Con il termine “compliance” si intende la conformità delle attività aziendali alle disposizioni normative, ai regolamenti, alle procedure ed ai codici di condotta.
La compliance aziendale, tramite la valutazione dei rischi connessi all’attività e l’adozione di specifiche procedure interne, si preoccupa di prevenire la commissione di reati da parte degli organi societari, di individuare eventuali disallineamenti tra le procedure aziendali e l’insieme delle regole interne ed esterne all’impresa, di coordinare e garantire l’attuazione degli adempimenti richiesti dalle disposizioni normative, e ciò con l’obiettivo di proteggere l’azienda dai rischi di natura legale e reputazionale.
Il tema della compliance delle società, sia pubbliche che private, in funzione di prevenzione del rischio di reato e, in generale, del rischio di impresa, si impone oggi sempre più cogente e necessario. Compliance che tende, a partire dagli stessi interventi del Legislatore, verso un sistema integrato di strumenti e modelli di gestione, prevenzione e controllo.
In particolare il D.lgs. 12 gennaio 2019, n. 13, che ha introdotto nell’ordinamento giuridico italiano il nuovo “Codice della crisi d’impresa e dell’insolvenza” (d’ora in avanti C.C.I.I.), in attuazione della legge 19 ottobre 2017, n. 155, trattando degli adeguati assetti organizzativi di cui le imprese sono tenute a dotarsi, richiama l’esperienza positiva dei c.d. “compliance program”, discipline, queste, che incentivano le imprese a dotarsi di modelli di governance ispirati alle best practice di settore, allo scopo di ottenere una concreta limitazione dei rischi derivanti dallo svolgimento delle proprie attività.
In questo contesto l’esperienza più nota e consolidata è sicuramente quella del D.lgs. 8 giugno 2001, n. 231, che disciplina la responsabilità amministrativa da reato degli enti.
Ed infatti, così come il D.lgs. 231/2001 si pone l’obiettivo della prevenzione dei “reati presupposto” tramite l’analisi delle fonti di rischio e l’adozione di protocolli interni atti a prevenirli, il C.C.I.I. ha lo scopo di incentivare l’impresa ad adottare sistemi virtuosi per la prevenzione dello stato di insolvenza. A tal fine, analogamente a quanto accade nell’ambito del D.lgs. 231/2001, il legislatore prevede:
l’adozione di un assetto organizzativo e di appositi sistemi di segnalazione idonei a contrastare il rischio d’insolvenza e a far emergere tempestivamente situazioni di allarme;
l’attribuzione ad organi di controllo indipendenti del compito di vigilare sul funzionamento dell’assetto organizzativo e a vagliare eventuali alert relativi allo stato della società;
misure premiali per le imprese che abbiano investito nella compliance, approntando adeguati strumenti di prevenzione e segnalazione delle eventuali situazioni di insolvenza.
L’elemento comune di queste discipline è proprio il c.d. risk based approach, in virtù del quale l’ente è chiamato a identificare i rischi relativi alla propria attività e ad attivarsi al fine di presidiarli in modo adeguato e coerente alle proprie dimensioni e al contesto operativo di riferimento.
Tali interventi normativi, che si pongono il comune obiettivo di salvaguardare sotto diversi profili l’integrità di una impresa, sollecitano una riflessione sulla possibilità ed opportunità di una gestione integrata tra i vari sistemi di compliance.
Si pensi ad esempio come il Modello organizzativo di gestione e controllo ai sensi del D.lgs. n. 231/2001, adottato ai fini della prevenzione dei “reati presupposto”, debba necessariamente prevedere specifiche procedure in materia di gestione dei flussi finanziari, gestione della contabilità e del processo di redazione e approvazione del bilancio di esercizio, oltre che in materia di adempimenti tributari; procedure che, se predisposte secondo un approccio integrato ai sistemi di compliance, potrebbero risultare altresì idonee alla tempestiva emersione di eventuali situazioni di insolvenza, così come richiesto dal nuovo Codice della Crisi d’Impresa.
Tali sistemi normativi, però, se non attentamente coordinati tra loro, rischiano di sovrapporsi, generando inutili – se non dannose – duplicazioni di procedure, regolamenti e controlli.
Da qui la necessità di una compliance integrata che abbracci le diverse discipline attraverso l’utilizzo dei medesimi metodi di analisi del rischio e dei medesimi criteri per il controllo e per la prevenzione dello stesso, pur preservandone la rispettiva specificità.
Da questo punto di vista, con specifico riferimento al rapporto tra gli assetti organizzativi per la prevenzione della Crisi d’Impresa e i Modelli organizzativi adottati ai sensi del D.lgs. 231/2001, un primo sforzo di coordinamento e reciproca integrazione potrebbe riguardare il tema dei controlli. In particolare, è auspicabile che l’Organismo di Vigilanza, nominato ai sensi del D.lgs. 231/2001, e gli organi di controllo di cui all’art. 14 del Codice della Crisi d’Impresa instaurino un rapporto di costante collaborazione, allineando le rispettive attività di verifica.
Ad esempio, per favorire l’efficiente circolazione delle informazioni, le segnalazioni di situazioni o fattori di allerta, nonché lo stesso ricorso alle procedure di composizione della crisi d’impresa previste dal Codice, dovrebbero essere rese oggetto dei flussi informativi verso l’Organismo di Vigilanza. A sua volta, quest’ultimo dovrebbe periodicamente aggiornare gli organi di controllo di cui all’art. 14 del Codice in ordine ai controlli effettuati sul funzionamento del Modello organizzativo adottato ai sensi del D.lgs. 231/2001, particolarmente nell’ambito dei processi relativi alla gestione degli adempimenti societari e fiscali.
Ne consegue che solo l’efficace coordinamento dei diversi sistemi di compliance, in cui le dette procedure normative sono considerate non come meri adempimenti formali, distinti e autonomi tra loro, bensì quali componenti di un unico assetto organizzativo, complessivamente finalizzato alla gestione dei rischi aziendali, può scongiurare eventuali antinomie e inutili sovrapposizioni, migliorando l’efficacia e la sostenibilità delle misure adottate e degli investimenti effettuati nell’implementarle, assumendo sempre maggiore importanza la realizzazione di un’organizzazione di impresa nella quale gestione e controlli risultino sempre più integrati e interconnessi.