Attualità // Il Governo del Rischio

Due Diligence: come proteggere la reputazione aziendale

Condividi

S News incontra Roberta Bianchi, IFI Advisory Compliance Consultant.

Perché la Due Diligence è necessaria?
I mercati finanziari e le catene di produzione del valore sono sempre più globali, interconnessi e interdipendenti. Si tratta di un fatto - incontrovertibile e certo nell’era della globalizzazione – che comporta mutamenti radicali e repentini anche nelle strutture societarie.
Le aziende sono sempre più attive nello stringere accordi, stipulare partnership o lanciare operazioni di M&A sia all’interno che all’esterno dei confini nazionali per accrescere la competitività e conquistare nuovi mercati. Ciò comporta che i network imprenditoriali, definiti da legami di varia natura fra imprese, persone fisiche, enti governativi, etc, sono in continua evoluzione, si arricchiscono ogni giorno di nuove “entità” collegate più o meno formalmente fra di loro.

I network sono estremamente fluidi, complessi e ramificati e spesso le aziende non li conoscono a fondo: non per negligenza ma per l’obiettiva difficoltà di monitorarli.
Tracciare costantemente le relazioni fra l’azienda e altre entità (interne ed esterne) è però una prassi sempre più importante nell’ottica di ridurre il rischio e si traduce spesso in un vantaggio competitivo.
Normalmente, quando si parla di due diligence, non ci si riferisce a questa dimensione “relazionale”, bensì a quella prettamente economico-finanziaria che afferisce all’opportuna valutazione degli asset aziendali e della struttura patrimoniale.

Ma condurre una due diligence investigando il network in cui è “immersa” un’impresa, un cliente, un partner potenziale è cruciale per salvaguardare la reputazione aziendale e, di riflesso, la performance economica.
Per estremizzare, addirittura nella sfera matrimoniale si può ricorrere alla due diligence prima di contrarre nuove nozze: nella peggiore delle ipotesi, il partner potrebbe celare informazioni rilevanti e pregiudizievoli.
Figuriamoci, quindi, se non è opportuno per un’azienda fare studi approfonditi sui propri partner, clienti, fornitori!

Cos’è la Due Diligence reputazionale?
Dopo aver chiarito che parliamo di “due diligence reputazionale” è necessario definire brevemente il concetto di reputazione aziendale. Cosa è la reputazione? Da cosa è determinata? Come si misura? Se ne potrebbe parlare a lungo ma, in buona sostanza, la reputazione di un’azienda consiste nella considerazione che il pubblico ha dell’azienda stessa. Ovviamente la reputazione è sedimentata in maniera diversa in ciascuna categoria di stakeholder e non è necessariamente detto che sia espressa o misurabile. La funzione di una due diligence reputazionale è proprio quella di sondare la reputazione di un cliente/partner presso il pubblico o rilevare eventuali fattori che possano incidere negativamente sulla stessa.
La finalità è tendenzialmente difensiva, di riduzione del rischio, ma può avere anche risvolti economici nell’ambito di una trattativa.

Riscontrare elementi critici (o potenzialmente tali) su un fornitore o un’impresa su cui investire non necessariamente comporta la cessazione del rapporto, ma può ricondurre la contrattazione su ordini di grandezza differenti in termini di prezzo: è questo il caso in cui una due diligence reputazionale può garantire un vantaggio competitivo ed economico.

Quale il contesto normativo nel quale si opera?
Va detto che la due diligence non è sempre citata esplicitamente nei diversi ordinamenti, anche se di fatto l’attività di controllo su partner, fornitori e clienti è prevista da numerose fonti normative nazionali e sovranazionali.
Il termine “due diligence” torna quindi utile per circoscrivere e delimitare quell’insieme di attività di controllo interno ed esterno previste dalle leggi vigenti, la cui finalità è garantire la correttezza delle operazioni finanziarie, disincentivare gli episodi di corruzione, di finanziamento ad attività illecite e dimostrare la “buona fede” dei soggetti imprenditoriali. Vi sono in particolare alcuni pilastri normativi dai quali, per osmosi, sono germogliate diverse best practice adottate prima a livello sovranazionale e recepite in seguito dai singoli ordinamenti. Già nel 1977 negli Stati Uniti (con il Foreign Corrupt Practices Act - FCPA) si tendeva a generare, all’interno delle aziende, forme di responsabilità diffusa. Qui già si faceva menzione esplicita della due diligence e la portata del provvedimento era tale che un singolo episodio corruttivo poteva configurare ben tre diversi capi di imputazione. Un altro aspetto fondamentale del FCPA risiede nel fatto che si prevedeva la necessità di aggiornare periodicamente la due diligence. Quest’ultima diventa quindi un ciclo continuo di monitoraggio delle relazioni, un’attività dinamica in costante divenire, non un adempimento “one-off”. Ciò, a maggior ragione, è valido e sempre più necessario oggi che viviamo nell’era dei big data e dei social network, che amplificano la portata e l’efficacia del monitoraggio.

Nel Regno Unito invece il “Bribery Act” (2010) prevede la responsabilità degli amministratori non solo in caso di responsabilità diretta, ma anche qualora la struttura organizzativa non si sia dotata di un framework efficace di controlli interni atti a ridurre il rischio corruttivo.

In ambito internazionale sono molteplici le linee guida emesse e periodicamente aggiornate dalle diverse organizzazioni (OCSE, OECD) per definire standard operativi atti non solo a ridurre la corruzione ma anche a stabilire rapporti di filiera rispettosi dei diritti umani e dei più elevati standard ambientali. La due diligence viene citata talora esplicitamente, a volte si utilizzano terminologie differenti (è il caso della “background investigation” raccomandata dalla ACFE – Association of Certified Fraud Examiners), mentre la FATF - Financial Action Task Force, fondata durante il G7 di Parigi del 1989, defi nisce gli standard internazionali, emana raccomandazioni e analizza le vulnerabilità dei singoli paesi nel contrasto alla corruzione e al finanziamento delle organizzazioni terroristiche. La FATF, soprattutto, raccomanda che la due diligence sia utilizzata non solo per i nuovi clienti/partner, ma anche per i rapporti già in essere.

Molto importante, nel caso del FATF, anche la formalizzazione del concetto di “Persona esposta politicamente”, peraltro richiamato anche dalla legislazione comunitaria. Diverse convenzioni internazionali (Palermo, Vienna) e risoluzioni delle Nazioni Unite definiscono gli applicativi della due diligence mentre a livello europeo almeno 5 direttive hanno normato il tema. Nell’ultima direttiva, risalente al 2015, si prevede che entro il 2019 ogni stato abbia implementato un adeguato registro delle imprese: l’obiettivo è quello di un albo unico europeo che garantisca la tracciabilità dei soggetti che, a vario titolo, detengono interessi in un’attività imprenditoriale. Cruciale anche la disposizione di misure specifiche per la formazione dei dipendenti per contrastare i reati finanziari nelle organizzazioni. In Italia le innovazioni normative sono in gran parte derivate dalla trasposizione nel nostro ordinamento della normativa comunitaria. Vale la pena citare il D.Lgs 231/2007, che dispone la “adeguata verifica della clientela” imponendo di verificare l’identità dei clienti, la titolarità effettiva dei partner/fornitori, la natura dei rapporti continuativi e il controllo costante durante l’intera durata della collaborazione.

Recentemente, il legislatore ha disposto che le imprese comunichino l’identità del titolare effettivo dell’impresa. Si tratta di un impegno cogente che prevede specifiche sanzioni mentre si provvederà a creare una sezione separata del Registro Imprese per ospitare il nuovo database dei “beneficial owner”.
Un’innovazione che estenderà la portata delle due diligence reputazionali nello screening di clienti, partner, etc.

Per effettuare una Due Dilegence, quale know-how è necessario?
Se le differenti normative stabiliscono chiaramente che la due diligence è una prassi cogente, non possiamo certo dire che siano definite con altrettanta chiarezza le modalità operative, il perimetro d’azione, gli standard qualitativi. In buona sostanza, la qualità di una due diligence è la variabile dipendente mentre quelle indipendenti sono molteplici: il know-how del soggetto che investiga, lo stato di avanzamento tecnologico, la ricchezza di informazioni disponibili, su fonti aperte, relativamente all’oggetto dell’indagine.
L’impianto concettuale della due diligence reputazionale rimane infatti quello dell’OSINT (Open Source Intelligence), quell’insieme di tecniche – anche se c’è chi considera l’OSINT una vera e propria dottrina – finalizzate a generare conoscenza a partire dal reperimento, analisi ed elaborazione di dati spesso disseminati sul web o su altri supporti non classificati. La figura dell’analista OSINT che redige il rapporto di due diligence è centrale e in costante evoluzione, così come cambia frequentemente il contesto ambientale, il vero vincolo alla reperibilità delle informazioni. Se è vero che fi no all’80-90% dei dati utili ai fini dell’intelligence è reperibile su fonti aperte, quindi accessibile a tutti, ciò non significa che ottenere le informazioni sia agevole. Spesso è necessario fare ricorso a tecniche avanzate di estrazione di dati e metadati, di analisi delle infrastrutture informatiche e di visualizzazione dei network con tecniche derivate dalla sociologia, come la social network analysis.

Insomma, l’analisi OSINT, altamente interdisciplinare, è la base di ogni buona due diligence ed è uno skill che si arricchisce continuamente di nuovi strumenti anche grazie alla condivisione di “tool” e software spesso open-source. La comunità internazionale degli analisti OSINT è infatti molto aperta e attiva nel favorire la diffusione della conoscenza settoriale e anche la stessa attività di analisi e investigazione fa sempre più spesso ricorso a forme di “intelligence crowdsourcing”, dove pubblici indistinti possono contribuire a fornire informazioni utili attraverso piattaforme digitali.
Anche se siamo fuori dal campo specifico della due diligence, è utile segnalare l’eccellente iniziativa di Europol, che combatte gli abusi sui minori anche chiedendo il supporto delle comunità online, che possono identificare luoghi e oggetti – sensibili ai fini dell’indagine - le cui foto sono pubblicate sul sito di Europol.

Per concludere, possiamo certamente dire che la metodologia OSINT applicata a una due diligence circolare, periodica e strutturata sulla dimensione interna ed esterna di un’azienda rappresenta un asset sempre più necessario per strutturare le procedure di controllo interne, salvaguardare la reputazione e assicurare un decision-making più efficiente e consapevole.

a cura di Monica Bertolo

CHI È ROBERTA BIANCHI?
Roberta Bianchi è iscritta all’Albo dei dottori commercialisti dopo essere stata abilitata alla professione nel 1984. Dal 1985 è stata membro di numerosi collegi sindacali. Nel 1986 ha dato vita ad uno specializzato centro di elaborazioni dati per la gestione fiscale e amministrativa delle imprese. Dal 2004 è iscritta all’albo dei revisori contabili. Dal 2006, specializzatasi in informazioni commerciali, collabora con studi di informazione in Italia ed all’Estero.

 

27.11.2017


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Sicurezza informatica: l’Italia a novembre peggiora nella classifica mondiale dei Paesi più attaccati

I dati del Global Threat Impact Index di novembre di Check Point® Software Technologies Ltd....

Affrontare l'inverno

L’inverno è una stagione che, grazie al freddo e al buio (anche se non li amiamo...

Paolo Vento: la forte presenza di Sicurit in Italia ed all'estero

A Fiera Sicurezza S News incontra Paolo Vento, Amministratore Delegato Sicurit. Forte la...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.