I programmi internazionali di compliance: una sfida ma anche un’opportunità per le imprese internazionali di ogni dimensione

Fino a tempi recenti, la parola compliance era prevalentemente associata a determinati settori specifici in cui operano imprese di grandi dimensioni: bancario e finanziario, assicurativo, farmaceutico. Pur essendo ancora vero che in tali settori esiste un quadro regolamentare specifico, che determina esigenze di compliance specifiche, è altrettanto vero che esistono ormai in molti Paesi dei sistemi normativi, di regola ricondotti alla nozione di “compliance”, che trascendono i confini di specifici settori e riguardano invece tutte le imprese di una certa dimensione e talvolta tutte le imprese, indipendentemente dalla loro dimensione.

ANTICORRUZIONE

Consideriamo l’esempio della disciplina in materia di anticorruzione.

In Francia, la legge n. 2016-1691, comunemente detta Loi Sapin II, si applica ad imprese che superano una certa dimensione, imponendo l’adozione di un articolato programma di compliance.  Nel Regno Unito, la legge principale in materia di anticorruzione è il Bribery Act 2010, che si applica a tutte le imprese indipendentemente dalla loro dimensione e, pur non imponendo l’adozione di un programma di compliance, lo rende estremamente utile, in virtù del suo effetto potenzialmente esimente in caso di commissione di condotte corruttive, oltre a costituire un utile strumento di prevenzione delle stesse. Sempre in materia di anticorruzione, il Foreign Corrupt Practices Act (FCPA) degli Stati Uniti concerne principalmente atti di corruzione commessi al di fuori degli Stati Uniti ma ha un ambito di applicazione vasto, che ricomprende anche condotte aziendali che hanno una connessione con gli Stati Uniti che a prima vista potrebbe apparire tenue.

Seguendo questo esempio, un’impresa italiana che abbia filiali o interessi in Francia, Regno Unito o Stati Uniti e che intenda dotarsi di un programma di prevenzione della corruzione, perderebbe un’opportunità se focalizzasse il proprio programma anticorruzione esclusivamente sulle esigenze italiane, in particolare quelle relative al modello organizzativo ex D.Lgs.231/01, tralasciando gli aspetti del programma che potrebbero avere una valenza di prevenzione e di giustificazione in relazione ai regimi di responsabilità in Francia, Regno Unito e Stati Uniti.

Usando un esempio opposto, la filiale italiana di un gruppo americano perderebbe un’opportunità se non segnalasse alla propria capogruppo la necessità di integrare nel programma di compliance anticorruzione internazionale di gruppo, basato sul FCPA, le esigenze derivanti dalla normativa italiana, e in particolare  le opportunità derivanti dall’esistenza del modello organizzativo 231.

PROTEZIONE DEI DATI

Un altro settore in cui la principale normativa ha un’applicazione pressoché universale, indipendentemente dalle dimensioni aziendali, è quello della protezione dei dati, dove il Regolamento (UE) 2016/679 (cosiddetto GDPR) richiede l’adozione di un programma di compliance da parte di qualsiasi impresa che tratti dati personali, che siano dati di dipendenti, clienti o fornitori.

Il GDPR offre anche una preziosissima opportunità  alle imprese, quella di creare un programma di compliance internazionale che sia fondato su un medesimo presupposto normativo, rappresentato dal GDPR stesso, in virtù della sua applicabilità in tutto lo Spazio Economico Europeo (quindi nei paesi dell’Unione Europea e nei tre paesi EFTA SEE Islanda, Liechtenstein e Norvegia).

Il tema della protezione dei dati in Europa rappresenta anche un ottimo esempio di necessità di bilanciamento tra esigenze internazionali e esigenze locali all’interno dei programmi di compliance: se è pur vero che il GDPR è applicabile in tutto lo Spazio Economico Europeo, è anche vero che i singoli paesi hanno adottato normative di completamento e prassi applicative nazionali di cui è opportuno tenere conto nell’ambito del programma di compliance privacy.

SFIDA E OPPORTUNITA’

La sfida in materia di compliance per le imprese che operano su mercati internazionali è quindi quella di creare programmi che siano internazionali ma che soddisfino anche le esigenze locali, che siano ben strutturati ed efficaci a livello di prevenzione e di riduzione dei rischi, e i cui costi siano commisurati alle risorse dell’azienda. Quest’ultima esigenza, presente per le imprese di qualsiasi dimensione, è particolarmente sentita dalle imprese piccole e medie, le cui ambizioni internazionali non sono sempre supportate dall’allocazione di budget significativi in relazione ai programmi di compliance.

Se quindi tutte le imprese hanno bisogno di gestire oculatamente i propri budget in materia di compliance, le imprese piccole e medie hanno una necessità ancora più acuta di costruire dei programmi che siano smart e cost effective, così da cogliere la sfida della compliance e trasformarla in un’opportunità.  La scelta migliore è infatti quella di dedicare in modo intelligente alcune delle proprie risorse al tema della compliance internazionale, mentre le scelta opposta di trascurare, o addirittura ignorare completamente le esigenze di compliance internazionale, può avere serie ripercussioni sull’impresa e anche sugli individui, in considerazione del regime sanzionatorio, delle ricadute a livello di immagine e del potenziale pregiudizio a livello di business.  A quest’ultimo proposito, si consideri anche come sempre più spesso i clienti richiedano ai propri fornitori di beni e servizi una dimostrazione tangibile degli adempimenti in materia di compliance, talvolta come requisito per l’ammissione a gare e richieste di offerta.

METODOLOGIA

Dunque, tutte le imprese con dimensione internazionale dovrebbero ragionare su come costruire e gestire in modo efficace uno o più programmi di compliance internazionale.

Le metodologie utilizzabili sono varie, ma tutte ricomprendono alcuni passi fondamentali:

1. condurre un analisi del rischio (risk assessment) a livello di capogruppo e a livello di singolo paese in cui l’impresa opera;
2. determinare il quadro normativo e regolamentare nel paese della capogruppo e nei singoli Paesi;
3. determinare le aree in cui i rischi non sono adeguatamente coperti (gap analysis);
4. pianificare la creazione e la gestone di programmi di compliance in tali aree, con una chiara allocazione di ruoli (interni e esterni) e la determinazione di obiettivi, tempistiche e budget;
5. assicurarsi che i programmi di compliance siano il più possibile idonei ad essere applicati in modo diffuso all’interno del gruppo, con un livello di flessibilità tale da consentire l’adattamento di tali programmi alle esigenze locali di tipo normativo, operativo e culturale.

In conclusione, la creazione e l’implementazione di programmi di compliance che funzionano efficacemente a livello sia transnazionale (gruppo) sia nazionale (filiale o area di operatività) rappresenta non solo una necessità per tutte le imprese che operano all’estero ma anche un’opportunità di miglioramento dei propri sistemi di gestione del rischio, di sviluppo di una cultura di etica e legalità e in ultima analisi anche di miglioramento della propria performance.