#Governance
La (Corporate) Governance è l‘insieme dei princìpi, dei modi e delle procedure per la gestione e il governo di società, enti, istituzioni, o fenomeni complessi, dalle rilevanti ricadute sociali.
In linea generale, i dodici principi che regolano una "buona governance" sono, secondo una decisione del Consiglio d'Europa del 2008: 1. "Participation, Representation, Fair Conduct of Elections" 2. "Responsiveness" 3. "Efficiency and Effectiveness" 4. "Openness and Transparency" 5. "Rule of Law" 6. "Ethical Conduct" 7. "Competence and Capacity" 8. "Innovation and Openness to Change" 9. "Sustainability and Long-term Orientation" 10. "Sound Financial Management" 11. "Human Rights, Cultural Diversity and Social Cohesion" 12. "Accountability" Questi stessi principi - con i necessari "adattamenti" - possono essere ritenuti un utile riferimento anche con riferimento alla "Corporate Governance". |
#Governance
|
In definitiva, gli obiettivi principali della governance aziendale sono: (i) aumentare la responsabilità e la trasparenza; (ii) promuovere il buon comportamento, riducendo i comportamenti scorretti; (iii) individuare i rischi e mitigarli; (iv) definire un quadro efficace di gestione dei rischi all'interno dell'azienda; (v) proteggere gli interessi della proprietà attraverso la composizione e le adeguate competenze degli organi amministrativi di vertice.
#Risk management
|
Il risk management è il processo attraverso il quale si individuano, valutano e mitigano i rischi (aziendali):
|
#Compliance
Il "rischio di compliance" (conformità) si definisce come:
«il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)», molte delle quali rientrano nell'ambito di applicazione del D.Lgs. n. 231/2001. Tale definizione è analoga a quella fornita dal Committee of Sponsoring Organizations of the Treadway Commission" (CoSO) : «The possibility that violations of applicable laws, regulations, contractual terms, standards, or internal policies will occur and have a negative financial or nonfinancial impact on the organization». |
|
E' «preferibile che la gestione della conformità (compliance) sia integrata con i processi finanziario, di rischio, per la qualità, ambientale e di gestione di salute e sicurezza dell'organizzazione e con i suoi requisiti operativi e procedure» (UNI ISO 19600:2016 - «I Sistemi di gestione della conformità (compliance) - Linee guida»*).
Come evidenziato nelle "Linee guida 231" di Confindustria (giugno 2021): <<Il passaggio ad una compliance integrata potrebbe permettere ... agli Enti di:
- razionalizzare le attività (in termini di risorse, persone, sistemi, ecc.);
- migliorare l'efficacia ed efficienza delle attività di compliance;
- facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l'esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati previsti come fondanti la responsabilità degli enti).>>
Lo standard sui "Sistemi di gestione della conformità (compliance)" - UNI ISO 19600:2016 * richiede, espressamente, l'implementazione di iniziative riferite: (i) alla gestione integrata delle azioni rivolte alla conformità, in tutte le sue fasi (definizione di ruoli e responsabilità, predisposizione dei mansionari e delle procedure, rendicontazione e documentazione della compliance, controlli e monitoraggio continuo, formazione e informazione, ecc.) (ii) e con l'utilizzo di "tecnologia".
La bozza della revisione del corrispondente standard internazionale ISO 19600:2014 (ISO/FDIS 37301, del 2020) descrive i seguenti cinque elementi di un "compliance management system": 1. Compliance obligations (identification of new and changed compliance requirements) - 2. Compliance risk assessment - 3. Compliance policy - 4. Training and communication - 5. Performance evaluation.
La pubblicazione <<Compliance Risk Management: Applying the COSO ERM Framework>>, prodotta su iniziativa del "Committee of Sponsoring Organizations of the Treadway Commission" (COSO) nel novembre 2020, ha fissato 20 principi per l'efficiente ed efficace implementazione di un "C&E program", precisando, tra l'altro, quanto segue: <<compliance with some laws and regulations may be primarily subject to the oversight of others, although the compliance function should always be prepared to serve an overarching role or to step in to assist or address issues if the others are unable or unwilling to properly manage the risk.>>
Il risk assessment valuta l'efficacia delle politiche di conformità. Gli internal controls consentono di avere una visione dello stato di attuazione dei presidi adottati in attuazione di queste politiche.
Come evidenziato nelle "Linee guida 231" di Confindustria (giugno 2021): <<Il passaggio ad una compliance integrata potrebbe permettere ... agli Enti di:
- razionalizzare le attività (in termini di risorse, persone, sistemi, ecc.);
- migliorare l'efficacia ed efficienza delle attività di compliance;
- facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l'esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati previsti come fondanti la responsabilità degli enti).>>
Lo standard sui "Sistemi di gestione della conformità (compliance)" - UNI ISO 19600:2016 * richiede, espressamente, l'implementazione di iniziative riferite: (i) alla gestione integrata delle azioni rivolte alla conformità, in tutte le sue fasi (definizione di ruoli e responsabilità, predisposizione dei mansionari e delle procedure, rendicontazione e documentazione della compliance, controlli e monitoraggio continuo, formazione e informazione, ecc.) (ii) e con l'utilizzo di "tecnologia".
La bozza della revisione del corrispondente standard internazionale ISO 19600:2014 (ISO/FDIS 37301, del 2020) descrive i seguenti cinque elementi di un "compliance management system": 1. Compliance obligations (identification of new and changed compliance requirements) - 2. Compliance risk assessment - 3. Compliance policy - 4. Training and communication - 5. Performance evaluation.
La pubblicazione <<Compliance Risk Management: Applying the COSO ERM Framework>>, prodotta su iniziativa del "Committee of Sponsoring Organizations of the Treadway Commission" (COSO) nel novembre 2020, ha fissato 20 principi per l'efficiente ed efficace implementazione di un "C&E program", precisando, tra l'altro, quanto segue: <<compliance with some laws and regulations may be primarily subject to the oversight of others, although the compliance function should always be prepared to serve an overarching role or to step in to assist or address issues if the others are unable or unwilling to properly manage the risk.>>
Il risk assessment valuta l'efficacia delle politiche di conformità. Gli internal controls consentono di avere una visione dello stato di attuazione dei presidi adottati in attuazione di queste politiche.
Il Network GRCplus opera nelle principali AREE dei Frameworks GRC aziendali, fornendo un'ampia gamma di SERVIZI.
Ecco le Aree ... |
|
Tax |
Responsabilità amministrativa degli enti ex D.Lgs. n. 231/2001 |
Il sistema tributario italiano è molto complesso, a causa del numero e della scarsa chiarezza delle norme tributarie.
La corretta interpretazione delle norme fiscali è troppo spesso poco prevedibile, perché si deve tener conto non solo delle leggi ma anche dei decreti ministeriali, dei Provvedimenti di attuazione, delle circolari, delle risoluzioni e delle risposte agli interpelli fornite dalla Agenzia delle entrate, 1182 fino ad oggi (166 risposte in quattro mesi nel 2018, 538 risposate nel 2019 e 478 fino al 16 ottobre nel 2020). Le interpretazioni dell’Agenzia non sono sempre tempestive e la correttezza dei comportamenti adottati, soprattutto quando si scostano da quelli indicati dall’Agenzia, può essere valutata solo sulla base di sentenze che arrivano a distanza di anni dal momento in cui il contribuente deve fare le scelte. Per minimizzare questo rischio, il top management delle imprese più responsabili presta particolare attenzione alla variabile fiscale, sottoponendola a controlli interni che garantiscano il rispetto della compliance per prevenire rischi legali e reputazionali. Questa maggiore attenzione modifica la stessa Governance delle imprese, perché i responsabili fiscali sempre più devono riferirsi agli amministratori delegati, che a loro volta informano periodicamente il Consiglio di amministrazione. La gestione dei rischi fiscali, con la costruzione di appositi Framework (i c.d. "Tax Control Frameworks") inseriti negli assetti organizzativi e amministrativo-contabili delle strutture societarie, rappresentano, ormai, uno degli elementi centrali del Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) di ogni impresa. L'implementazione di Frameworks davvero efficaci ed efficiente richiede la pianificazione di apposite iniziative formative, con lo svolgimento di corsi specialistici in materia penal-tributaria, di tax compliance e di tax risk management. Privacy
La protezione dei dati (personali) è tema centrale per le aziende, che sono chiamate ai sensi dell'art. 5 Reg. UE 206 n. 679 anche alla “responsabilizzazione” circa i trattamenti svolti sui dati personali, che appartengano essi a dipendenti, clienti, fornitori o ad altre categorie di interessati (c.d. principio di "accountability").
Mappare i flussi, condurre l’analisi dei rischi prima di iniziare un trattamento e/o sui trattamenti di dati già in essere, tuttavia non è da considerarsi quale mero obbligo per le società, bensì quale opportunità per proteggere anche i propri “dati”. Il Regolamento UE 679 del 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, il D.Lgs n. 196/2003, come da ultimo modificato dal D.Lgs n. 101/2018, nonché i provvedimenti del Garante Privacy italiano e delle Autorità Europee, costituiscono il faro di riferimento per un corretto adeguamento. La nostra mission è supportare le aziende nell’adeguamento alla normativa del settore, che si caratterizza per la continua evoluzione, anche attraverso strumenti innovativi in grado di assicurare una gestione snella e coordinata con i sistemi di gestione presenti in azienda. Occuparsi del tema permette ai Titolari di evitare importanti sanzioni, che possono arrivare fino al 4% del fatturato worldwide e, al contempo, di occuparsi della sicurezza dei propri dati, anche con riferimento alla componente di Cybersecurity. Il Team offre supporto a 360° sui temi di data protection, ivi compreso il servizio di DPO (Data Protection Officer) – figura in alcuni casi prevista come obbligatoria dalla normativa - che supporta il Titolare e fornisce consulenza nell’applicazione del Regolamento UE 679/2016. Salute e sicurezza sul lavoro
La tutela della salute e sicurezza nei luoghi di lavoro assume anch'essa un'importanza centrale e imprescindibile di ogni organizzazione.
La normativa in materia - principalmente contenuta nel Decreto legislativo 9 aprile 2008, n. 81 - indica alle imprese lo strumento da adottare per garantire l'osservanza degli adempimenti sicurezza: il "Modello di organizzazione e di gestione", di cui all'art. 30 del Decreto, costruiti e implementati tenendo conto degli standard di riferimento (UNI ISO 45001:2018 - Linee guida UNI INAIL del 2001). La formazione di tutti gli attori del "Sistema sicurezza" (datori di lavoro, dirigenti, preposti, RSPP, addetti del Servizio Prevenzione e Protezione, ecc.) è obbligatoria e deve essere svolta in conformità agli Accordi Stato-Regione. E' opportuno integrare i corsi obbligatori con iniziative formative Corporate Social Responsibility (CSR) ed Environmental-Social-Governance (ESG)
L'acronimo inglese CSR sta per "Corporate Social Responsibility", ossia per Responsabilità Sociale delle Imprese; esso si riferisce alla "integrazione su base volontaria, da parte delle imprese, delle preoccupazioni sociali e ambientali nelle loro operazioni interessate" commerciali e nei loro rapporti con le parti". In questo quadro, alle imprese economica viene chiesto di assumere un ruolo sociale, fcendosi carico degli impatti ambientali e delle conseguenze derivanti dalla propria attività, dando conto degli effetti, anche economici e sociali, che si riverberano sull'ambiente circostante.
L'acronimo ESG si riferisce alle parole inglesi: "Environmental"; "Social"; "Governance"; i Framework mirano a raccogliere e misurare le metriche rilevanti per gli obiettivi aziendali e per gli stakeholders ("parti interessate"). Internal audit
L'audit interno - o processo di Internal auditing (IA) - è un'attività di "assurance" e "consulenza" verso un'organizzazione/impresa, per la verifica dell'adeguatezza e osservanza delle procedure interne, del processo di valutazione dei rischi e della governance aziendale.
|
Il Decreto legislativo 8 giugno 2001, n. 231, ha introdotto nell'ordinamento italiano, per la prima volta, la responsabilità amministrativa degli enti per reati commessi, nel proprio interesse o vantaggio, da soggetti "apicali" o "sottoposti" operanti per l'organizzazione.
Le pesanti principali sanzioni - decise dalla stessa Autorità giudiziaria penale che procede per i reati-presupposto - sono di quattro tipi: 1: sanzioni pecuniarie - 2. sanzioni interdittive - 3. pubblicazione della sentenza di condanna dell'ente - 4. confisca del prodotto o profitto del reato-presupposto. Dalla condanna ex D.Lgs. n. 231/2001 scaturiscono, poi, altre conseguenze: impossibilità di contrarre con la Pubblica amministrazione, possibile commissariamento, ecc. Il Decreto n. 231 del 2001 prevede una particolare forma di esenzione da tale responsabilità, che richiede (da parte dell'ente): (i) la costruzione ed efficace attuazione di un "Modello di organizzazione, gestione e controllo" idoneo a prevenire i reati; (ii) la nomina di un apposito "Organismo di Vigilanza"; (iii) l'effettuazione, da parte di questo Organismo, di una vigilanza attenta e continua (esecuzione di verifiche interne sull'attuazione del Modello 231 e delle procedure riferite alle c.d. "attività sensibili", monitoraggio normativo, ecc.). Il "Sistema 231" è, in linea generale, facoltativo, anche se talune disposizioni lo rendono obbligatorio in particolari settori economici e Regioni del territorio nazionali (es.: enti sanitari accreditati, enti di formazione accreditati in alcune Regioni, ecc.). L'adozione del Modello 231 richiede una formazione obbligatoria, di natura sia generale che specialistica. Prevenzione della corruzione
I fenomeni di corruzione sono stati individuati come uno dei principali ostacoli allo sviluppo economico, politico, sociale, nonché elemento in grado di accentuare le disuguaglianze e di distorcere l’attuazione delle politiche pubbliche.
In dottrina si sono riscontrate difficoltà nell’individuazione di "una definizione generalmente condivisa di corruzione, in grado di cogliere la natura multidimensionale del fenomeno, che per sua natura tende ad assumere una valenza normativa, in quanto si collega con i mutevoli assetti regolativi e sistemi di valori prevalenti in società diverse" (ANAC). Secondo l’ampia definizione offerta da "Transparency International", in via generale la corruzione può essere ricondotta a “un abuso a fini privati di un potere delegato”, Così definita, la corruzione interessa sia il settore pubblico (v. Legge n. 190/2012 e Decreti legislativi nn. 33 e 39 del 2013) che quello privato (reati di corruzione e concussione - sia pubblica che privata - previsti dal Codice penale e dal Codice civile). La prevenzione, in azienda, di questo pericoloso fenomeno passa attraverso la costruzione e implementazione di appositi Frameworks (Codici anticorruzione, Parte speciale anti-corruzione del Modello organizzativo ex D.Lgs. n. 231/2001, Piani triennali ex Legge n. 190/2012), per i quali si può far riferimento a specifici standard (Linee guida di categoria relative al Modello 231/01, UNI ISO 37001:2016). Cyber security
La cyber security - ossia l'applicazione di tecnologie, processi e controlli per proteggere i sistemi informativi, i devices e i dati dagli attacchi cyber - assume un'importanza sempre maggiore per la tutela degli assets aziendali.
L’implementazione delle misure di sicurezza informativa, così come richiesto dai recenti regolamenti europei, deve essere coordinata con le esigenze di protezione dei dati personali, con un approccio necessariamente multidisciplinare. Prevenzione della corruzione
La corruzione è, in generale, un comportamento della persona che abusa della sua posizione di fiducia per ottenere un indebito vantaggio, un guadagno privato. Essa si può riscontrare sia nei rapporti pubblici che privati.
I fenomeni corruttivi rappresentano un grave pericolo per lo sviluppo delle iniziative economiche e richiedono, quindi, l'implementazione in azienda di specifiche misure preventive e controlli. Prevenzione del riciclaggio e del finanziamento del terrorismo
Ai fenomeni corruttivi (e di evasione fiscale) sono spesso collegati il riciclaggio e il finanziamento del terrorismo.
Il Decreto legislativo 21 novembre 2007, n. 231, impone ai "soggetti obbligati" (banche, operatori finanziari e non finanziari, professionisti, ecc.) una serie di complessi adempimenti e obblighi. Il Decreto legislativo 8 giugno 2001, n. 231, prevede la responsabilità amministrativa degli enti anche in relazione ai reati di riciclaggio e autoriciclaggio. Business security
Per le imprese diventa fondamentale poter intercettare tempestivamente eventuali minacce e gestire le complessità con strategie, competenze e soluzioni innovative, per far fronte a rischi sempre più frequenti e imprevedibili.
A questo scopo, devono essere poste in atto iniziative:
Certificazione dei Sistemi di gestione
Per "sistema di gestione" si intende l'insieme di regole e di procedure, definito in una norma riconosciuta a livello internazionale, che un’organizzazione può applicare allo scopo di raggiungere obiettivi definiti, (es.: soddisfazione del cliente, miglioramento continuo delle prestazioni, ecc.). La certificazione di sistema di gestione è il riconoscimento delle capacità di un'organizzazione che ha saputo ottimizzare la propria struttura dotandosi di una gestione efficiente, di competenze adeguate e di processi e strumenti interni idonei (come ad esempio indicatori di performance).
Queste forme di certificazione sono di ausilio alla costruzione e implementazione dei Modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/2001 (per la salute e sicurezza sul lavoro si rinvia all'art. 30 del D.Lgs. n. 81/2008). |