Cos’è una compliance aziendale


Quando si parla di compliance aziendale si fa riferimento alla conformità di tutte le attività aziendali in tema di procedure, regolamenti, disposizione di legge e codici di condotta. Lo scopo principale della compliance quindi mira a proteggere l’azienda dai rischi di carattere legale e reputazionale. In questo articolo un nostro esperto si addentrerà nel tema per rendere comprensibile l’argomento.

Indice:

Come opera la funzione compliance

Modelli organizzativi efficienti

Per migliorare la competitività ed evitare danni economici e reputazionali

Gestione del rischio di non conformità

 

Come opera la funzione compliance

 

Compliance, Privacy, Labor Project

 

 

Il presupposto da cui occorre partire è che la funzione compliance opera in un’ottica di tutela dell’azienda. Si occupa, infatti, di verificare l’allineamento del business aziendale alla normativa che regola il settore di riferimento.

In che modo?

  • Adotta i controlli e presidi imposti dalla Legge, verificando il loro puntuale adempimento.
  • Vigila affinché vengano rispettate le procedure interne aziendali, ragion per cui ha un ruolo centrale nel sistema dei controlli interni.
  • Contribuisce al rafforzamento dei presidi aziendali, collocandosi su un piano complementare rispetto a quelli già esistenti (risk management, internal audit).
  • Implementa con protocolli aggiuntivi la vigilanza.
  • Effettua su richiesta del business attività di consulenza, in qualità di specialista della materia.
  • Svolge un’attività di verifica nella gestione del rischio, al fine di prevenire la violazione di leggi, regolamenti, codici di condotta ed etici.

 

Modello organizzativo 231

 

modello organizzativo 231, Labor project

 

 

Un Modello Organizzativo 231 efficiente è tale solo se costruito dopo una concreta analisi della realtà aziendale per cui deve essere redatto. Quindi non può essere un modello precostituito, ma deve essere cucito come un abito sartoriale sulle “forme e misure” dell’azienda.

  • Caratteristiche

Entrando nello specifico deve tenere conto di:

  • attività svolte,
  • effettivi rischi esistenti di commissione di reati presupposto, ovvero i reati previsti dal D.LGS 231/2001 dalla cui commissione può derivare una responsabilità per l’ente.
  • regole già implementate al suo interno (procedure, istruzioni operative, certificazioni, sistemi di gestione) che saranno richiamate nel Modello stesso.

Non si tratta, dunque, di un format precostituito che può essere applicato indistintamente ad ogni società.

  • Per essere efficace un Modello Organizzativo deve:

    • istituire protocolli e procedure per evitare che accadano reati considerati realizzabili (in base al risk assessment effettuato per la redazione del Modello) in una data area sensibile della società: deve quindi essere in grado di minimizzare il rischio di reato;
    • Essere costantemente aggiornato in base alle ultime novità normative o rispetto alle modifiche organizzative rilevanti per la Società o, ancora, nel caso di commissione di reato: non deve quindi essere un modello esistente solo sulla carta, ma un documento in grado di adattarsi ai mutamenti che interessano la società;
    • istituire un sistema sanzionatorio da applicare nel caso in cui vengano commesse infrazioni rilevanti ex D.lgs. 231/2001;
    • prevedere la nomina di un Organismo di Vigilanza che – dotato di tutti i requisiti richiesti per lo svolgimento dell’incarico – operi una concreta vigilanza sull’osservanza del modello in un’ottica di continuità d’azione; insieme alla nomina dell’Organismo di Vigilanza, il Modello deve prevedere dei flussi informativi da e verso l’O.d.V., in modo da creare uno scambio di informazioni funzionali ad operare una continuativa verifica della corretta gestione dei processi aziendali;
    • diffondere la cultura 231 all’interno dell’Organizzazione: i dipendenti, come gli apicali devono essere informati circa l’adozione del Codice Etico e Modello Organizzativo, ma anche conoscerne il contenuto ed il funzionamento, nonché l’obbligatorietà del suo rispetto. Devono dunque essere previsti corsi di formazione mirati per rendere il personale impiegato presso la società partecipe del “meccanismo 231”, dando specifiche istruzioni su come agire rispetto alla eventuale rilevazione di violazioni rilevanti ex D.lgs. 231/2001, vale a dire segnalando le condotte o le potenziali condotte illecite 231 per mezzo di un canale dedicato, che deve essere appositamente istituito dalla società.

 

Per migliorare la competitività e non incorrere in danni economici e reputazionali

 

Decreto Legislativo Privacy | Labor Project

 

 

La funzione compliance opera un buon lavoro se, sulla base di una forte conoscenza normativa riesce ad individuare il perimetro entro cui può operare il business, senza superare la sottile linea di demarcazione tra consentito e condotta illecita. La compliance, infatti, non deve avere come scopo quello di imbrigliare la società con l’imposizione di un elefantiaco numero di regole da rispettare, bensì permettere alla stessa di sfruttare massimamente le potenzialità commerciali, senza tuttavia incorrere nella violazione di divieti che comporterebbero danni economici/reputazionali.

 

 

 

Gestione del rischio di non conformità

 

Registro dei trattamenti privacy

Il rischio di non conformità si gestisce con una buona funzione compliance attraverso alcune semplici regole:

  • Conoscenza approfondita della normativa applicabile al settore di riferimento,
  • Intercettazione ex ante dei potenziali rischi di non conformità cui la società potrebbe essere esposta,
  • Studio di un percorso di conformità da seguire per evitare che il rischio si concretizzi in una violazione,
  • Gestione di eventuali rilievi effettuati ex post predisponendo risoluzioni delle problematiche ad hoc, fondandosi sempre sul principio di massima libertà del business contenuta nei limiti del rispetto delle prescrizioni normative cogenti e delle regole aziendali interne.
Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia