La compliance normativa è un aspetto da non sottovalutare nel momento in cui ci si appresta ad avviare un business.
Per chi non è del settore può essere complicato comprendere e applicare tutta una serie di accorgimenti necessari a tutelare la propria azienda o startup.
Ecco perché mi sono rivolto a Michela Belnudo, avvocato esperto di compliance e GDPR per imprese e startup, per rivolgerle alcune domande e scoprire come muoversi al meglio nel settore legal.
Ciao Michela. Tu, come avvocato, sai bene quali sono i rischi di una compliance normativa non corretta. Puoi spiegarci meglio qual è la funzione della compliance e come gestire i rischi connessi?
Per compliance aziendale o Legal Governance, Risk & Compliance (LGRC) si intende l’adeguatezza e conformità di tutte le attività aziendali alle procedure, ai regolamenti, alle disposizioni di legge e ai codici di condotta, nonché alle best practice, ovvero tutto ciò che ha permesso con l’esperienza e le azioni più significative, di ottenere in molti contesti, anche diversi tra loro, i migliori risultati.
È attraverso la compliance, quindi che ogni azienda, ponendo in essere attività preventive, evita di addentrarsi nel rischio di mancanza di rispetto delle normative di settore o, qualora si riscontrasse la non conformità a tali norme, è proprio tramite la compliance che si valutano e di conseguenza si mettono in atto le soluzioni più efficaci per evitare tale rischio. Tutto questo, ovviamente, ha come obiettivo primario quello di salvaguardare una società dai rischi di carattere legale e preservare di conseguenza la sua reputazione. La Compliance Aziendale agisce dunque, anche sulle scelte strategiche dell’imprenditore.
Per citarne solo alcune, le tematiche che vengono presidiate attraverso la compliance sono la Tutela del consumatore, le Certificazioni di qualità e Normative ISO; la Sicurezza Informatica e Data protection; la Normativa Antiriciclaggio; la Privacy e Trattamento dei dati personali; la Lotta alla corruzione; la Responsabilità degli enti e delle persone giuridiche ex D.lgs. 231/2001.
Per gestire i rischi di compliance le aziende devono dotarsi di processi e strutture organizzative che si occupino di prevenzione delle violazioni e delle regole le cui conseguenze sarebbero inevitabilmente sanzioni, perdite operative, provvedimenti di interdizione parziale o totale dell’attività e non ultimi danni reputazionali.
È per questo che il processo di compliance deve essere gestito nell’ ambito di strutture organizzative, attività politiche e procedure finalizzate a prevenire il rischio di non conformità dell’operato aziendale.
Prevenendo tale rischio le aziende avranno relazioni di fiducia con la clientela, tuteleranno gli amministratori da possibili responsabilità personali, creeranno comportamenti più armoniosi tra i dipendenti, faranno nascere imprese maggiormente competitive verso i concorrenti arrivando a consolidare anche i propri principi etici.
Prevenire tali rischi vorrà dire anche arginare ricadute negative sul bilancio e di conseguenza sull’immagine e reputazione presso l’opinione pubblica, la comunità finanziaria e tutti gli stakeholder.
Molti imprenditori e startupper, nel processo di crescita del business, tendono ad impiegare sempre più spesso nuove tecnologie. Questo complica le cose a livello di compliance normativa? Come cambia l’approccio alla conformità ai regolamenti quando cambiano gli strumenti impiegati?
È con la tecnologia che c’è stata senza dubbio la semplificazione e conseguente accelerazione di molti processi aziendali ed è con essa che si sono riscontrati, quindi, migliori risultati in termini di produttività ed efficienza delle imprese.
Molte organizzazioni, negli ultimi decenni hanno visto crescere il proprio successo anche grazie all’information technology.
Fortunatamente direi, all’evoluzione tecnologica è seguita e segue ancora, l’evoluzione di strumenti a supporto della compliance aziendale.
Penso subito ad un’evidente semplificazione nei sistemi di tracciabilità, alla possibilità di impostare specifici alert, e evidentemente al decreto 231/2001.
Questo sistema deve necessariamente integrarsi con gli altri sistemi gestionali della società, essere flessibile e modulabile e prevedere una serie di caratteristiche quali la possibilità di tracciare e monitorare le attività, di comunicare chiaramente con le risorse aziendali e soprattutto di gestire la copiosa documentazione.
Oggi anche grazie all’impiego di tecnologie d’avanguardia come Data Analytics e Artificial Intelligence, le funzioni aziendali possono svolgere in modo estremamente semplice attività in passato complesse e onerose.
Ad esempio, è possibile lavorare sui documenti in modo congiunto, digitalizzarli inserendo metadati o collegamenti ipertestuali che introducono nuove funzionalità di ricerca e supporto; consigliare automaticamente miglioramenti e correzioni su controlli di rito prima affidate esclusivamente all’attenzione e precisione umana.
È chiaro, come gli strumenti tecnologici possano quindi semplificare le funzioni aziendali preposte alla gestione della compliance.
L’utilizzo dell’Intelligenza Artificiale permette, infatti, di valutare un maggior numero di opzioni in un inferiore arco temporale lasciando quindi più tempo alle riflessioni e considerazioni che non possono e mai potranno prescindere dall’arbitrio e dalla competenza di un consulente.
E questa crescente interazione tra uomo e macchina permette la conquista di un livello più avanzato ed efficace di produttività, anche in ambito compliance.
La versatilità di questi strumenti e le enormi potenzialità ad essi correlate favoriscono, quindi, indubbiamente, i sistemi di compliance.
In tutti i casi, e a prescindere dalla focalizzazione dei sistemi di Big Data Analytics verso l’una o l’altra tematica in tema di compliance, si tratta di procedure il cui utilizzo potrebbe determinare un epocale mutamento del concetto stesso di compliance.
Da tutto ciò deriva, inevitabilmente, una lecita riflessione relativa all’equilibrio, a volte precario, tra l’utilizzo di questi nuovi strumenti tecnologici e il rispetto dei principi di governance delle imprese e sull’impatto che questi hanno o possono avere sui principi costituzionali.
Se da un lato indubbiamente è palese una semplificazione dei processi ed una riduzione della possibilità di errore, dall’altro è indispensabile però un’attenta analisi e supervisione onde garantire la provenienza dei dati da fonti affidabili e sicure per garantire un’effettiva ed efficiente analisi del rischio.
Ritengo, che rispetto a questi sistemi tecnologici resti sempre e comunque onere delle singole organizzazioni decidere, oltre alla struttura del software di analisi da impiegare e la base dati da inserire nel sistema, anche quali indagini far svolgere alla macchina e in quali procedure aziendali prevedere l’applicazione dei sistemi intelligenti, sia nell’ambito del risk assessment sia in quello del risk management.
Mantenendo comunque una visione positiva è necessaria, quindi, un’analisi prospettica sui rischi legali correlati onde assicurare un meccanismo il più possibile integrato.
Puoi spiegarci cos’è il GDPR, a cosa serve e come ogni imprenditore può impiegarlo a suo vantaggio?
In estrema sintesi, Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati.
Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
La necessità di una così puntuale regolamentazione in merito al trattamento di dati personali e sensibili nasce sostanzialmente dalla riflessione fatta in precedenza: la digitalizzazione e gli sviluppi tecnologici stanno rendendo ormai più agili e veloci tutte le attività all’interno di un’impresa e richiedono di conseguenza anche maggiori garanzie di sicurezza per tutti i dati che riguardano i soggetti coinvolti.
La nuova normativa non deve essere vista dalle aziende come un semplice obbligo il cui mancato rispetto può determinare, quindi, il comminarsi di una serie di sanzioni, bensì come un’opportunità di acquisire una metodologia che permetta di migliorare i propri processi aziendali.
Nello specifico le novità più rilevanti introdotte dal GDPR prevedono: la gestione e l’uso dei dati personali in un’ottica di totale trasparenza; il trattamento e la raccolta dei dati personali limitato a scopi legittimi specifici; la possibilità di correzione dei propri dati personali con conseguente richiesta di cancellazione; un’archiviazione limitata esclusivamente al tempo necessario allo scopo per cui sono stati raccolti; garanzie di sicurezza adeguate.
Tutto questo complesso sistema comporta una razionalizzazione dei processi e delle procedure con una conseguente maggiore protezione dei dati considerati oggi il cuore di ogni business.
Pare chiaro a tutti come la garanzia dei dati significhi maggior fiducia da parte del cliente. Essere in grado di far sentire al sicuro il cliente significa garantire il successo del business.
Puoi spiegarci anche che cosa disciplina il decreto 231/2001?
Quando si parla di 231 ci si riferisce al Modello Organizzativo, di Gestione e Controllo aziendale previsto e disciplinato dal d.lgs. 231/2001.
Lo scopo del d.lgs. 231, che disciplina la responsabilità da reato delle società e degli enti, è quello di prevenire e reprimere la commissione di diversi reati da parte dei soggetti legati da un rapporto funzionale/organico con l’ente, come gli amministratori, i dipendenti e i fornitori.
Essa introduce per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito.
In pratica, l’ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli enti e gli interessi economici dei soci, i quali, fino all’entrata in vigore del d.lgs. 231/2001, non subivano conseguenze a seguito della realizzazione di reati commessi, a vantaggio o nell’interesse della società, dagli amministratori e/o dai dipendenti.
Destinatarie del d.lgs. 231 sono dunque le persone giuridiche, le società o associazioni anche prive di personalità giuridica e gli enti pubblici economici, che potranno essere sanzionati nel caso si accerti, nell’ambito di un processo penale, che il comportamento illecito della persona fisica sia stato tenuto nell’interesse o a vantaggio dell’ente.
Quest’ultimo, al contrario, potrà andare esente da responsabilità nel caso si sia dotato di un Modello di Organizzazione, Gestione e Controllo (Modello 231, o MOGC, o Compliance Program) nel quale abbia preliminarmente “mappato” il rischio di commissione reati e abbia quindi adottato tutte le misure organizzative necessarie ad eliminare la possibilità della loro commissione, prevedendo altresì la comminazione di sanzioni adeguate a carico degli autori del reato.
All’ente viene richiesta, in pratica, l’adozione di modelli comportamentali specificamente costruiti sul rischio-reato, vale a dire volti a impedire, la commissione di determinati reati.
A oggi, il catalogo dei reati definiti come il “presupposto” della responsabilità dell’ente si è ampliato notevolmente necessitando, quindi, la materia di una particolare attenzione stante la sua costante evoluzione.
Svelaci qualche segreto del mestiere: quali sono le 5 regole principali per una corretta compliance normativa?
Un consulente esperto in compliance aziendale ha come obiettivo primario quello di blindare comportamenti soggetti a sanzioni o, quantomeno, di essere in grado di identificarli precocemente e quindi di ridurre al minimo i rischi economici e reputazionali conseguenti.
Ad oggi, in realtà, ed in seguito ad un’evoluzione del concetto di compliance, un bravo consulente si fa anche carico della responsabilità sociale dell’impresa.
Un’azienda di successo, oggi, è un’azienda conforme sicuramente alla normativa, ma anche con una spiccata corporate social responsability.
Per garantire alle aziende di raggiungere questi obiettivi è necessario, prima di tutto, operare una valutazione della gestione dell’azienda in merito alla compliance ed effettuare una puntuale analisi dei rischi connessi all’attività. Da un consulente esperto di compliance ci si aspetta, infatti, un’analisi reale.
A quella che potrebbe essere definita una compliance “in brutta copia” presente in quasi tutte le aziende, deve essere affiancata ad opera del consulente una compliance strutturata, che sia in grado di stabilire gli obiettivi da raggiungere, le misure e i criteri da integrare e, soprattutto, la percezione di cosa cambiare e creare ex novo per allinearsi alla filosofia aziendale.
Affinché tutto quanto predisposto e razionalizzato effettivamente garantisca adeguata tutela e non resti una costruzione astratta, va pianificata una adeguata formazione a tutto il personale aziendale nonché della dirigenza.
In ultimo, non bisogna assolutamente tralasciare una continua attività di implementazione nell’azienda e un aggiornamento regolare.
Ma sicuramente il segreto più importante è affrontare il tema con puntualità, precisione e attenzione, evitando atteggiamenti superficiali che potrebbero risultare pericolosi e dannosi.
Mi sento di dire che un bravo consulente è soprattutto colui il quale riesce a trasmettere ai propri clienti l’opportunità insista nelle procedure previste, facendogli comprendere, fino in fondo, che quella che all’inizio può sembrare una complicazione delle attività, arginandole dentro dei precisi canali, sarà ciò che determinerà una crescita ed un successo non solo a breve termine ma anche nel lungo periodo.
La compliance normativa è vista, spesso, da startupper e imprenditori come un limite allo sviluppo del business e al successo. È davvero così? Come è possibile adeguare la compliance ad un business in crescita al fine di accompagnarne lo sviluppo senza frenarlo?
La credenza che un puntuale sistema di compliance possa rallentare o addirittura ostacolare la crescita del business, purtroppo, paga lo scotto che molto spesso accompagna il concetto stesso di diritto, ovvero la percezione di una sorta di substrato astratto che imponga divieti e limitazioni spesso, mi rendo conto, di difficile comprensione.
Sono cosciente che le aziende, in particolare quelle che operano a livello globale, si vedono esposte a una marea di regole e divieti nazionali e internazionali, oltre che specifici di settore.
Se si riesce, però, a superare questa percezione ci si accorge che un corretto utilizzo della compliance aziendale, non fa altro che evitare sanzioni, promuovere e consolidare i propri principi etici, migliorare le proprie relazioni con la clientela, tutelare gli amministratori da possibili responsabilità, armonizzare e meglio controllare i comportamenti dei manager e dei dipendenti.
Se ci si sofferma a riflettere, pare evidente che un buon livello reputazionale, la capacità di blindare a monte le minacce, un solido ed efficace track record delle attività del sistema compliance e dei controlli interni, altro non fanno se non integrare e rafforzare la capacità penetrativa e competitiva di un’organizzazione.
I rischi si trasformano in opportunità quando l’organizzazione riesce a sviluppare una profonda consapevolezza delle situazioni di rischio, oltre che delle normative da rispettare. E questo, forse, è uno degli obiettivi principali di un consulente esperto di compliance.
Stai per avviare una startup e hai bisogno di qualche chiarimento in campo legale? I mentor e advisor di Grownnectia possono affiancarti e supportarti anche per la compliance normativa e il GDPR.
0 Commenti
Lascia un commento