I meccanismi di Best Prictice per diffondere a tutti i livelli aziendali una cultura di responsabilità e la comprensione degli strumenti di limitazione del rischi.
Le funzioni Finanza e Tesoreria di una PMI o di una holding operante a livello internazionale si trovano giornalmente a fronteggiare diversi rischi, da quelli tipicamente finanziari e tendenzialmente quantificabili a quelli che comportano danni di immagine. Il Compliance Officer – costituito dalla persona o dal team che dà supporto al management sulle normative e regolamenti in sede decisionale – ha l’obiettivo di evitare che l’azienda si trovi in aree di rischio non mappate.
La mappatura dei rischi si effettua svolgendo una attenta analisi dei seguenti elementi:
– La giurisdizione in cui si eseguono transazioni di carattere finanziario e commerciale;
– L’ esposizione al rischio della controparte;
– I soggetti che possiedono e controllano l’azienda del partner finanziario o commerciale;
– Il valore transazionale: dove si indirizzano i flussi finanziari derivanti dalla transazione.
Gi “strumenti” utilizzati sono:
– La matrice di rischi di compliance;
– Le macrocategorie di rischi finanziari ed operativi;
– Le macrocategorie di rischi di compliance.
Essenziali per la definizione dei processi all’interno di un’organizzazione sono il Compliance Program, il sistema normativo interno e il consolidamento delle regole internazionali per sezioni all’interno del “Compliance Handbook” aziendale.
In quest’ottica l’organizzazione diventa la prima componente d’indagine; il taglio organizzativo si basa però sui flussi più che sui rapporti gerarchici.
Lo sforzo che coinvolge in modo diretto le funzioni finanza e tesoreria è il processo di generazione di reportistica.
La mancata osservazione delle norme nazionali o specifiche di un contesto estero diviene fonte di grave criticità quando l’azienda si trova ad eseguire transazioni di elevato importo con paesi a rischio oppure operazioni di finanza straordinaria quali Merger&Acquisition.
La specifica funzione di Risk Management affronta, tra le altre, la problematica dell’anticorruzione e dell’antiticiclaggio.
Le normative di base, alle quali fare riferimento, sono il Foreign Corrupt Practices Act (FCPA) UK Bribery Act 2010 ed il codice etico UN Global Compact.
In Italia invece il riferimento principale è il DLgss 231/2007 (anti-riciclaggio) oltre al Dlgs 231/20021 (Responsabilità amministrativa degli enti, tra i cui reati presupporto esso è incluso).
L’obiettivo è trovare, nelle scelte aziendali di adeguamento compliance, soluzioni d’equilibrio tra la produzione normativa in continua evoluzione e l’adeguata dimensione del budget destinabile alla compliance nell’attuale contesto di “Capital Rationing”. Anche le PMI, nel momento in cui intraprendono rapporti d’affari con gli High Risk Jurisdictions Countries (come i paesi dell’area BRICS – Basile, Russia, India, Cina, Sud Africa – o dell’area MINT- Messico, Indonesia, Nigeria, and Turchia -) devono dotarsi di strumenti per evitare di porsi in relazione con controparti a rischio riciclaggio di denaro, pena sanzioni conseguenti di carattere sia pecuniario che interdittivo, con rischi di temporaneo o definitivo impedimento ad operare sul mercato.
I seguenti principi sono fondamentali per costruire un’ architettura di sistemi di controllo interno:
– Segregation of Duties: ambito sfidante ma fondamentale;
– Attribuzione di responsabilità;
– Tracciabilità dei dati.
Esiste un legame logico tra la Compliance e l’Audit in quanto ogni azienda fa riferimento a un suo sistema di controllo. L’Audit rappresenta la garanzia sul disegno e sulla funzionalità del sistema di controllo mentre il codice di autodisciplina e le normative interne rappresentano a loro volta una struttura logica di costruzioni di governance adatte a situazioni specifiche.
Questi elementi servono per la costituzione di un sistema di controllo che comunque ha ancora dei limiti intrinseci come la soggettiva percezione del rischio da parte degli individui e gli errori di diversa origine.
Un sistema di controllo deve essere quindi efficace ma anche efficiente in termini sostanziali.
Per capire fin dove la capillarità dell’informazione arriva e la formazione a recepirla correttamente, assumono un ruolo chiave i protocolli operativi: flussi di dati che devono raggiungere tutte le funzioni. Sono determinanti per il raggiungimento dell’ultimo obiettivo l’IT e i relativi sistemi informativi. L’Audit da questo punto di vista deve assicurare la funzionalità e l’adeguatezza del sistema.