Funzione compliance, controlli e prevenzione del rischio in azienda. Chi è e di cosa si occupa il compliance officer?

 

Breve introduzione al compliance officer

Quella del compliance officer (letteralmente “funzionario della conformità”) è una figura di non semplice inquadramento che appartiene al mondo societario. Si tratta di una figura nata in via di prassi, e per la quale non esiste una specifica normativa di riferimento.

Non per questo non merita particolare attenzione. Sulla scorta della graduale estensione del ventaglio di settori in cui la compliance ha preso piede, è anzi considerata tra le professionalità emergenti attualmente più richieste dal mercato[1].

Il presente articolo si prefigge la finalità di analizzare il ruolo svolto in azienda dal compliance officer e ripercorrere la genesi di tale figura a partire dall’evoluzione del Sistema di Controllo interno (c.d. SCI[2]) attuata dal d.lgs. 231/2001[3], nonché, a grandi linee, il suo inquadramento rispetto al complessivo sistema di governo dell’impresa (c.d. governance aziendale).

 

La funzione compliance in generale

Per trattare nello specifico della figura del compliance officer è opportuno preliminarmente trattare il tema della c.d. funzione compliance. Si tratta di una funzione aziendale specifica volta al rafforzamento dei presidi organizzativi e operativi delle società ai fini di assicurare la piena osservanza della normativa riguardante l’attività svolta e le relazioni con i propri stakeholder, e dunque garantire una piena e continua conformità alla normativa vigente.

Secondo una recente definizione, per compliance si intende “un insieme di regole che l’azienda decide di adottare per funzionare meglio[4]. In tal senso, si può dire che la compliance è la funzione orientata alla prevenzione e riduzione dei rischi di natura giuridica, finanziaria e reputazionale, derivanti dalla violazione di leggi e regolamenti, norme aziendali e norme sociali. Implementare questa funzione significa dunque permettere all’organizzazione di raggiungere, in totale sicurezza, i propri obiettivi fondamentali, preservando il buon nome dell’ente e la fiducia del pubblico nella sua correttezza operativa e gestionale e creando così un valore aziendale.

Si sente spesso parlare di “cultura della compliance”. Tale termine suggerisce che la compliance non è una semplice funzione a sé stante da relegare a un ramo autonomo della azienda, bensì una scienza specifica (intesa come conoscenza complessa), che deve necessariamente radicarsi nell’intera struttura organizzativa dell’impresa, ergendosi a vera e propria “vocazione aziendale”[5]. Tuttavia, per sua propria natura, essa dovrà anche tradursi in attività concreta e specificamente assegnata a soggetti determinati. Per tale motivo, come si dirà meglio a breve, affinché la funzione compliance possa operare efficacemente è essenziale che sia formalmente indipendente rispetto alle altre aree operative aziendali e separata dalle unità dedicate allo svolgimento dei controlli interni.

 

Il modello 231 e l’Organismo di Vigilanza

La funzione compliance ha iniziato ad avere particolare risonanza soprattutto a seguito dell’entrata in vigore del d.lgs. 231/2001, che, come è noto, ha introdotto una forma di responsabilità di tipo amministrativo[6] a carico delle organizzazioni (imprese, società, associazioni) per una lista di reati che possono essere commessi dal personale[7] a favore o nell’interesse dell’azienda stessa (es. truffa, corruzione, disastro ambientale, riciclaggio di denaro, reati societari), mettendo in discussione il tradizionale principio per cui societas delinquere non potest.

Parallelamente a tale responsabilità, disciplinata dall’art. 5, d.lgs. 231/2001, nell’ottica dell’incentivazione di una cultura aziendale improntata alla gestione e prevenzione del rischio, l’art. 6, comma 1, del medesimo decreto ha previsto per gli enti una sorta di esonero dalla stessa qualora, in occasione di un procedimento penale per uno dei reati previsti dalla normativa, dimostrino di aver adottato una serie di misure tra cui, in particolare, l’efficace attuazione di modelli organizzativi e di gestione, detti MOG (acronimo di “modelli organizzativi e di gestione”) o “modelli 231” (dal numero del decreto legislativo che li prevede) [8] [9].

L’esimente dell’articolo 6, comma 1 del d.lgs. 231/2001, non si limita, tuttavia, alla sola “adozione ed efficace attuazione” dei modelli organizzativi. Per non rispondere della responsabilità amministrativa prevista dal decreto 231 l’ente deve infatti provare anche di aver affidato a un organismo indipendente dell’ente dotato di autonomi poteri di iniziativa e di controllo il compito di vigilare sul funzionamento e l’osservanza degli stessi modelli. Si tratta dell’Organismo di Vigilianza (OdV), che può essere monocratico o collegiale. In entrambi i casi l’OdV può essere costituito da membri interni e/o da membri esterni all’ente[10].

Resta ancora da capire come si combina il contenuto del d.lgs. n. 231/2001 con la figura del compliance officer. Nonostante tale relazione possa ancora apparirci sfumata, si può fin d’ora osservare che il modello 231 rappresenta un paradigma ideale della compliance. Se una società viene condannata ai sensi del d.lgs. 231 è perché è stato commesso un reato nel suo interesse o a suo vantaggio da un suo dirigente, un suo dipendente o un suo collaboratore. Ciò significa che quell’azienda non si è saputa organizzare adeguatamente. Il decreto legislativo 231 chiede dunque alle aziende di organizzarsi nel miglior modo possibile per evitare a priori che quel reato sia commesso[11]. Per farlo la società dovrà dar risposta a una serie di quesiti di carattere organizzativo e gestionale, i quali, una volta cristallizzati nel modello 231 (denominato, appunto, “organizzativo e di gestione”), contribuiranno a organizzare meglio l’azienda nella gestione di tutti i giorni.

 

Dall’Organismo di Vigilanza alla funzione compliance

Sulla base di quanto detto finora, l’OdV deve svolgere una funzione di vigilanza sul funzionamento e l’osservanza dei MOG. Tra i suoi compiti è da annoverarsi, peraltro, quello di riferire periodicamente al Consiglio di Amministrazione e al Collegio Sindacale[12] in merito all’attuazione delle politiche aziendali per l’attuazione del modello 231.

Ma affinché l’attività dell’OdV possa garantire “una migliore resa in termini di continuità di azione, una più approfondita conoscenza dell’operatività aziendale, maggiore proattività nella gestione della compliance, l’attitudine non solo investigativa («poliziesca») ma anche «dialogica» con il vertice e le varie funzioni aziendali”[13] è opportuno che esso agisca con il supporto e in sinergia con un’altra funzione aziendale, che da un lato abbia i medesimi requisiti di indipendenza dell’OdV a garanzia dell’obbiettività di giudizio e dall’altro l’expertise e le connotazioni proprie dell’attività di controllo[14].

Tale funzione non può che essere la funzione compliance[15]. Essa può essere interna all’azienda oppure esternalizzata. Nel primo caso può costituire una struttura dedicata all’interno della società, o configurarsi come struttura decentrata in cui le attività sono svolte da strutture già esistenti all’interno della società[16], purché il personale ad essa adibito sia dotato di caratteristiche idonee in termini di professionalità e indipendenza. Nel secondo caso, invece, l’attività di compliance viene esternalizzata, e affidata a soggetti terzi professionali e indipendenti.

L’indipendenza è dunque carattere essenziale del settore compliance, il che significa che esso deve essere autonomo rispetto alle altre strutture operative e a quelle di controllo interno, ferme restando le forti interrelazioni che tale comparto può e deve intrattenere con le altre aree aziendali, che permettono alla funzione compliance di contribuire in modo efficace alla governance dell’azienda.

In ogni caso, inoltre, si pone la necessità di nominare un responsabile di tale funzione all’interno dell’azienda.

 

Il ruolo e i caratteri del compliance officer

A coordinare la funzione compliance nelle imprese maggiormente strutturate è preposto il compliance officer[17]. Tale figura, in virtù del suddetto rapporto sinergico, può far parte dell’OdV, e secondo taluno è effettivamente opportuno che ne faccia parte, poiché soddisfa appieno i requisiti di indipendenza e professionalità richiesti ai componenti dell’OdV, e allo stesso tempo conosce nel dettaglio la realtà aziendale, e i rischi a cui essa è esposta.

Sebbene la nostra riflessione sia partita dalla prevenzione del rischio di commissione dei reati di cui al d.lgs. 231/2001, va detto che il rischio di non conformità non si limita a tale ambito (che di per sé, comunque, già prevede – come si è detto – una nutrita lista di fattispecie di reato da scongiurare, e la cui applicazione presuppone la conoscenza delle relative normative di settore[18]). Il compliance officer, sempre sulla base di un c.d. risk-based approach[19], deve occuparsi di diversi ed eterogenei settori, e dunque conoscere le norme previste da diverse categorie di fonti, tra cui:

  • il codice civile e quello penale;
  • la normativa sulla protezione dei dati personali (in collaborazione con il Data Protection Officer[20]);
  • il d.lgs. 81/2008 sulla tutela della salute e della sicurezza nei luoghi di lavoro;
  • le normative di settore che regolano le imprese, come quelle relative alla responsabilità finanziaria e alla protezione dei consumatori;
  • il codice etico dell’azienda.

 

Non è necessario che il compliance officer sia un esperto in tutti i campi appena menzionati. Egli deve agire come un “direttore d’orchestra[21] e, attraverso le sue competenze trasversali e un dialogo costante con gli altri compartimenti aziendali, elaborare in maniera sistematica processi ad hoc, per assicurarsi che gli ingranaggi della funzione compliance operino senza impedimenti.

Per assolvere in maniera opportuna i compiti richiesti dal suo ruolo, si intuisce che il compliance officer dovrà essere dotato di una serie di specifiche caratteristiche professionali e personali: dovrà, innanzitutto, dimostrare un’elevata flessibilità, per far fronte alle potenziali nuove minacce che si porranno nei confronti dell’attività aziendale. Inoltre, dovrà dimostrare una certa capacità diplomatica e persuasiva, in quanto sarà chiamato a facilitare il dialogo tra i diversi settori aziendali. Infine, dovrà essere dotato di una grande autorevolezza, che gli permetta di agire nelle sedi decisionali della società e di assicurarsi che le questioni di conformità e i principi etici siano tenuti in considerazione nell’assunzione delle decisioni aziendali.

 

Conclusioni

Attualmente, imprenditori e professionisti si stanno sempre più rendendo conto che la compliance costituisce non semplicemente un obbligo a cui soggiacere, ma soprattutto una grande opportunità strategica per il business. Di fatto, grazie alla compliance, va affermandosi una sorta di “spersonalizzazione” dei controlli, a favore di un approccio basato sulla determinazione ex ante dei criteri di valutazione delle singole azioni[22]. In questo contesto il compliance officer deve agire in prima persona per educare e coinvolgere gli altri componenti dell’azienda e, in definitiva, essere garante di questo nuovo sistema, tanto vantaggioso quanto delicato.

Informazioni

D. ALUNNI, La funzione di compliance e l’organismo di vigilanza nell’ambito degli istituti bancari, in Iusinitinere.it.

F. ARECCO E G. CATELLANI, Cos’è la compliance aziendale, in Collana: Compliance, a cura di F. ARECCO E G. CATELLANI, Milano, Wolters Kluwer, 2019.

G. COCCO, La legge penale, Milano, CEDAM, 2016, 229.

M. COLACURCI, L’idoneità del modello nel sistema 231, tra difficoltà operative e possibili correttivi, in Diritto penale contemporaneo, 2, 2016.

G. DE SIMONE, La responsabilità da reato degli enti: natura giuridica e criteri oggettivi d’imputazione, in Diritto penale contemporaneo, 2010.

V. MONGILLO, L’organismo di vigilanza nel sistema della responsabilità da reato dell’ente: paradigmi di controllo, tendenze evolutive e implicazioni penalistiche, in La responsabilità amministrativa delle società e degli enti, 2015, n. 4

www.ilsole24ore.com

www.riskcompliance.it

www.teknoring.com

[1] V. il seguente articolo di F. NARIELLO sul sito del Sole 24ore: https://www.ilsole24ore.com/art/prende-quota-l-esperto-compliance-100mila-posti-prossimi-tre-anni-AC0bgbo .

[2] Talora indicato come SCIGR, ricomprendendo nell’acronimo anche i meccanismi volti alla Gestione dei Rischi. È opportuno notare in questa sede che tale acronimo è evoluto proprio in considerazione dell’importanza acquistata nel tempo dai processi aziendali di risk-management, i quali, come vedremo, sono appannaggio principale proprio della funzione compliance, e vanno attualmente a integrare in maniera sistemica i tradizionali processi di controllo interno.

[3] Decreto Legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”, pubblicato nella G.U. n. 140 del 19 giugno 2001.

[4] F. ARECCO E G. CATELLANI, Cos’è la compliance aziendale, in Collana: Compliance, a cura di F. ARECCO E G. CATELLANI, Milano, Wolters Kluwer, 2019, pg. 5.

[5] L’utilizzo di tale termine (“vocazione”) non è casuale. Oggi si sente parlare di “purpose aziendale”, che mette in luce la dimensione etica e responsabile dell’azienda, arricchendo socialmente l’offerta dell’impresa; tale concetto si contrappone al c.d. “modello gestionale”, che per lungo tempo ha orientato le imprese alla produzione di un valore meramente economico. Accanto all’idea di “purpose”, si pone oggi quella della funzione compliance, che ugualmente costituisce una nuova opportunità per le imprese. Entrambi i concetti, infatti, potenzialmente donano all’apparato societario delle nuove vesti, che non sono più quelle del soggetto che deve produrre profitto ad ogni costo, ma le vesti nuove di chi sposa delle finalità sociali ben definite, dà un’immagine positiva di sé e stringe rapporti fiduciari con la clientela. Questo valore aggiunto comporta però nuove responsabilità dal punto di vista operativo e reputazionale. Ed è qui che interviene la funzione compliance.

[6] La natura di tale responsabilità è peculiare, e merita ulteriore approfondimento non effettuabile in questa sede. In breve, si può dire che si tratta di una responsabilità di genere misto. L’ente risponde di un illecito amministrativo ed è punito con una sanzione amministrativa, ma il meccanismo di irrogazione delle sanzioni è basato sul processo penale. La responsabilità amministrativa dell’ente è peraltro autonoma ed eventualmente concorrente (qualora l’autore materiale del reato venga identificato) rispetto a quella della persona fisica che commette il reato. Tecnicamente si dice, dunque, che il d.lgs. 231/2001 introduce una fattispecie di illecito amministrativo dipendente da reato. Tuttavia, la questione della natura giuridica della responsabilità ex d.lgs. 231/2001 (penale, amministrativa o tertium genus?) rimane ancora fortemente dibattuta. Ex multis, G. COCCO, La legge penale, Milano, CEDAM, 2016, 229; G. DE SIMONE, La responsabilità da reato degli enti: natura giuridica e criteri oggettivi d’imputazione, in Diritto penale contemporaneo, 2010.

[7] Più specificamente l’art. 5 del d.lgs. 231/2001 dispone che: “L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)”.

[8] Si tratta dunque di un approccio punitivo-premiale detto “carrot-and-stick approach”, ossia “modello bastone e carota”, ispirato ai compliance programs di matrice statunitense. Tale modello prevede che l’ente debba da una parte fare attenzione, perché per alcuni reati commessi a suo interesse o vantaggio è prevista una sanzione (bastone), ma d’altra parte qualora adotti un modello di organizzazione finalizzato alla prevenzione dei reati avrà una attenuazione della pena o addirittura ne sarà esente (carota); esso si contrappone al tradizionale modello “command-and-control” penalistico, come viene evidenziato esplicitamente nella relazione di accompagnamento al d.lgs. 231. Cfr. Relazione ministeriale al d. lgs. 231/2001, punto 8, nel quale si afferma quanto segue: “Piuttosto che sancire un generico dovere di vigilanza e di controllo dell’ente sulla falsariga di quanto disposto dalla delega (con rischio che la prassi ne operasse il totale svuotamento, indulgendo a criteri ispirati al versari in re illicita), si è preferito allora riempire tale dovere di specifici contenuti: a tale scopo, un modello assai utile è stato fornito dal sistema dei compliance programs da tempo funzionante negli Stati Uniti”. Su tale argomento si veda M. COLACURCI, L’idoneità del modello nel sistema 231, tra difficoltà operative e possibili correttivi, in Diritto penale contemporaneo, 2, 2016, nel quale è peraltro possibile reperire specifica bibliografia.

[9] Per approfondire temi e argomenti legati al modello 231 si vedano i seguenti articoli: L. LOTTI, Il rapporto tra modello 231 e giurisprudenza (al link http://www.dirittoconsenso.it/2020/01/21/il-rapporto-tra-modello-231-e-giurisprudenza/ ), su Dirittoconsenso.it; IDEM, Modello 231 e l’ardua sfida del Covid-19 (al link http://www.dirittoconsenso.it/2020/04/06/modello-231-e-lardua-sfida-del-covid-19/ ), Ivi.

[10] È bene specificare che, in generale, sia l’adozione del modello 231 che l’istituzione di un OdV non rappresentano un obbligo di legge, ma una facoltà dell’ente. Tuttavia, i fattori incentivanti rispetto all’adozione di tali strumenti sono talmente rilevanti da aver ridotto significativamente lo spazio di scelta, soprattutto per le imprese di medie e grandi dimensioni. E questo non solo perché, come si è detto, la loro istituzione costituisce una causa di non punibilità per l’ente, ma anche perché l’Autorità Garante della concorrenza e del mercato (AGCM), nel regolamento per l’attribuzione del Rating di legalità, ha posto come criterio anche l’adozione e l’efficace attuazione del modello 231, nonché l’assenza di condanne per i reati di cui allo stesso decreto. Accanto alle osservazioni relative ai fattori incentivanti rispetto all’adozione del MOG e all’istituzione dell’OdV, non può inoltre non menzionarsi la proposta contenuta nel d.d.l. 726, recante “Modifica al decreto legislativo 8 giugno 2001, n. 231, in materia di responsabilità amministrativa delle società di capitali, cooperative e consortili”, presentato nel 2018 al Senato, il quale prevede appunto una rilevante modifica al d.lgs. 231/2001, ossia l’obbligatorietà, per alcune categorie societarie aventi determinati requisiti, del MOG e della nomina dell’OdV. Il disegno di legge prevede inoltre delle sanzioni ingenti per le società inadempienti. È chiaro che, qualora tale d.d.l. dovesse essere approvato, l’impianto del decreto 231 ne uscirebbe decisamente rafforzato e quella che fino ad oggi si è configurata come una mera facoltà, per molte società diventerà un vero e proprio obbligo.

[11] F. ARECCO E G. CATELLANI, Op. cit., 17.

[12] In Italia il collegio sindacale è l’organo tradizionalmente deputato al controllo. Ad esso, storicamente, sono stati affidati compiti di controllo molto estesi sia sull’amministrazione, sia sulla regolare tenuta della contabilità. Il Sistema di Controllo interno (SCI), tuttavia, non si limita di certo all’azione del collegio sindacale, ma è ben più strutturato e complesso. Esso si configura come un sistema stratificato, su più livelli, e affidato a una moltitudine di soggetti, a partire dal Consiglio di amministrazione (CdA), organo di vertice a cui spetta la responsabilità finale del SCI. Esso, a sua volta, si avvale di un altro organo, avente natura consultiva: il Comitato per il Controllo e Rischi. Tale ultimo Comitato è nominato dallo stesso CdA, così come l’Amministratore incaricato del SCI, il quale dà esecuzione alle linee di indirizzo elaborate dal CdA, realizza e gestisce il Sistema di Controllo Interno.

[13] Tali esigenze sono individuate da V. MONGILLO, L’organismo di vigilanza nel sistema della responsabilità da reato dell’ente: paradigmi di controllo, tendenze evolutive e implicazioni penalistiche, in La responsabilità amministrativa delle società e degli enti, 2015, n. 4. L’autore descrive l’OdV come perennemente in tensione tra due paradigmi contrapposti: quello c.d. “funzionale” e quello “istituzionale-societario”.

[14] Per una interessante disamina relativa alle opportunità derivanti dalla correlazione tra l’Organismo di Vigilanza e la funzione di compliance, si veda il seguente articolo: E. LUNGARO, C. REGOLIOSI, C. PAPA, La sinergia della compliance, longa manus dell’organismo di vigilanza, sulla piattaforma Risk & Compliance Platform Europe, del 29 agosto 2019, disponibile al link: https://www.riskcompliance.it/news/la-sinergia-della-compliance-longa-manus-dellorganismo-di-vigilanza/ .

[15] Cfr. D. ALUNNI, La funzione di compliance e l’organismo di vigilanza nell’ambito degli istituti bancari, in Iusinitinere.it, il quale afferma che: “Esistono importanti sinergie tra le attività dell’Organismo di Vigilanza e quella della Funzione di Compliance, al punto che quest’ultima costituisce uno dei principali supporti dell’Organismo di Vigilanza stesso”.

[16] Spesso sono state, ad esempio, attivate delle unità specialistiche addette alla valutazione delle misure volte a prevenire i rischi di non conformità all’interno delle preesistenti strutture di Internal Audit (revisione interna). Tuttavia, è attualmente in corso il processo di separazione della compliance dall’Internal Audit, anche perché questo collegamento ne inficerebbe in qualche modo l’indipendenza, che, invece, deve essere carattere specifico degli addetti alla compliance e di tutta la funzione. Questo poiché la funzione di compliance, alla stessa stregua di qualsiasi altra area aziendale, è periodicamente sottoposta a verifica di adeguatezza e di efficacia da parte dello stesso compartimento di revisione interna, e una sua commistione con quest’ultimo porrebbe evidentemente un problema di conflitto di interessi.

[17] Oggi, in Italia, si tratta di una figura obbligatoria solamente per banche, intermediari che offrono servizi di investimento ed assicurazioni. Diverse disposizioni tecnico-operative emesse dalle autorità indipendenti di settore (Consob, Banca d’Italia e Isvap), recependo i principi guida in materia di gestione dei rischi espressi nell’accordo internazionale noto come Basilea II, hanno infatti previsto per questi soggetti, l’istituzione di un’apposita funzione incaricata della gestione del rischio di non conformità.

[18] Tra tutte si ricorda la normativa anticorruzione introdotta per il settore pubblico dalla legge Severino del 2012 (legge n. 190/2012), e per quello privato dalla Determinazione ANAC n. 8  del 17 giugno 2015, recante «Linee guida per l’attuazione della normativa in materia di prevenzione della corruzione e trasparenza da parte delle società e degli enti di diritto privato controllati e partecipati dalle pubbliche amministrazioni e degli enti pubblici economici», pubblicata in G.U. serie generale n. 152 del 3 luglio 2015.

[19] Approccio basato sul rischio, in quanto, come si è detto, la strategia di azione del compliance officer, in linea con le domande rivolte alla funzione compliance, è proprio quella di lavorare in maniera innovativa per prevedere e anticipare gli eventi in grado di alterare i processi aziendali, e dunque provocare danni per il business.

[20] Si tratta del Responsabile della protezione dei dati, figura introdotta dal Regolamento europeo GDPR del 2016 (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE), pubblicato in G.U. del 4 maggio 2016. Ha delineato tale figura R. GIULIANI, La privacy e il trattamento dei dati personali, su Dirittoconsenso.it (al link http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/ ).

[21] Cfr. A. QUARANTA, Compliance management: una professione chiave per le imprese, su Teknoring.com, 8 giugno 2020, disponibile al link: https://www.teknoring.com/news/risk-management/compliance-management-professione-futuro-imprese/  .

[22] Vedi M. BALDUCCI, Ma cosa è questa compliance?, sulla piattaforma Risk & Compliance Platform Europe, 15 gennaio 2020, disponibile al link: https://www.riskcompliance.it/news/ma-cosa-e-questa-compliance/  .