Skip to main content

La corporate compliance integrata quale disruptive innovation nell’ambito della duplice transizione digitale e green

La corporate compliance integrata è un tema ancora poco conosciuto, peraltro privo di una letteratura scientifica di livello internazionale. Marco Letizi ripercorre a tutto campo gli approcci metodologici e le strategie che le imprese possono applicare per raccogliere la sfida e creare valore sul lungo termine.

La corporate compliance integrata è un tema ancora poco conosciuto, peraltro privo di una letteratura scientifica al livello internazionale e che, tuttavia, non viene ancora intesa nella sua accezione più ampia anche in linea con gli obiettivi indicati dall’Unione europea nell’ambito della strategia per il conseguimento della duplice transizione digitale e green delineata nella Comunicazione della Commissione al Parlamento europeo e al Consiglio del 29 giugno 2022, Relazione di previsione strategica 2022. 

 

Abbinamento tra transizione verde e transizione digitale nel nuovo contesto geopolitico 

In Italia, i pochissimi contributi esistenti sul tema sono stati elaborati, per scopi meramente consulenziali, da alcune società multinazionali e da alcuni studi legali fanno essenzialmente riferimento al sistema di gestione dei rischi disciplinati dal D.Lgs. n. 231/2001, con riferimenti generici all’utilizzo di piattaforme di data management. In particolare, il concetto di compliance integrata, richiamata nella letteratura nazionale, afferisce all’implementazione nelle imprese di infrastrutture IT, dedicate all’analisi integrata dei big data provenienti dai vari ambiti normativi richiamati dal D.Lgs. n. 231/2001. 

Anche Confindustria, nelle sue Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231, al paragrafo 3.1 Sistema integrato di gestione dei rischi, riconduce il concetto di compliance integrata al sistema di gestione dei rischi di cui al decreto 231, precisando, altresì, che un approccio integrato dovrebbe, quindi, contemplare procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi. 

Il concetto di corporate compliance come descritto nelle pubblicazioni anzidette 

– ancorché risulti integrato, in quanto si ispira a principi collaborativi tra le competenti funzioni aziendali e alla condivisione dei flussi informativi, allo scopo di assicurare adeguati livelli di efficienza ed efficacia delle procedure di valutazione dei rischi ed evitare che si generino sovrapposizioni o duplicazioni di verifiche e controlli – tuttavia presenta dei limiti evidenti. 

In primo luogo, secondo quanto si legge in dette pubblicazioni, l’integrazione si realizza nell’alveo del sistema di gestione dei rischi regolato dal modello di organizzazione, gestione e controllo (MOG 231) che – in quanto strumento privilegiato di auto-responsabilizzazione aziendale – viene sfruttato per un approccio integrato della gestione dei rischi che tenga conto anche della normativa in tema di sostenibilità. 

In altri termini, secondo questa impostazione, si dovrebbero mappare, tra gli altri, i rischi in tema di sostenibilità e poi integrare la lista dei reati-presupposto previsti dal D.Lgs. n. 231/2001, allo scopo di mitigare i rischi di non conformità aziendale. Ebbene, il primo limite risiede proprio nel tentare di comprimere gli aspetti di sostenibilità nel più ristretto sistema di gestione dei rischi disciplinato dal D.Lgs. n. 231/2001, in ragione del fatto che le informazioni contenute nei MOG 231 rappresentano solo un sottoinsieme del ben più ampio patrimonio informativo contenuto nel bilancio di sostenibilità, come previsto dalla Corporate Sustainability Reporting Directive. 

È evidente che, in tale modello di compliance, sia l’approccio metodologico che l’infrastruttura IT sono imperniati essenzialmente sulla struttura del MOG 231, che però non appare adeguata alle mutate esigenze di compliance, integrata con gli aspetti di sostenibilità.Invero, il D.Lgs. n. 231/2001 prevede che l’ente si doti di un modello di organizzazione e gestione che – mediante la predisposizione e l’attuazione di protocolli e procedure – attui soluzioni preventive rispetto alla commissione di talune tipologie di reato (reati presupposto). Il punctum dolens è che la complessa ed eterogenea normativa di sostenibilità ha introdotto una molteplicità di adempimenti normativi che – solo in parte e, peraltro, in via indiretta – possono integrare i reati-presupposto previsti dal D.Lgs. n. 231/2001 e che, indipendentemente dall’integrazione dei reati-presupposto 231, possono determinare, qualora non rispettati, delle refluenze estremamente pregiudizievoli per l’impresa in termini economici, legali e reputazionali con la conseguente perdita di competitività sul mercato. Inoltre, se nel sistema di gestione dei rischi di non conformità 231 sono ben identificati i soggetti in forza all’organizzazione aziendale (soggetti in posizione apicale o soggetti sottoposti alla direzione o alla vigilanza degli apicali), la cui condotta penalmente rilevante può far scattare la responsabilità amministrativa dell’impresa, diversamente, nel più ampio framework di compliance – integrata con gli aspetti di sostenibilità l’impresa è chiamata a effettuare una serie di valutazioni (quantitative e qualitative) che esondano dal perimetro dell’ecosistema aziendale e che coinvolgono, ad esempio, i providers e i clienti in supply chain. È evidente, pertanto, che il sistema di gestione dei rischi di non conformità sulla base del MOG 231 non può disciplinare tutte le molteplici ed eterogenee fattispecie riferite ai più ampi aspetti di sostenibilità. 

Il secondo limite riferito al concetto di corporate compliance integrata menzionato in alcune delle richiamate pubblicazioni, è rappresentato dalla vaghezza con la quale viene utilizzato l’aggettivo integrata senza esplicitare l’approccio metodologico alla base di detta integrazione. Ad esempio, in alcune pubblicazioni si fa riferimento, in via generica, ai vantaggi che detta integrazione dovrebbe produrre, in termini di maggiore efficienza del sistema di condivisione delle informazioni e di maggiore efficacia nella gestione dei rischi di non conformità; in altre pubblicazioni, si evidenzia il carattere multidisciplinare del processo di integrazione. 

Proprio con riferimento al carattere multidisciplinare riferito alla corporate aziendale integrata, si ritiene che detta attribuzione non sia metodologicamente corretta, in quanto il processo di integrazione non è solo multidisciplinare ma soprattutto interdisciplinare e ciò si traduce, sul piano operativo, nell’adozione di una infrastruttura IT che non si limiti a correlare i big data (a metterli cioè in relazione), secondo appunto un approccio multidisciplinare, ma che sia anche capace di integrarli in senso interdisciplinare, valutando anche l’impatto delle decisioni aziendali in tema di compliance sugli stakeholder e la comunità e le interazioni tra questi ultimi e l’impresa (convergenza o interdisciplinarietà). Non v’è dubbio che l’integrazione degli ambiti tradizionali di compliance con la complessa ed eterogenea tematica della sostenibilità imponga alle imprese di compiere uno sforzo ulteriore rispetto all’approccio multidisciplinare, il quale implica una mera giustapposizione delle conoscenze, per cui la complessità viene affrontata secondo diverse prospettive che si riferiscono a discipline differenti. Infatti, non è più sufficiente che i risultati di ciascuna disciplina siano tra loroco mplementari e che si tragga  vantaggio dal fatto che, allo scopo di rispondere a problemi di ricerca complessi, ogni aspetto possa essere analizzato da una particolare specialità. Diversamente, il complesso tema della sostenibilità impone che le imprese gestiscano i rischi di compliance in un’ottica interdisciplinare o integrata. 

Secondo l’approccio interdisciplinare gli esperti devono dialogare tra loro e dal confronto delle varie discipline devono scaturire processi creativi (generatori di nuove idee) e innovativi (implementazione di tali nuove idee); a seguito di tale processo di osmosi informativa , è necessario che tra le varie discipline – o 

almeno tra alcune di esse – si trovino punti di contatto, in modo da generare percorsi operativi risolutivi delle criticità individuate. In altre parole, anziché lavorare in modo indipendente, secondo l’approccio interdisciplinare le varie discipline interagiscono e lavorano in modo collaborativo. 

L’integrazione delle varie discipline si basa sulla conoscenza condivisa ed è in grado di generare un nuovo campo interdisciplinare. Atteso l’elevato livello di specializzazione raggiunto nelle singole discipline, è necessario un approccio    olistico, al fine di affrontare in modo adeguato le complessità, superandone le relative criticità e ciò determina necessariamente un ulteriore passo in avanti: le discipline non solo devono dialogare su obiettivi comuni ma devono trascendersi nel senso che devono innescare un lavoro rigoroso, multidimensionale, inclusivo e creativo: ampliando il più possibile la visione della complessità oggetto di analisi; condividendo le informazioni attraverso un processo di stakeholder engagement e quindi mediante il coinvolgimento e l’inclusione delle istituzioni, università, esperti, rappresentanti di organizzazioni non governative, rappresentanti della società civile e tutti coloro che possano avere un interesse e possano fornire un contributo rispetto alle complessità rilevate; compenetrando le differenti discipline e facendo emergere da tale compenetrazione un oggetto nuovo, diverso dalle discipline originarie e allo stesso tempo a esse riconducibili. L’approccio convergente o transdisciplinare non tiene conto né del numero delle discipline coinvolte né di una eventuale rigida gerarchia; in altri termini, tali limiti e rapporti perdono il loro significato in quanto nuove discipline si vanno continuamente affermando, altre spariscono o si disattivano temporaneamente all’interno di un sistema di partizione della conoscenza privo di centri e di gerarchie. Al pari dell’approccio interdisciplinare, l’approccio convergente comporta l’integrazione delle discipline e lo spostamento dei processi di pensiero, ma si spinge oltre, integrando le intuizioni e gli approcci di quelle che storicamente sono state discipline scientifiche e tecnologiche distinte, in una prospettiva profondamente collaborativa e di intima integrazione tra le stesse con un impatto positivo sulla comunità e gli stakeholder. 

In sostanza, l’approccio convergente va oltre l’integrazione delle discipline per riunire topics che storicamente non hanno mai interagito e aggiungendo la componente dell’impatto sulla comunità e sugli stakeholder. Pertanto, l’approccio metodologico al contempo multidisciplinare, interdisciplinare e convergente, appare necessario al fine di affrontare in modo adeguato 

– e secondo un approccio olistico – le complessità della corporate compliance 

integrata, nei termini descritti nel presente articolo, che consideri gli ambiti tradizionali di compliance come  parte integrante del più ampio framework di sostenibilità. 

La trasposizione sul piano tecnologico dell’approccio metodologico multidisciplinare, interdisciplinare e convergente, si realizza mediante l’implementazione di un’infrastruttura IT aziendale, supportata da tecnologia digitale all’avanguardia, che consenta: l’acquisizione massiva dei big data rilevanti per l’impresa (data mining) provenienti da fonti esterne e dalla supply chain (gestita attraverso tecnologia IoT, Edge Computing in un’infrastruttura blockchain in un’ottica di sustainable supply chain management); che i big data, afferenti agli ambiti tradizionali di corporate compliance vengano messi in relazione e integrati con gli aspetti di sostenibilità; che la valutazione dei rischi venga successivamente sviluppata sui big data integrati, determinandone il rischio specifico e complessivo attraverso un cruscotto operativo dedicato ( Risk Control Matrix ). 

 

Nel prossimo futuro, un’impresa che si dichiari sostenibile deve aver integrato un proprio IT framework, supportato da tecnologie digitali, capace di integrare big data eterogenei, mitigando il rischio di non conformità complessivo e formulando analisi predittive per una gestione proattiva dei rischi. Di conseguenza, un’impresa sarà tanto più sostenibile quanto più essa sarà conforme ai vari ambiti normativi e i livelli di compliance saranno tanto più efficaci quanto essi risulteranno integrati. È importante che la corporate compliance integrata si realizzi nell’ambito della duplice transizione digitale e green, attraverso l’applicazione del binomio tecnologia digitale + applicazione della legge. 

Sotto un profilo normativo, le intime interrelazioni esistenti tra gli ambiti tradizionali della corporate compliance e gli aspetti di sostenibilità possono essere individuate mediante un’analisi normativa comparata. A un livello più generale, i principi universali contenuti nell’Agenda 2030 delle Nazioni Unite rappresentano la pietra d’angolo cui tutti gli ambiti di compliance fanno riferimento (tradizionali e di sostenibilità). Gli obiettivi di sviluppo sostenibile contenuti nell’A genda 2030, la Corporate Sustainability Reporting Directive, il Regolamento Tassonomia, il Regolamento SFDR, i criteri ESG utilizzati dagli investitori per valutare il comportamento sostenibile delle imprese e per determinarne la performance finanziaria futura, i rischi di non conformità di cui al D.Lgs. n.231/2001, assurgono a veri e propri elementi di cerniera tra gli ambiti della compliance tradizionale e gli aspetti di sostenibilità, i quali fanno parte di un unicum che deve necessariamente essere misurato e valutato secondo un approccio olistico; in tal senso, il framework di sostenibilità ingloba gli ambiti tradizionali di compliance (in buona sostanza, ci si riferisce al sistema di gestione dei rischi ex D.Lgs. n. 231/2001) e ciò, a maggior ragione, implica la naturale integrazione e il completamento delle differenti discipline, dando vita a un framework interdisciplinare nuovo e capace di rispondere, in modo sistemico, alle diverse esigenze della compliance aziendale nel suo complesso anche in un’ottica di conseguimento degli SDGs e di assolvimento agli obblighi di rendicontazione societaria non finanziaria per i soggetti economici obbligati (e non solo). 

 

Gli effetti positivi di un’efficace corporate compliance integrata ( esternalità positive) si riflettono sulla comunità e sul territorio e l’impresa, attraverso un processo di stakeholders engagement , condivide con questi ultimi gli aspetti di criticità e acquisisce proposte, idee e percorsi risolutivi alternativi (approccio convergente o transdisciplinare). Le imprese devono assumersi il rischio di rivoluzionare radicalmente il loro approccio alla complessità e innovare la loro infrastruttura IT se vogliono implementare una gestione integrata dei rischi di compliance realmente efficace e al passo con i tempi, nonché in linea con gli obiettivi di sviluppo sostenibile. 

 

Quali sono i principali elementi ostativi alla realizzazione di modelli di corporate compliance integrata? 

Sebbene l’interrelazione tra corporate compliance e sostenibilità sia innegabile, sul piano operativo, le imprese considerano la compliance e la sostenibilità ancora come concetti distinti, enfatizzando la lunga disputa normativa e dottrinale nel diritto societario sul ruolo degli interessi degli stakeholder nella governance aziendale. Infatti, nei mercati competitivi globali, molte imprese conformano le loro strategie aziendali alla mera logica del profitto, secondo dinamiche economiche di tipo lineare e non in linea con gli obiettivi di sviluppo sostenibile stabiliti dall’Agenda 2030 delle Nazioni Unite. 

 

In tale contesto, la gestione ottimale del trade-off tra crescita aziendale e sostenibilità sembra essere impedita dall’assenza di chiarezza circa le modalità di integrazione armonica dei principi CSR ( qualitativi ) ed ESG ( quantitativi ) all’interno dell’organizzazione aziendale, in modo che questi ultimi possano impattare positivamente sulle attività aziendali generando, nel medio-lungo periodo, valore per l’impresa. La questione se la compliance debba o meno occuparsi di sostenibilità è un falso dilemma, non solo perché un numero sempre crescente di imprese ha rafforzato il processo di stakeholder engagement, implementando innovazioni di sviluppo sostenibile, ma anche perché il legal framework eurounitario e nazionale impone oggi alle imprese di conformarsi agli obblighi normativi imposti dalla normativa in tema di sostenibilità e di gestirne le eventuali criticità, assumendo iniziative di compliance volte a mitigarne i rischi. 

L’analisi delle interconnessioni tra conformità aziendale e sostenibilità ha rivelatoche quest’ultima pone alla funzione di compliance aziendale nuovi problemi operativi e una serie di considerazioni cruciali: in primo luogo, le imprese devono affrontare sfide per valutare la loro conformità a una normativa eurounitaria e nazionale in tema di sostenibilità sempre più esigente, complessa e in continua evoluzione; in secondo luogo, la conformità in tema di sostenibilità deve essere misurata e valutata in tutte le attività aziendali; in terzo luogo, il greening organizzativo impone alle organizzazioni un ripensamento radicale dell’organizzazione e della cultura aziendale; infine, la conversione sostenibile dell’organizzazione – sia al livello di value chain che in termini di implementazione dei principi di sustainability supply chain management – implica il sostenimento di costi di conformità. Tali aspetti non solo evidenziano preoccupazioni oggettive, ma spesso mettono anche in dubbio la capacità delle organizzazioni di realizzare efficacemente i loro obiettivi di sostenibilità.  

Con riferimento all’integrazione degli aspetti di sostenibilità, l’assenza di misure efficaci nella disponibilità delle imprese di quantificare in modo oggettivo ed esaustivo i benefici in termini economici e reputazionali, derivanti dall’allineamento ai criteri ESG dei loro processi aziendali, rappresenta un elemento ostativo alla piena realizzazione della corporate compliance integrata; peraltro, l’impianto normativo eurounitario in tema di sostenibilità sembra più incentrato a definire metriche e valutazioni interne all’impresa, volte a monitorarne gli sforzi, piuttosto che misurare i risultati conseguiti e il loro impatto. 

 

Un altro elemento ostativo alla piena realizzazione della corporate compliance integrata è rappresentato dal possibile disallineamento dei valori aziendali ai principi introdotti dalla sostenibilità; l’incapacità dell’impresa di convertire la propria organizzazione in senso sostenibile pregiudica l’efficacia della compliance. Inoltre, i dipendenti – soprattutto quelli più sensibili alle tematiche ecosostenibili e sociosostenibili, a fronte del richiamato disallineamento, potrebbero non riconoscersi con i valori espressi dall’impresa, interpretando il mandato di compliance aziendale come incoerente, non etico o addirittura illegale; tutto ciò potrebbe determinare una frattura nel rapporto fiduciario tra dipendenti e top management aziendale, causando refluenze pregiudizievoli sui livelli di performance e inducendo i dipendenti a sottrarsi alle loro responsabilità nei confronti dell’organizzazione e della normativa vigente. Non v’è dubbio che l’implementazione del modello di corporate compliance integrata sia un processo innovativo disruptive per un’impresa, in quanto è capace di creare discontinuità, inducendo il management aziendale ad assumere decisioni così radicali da far divergere in modo significativo le traiettorie tecnologiche e le procedure operative aziendali correnti e consentendo, in tal guisa, lo sviluppo di nuove applicazioni basate su tecnologie all’avanguardia. E’ anche possibile che, nelle imprese dove già esiste un’infrastruttura IT supportata da tecnologia digitale, l’innovazione potrebbe essere incrementale, in quanto la tecnologia esistente potrebbe essere adattata e migliorata ai fini del processo di acquisizione e integrazione dei flussi informativi provenienti dai diversi ambiti nell’ottica di una gestione integrata dei rischi; ciò significa che il successo dell’implementazione di un’infrastruttura IT digitale, capace di gestire in modo integrato i diversi ambiti di compliance, potrebbe essere determinata dalla somma di tante innovazioni e cambiamenti incrementali e non necessariamente dalla realizzazione di un’innovazione disruptive. 

 

Da ultimo, affinché possa davvero realizzarsi una corporate compliance integrata, la realizzazione del binomio tecnologia digitale + applicazione della legge non è sufficiente. 

È, difatti, necessaria una rivoluzione copernicana nella cultura di fare impresa che non deve limitarsi a difendere l’eccellenza dei prodotti e servizi offerti, preservando o tentando di migliorare il proprio posizionamento sul mercato, ma deve invece prendere consapevolezza che il proprio ecosistema aziendale è parte integrante di un ben più ampio meccanismo che deve necessariamente essere in armonia con i principi universali di sviluppo sostenibile contenuti nell’Agenda 2030 delle Nazioni Unite. Nell’attuale quadro globale, disruptive innovation per un’impresa significa integrare i principi della resilienza, della sostenibilità, dell’economia rigenerativa e circolare a tutti i livelli attraverso l’implementazione di tecnologia digitale all’avanguardia. 

_____ 

(*) A cura di Marco Letizi, Avvocato Dottore Commercialista Revisore Legale -PhD Researcher Facoltà Economia Università “La Sapienza” Roma,Global Consultant Nazioni Unite Commissione Europea Consiglio d’Europa.Consulente Tecnico e Perito Penale Tribunale di Milano,Esperto di green economy ed ESG Audit. 

di Marco Letizi | Sole24ore Professionale