In che modo possiamo coniugare la nuova complessità organizzativa con la necessità di assicurare nel tempo la compliance aziendale?
Una domanda che rappresenta una necessità reale di ogni impresa e un dilemma quanto mai attuale, che possiamo cercare di affrontare in tre fasi di riflessione consecutive. Comprendere il contesto, osservare come oggi le PMI stanno affrontando questa sfida e in ultimo provare a fornire qualche strumento per facilitare il raggiungimento dell’obiettivo.
Per prima cosa, comprendiamo il contesto.
Tra i diversi fenomeni degli ultimi anni, la digitalizzazione ha favorito l’internazionalizzazione, la globalizzazione e un fenomeno conosciuto come continuous change. Le tecnologie hanno abilitato la democratizzazione (accessibilità di funzioni, mestieri e mercati a tutti), la disintermediazione (accorciamento delle filiere) e la disruption (cambiamento dirompente di dinamiche di mercato e competitive). Il metabolismo delle organizzazioni sta aumentando notevolmente. I cambiamenti sono veloci, numerosi, repentini e spesso imprevedibili. La cara logica di Deming (Pianifica, Attua, Verifica, Agisci) deve essere sostituita necessariamente da un approccio più votato alla gestione della complessità che prevede azione, apprendimento ed adattamento continui.
Nel mondo così complesso si inserisce l’insieme di norme, cogenti o volontarie, che consentono alle aziende di operare secondo criteri di conformità – un complesso di istituti molto articolato e spesso complesso cui l’azienda è chiamata a rispondere e dovrebbe farlo in modo strutturale e strutturato. Le norme nascono spesso da fonti diverse e chiedono sovente consapevolezza, stabilità, controllo, tracciabilità.
D.Lgs. 81/08, D.Lgs. 152/06, D.Lgs. 231/01, Reg. UE 2016/679, Direttive di prodotto, Norme ISO (9001, 14001, 45001, 27001, 37001, ecc), Norme fiscali e tributarie, principi ESG. Alcune che già si sono spinte verso la reciproca integrazione (basti pensare alle norme sui sistemi di gestione con la loro “High level structure” comune a tutti i sistemi), altre con i lunghi tempi delle norme, ci stanno provando.
Tutti spereremmo che le norme riuscissero a tenere il passo del progresso e fornissero finalmente una chiave di lettura unica sui vari requisiti, ma la strada è ancora lunga.
Siamo nel qui ed ora, non nel mondo ideale e dobbiamo cercare di trovare una possibile risposta attuale all’esigenza di assicurare compliance nel mondo complesso delle organizzazioni. Una possibile risposta, con la prospettiva dell’Organismo di Vigilanza, è arrivata a gennaio 2026 da AODV231 (Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/01) con un contributo intitolato “Compliance integrata e rapporti tra Modello e sistemi di gestione – Governance” che delinea con precisione il valore dell’approccio integrato alla compliance e il conseguente ruolo dell’Organismo di Vigilanza in questo percorso.
In questa sede, pur prendendo spunto dall’interessante articolo, scegliamo di cambiare prospettiva e metterci nei panni dell’azienda o di chi ne costruisce il modello organizzativo, anziché di chi lo vigila. Il nostro obiettivo è tracciare un filo conduttore che permetta di realizzare sistemi di compliance capaci di rispondere sia alle esigenze di conformità sia alla complessità.
Ma facciamo ancora un passo indietro: oggi le aziende come gestiscono compliance e sistemi integrati? Possiamo considerare tre macro-approcci:
- Approccio a silos e “cartolare”: in queste aziende i sistemi di gestione sono fatti perché è qualcuno a chiederli certificati (partecipazione a gare pubbliche e private, visibilità);
- Approccio controllo-centrico: i modelli organizzativi sono molto concentrati sul controllo e l’adesione alle procedure ma poco o nulla sul cambiamento, che, come dicevamo prima, è la nuova costante;
- Approccio integrato: in questo caso i modelli organizzativi e i loro controlli sono integrati nei processi aziendali e tra i diversi standard in modo coerente per usare la compliace come strumento di valore per prendere decisioni sempre migliori.
I primi due approcci, ampiamente diffusi, oltre a non comportare un’effettiva compliance rischiano la generazione di investimenti non a valore o addirittura sprechi di risorse interne. Vari adempimenti, spesso molto buoni, che attua l’azienda, non vengono citati e adeguatamente valorizzati, finendo per avere una serie di procedure che non soddisfano nessuno e che, bene che vada, conosce forse solo il consulente esterno.
Il terzo è invece l’approccio più utile ed impegnativo da perseguire perché può ambire a combinare tra loro la varietà normativa e complessità.
Pensiamoci – disporre di un sistema di compliance integrata:
– Restituisce al management una chiave di lettura unica dell’organizzazione aziendale e dei suoi profili di rischio, senza dover attendere la distinta voce di singoli esperti, che rischiano di privilegiare un aspetto di compliance rispetto agli altri;
– Riduce inefficienze e ridondanze: un sistema di compliance non integrato produce spesso procedure con relativi controlli, multiple (disponiamo di diverse procedure sui medesimi processi)
– Equilibra le “smagliature” normative: è indiscutibile che, come qualsiasi opera dell’uomo anche le disposizioni normative, abbiano elementi “poco chiari” – trovare e combinare sapientemente buone prassi riconosciute di una norma per sopperire ad elementi normativi dubbi, genera equilibrio). Combinare norme tecniche volontarie sui sistemi di gestione nel più generale modello di compliance integrato, significa poter disporre di strumenti e protocolli di prevenzione aderenti a regole che rappresentano lo “stato della regola dell’arte” in termini di gestione di un determinato aspetto aziendale.
A questo punto possiamo chiederci: è possibile definire un approccio metodologico che consenta questa integrazione e che possa essere adottato da qualsiasi azienda?
Se pensiamo ad un’azienda che parte da zero o un’azienda con sistemi di compliance già avviati, potremmo ipotizzare le seguenti fasi:
Determinare, rispetto al contesto in cui opera l’azienda, l’elenco delle normative applicabili all’azienda;
– Selezionare e mappare le norme UNI ISO sui sistemi di gestione più appropriate per i rischi e le attività svolte dall’azienda;
– Individuare i sistemi di gestione già in essere in azienda, valutandone l’effettiva idoneità ed applicabilità;
– Intervenire nell’indagine e mappatura della governance aziendale, stabilendo se l’assetto di governance sia idoneo ad assicurare gli adeguati assetti societari operando ed intervenendo con le dovute correzioni;
– Identificare e mappare in modo integrato e condiviso tutti i rischi aziendali, con approccio e strumenti tali da accogliere in velocità futuri nuovi cambiamenti del contesto;
– Sviluppare con il Modello 231 modelli decisionali (ovvero modelli che formalizzati non si focalizzano sull’operativo ma he operino per consentire una più agevole protezione della Società;
– Demandare a questo punto ai sistemi di gestione la regolamentazione dei processi operativi e i controlli puntuali, stabilendo però quali connessioni (es. valutazione KPI, riesame), possano contribuire ad alimentare il Modello 231;
– Attraverso prima di tutto una scelta ponderata dell’Organismo di Vigilanza e delle funzioni dirette o indirette di compliance, agire progettando flussi informativi che mappino esattamente le diverse traiettorie della compliance e soprattutto consentano un colloquio puntuale tra le diverse funzioni
– Lavorare affinché il MOG 231, così come i temi di sostenibilità, diventino strumenti strategici per FARE ORDINE in tutti i processi aziendali (contratti, procedure, controlli, formazione, ecc.)
– Far dialogare tra di loro tutte le funzioni, in modo che attraverso la relazione reciproca possono contaminarsi e dalle reciproche esperienze possano trovare, attraverso un nuovo approccio del potere distribuito, potere per agire sul cambiamento.
Insomma, la compliance integrata, anche in presenza di modelli organizzativi e sistemi certificati, non è un banale collegamento tra Modelli Organizzativi 231 e sistemi (ove ci si limita a citare nell’uno il riferimento dell’altro).
La vera compliance integrata richiede sintesi, senso, rigore, dinamismo e soprattutto conoscenza. Conoscenza continua del contesto e del proprio sistema, che in funzione di stimoli esterni (di contesto quali richieste del cliente o mercato) o variabili interne (cambiamenti di processi e persone), cambia continuamente.
E soprattutto questo cambiamento va considerato nella compliance integrata come processo aziendale strategico che a fronte di cambiamenti deve sapersi aggiornare senza rallentare o ingessare l’organizzazione. Come il legislatore afferma su vari rischi “Le valutazioni dei rischi e le misure di controllo devono essere aggiornate in funzione di cambiamenti normativi di contesto”, l’organizzazione deve essere in gradi di disporre di un sistema completo ma snello che si adatti velocemente ai cambiamenti.
Siamo in stato di equilibrio in continuo movimento