Il valore della Compliance nel settore farmaceutico

Prima di addentrarci nei sentieri della compliance farmaceutica può essere utile fare chiarezza sul significato del termine “compliance”.

Il verbo “to comply with” significa agire secondo un ordine, una serie di regole o una richiesta; il sostantivo “compliance” si traduce, invece, con la parola conformità.

Lavorare in compliance, pertanto, vuol dire agire in conformità alle norme: non solo norme imperative (leggi e regolamenti), ma anche norme di autoregolamentazione (norme deontologiche e standard di settore emessi da associazioni di categoria o da organismi di certificazione, regole interne alla società, quali codici etici o di condotta e procedure).

La funzione Compliance opera quindi in perimetri diversi in relazione al settore economico ed alle principali normative di riferimento.

 

Compliance: evoluzione e declinazioni

Il primo rilevante riferimento alla funzione Compliance nella letteratura giuridica appare nel 1988 all’interno delle Federal Sentencing Guidelines, che evidenziano l’importanza di adottare un compliance program volto a identificare i comportamenti etici e legali attesi per le attività aziendali, nonché la definizione di controlli finalizzati a portare all’attenzione del vertice societario potenziali comportamenti illeciti.

Il ruolo subisce un’importante evoluzione quando, in ossequio alla convenzione OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) del 1997 sulla corruzione dei dipendenti pubblici, i diversi Paesi membri vengono invitati ad introdurre normative sulla responsabilità indiretta delle società in caso di reati commessi dai propri dirigenti o impiegati. 

Inizia così a diffondersi nel mondo il concetto di “responsabilità di impresa”; alcuni esempi di tali normative in Europa sono: il decreto legislativo 231 entrato in vigore in Italia a settembre 2001, la Ley Organica in vigore in Spagna dal 23 dicembre 2010, l’UK Bribery Act in vigore nel Regno Unito dal luglio 2011 e la Loi Sapin II introdotta in Francia nel 2016.

In questo contesto, pur in assenza di specifici obblighi normativi, le aziende decidono su base volontaria di integrare all’interno della propria organizzazione la funzione Compliance in aggiunta agli altri organi di controllo (per es. Collegio Sindacale, Società di Revisione, Organismo di Vigilanza) con un focus volto ai programmi di prevenzione del rischio di non conformità, oltreché alla diffusione di una cultura dell’etica e dell’integrità.

Nei settori bancario e assicurativo, dove la tutela degli stakeholder (risparmiatori, investitori, imprese) è particolarmente attenzionata, le regolamentazioni di vigilanza[1] che hanno recepito i principi guida del Comitato di Basilea del 2005[2], hanno previsto la Compliance come funzione obbligatoria.

Tali regolamentazioni, tra l’altro, descrivono il perimetro di area di intervento della Funzione (es. attività di intermediazione, conflitto di interessi, tutela del consumatore ecc.), le caratteristiche che la Funzione deve possedere (es. autonomia, indipendenza, anche rispetto alla funzione Internal Audit) e le relazioni con gli altri organi aziendali.

In Italia, le società quotate in borsa sono soggette anche alla Legge 262 del 2005 in materia di “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”[3]. La normativa, ispirata al Sarbanes-Oxley Act (conosciuto come Sarbox o semplicemente SOX), mira a migliorare la corporate governance e a garantire la trasparenza e consistenza delle scritture contabili, agendo con sanzioni non solo amministrative, ma anche penali.  La L.262/2005 ha introdotto la formalizzazione delle procedure amministrativo-contabili per le attività di controllo inerenti al processo di predisposizione dell’informativa di bilancio, nonché la figura del dirigente preposto che deve svolgere periodicamente una valutazione circa l’adeguatezza e l’effettiva applicazione delle procedure.

Un’analisi condotta dalla Società Protiviti[4] evidenzia come un terzo delle Società analizzate già nel 2015 aveva ritenuto opportuno affidare il disegno del sistema 262 a funzioni diverse da Amministrazione, Finanza e Controllo (AFC) quali, ad esempio, la funzione Internal Audit o la funzione Compliance, ove esistente. Nell’analisi, inoltre, proprio una maggiore sinergia e coinvolgimento della funzione Compliance è indicata come un elemento di possibile miglioramento dell’impianto 262, anticipando i temi legati all’esigenza di avere una compliance integrata (oggi più che mai indispensabile anche in considerazione dell’entrata dei reati tributari nella lista dei reati presupposto ai sensi del D. Lgs. 231/01).

 

La Compliance nel settore farmaceutico

Negli anni la Compliance è divenuta un fattore strategico anche nel Pharma.

Il settore farmaceutico, ed healthcare in generale, si caratterizza infatti per alcuni elementi peculiari:

• particolare attenzione da parte della collettività e delle Istituzioni alle attività e ai prodotti delle aziende del settore che rispondono a bisogni primari e diritti fondamentali dell’individuo relativi alla vita e alla salute;
• eterogeneità degli stakeholder coinvolti (operatori sanitari, organizzazione sanitarie, pubblici decisori, associazioni di pazienti e, infine, pazienti) e numerosità dei rapporti con la Pubblica Amministrazione;
• alta competizione all’interno del settore caratterizzato dalla presenza di aziende c.d. “originator” attive nella ricerca, sviluppo, produzione, commercializzazione e fornitura di farmaci innovativi e aziende “genericiste” che, alla scadenza dei brevetti dei farmaci prodotti dalle prime, possono accedere al mercato con farmaci equivalenti (o biosimilari) a quelli originali, determinando una progressiva diminuzione dei prezzi;
• asimmetria nel modello domanda/offerta caratterizzata dal fatto che il consumatore finale di un farmaco con costo a carico del SSN (il paziente) non coincide con il decisore (l’AIFA e le Regioni per l’accesso al farmaco e il singolo medico in fase di prescrizione) e non sostiene il costo dei farmaci, se non - in alcuni casi - in misura ridotta tramite il meccanismo del ticket;
• scarsi investimenti pubblici nella ricerca e nella formazione del personale sanitario, per cui la ricerca svolta da parte delle aziende farmaceutiche ed il finanziamento alla formazione dei sanitari da parte del settore privato (es. formazione ECM), sono fondamentali per lo sviluppo e la sopravvivenza del settore e dell’intero sistema salute;
• elevato grado di regolamentazione che include fonti normative comunitarie, nazionali e regionali, oltre a norme di autoregolamentazione come i codici promossi da parte di associazioni nazionali ed internazionali del settore (IFPMA, EFPIA e Farmindustria).

In un settore così normato e rilevante, anche il minimo scandalo potrebbe venire amplificato danneggiando una credibilità costruita negli anni, con elevanti danni reputazionali e perdita di profitti (basti pensare agli effetti disastrosi di alcuni casi di cronaca - es. Pasimafi, Conquibus - legati a presunti comportamenti illeciti che hanno danneggiato l’immagine di tutte le aziende operanti nel settore della salute).

Per queste ragioni le aziende farmaceutiche hanno sentito sempre più forte la necessità di un cambiamento di approccio caratterizzato da etica, trasparenza e responsabilità attraverso la promozione della cultura della compliance. Negli anni, infatti, sono aumentati gli investimenti in Funzioni dedicate e in programmi di compliance volti a testimoniare l’attenzione verso tali argomenti.

 

Rischi aziendali

I rischi associati alle attività aziendali possono essere di diverso tipo:

1. rischi strategici, derivanti da eventuali decisioni aziendali non coerenti con gli obiettivi generali;
2. rischi operativi, dovuti all’inadeguatezza o non corretta implementazione di procedure e processi, risorse umane, sistemi informatici o a fattori esogeni all’impresa;
3. rischi finanziari, causati dalla difficoltà di accesso al credito o da problemi connessi alla gestione della liquidità;
4. rischi di non conformità (o mancata conformità), identificati anche come “rischi di compliance”, inerenti a comportamenti scorretti o alla violazione di nome imperative e di autoregolamentazione che possono esporre l’azienda a sanzioni, procedimenti penali o amministrativi, perdite economiche o danni reputazionali.

Per fronteggiare tali rischi, le aziende attuano processi di risk management (gestione del rischio) e implementano sistemi di controllo interno volti a identificare, valutare, quantificare e mitigare i rischi associati alle attività e ai processi operativi per mantenerli ad un livello di accettabilità (risk target) definito.

I programmi di Compliance (Compliance Programs) rappresentano un’efficace risposta nell’ottica della prevenzione dei rischi di non conformità.

 

Compliance Program

È l’insieme delle politiche e procedure disegnate ad hoc per promuovere comportamenti aziendali conformi a leggi, norme e regolamenti.

Tra i principali elementi di un Compliance Program troviamo:

1. il monitoraggio normativo, ossia l’identificazione delle normative applicabili all’azienda e l’analisi degli aggiornamenti;
2. l’individuazione dei processi impattati, frutto dell’incrocio tra le attività aziendali e le normative applicabili;
3. la valutazione del rischio, prodotto dalla probabilità di accadimento (considerando ad esempio il benchmark di settore) per l’impatto (ossia i danni in caso di mancato adempimento); 
4. l’identificazione dei presidi di controllo per mitigare i rischi di non conformità identificati (ad esempio mediante il ricorso a modifiche organizzative e procedure);
5. il monitoraggio, inteso come valutazione continuativa dei processi impattati mediante verifiche interne finalizzate a riscontrarne il corretto svolgimento;
6. la formazione, informazione e comunicazione per assicurare che tutto il personale aziendale e gli stakeholder esterni siano edotti e periodicamente aggiornati su regole e processi applicabili per garantirne il corretto svolgimento;
7. la valutazione sull’efficace attuazione del compliance program anche attraverso la definizione e la misurazione di KPI e il riporto al vertice.

 

Conclusioni

È fuor di dubbio che l’implementazione di rigorosi programmi di compliance comporti costi certi e immediati per l’azienda che vuole operare in conformità. Non implementandoli, si potrebbe avere un risparmio immediato esponendo però l’azienda a rischi che, sebbene incerti e pertanto non immediatamente quantificabili, possono facilmente superare il risparmio ottenuto.

Per questo motivo l’applicazione dei Compliance Program è da considerarsi un’importante e lungimirante scelta strategica aziendale.

Ovviamente la proliferazione delle normative finalizzate a contrastare le irregolarità e il contestuale inasprimento delle sanzioni rendono vantaggioso lavorare sulla prevenzione, con una conseguente valorizzazione della funzione Compliance.

Nel prossimo articolo parleremo, appunto, del ruolo del responsabile di Compliance (Compliance Officer).

 

Disclosure

I contenuti della Rubrica «Compliance Take Away» sono frutto di opinioni personali degli autori senza alcun riferimento ad attuali o precedenti contesti aziendali presso i quali lavorano o hanno lavorato.

 

[1] Riferimenti normativi di settore:

• Banca d’Italia, “Disposizioni di Vigilanza, La funzione di conformità”, 12 luglio 2007;
• CONSOB (congiuntamente a Banca d’Italia), “Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio”, 29 ottobre 2007;
• ISVAP, “Regolamento N. 20 recante disposizioni in materia di controlli interni, gestione dei rischi, compliance (…)”, 26 marzo 2008.

[2] Documento “Compliance e la funzione di compliance nelle banche”, 2005.

[3] Che si applica a: (i) società italiane con azioni quotate in mercati regolamentati, (ii) società italiane emittenti strumenti finanziari diffusi fra il pubblico in misura rilevante, le quali controllino società aventi sede legale in Stati i cui ordinamenti non garantiscono la trasparenza della costituzione, della situazione patrimoniale e finanziaria e della gestione delle società, (iii) società italiane con azioni quotate in mercati regolamentati o emittenti strumenti finanziari diffusi fra il pubblico in misura rilevante, le quali siano collegate alle suddette società estere o siano da queste controllate.

[4] https://www.protiviti.com/sites/default/files/italy/insights/3_survey_protiviti_262_-_ottobre_2015.pdf