La compliance non è più (solo) una questione di regole. È strategia, innovazione e cultura. È la lente attraverso cui le aziende leggono il rischio, ma anche la bussola che orienta le scelte verso modelli di business più responsabili, digitali e sostenibili. O almeno, così dovrebbe essere.

Il recente report “Compliance Governance – Presente e futuro nel settore manifatturiero e dei servizi non finanziari”, pubblicato da Protiviti in collaborazione con AICOM, accende i riflettori su una verità scomoda: il divario tra intenzioni e realtà è ancora troppo ampio. Eppure, proprio in questa frattura si nasconde un’opportunità: ridisegnare il ruolo e perimetro della funzione.

Compliance: una funzione ancora troppo legale

Partiamo da un dato emblematico: in quasi la metà delle aziende coinvolte nella survey, la funzione compliance riporta al General Counsel o al Legal Officer. Tradotto: è percepita come un’estensione del legale, più che un attore con un ruolo autonomo nei processi decisionali. Solo nel 28 per cento dei casi, infatti, il riporto è diretto al CEO o al CdA.

Questa collocazione può portare ad atteggiamenti burocratici e a generare una distorsione culturale: la compliance è prima di tutto un adempimento. Eppure, la vera forza di questa funzione sta proprio nella sua capacità di incidere preventivamente sulle decisioni aziendali – la cosiddetta compliance by design. Oggi questa ambizione è ancora lontana, c’è ancora molto da fare: oltre il 40 per cento delle aziende dichiara di non coinvolgerla nel processo decisionale o quando è troppo tardi.

Integrazione o frammentazione?

Un altro punto critico è il livello di integrazione. Il 55 per cento delle aziende lavora ancora con modelli a silos, in cui ogni funzione presidia il proprio "pezzetto" normativo – dalla privacy al whistleblowing, dalla 231 all’HSE – senza una regia complessiva. La conseguenza è duplice: bene che vada prolifera la ridondanza, mentre i rischi trasversali – quelli veri – possono passare inosservati. A peggiorare il quadro, nel 39 per cento dei casi la funzione non ha alcun ruolo nei programmi gestiti da altre funzioni aziendali.

Eppure, le linee guida internazionali e le aspettative normative (dalla CSRD alla ISO 37301) vanno tutte in un’altra direzione: quella dell’integrazione tra compliance, risk management, sostenibilità e controlli interni.

La tecnologia come il trucco, c’è, ma non si vede

Altro tallone d’Achille: la digitalizzazione. Solo il 12 per cento delle aziende ha digitalizzato interamente i processi di compliance. Il resto arranca tra fogli excel, e-mail, e documenti word.

Il paradosso è che proprio la tecnologia – dai software GRC ai sistemi di process mining, passando per l’intelligenza artificiale – rappresenta oggi la chiave per rendere la compliance non solo più efficace, ma anche più efficiente e sostenibile nel tempo.

Il problema non è la mancanza di strumenti, ma di visione: nel 50 per cento dei casi le soluzioni IT adottate non dialogano tra loro. L’integrazione dei sistemi è ancora un miraggio.

Una funzione in cerca di protagonismo

Eppure, qualcosa si muove. Il 50 per cento delle aziende prevede un ampliamento del mandato della funzione compliance entro il 2026. In cima all’agenda: ESG, supply chain, intelligenza artificiale.

Un’ulteriore conferma che la compliance non può più permettersi di guardare solo al passato, ma deve orientarsi al futuro (i rischi da prevenire ed i valori da garantire).

In quest’ottica, il report segnala anche un altro segnale incoraggiante: l’80 per cento delle aziende ha avviato percorsi formativi estesi anche a terze parti – fornitori, agenti, partner. Perché la cultura della conformità si costruisce così, un comportamento alla volta, lungo tutta la catena del valore.

Le sfide del futuro: dati, etica, filiera

Quali saranno i temi caldi della compliance nei prossimi anni? Secondo la survey:

• digitalizzazione dei processi;

• messa in sicurezza della supply chain;

• etica e normative legate all’intelligenza artificiale;

• minacce cyber.

Il che significa una cosa sola: servono competenze ed attitudini nuove, che vadano oltre le “solite” regole. Serve una funzione capace di leggere i dati, capire gli algoritmi, valutare gli impatti sociali e ambientali, supportare "effettivamente" la Direzione aziendale, sporcarsi le mani, dialogare efficacemente con le altre funzioni. Una compliance che non si limiti a dire “no”, ma sappia dire anche: “se facessimo", "si potrebbe", "dipende" ... che sappia mettersi in gioco davvero.

Da funzione di controllo a motore del cambiamento

La compliance sta cambiando pelle. Non è più (solo) la guardiana delle regole, ma la garante della fiducia. Fiducia del mercato, degli investitori, dei clienti e dei lavoratori.

Ma per diventare davvero business-oriented, deve evolversi. Servono modelli organizzativi più agili, una governance che la valorizzi, strumenti tecnologici adeguati, e soprattutto una nuova cultura interna.

La compliance va considerata per quello che è: un vantaggio competitivo, ma deve guadagnarselo sul campo.

Alla prossima survey …