Quando si parla di Compliance aziendale si fa riferimento alle misure, agli strumenti e alle attività necessarie a prevenire e ridurre i rischi di natura giuridica e finanziaria, derivanti dalla violazione di leggi, regolamenti e norme aziendali.
Garantire la conformità a leggi e regolamenti permette all’organizzazione aziendale di raggiungere, in totale sicurezza, i propri obiettivi fondamentali, preservando una buona immagine dell’ente e la fiducia dei suoi stakeholder nella sua correttezza operativa e gestionale, creando così un valore.
Uno strumento di compliance è oggi rappresentato dai Modelli Organizzativi 231, disciplinati dal Decreto Legislativo n. 231 del 2001, che consentono alle aziende di dotarsi di un sistema personalizzato di gestione e controllo dei rischi.
L’attività di compliance si estende, oltre al D. Lgs. n. 231 del 2001, anche, ad esempio, al Regolamento Privacy (GDPR/Regolamento 2016/679), alla normativa antiriciclaggio (D. Lgs. 231/2007), alla normativa anticorruzione, alla salute e sicurezza sui luoghi di lavoro (D. Lgs. 81/2008), alla disciplina che riguarda la figura del Dirigente Preposto alla redazione dei documenti contabili e societari (Legge 262/2005), alla comunicazione di informazioni non finanziarie - DNF (D. Lgs. 254/2016), alla prassi di riferimento per la gestione e certificazione della parità di genere (UNI/PdR 125/2022).
La Service Line RICO RSM, dove RICO sta per Risk e Compliance, ha pertanto l’obiettivo di supportare i nostri clienti nella valutazione, ottimizzazione e monitoraggio dei processi e dei rischi aziendali e nell’implementazione di Modelli Organizzativi efficaci, utilizzando servizi e strumenti innovativi.
L’approccio metodologico proposto dal Team RICO consente di rafforzare i presidi organizzativi volti ad assicurare la piena osservanza delle norme che regolano lo svolgimento dell’attività e, in particolare, le relazioni con la clientela.
Il supporto del Team RICO si attua attraverso:
- l’implementazione di modelli e strumenti per la gestione e il monitoraggio della compliance aziendale; in tal caso RSM svolge la funzione di Compliance Officer, ma in modalità outsourcing, oppure, in alternativa
- l’assistenza nella pianificazione e nello svolgimento delle attività necessarie a garantire la conformità a leggi, regolamenti e norme aziendali, laddove il cliente fosse dotato della funzione Compliance.
IL TEAM
Per affrontare le sfide, sostenere i cambiamenti e supportare le imprese, abbiamo individuato un team di professionisti con le migliori competenze in ambito Modelli Organizzativi 231, Risk e Compliance:
- Matteo Bignotti - è leader del team RSM che si occupa di Risk e Compliance con particolare focus sulla progettazione ed implementazione dei Modelli Organizzativi 231. Matteo ha un approccio giuridico, organizzativo, strettamente correlato e integrato con le expertise di altri team RSM.
- Lara Conticello – Risk e Compliance, Modelli Organizzativi 231, ESG, certificazione parità di genere.
- Pierpaolo Pagliarini – Audit & Assurance, ESG e Modelli Organizzativi 231
- Fortunato Summonte - Risk and Advisory Services Leader
- Raffaele Mazzeo - Sustainability Services ESG Strategy Leader
I SERVIZI
Modelli Organizzativi 231 – L’approccio metodologico di RSM
Il Modello Organizzativo 231, in passato considerato un mero costo a cui non ci si poteva sottrarre, si sta oggi affermando sempre di più come un’opportunità organizzativa da cui l’azienda può trarre grandi benefici.
RSM ha fatto suo questo nuovo approccio metodologico, che vede la centralità dei processi aziendali e delle persone, ed è in grado di affiancare i suoi clienti durante l’intero processo di adozione dei Modelli Organizzativi 231.
I LIMITI DI UN APPROCCIO FOCALIZZATO SUL REATO
Il D.lgs. 231 è stato pubblicato il 19 giugno 2001.
La prescrizione del Modello di Organizzazione, Gestione e Controllo in esso contenuta ha vissuto fasi alterne, passando dall’essere reputata una inutile facoltà, ad essere ritenuta un adempimento vivamente consigliato con il precipuo scopo di evitare la mannaia dei Tribunali, che avevano gioco troppo facile nell’estendere agli enti la responsabilità amministrativa per i reati commessi dai loro apicali e sottoposti. Ancora oggi, dopo tutto questo tempo, il Modello Organizzativo viene nella maggior parte dei casi della sua applicazione considerato come un male necessario, un adempimento formale e costoso, da affrontare nel modo più economico possibile.
Come naturale conseguenza, l’approccio metodologico nell’attuazione ed adozione dei Modelli Organizzativi si è fino ad oggi basato su presupposti prettamente giuridici che hanno dato vita a procedure di risk assessment focalizzate sul reato, anziché sui processi aziendali e sulle persone.
La carenza principale di un modello organizzativo basato sulla centralità del reato è che non intercetta i processi aziendali nella loro completezza, lasciando di fatto scoperte e non presidiate molte aree di contiguità tra i meccanismi che sovraintendono al funzionamento aziendale e i reati che possono essere commessi nel loro svolgimento.
Risultato pratico: ad oggi pochi Modelli Organizzativi sono in grado di dimostrare che l’azienda è in possesso di uno strumento completo ed efficace nella prevenzione e controllo della commissione dei reati contenuti nel catalogo 231.
Verso una nuova vision: processi aziendali al centro
Recentemente, grazie alla spinta di un’onda fortemente etica provocata sia dal legislatore che da vari enti preposti ai controlli ed alla vigilanza su vari settori dell’economia, la vision della norma è cambiata:
- i Modelli organizzativi sono visti non solo come meri strumenti atti a prevenire e controllare la commissione dei reati da parte dei responsabili delle varie funzioni aziendali, ma anche come strumenti per la revisione e razionalizzazione dei meccanismi operativi che sottendono al funzionamento di tutta l’organizzazione;
- l’adozione e attuazione dei Modelli Organizzativi non viene più vissuta come mero “obbligo normativo”, ma come reale opportunità organizzativa, ovvero come imperdibile occasione per analizzare e, se necessario, ridisegnare l’intero sistema di funzionamento della macchina aziendale.
L’OFFERTA DI RSM per adozione e attuazione dei modelli organizzativi 231
Un nuovo approccio metodologico che ha ribaltato la logica operativa e che RSM ha fatto suo: il punto di partenza non è più il reato, ma il processo aziendale che assume il suo naturale ruolo di perno attorno al quale ruota sia la procedura di risk assessment che la progettazione del Modello Organizzativo 231.
Un approccio che consente di affiancare l’azienda nel percorso completo, oppure dare supporto nell’ambito di ciascuna singola fase in funzione di specifiche esigenze.
RSM si avvale di professionisti multidisciplinari: revisori, aziendalisti, ingegneri di processo, esperti di audit e risk management, esperti di compliance, avvocati e consulenti di sistema in grado di coadiuvare il processo di risk assessment utilizzando tecniche sia tradizionali che innovative quali la gamification.
IL PROCESSO DI PROGETTAZIONE ED IMPLEMENTAZIONE DEI MODELLI ORGANIZZATIVI SECONDO L’APPROCCIO DI RSM
La metodologia applicativa di RSM per la progettazione e implementazione dei modelli 231 si basa su tre processi modulari consequenziali, ma funzionalmente indipendenti.
- Il primo processo è quello di Risk Assessment, che ha l’obiettivo di conoscere e fotografare l’azienda, evidenziando le aree organizzative di maggior interesse ai fini della progettazione e implementazione del modello.
- Il secondo processo è quello di Progettazione e Implementazione vera e propria del Modello 231.
- Infine, il terzo processo è quello di Controllo e Monitoraggio del Modello attraverso la verifica della sua costante adeguatezza nonché dei flussi informativi provenienti dai presidi di controllo. Vediamole nel dettaglio.
L’ATTIVITÀ DI RISK ASSESSMENT
- Inquadramento generale dell’azienda: ha l’obiettivo di raccogliere informazioni per arrivare al disegno del ciclo attivo e del ciclo passivo aziendale. Il grado di dettaglio con cui si realizza il disegno dei processi dipende ovviamente dal grado di formalizzazione dell’impianto organizzativo aziendale.
- Assessment sul personale: ovvero individuazione dei soggetti apicali e sottoposti, con raccolta di informazioni e documenti (deleghe, procure, job description, regolamenti interni, compliance, ecc.) che il modello tiene costantemente monitorati e aggiornati.
- Assessment sui reati: ovvero analisi del rischio inerente della possibilità da parte di apicali e sottoposti di commettere i reati di cui al D.Lgs. 231/2001. Obiettivo principale dell’analisi è la valutazione, con riferimento ai reati che risultano con rischio medio/alto, dei presidi di controllo esistenti e di confrontarli con quelli idealmente necessari per prevenire e controllare le condotte criminose.
- Action Plan. Viene fornita all’ente una visione dello status quo nonché un dettaglio delle attività necessarie per la progettazione ed implementazione del Modello 231. Ci sono realtà con funzioni di audit talmente efficienti da necessitare di pochi interventi. Esistono altresì realtà per le quali è necessario strutturare i processi e formalizzare i sistemi di controllo.
- Produzione del documento eseguibile. Si tratta della fornitura di un piano esecutivo che può anche essere messo in atto “stand alone”, seguendo le linee guida in esso contenute.
L’ATTIVITÀ DI PROGETTAZIONE E IMPLEMENTAZIONE DEL MODELLO 231
- Setup organizzativo. Si tratta di eseguire gli interventi organizzativi che emergono dalla GAP analysis di cui al punto 2 del Risk Assessment.
- Setup dei presidi di controllo.La prevenzione ed il controllo di alcuni reati prevede l’implementazione di presidi di controllo obbligatori per Legge. Obiettivo di questa attività è, sulla base della Gap Analysis di cui alla fase 3 del Risk Assessment, quello di implementare i presidi necessari a prevenire e controllare la commissione dei reati 231.
- Setup degli strumenti di prevenzione. Questa è l’attività con la quale, tipicamente, si approntano il codice etico e quello disciplinare. Inoltre, si procede alla programmazione ed attuazione dell’attività di formazione continua a tutto il personale dipendente.
- Il risultato finale è il Modello organizzativo 231. Fornito non solo come output digitale interattivo ma anche, e soprattutto, come insieme di procedure atte a prevenire e controllare la commissione dei reati di cui al D.Lgs. 231 da parte di Apicali e Sottoposti.
L’ATTIVITÀ DI MONITORAGGIO del modello organizzativo 231
L’Organismo di Vigilanza ha due funzioni principali: ricevere dai presidi di controllo appositamente istituiti alert sulle variazioni delle potenzialità di rischio; monitorare lo stato di adeguatezza “continua” del modello.
- Monitoraggio sull’aggiornamento del modello. Molto concretamente, consiste nel far “girare” periodicamente la procedura di risk assesment per verificare se vi sono variazioni organizzative, o di Legge, che impongono rettifiche e/o aggiornamenti al modello.
- Monitoraggio dei flussi informativi. I presidi di controllo vengono progettati ed implementati per fornire appositi report semestrali (o anche trimestrali se necessario) sullo stato di rischio inerente di commissione dei reati e sulle eventuali azioni intraprese dalle funzioni preposte per il contrasto alle relative condotte.
Sistema di gestione per la parità di genere
Adottare una politica di parità di genere basata sul rispetto e la valorizzazione della diversità e delle pari opportunità sul luogo di lavoro è una delle pratiche che distinguono le aziende più innovative ed a maggiore redditività.
La prassi di riferimento UNI/PdR 125:2022, entrata in vigore il 16 marzo 2022, definisce le linee guida sul sistema di gestione per la parità di genere e si candida ad essere il primo ed unico riferimento per tutte le organizzazioni che decidono di perseguire la parità di genere. Per creare un ambiente di lavoro inclusivo, seguendo le prescrizioni contenute nella prassi Uni/PdR 125:2022, le organizzazioni devono misurare, rendicontare e valutare i dati relativi al genere al fine di colmare i gap e produrre un cambiamento sostenibile e durevole nel tempo. Per individuare correttamente i dati e le informazioni afferenti all’inclusione e alla parità di genere, l’organizzazione deve utilizzare determinati indicatori di performance (KPI), così come previsti dalla prassi, caratterizzati dall’essere percorribili, pertinenti e confrontabili e in grado di guidare il cambiamento e di rappresentare il continuo miglioramento messo in atto.
Come supportiamo le aziende verso la certificazione della parità di genere
Il Team RICO di RSM, alla luce delle raccomandazioni operative fornite dalla prassi, supporta le aziende nella definizione del piano strategico che deve essere messo in atto al fine di tutelare e valorizzare la parità di genere e che si traduce nell’impostazione di un modello gestionale che, attraverso la predisposizione e il continuo monitoraggio di adeguati KPI, consenta all’organizzazione di mantenere i requisiti definiti e attuati.
Il supporto operativo del Team si traduce nell’implementazione delle seguenti fasi del piano strategico, così come previsto dalle linee guida fornite dalla UNI/PdR 125:2022 (fonte UNI/PdR):
- identificazione dei processi aziendali correlati ai temi relativi alla parità di genere individuati;
- identificazione dei punti di forza e di quelli di debolezza rispetto ai temi;
- definizione degli obiettivi;
- definizione delle azioni decise per colmare i gap;
- definizione, frequenza e responsabilità di monitoraggio dei KPI definiti.
RSM assiste il cliente anche nel mantenimento di tutti gli aspetti del sistema di gestione, e cioè la raccolta e l’archiviazione della documentazione, il monitoraggio degli indicatori, la comunicazione interna ed esterna, la pianificazione e l’implementazione di audit di conformità interni, la gestione delle non conformità e le azioni di miglioramento e la revisione periodica del sistema.