Compliance: standard per un comportamento aziendale a norma
Rispettare le leggi e osservare un comportamento corretto dal punto di vista etico dovrebbero essere la norma di qualsiasi azienda. Tuttavia alcuni precedenti recenti hanno dimostrato che non sempre è così. Al contrario, la compliance rimane un tema controverso. Infatti le aziende non agiscono all’interno di uno spazio vuoto, ma le loro attività influiscono sugli aspetti di diversi gruppi di interesse. Non solo i gruppi industriali, ma anche le PMI sono obbligate ad agire in una certa maniera, a definire un proprio canone di valori e a seguirlo. Tenendo conto della complessità della questione, emerge prima di tutto una domanda: qual è esattamente il significato di compliance?
Che cos’è la compliance: significato e definizione
Il termine compliance, traducibile in italiano come “conformità normativa”, è utilizzato nell’ambito economico e giuridico e deriva originariamente dalla finanza statunitense; oggi si applica praticamente a tutti i settori e ambiti economici. Essenzialmente la compliance aziendale indica l’osservanza delle regole da parte delle aziende e dei dipendenti. In passato l’attenzione era rivolta solo ed esclusivamente all’osservazione delle leggi. Dunque, prendendo l’esempio degli istituti di credito, per compliance si intendevano le leggi di compravendita di titoli di credito.
Per compliance aziendale si intende l’insieme di tutte le misure volte a garantire l’osservanza di un comportamento giuridico ed etico di un’azienda, di tutti i suoi organi e dei dipendenti in riferimento a tutte le norme e ai divieti imposti per legge o dall’azienda stessa.
Oggi il termine compliance ha assunto però un significato più ampio: oltre alla tutela della legalità, il concetto comprende ora anche il riconoscimento di standard e disposizioni tipiche di uno specifico settore. Ancora più importante risulta una dichiarazione volontaria del proprio canone di valori, con la quale l’azienda impone delle regole etiche ferree per il comportamento all’interno e all’esterno dell’azienda stessa.
Perché la compliance è importante?
Alla luce di quanto scritto finora, perché la conformità normativa è così importante? Che cosa si nasconde dietro il concetto di compliance e quali sono gli obiettivi di un’azienda che si impegna a rispettarli?
Primo obiettivo: evitare procedimenti penali
Da un punto vista meramente aziendale, la dichiarazione di una compliance ha soprattutto dei motivi strategici: proprio come le persone naturali, anche le aziende, in qualità di persone giuridiche, devono rispettare le leggi nazionali e internazionali. In Italia questo principio è regolato nella legge 24 novembre 1981, n. 689 sull'illecito amministrativo, che prevede una sanzione pecuniaria nel caso in cui venga violata una norma giuridica.
Quindi, se non vengono intraprese le rispettive contromisure, i coinvolti corrono il rischio di essere sanzionati con multe, rimborso dei profitti o persino con una pena detentiva. A ciò si aggiungono fattori esterni e interni così come ulteriori costi che possono subentrare per l’azienda colpevole, ad esempio conseguenze sul piano personale o richieste di risarcimento danni da parte di clienti e partner commerciali. Tuttavia queste sanzioni non si limitano a una singola azienda, ma possono danneggiare l'intero gruppo industriale. In questo caso anche un'assicurazione non offre tutele al riguardo.
La questione principale della compliance è quindi quella di evitare un comportamento soggetto a sanzioni o identificarlo in fretta e reagire di conseguenza per minimizzare i rischi economici. Non è possibile evitare infrazioni alle norme fatte deliberatamente, ma la presenza di misure di una compliance aziendale può portare a una riduzione di responsabilità per i dirigenti. Varia però a seconda dei casi la possibilità di diminuire la sanzione in presenza di un sistema di controllo interno all'azienda.
Un esempio famoso di infrazione della compliance è lo scandalo dei gas che da settembre 2015 ha tenuto impegnati i media, le industrie del settore e il dibattito politico: l'azienda tedesca Volkswagen AG ha autorizzato una manipolazione nelle autovetture diesel prodotte a partire da gennaio 2013 che hanno alterato i valori di ossido d'azoto e ha aggirato così le norme vigenti sui gas di scarico, un'infrazione della legge fatta consapevolmente dal management dell’azienda.
Da allora il gruppo è continuamente sotto i riflettori ed esposto ai giudizi dell’opinione pubblica: l'amministratore delegato Martin Winterkorn si è dimesso e rischia 25 anni di detenzione; la politica è diventata più severa nel controllare i produttori di autovetture e l'industria automobilistica si trova di conseguenza in una grave crisi, mentre sono in corso diversi procedimenti istruttori penali e civili.
Da settembre 2018 è iniziato il maxi processo per la richiesta di un risarcimento danni da parte degli azionisti, che potrebbe costare alla Volkswagen 9 miliardi di euro, se non di più.
Secondo obiettivo: farsi carico della responsabilità sociale d’impresa
La discussione pubblica si è ampliata fino ad arrivare a parlare di responsabilità sociale d’impresa, andando così ad aggiungere una componente etica al termine compliance. Gli stakeholder, quindi i gruppi di interessati rilevanti come i clienti, i dipendenti e la persone che abitano vicino agli impianti di produzione, si aspettano dall'azienda non solo una conformità normativa per il bene dell'azienda, ma anche l'osservanza delle virtù e dei valori morali tipici del settore. Le aziende non devono perciò presentarsi come player economici, ma soprattutto come corporate citizens (in italiano “Cittadini aziendali”) nel senso di una Corporate Social Responsibility (“Responsabilità sociale d'impresa“, abbreviato in: CSR).
Ciò che vale come piena responsabilità sociale d’impresa viene predefinito fino a un certo grado tramite organi di regolazione e codici riconosciuti a livello globale. In molti casi, in particolare nelle industrie sensibili come quelle del settore dell'energia e della chimica, ci si aspetta anche che le aziende seguano un proprio canone di valori, che incanali proattivamente e direttamente i possibili conflitti di interessi con i singoli stakeholder. Un'azienda le cui attività hanno implicazioni ecologiche deve anche comunicare i suoi requisiti per la protezione dell'ambiente e la sostenibilità in modo trasparente e prendere in considerazione eventuali critiche. Ciò si riflette positivamente sulla sua credibilità e sui rapporti commerciali.
Anche se un imprenditore si dovesse già basare sul principio della compliance, una dichiarazione sulla responsabilità sociale d’impresa sarebbe sensata da un punto di vista meramente aziendale: a parte le sanzioni, infrangere le norme può infatti condurre a una serie di conseguenze non finanziarie, come la perdita di reputazione e di fiducia tra i partner commerciali e i clienti. Anche se le accuse dovessero risultare false, il danno di immagine causato risulterebbe comunque enorme.
Nel caso delle comprovate manipolazioni da parte della Volkswagen, una semplice scusa da parte del consiglio di amministrazione non è bastata per placare il malcontento derivato dalle rivelazioni: gli istituti di ricerche e analisi di mercato hanno rilevato che l'immagine di tutto il gruppo ne è uscita molto danneggiata. Ha generato ulteriori critiche il fatto che, secondo uno studio del MIT, le autovetture diesel vendute in Germania tra il 2008 e il 2015 potrebbero essere responsabili di circa 1200 casi di morti premature in tutta Europa per via dell'inquinamento atmosferico. Così lo scandalo ha suscitato nuovamente una lunga discussione sui trasporti, cosa che mette ulteriormente sotto pressione l'industria automobilistica.
Come si applica di fatto la compliance in un'azienda?
Per l'applicazione della conformità normativa in azienda è necessario utilizzare il Compliance Management System (abbreviato in: CMS) che assicura l'osservanza di tutte le linee guida e consente il veloce riconoscimento di infrazioni. Questo CMS ha l'obiettivo di implementare e tutelare una compliance aziendale trasparente, unica e chiaramente comprensibile.
Per via della molteplicità di temi e dei settori di interesse che rientrano nel termine compliance, non è comunque un'impresa facile creare un CMS. In particolare alle PMI manca spesso il necessario know-how per portare avanti un progetto simile. Visto che a seconda del settore, delle dimensioni e del tipo di azienda così come della struttura di organizzazione derivano anche delle richieste individuali per l'implementazione, non esiste un procedimento universale. Ciò nonostante di seguito vi illustriamo a grandi linee i passaggi più importanti.
Primo passaggio: creazione di un team di compliance
All'inizio di ogni CMS si trova una chiara e unitaria dichiarazione sulla gestione dell'azienda in merito alla compliance così come una definizione personalizzata del termine per l’azienda. Solo così può essere assicurato che tutti i responsabili lavorino insieme e tentino di impedire gli equivoci sul tipo e sull'entità del progetto. La serietà della dirigenza in merito a questa dichiarazione si dimostra già dal numero delle capacità personali e dall’ammontare del budget che vi viene destinato. Un team di compliance efficiente dovrebbe essere composto da esperti provenienti da tutti i reparti di un'azienda (ad esempio gestione del personale, amministrazione delle finanze, reparto legale). Solo così è possibile identificare e coprire tutti i settori di rischio e di interesse all’interno di un'azienda.
Ulteriori competenze si ottengono rivolgendosi ad esperti esterni, come avvocati, consulenti aziendali e finanziari. Si consiglia anche di coinvolgere i rappresentanti dei lavoratori in tutti i processi decisionali. Così va ad esempio chiarito se i contratti di lavoro esistenti o gli accordi aziendali necessitino di una modifica. Un piano temporale realistico e una distribuzione dei ruoli ben definita (con un team leader competente) possono aiutare a mantenere i costi chiari e a raggiungere i risultati sperati velocemente.
Secondo passaggio: analisi di compliance
Il compito principale del team è quello di operare un'analisi reale. Non di rado viene fuori che nell'azienda sono già presenti strutture di compliance (almeno in forma rudimentale) e in particolare sotto forma di “regole non scritte”, che valgono tra i lavoratori. Sulla base di questa prevalutazione avviene poi la definizione degli obiettivi da raggiungere: quali misure e meccanismi devono essere aggiunti, modificati o creati interamente per allinearsi alla filosofia dell'azienda? In questo caso vale la pena di identificare i punti di riferimento nella società civile con cui deve fare i conti l'azienda nella routine aziendale.
L'AICOM, l'Associazione Italiana Compliance, mette a disposizione informazioni sulla gestione di un'azienda in termini di compliance per comprendere meglio cosa sia la compliance e come muoversi in questo contesto.
Di seguito vi presentiamo una selezione di possibili settori di rischio, senza pretesa di esaustività:
- diritto del lavoro (ad esempio divieti di discriminazione, diritti di codeterminazione, tutela contro il licenziamento);
- diritto alla previdenza sociale (ad esempio evitare il lavoro autonomo fittizio);
- diritto penale (ad esempio furto, estorsione, frode, evasione fiscale, lavoro in nero);
- diritto tributario (ad esempio dichiarazione dei redditi, donazioni; parola chiave: Tax Compliance);
- protezione dei dati personali in conformità al RGPD; parola chiave: IT Compliance;
- sicurezza sul lavoro in conformità alle leggi sulla sicurezza sul lavoro, regolamento sui luoghi di lavoro;
- tutela della salute;
- diritto ambientale;
- diritto pubblico;
- legislazione antitrust.
Terzo passaggio: formulazione e comunicazione della compliance aziendale
Su Internet si trovano innumerevoli schemi per redigere una compliance aziendale, non esiste però una guida generale per il contenuto e la struttura di un documento simile. Al contrario si raccomanda di adattare tutte le regole alle esigenze individuali e alle condizioni dell’azienda.
Una possibile struttura potrebbe essere la seguente:
- Regole di comportamento generali
- Circostanze specifiche (ad esempio regali ai partner commerciali, comportamento nei confronti dei concorrenti, trattamento equo dei dipendenti)
- Interlocutori e le formalità per segnalare le infrazioni
- Meccanismi di documentazione per le infrazioni
- Sanzioni (ad esempio diffide, trasferimenti, licenziamenti ordinari e straordinari, riduzione dello stipendio, risarcimento danni, denunce).
Una volta pronte, le linee guida della compliance devono essere comunicate apertamente a tutta l'azienda. Ciò avviene tramite circolari, pubblicazioni su Intranet ed eventi informativi. Organizzando regolarmente corsi di formazioni tutte le persone coinvolte nell'azienda (anche i partner contrattuali e i fornitori) devono essere sensibilizzate sulla nuova compliance aziendale. Inoltre è imprescindibile inserire delle clausole aggiuntive che stabiliscono come obbligo contrattuale il rispetto della conformità normativa.
Molte aziende decidono anche di inserire online una versione ridotta all'essenziale della compliance sotto forma di “Code of Conduct” o “Mission Statement”. Insieme a un certificato CMS ufficiale (ad esempio il TÜV o di un ente privato) una dichiarazione di questo tipo può servire a rafforzare la fiducia dei clienti e dei partner commerciali e ad attirare candidati nell'ambito dell'“Employer branding”. È però importante che i dirigenti responsabili diano sempre il buon esempio e si attengano all’interno e al di fuori dell’azienda alla compliance.
Quarto passaggio: implementazione nell'azienda e aggiornamento regolare
La responsabilità principale così come la piena responsabilità in merito alla conformità normativa risiede essenzialmente nella dirigenza dell'azienda, che può delegare tale funzione di compliance a un singolo Chief Compliance Officer o a un intero team di compliance (come nel caso della Banca Svizzera UBS).
Questi sono responsabili dei seguenti compiti:
- Implementazione e applicazione del CMS
- Organizzazione ed esecuzione di corsi di formazione
- Controllo di qualità continuo
- Sondaggi tra i dipendenti
- Controllo di modifiche alle leggi
- Adattamento, ampliamento e sviluppo del CMS, se necessario
- Documentazione di infrazioni
- Rapporti regolari all'amministrazione
Un ambito di compiti così complesso richiede un personale specializzato che sia allo stesso tempo in grado di applicare queste norme, perciò al momento di selezionare i dipendenti bisogna fare particolare attenzione. Il responsabile della compliance non deve per forza trovarsi nel più alto livello dirigenziale, ma dovrebbe avere un collegamento di comunicazione diretto, consistente e il più possibile breve, per poter lavorare efficacemente. Solo così viene garantito che l'impegno profuso per realizzare la compliance aziendale porti alla fine i suoi frutti.
Conclusione: compliance, un impedimento agli affari?
L'utilizzo e gli obiettivi di misure di compliance sono evidenti per quanto riguarda le leggi esistenti e la responsabilità sociale d’impresa. Ciò cambia però poco il fatto che questa funzione in alcune amministrazioni abbia una dubbia fama, cioè quella che le pratiche consolidate mettano in discussione l'attività aziendale in modo spiacevole e ne impediscano il suo svolgimento.
Molti vedono il problema principale nella complessità inerente e nella mutabilità del termine compliance. Le aziende, in particolare quelle che operano a livello globale, si vedono esposte a una marea di regole e divieti nazionali e internazionali, oltre che specifici del settore. A questi si aggiungono temi provenienti dalla discussione pubblica che mutano continuamente. Ciò comporta che sistemi completi di compliance management si trovino spesso solo nei grandi gruppi, mentre la tematica ricopre un ruolo meno importante nelle piccole e medie imprese.
Ancora più importante (e urgente) è sensibilizzare tutti i responsabili in azienda sulla conformità normativa e incaricare un responsabile della compliance istruito ed esperto, che possa affrontare le sfide all’immagine professionale e le riserve di molti manager.
Vi preghiamo di osservare la nota legale relativa a questo articolo.