilevanti).

Sono stati considerati, in pratica, fonte di responsabilità tutti quei reati la cui commissione risulta agevolata da una carenza delle strutture organizzative interne all'impresa o all'ente.

A oggi, il catalogo dei reati definiti come il "presupposto" della responsabilità dell'ente è numeroso, e il suo numero è soggetto a variazioni e aggiornamenti a causa della continua evoluzione della normativa di riferimento, che lo rende soggetto a subire in futuro integrazioni e modifiche anche significative.

Destinatarie del d.lgs. 231 sono dunque le persone giuridiche, le società o associazioni anche prive di personalità giuridica e gli enti pubblici economici, che potranno venire sanzionati nel caso si accerti, nell'ambito di un processo penale, che il comportamento illecito della persona fisica sia stato tenuto nell'interesse o a vantaggio dell'ente.

Quest'ultimo, al contrario, potrà andare esente da responsabilità nel caso si sia dotato di un Modello di Organizzazione, Gestione e Controllo (Modello 231, o MOGC, o Compliance Program) nel quale abbia preliminarmente "mappato" il rischio di commissione reati e abbia quindi adottato tutte le misure organizzative necessarie ad eliminare la possibilità della loro commissione, prevedendo altresì la comminazione di sanzioni adeguate a carico degli autori del reato.

Se, quindi, il dipendente o il soggetto apicale viola fraudolentemente le disposizioni del Modello 231 adottato dall'ente e commette il reato, l'ente stesso andrà esente da responsabilità.

Ovviamente nessuno può escludere che si realizzino comportamenti individuali devianti, e quindi illegittimi, ma si vuole così garantire che il sistema dell'impresa, il suo assetto organizzativo e le finalità complessive che essa persegue non siano terreno di coltura di reati.

Presupposto dei Compliance Programs è che buone regole di organizzazione interna siano il miglior modo per emarginare i fenomeni di criminalità imprenditoriale e per garantire che la loro eventuale presenza resti un fatto eccezionale e non facilmente ripetibile.

All'ente viene richiesta, in pratica, l'adozione di modelli comportamentali specificamente calibrati sul rischio-reato, vale a dire volti a impedire, attraverso la fissazione di regole di condotta etico-organizzative, la commissione di determinati reati.

Il modello 231

[Torna su]

Il Modello 231 è quindi lo strumento necessario per evitare non solo la commissione di reati, ma anche che l'ente risponda dell'illecito penale commesso da un soggetto appartenente alla sua organizzazione aziendale; a tal fine, di fondamentale importanza diventa il ruolo dell'Organismo di Vigilanza (ODV), che ha il compito di vigilare sul funzionamento e l'osservanza del Modello 231 adottato dall'ente e di curarne il suo continuo aggiornamento.

Il Modello di Organizzazione, gestione e controllo, sia nella sua fase di realizzazione sia nella successiva fase di implementazione, deve inoltre configurarsi quale completamento degli altri sistemi di gestione presenti nell'organizzazione aziendale.

Il Modello 231, pertanto, non si pone quale strumento aziendale a sé stante, ma deve risultare interagente con

  • il Sistema di Gestione della Qualità
  • in ambito Ambientale (ISO 9001, ISO 14001/ EMAS)
  • di Responsabilità Sociale (SA 8000 o SCR)
  • il Sistema di Controllo e Gestione della Sicurezza sul Lavoro (d.lgs. 81/2008 - OHSAS 18001)
  • il Sistema Privacy (Regolamento (Ue) 2016/679 GDPR, D.lgs. 196/2003
  • il Sistema Anticorruzione (ISO 37001) e gli altri sistemi di certificazioni ISO eventualmente presenti e adottati dall'impresa.

Dott. Alessandro Pagliuca

Data Protection Officer e addetto alla compliance aziendale


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: