In un contesto economico e normativo sempre più complesso, la capacità dell’impresa di dotarsi di assetti organizzativi adeguati, sistemi di controllo efficaci e modelli di prevenzione realmente applicabili è diventata un elemento essenziale di solidità e continuità. In questo ambito, l’avv. Salvatore Cirilla, titolare dell’omonimo studio, con sede in Milano, assiste imprese e organizzazioni nei percorsi di compliance aziendale, corporate governance, Modelli 231, compliance integrata e gestione dei rischi, con un approccio orientato all’effettività dei presìdi e alla loro concreta sostenibilità nella vita dell’impresa. Ne parliamo in questa intervista.
Indice dei contenuti
Oggi la compliance aziendale non è più percepita come un tema solo tecnico. Che cosa rappresenta davvero per l’impresa?
Oggi la compliance rappresenta molto più del semplice rispetto di obblighi normativi. È uno strumento di organizzazione, di prevenzione e di governo. Significa aiutare l’impresa a individuare i rischi, disciplinare i processi interni, chiarire responsabilità e flussi decisionali, rafforzare i controlli. In altre parole, la compliance non riguarda solo la conformità alle regole, ma il modo in cui l’azienda costruisce la propria affidabilità nel tempo.
In questo scenario, che centralità assume il D.Lgs. 231/2001?
Il D.Lgs. 231/2001 ha segnato un passaggio fondamentale perché ha imposto alle imprese di affrontare in modo strutturato il tema della prevenzione. Il Modello 231, se correttamente costruito, non è un adempimento formale né un documento difensivo da esibire all’occorrenza. È, invece, un presidio organizzativo che consente di leggere l’impresa nei suoi punti sensibili, di mappare i rischi, di formalizzare protocolli e di rendere più consapevole la distribuzione delle responsabilità. Il suo valore sta soprattutto nella capacità di incidere sulla qualità dell’organizzazione aziendale.
Spesso, però, il mondo imprenditoriale continua a guardare alla compliance come a un aggravio burocratico.
È una percezione che esiste ancora, ma che spesso nasce da esperienze in cui la compliance è stata proposta in modo standardizzato, astratto o meramente formale. Quando, invece, viene costruita sulla realtà concreta dell’impresa, la compliance non produce burocrazia: produce ordine. Aiuta a prevenire criticità, a ridurre le aree di incertezza, a rendere più chiari i processi e più leggibili le decisioni. Il problema non è la presenza delle regole, ma la loro distanza dalla vita reale dell’azienda. Il lavoro serio consiste proprio nel colmare questa distanza.
Quanto pesa oggi il tema della corporate governance nel percorso di strutturazione dell’impresa?
Pesa moltissimo. La corporate governance non è una nozione riservata alle grandi società o ai gruppi più complessi. È un tema che riguarda ogni impresa che voglia funzionare in modo ordinato e responsabile. Parliamo della chiarezza degli assetti, della distribuzione dei poteri, del sistema delle deleghe, dei flussi informativi, del rapporto tra organi decisionali e controlli interni. Una governance ben impostata non irrigidisce l’impresa, ma la rende più solida, più trasparente e più pronta ad affrontare passaggi delicati, fasi di crescita o momenti di tensione.
Oggi si insiste molto anche sul concetto di compliance integrata. Di che cosa si tratta, in concreto?
Si tratta della necessità di superare una visione per compartimenti. Le imprese, per anni, hanno affrontato separatamente le diverse aree: 231, privacy, sicurezza, governance, procedure interne, sostenibilità, controlli. Ma il rischio, nella realtà, non è mai isolato. Le aree si sovrappongono, i processi si intersecano, le responsabilità si influenzano reciprocamente. La compliance integrata nasce proprio da questa consapevolezza: costruire un sistema coordinato, nel quale i diversi presìdi si parlino tra loro e concorrano a una gestione più coerente del rischio aziendale.
Come si traduce questo approccio nel lavoro concreto con i clienti?
Si traduce anzitutto in un lavoro di comprensione. Prima di predisporre modelli o procedure, è necessario conoscere davvero l’impresa: il settore in cui opera, la sua struttura, i ruoli interni, i processi sensibili, le aree di vulnerabilità, il livello di formalizzazione già esistente. Solo dopo questa fase è possibile costruire strumenti adeguati. L’assistenza consiste quindi nel mappare i rischi, analizzare i processi, verificare gli assetti di governance, aggiornare o predisporre Modelli 231, procedure, protocolli, deleghe e flussi informativi, sempre con l’obiettivo di realizzare un sistema che sia non soltanto corretto sotto il profilo giuridico, ma anche concretamente attuabile.
Dunque il valore dell’assistenza non si esaurisce nella redazione documentale?
Esattamente. La redazione dei documenti è solo una parte del lavoro. Un modello organizzativo è utile solo se riflette l’impresa per come è davvero e se riesce a entrare nel suo funzionamento quotidiano. Questo significa accompagnare il cliente anche nella fase di attuazione, nell’aggiornamento dei processi, nella formazione, nella verifica dei flussi di controllo e nell’adattamento dei presìdi all’evoluzione dell’attività. La compliance efficace è quella che viene vissuta dall’organizzazione, non quella che resta confinata in un fascicolo.
Qual è il legame tra compliance e gestione dei rischi?
È un legame strutturale. La compliance è uno degli strumenti principali attraverso cui l’impresa governa il rischio. Ma oggi il rischio non è più solo quello sanzionatorio o penale. È anche operativo, reputazionale, organizzativo, strategico. Per questo la gestione dei rischi richiede una lettura ampia, che sappia collegare il dato normativo con il funzionamento concreto dell’impresa. Quando questo collegamento manca, i sistemi di prevenzione restano deboli. Quando invece è ben costruito, l’impresa acquisisce maggiore capacità di controllo, maggiore consapevolezza e maggiore tenuta.
In una fase economica complessa, quale funzione assolvono questi strumenti?
Assolvono una funzione essenziale di stabilizzazione. In momenti di incertezza, di pressione competitiva e di crescente esposizione alle responsabilità, le imprese hanno bisogno di strutture interne affidabili. Compliance, governance e risk management servono proprio a questo: a rafforzare la qualità delle decisioni, a prevenire disfunzioni, a proteggere il patrimonio organizzativo dell’impresa e a consolidarne la credibilità verso interlocutori esterni, partner e mercato. Non sono strumenti accessori, ma fattori che incidono direttamente sulla capacità dell’azienda di durare.
Qual è, in definitiva, il punto da cui non si può prescindere quando si affrontano questi temi?
Che non possono essere trattati né con superficialità né con formalismo. La vera sfida non è accumulare regole, ma costruire assetti proporzionati, coerenti ed effettivi. Quando compliance, Modello 231, governance e gestione dei rischi vengono integrati in un progetto organizzativo serio, diventano non soltanto strumenti di tutela, ma elementi di qualità dell’impresa. Ed è proprio questa la prospettiva più utile: considerare la prevenzione non come un costo imposto dall’esterno, ma come una componente essenziale del buon governo aziendale.
