Compliance Manager: ruoli e responsabilità nell’organigramma privacy
27 Luglio 2021 in Audit & Compliance
Il ruolo del Compliance Manager: i controlli
Quali le possibili attribuzioni di ruoli e responsabilità specifiche per il Compliance Manager previste nel Modello Organizzativo Privacy? Cominciamo a dire che, se l’organizzazione aziendale prevede questa funzione, probabilmente stiamo parlando di una azienda complessa e/o che opera in settori fortemente regolamentati, come il mondo bancario/finanziario, farmaceutico, sanitario, ma anche ad esempio automotive. La presenza di una funzione Compliance dimostra l’elevato grado di attenzione che l’azienda pone al rispetto delle normative applicabili ed all’impatto che questo può avere sulla conduzione del business.
Diciamo anche che questa entità si colloca in un ambito più ampio che può prevedere diverse “funzioni aziendali di controllo permanenti e indipendenti: i) di conformità alle norme (compliance); ii) di controllo dei rischi (risk management); iii) di revisione interna (internal audit)”, come previsto dalla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013 (Disposizioni di vigilanza per le banche) che citeremo ancora, pur essendo chiaro che non si applica fuori dall’ambito specifico.
La stessa circolare precisa che “le prime due funzioni attengono ai controlli di secondo livello, la revisione interna ai controlli di terzo livello”, che le funzioni Compliance e Risk Management possono essere accorpate (ma non Internal Audit, per evitare conflitti di interesse) e che possono essere esternalizzate. Controlli, quindi. Abbiamo visto infatti che la collocazione della Compliance nelle tre aree del modello organizzativo Privacy prevede sicuramente la sua presenza nell’area Controllo, accanto alle altre funzioni opportune. Nello specifico, alla Compliance spetterà la verifica dell’adeguatezza e corretta applicazione delle procedure e dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità alle norme.
Compliance Manager e Compliance Officer: le differenze
In aziende strutturalmente complesse, alla figura del Compliance Manager si affianca anche quella del Compliance Officer. Le due figure differiscono soprattutto sotto il profilo operativo. Idealmente, infatti, considerata l’elevata trasversalità delle tematiche di compliance, aziende particolarmente complesse avranno un team composto da un Compliance Manager e da più Compliance Officer con specializzazioni differenti.
Vediamo, quindi, che al Compliance Manager sono affidate tipicamente funzioni di responsabilità e di controllo, legate alla definizione delle strategie da seguirsi per garantire la compliance normativa dei processi aziendali. Detta figura, in poche parole, rappresenta un anello di congiunzione tra le diverse figure interne all’azienda, con le quali dovrà interfacciarsi per programmare le attività di auditing e di compliance: sarà pertanto necessario che possegga, in primo luogo, competenze gestionali e comunicative.
Alla figura del Compliance Manager vanno ad affiancarsi i c.d. Compliance Officer. A questi soggetti sono tipicamente affidate funzioni di tipo operativo, legate all’attuazione delle strategie definite dalle figure di vertice, e all’esecuzione di quelle attività che si rendono necessarie per garantire la compliance aziendale alle diverse normative applicabili.
A titolo esemplificativo, al Compliance Officer si richiederà di redigere documenti legali, predisporre i modelli di audit, effettuare delle revisioni mirate e mettere a terra adeguati strumenti di segnalazione. Ciò non significa che il Compliance Officer sia figura di minor rilievo: lo stesso, infatti, al fine di dare corretta attuazione alle diverse normative impattanti sui temi della compliance, dovrà possedere competenze tecniche e legali di alto livello, quanto più possibile trasversali.
Altre responsabilità del Compliance Manager
Non solo controlli, tuttavia. La funzione Compliance può anche essere considerata direttamente responsabile del rischio di non conformità per le norme più rilevanti, ad esclusione di quelle “per le quali siano già previste forme di presidio specializzato”, come ad esempio per la Data Protection: in quest’ambito quindi il Compliance Manager svolgerà funzioni di consulenza e assistenza all’ente preposto alla Governance.
Fornirà inoltre ausilio alle altre funzioni aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità; l’identificazione delle norme applicabili e la valutazione del loro impatto su processi e procedure aziendali; l’individuazione di idonee procedure per la prevenzione del rischio rilevato; la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati (infatti concorrerà ad esempio a definire il modello organizzativo privacy).
Da rilevare inoltre che la verifica dell’adeguatezza delle procedure interne a prevenire il rischio di non conformità prevede che il Compliance Manager sia coinvolto “nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l’operatività in nuovi prodotti o servizi nell’ambito del relativo processo di approvazione …)”. Da prevedere anche collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte.
In conclusione, occorre prestare attenzione al fatto che il rischio di non conformità alle norme è definito come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina)”: appare evidente che si tratti di rischi per l’azienda, ben diversi da quelli che incombono sui diritti degli Interessati, dei quali si occupa la disciplina Privacy. Per questo resta fondamentale attribuire ad altre funzioni indipendenti e specifiche (DPO) la tutela di questi diritti.