Mai come in questi ultimi anni il termine compliance è stato usato e forse abusato. Lo abbiamo potuto incontrare nelle ricerche di personale, nella definizione di progetti e programmi, nella promozione di prodotti.
Da ultimo, anche il GDPR (General Data Protection Regulation, il Regolamento europeo per la protezione dei dati personali) lo ha prepotentemente riportato alla ribalta.
Negli ultimi dieci anni si è andata via via creando una situazione in cui tutte le imprese, siano esse piccole, medie o grandi, si sono trovate di fronte alla necessità di rispettare normative esterne cogenti entro limiti prestabiliti, oltre che strategie, politiche e procedure interne. In una parola sono state travolte dal tema della compliance, intorno al quale talvolta si sono avviluppate.
Indice degli argomenti
Cosa si intende esattamente con compliance
Dal punto di vista organizzativo, si tratta di un processo finalizzato a garantire il rispetto delle normative e delle leggi esterne, laddove applicabili al contesto in cui si muove l’azienda, che possono essere sia cogenti che volontarie (si pensi ad esempio al D.lgs. n. 231/2001 cui è facoltativo aderire), delle policies, procedure e codici di condotta interni che l’organizzazione ha deciso di adottare.
Una notevole spinta, ormai lontana nel tempo, è stata data dal Regolamento Basilea II del 2007 che ha portato all’istituzione anche di una funzione aziendale di compliance, resa obbligatoria per il mondo bancario, che in genere è il settore che più di altri anticipa le tendenze.
Su questa scia, sono state coinvolte anche le imprese che forniscono servizi alle aziende quotate in borsa, prima con la SAS70, lo standard per la valutazione dei controlli interni delle aziende di outsourcing, poi con la ISA3402 (International Standard for Assurance Engagements), che prevede la generazione di report periodici da parte di auditors indipendenti finalizzati a valutare il sistema dei controlli interni delle organizzazioni che erogano servizi.
Ciò ha interessato prevalentemente le imprese che forniscono servizi in ambito IT, payroll, finanziari e amministrativi, che sono andate via via accumulando nel tempo una intricata matassa di requisiti di compliance, riferibili a una pluralità di schemi.
Nel 2018 si è aggiunto il GDPR che, anche per le imprese dove era già appropriatamente adottato il decreto 196 previgente, ha comportato numerose modifiche, non solo formali e in termini di adempimenti, quanto piuttosto nell’introduzione del concetto di accountability e di centralità dei rischi connessi al trattamento dei dati personali.
Un approccio integrato per la compliance
Sebbene molte realtà continuino a gestire in modo distinto i diversi sistemi di gestione (la qualità, la sicurezza sul lavoro, la responsabilità sociale, la sicurezza delle informazioni, la data protection, la continuità operativa, la conformità a determinati contratti), è ormai evidente la necessità di un unico approccio di governance perché molti sono i requisiti comuni ai diversi schemi, e sarebbe dispendioso ripeterli e immaginare di duplicare gli adempimenti.
Molte realtà si stanno dotando di strumenti GRC – Governance Risk & Compliance, ovvero strumenti in grado di supportare un approccio aziendale di governance, gestione del rischio e conformità normativa, “volto ad assicurare che l’organizzazione operi eticamente e in accordo con la sua propensione al rischio, alle politiche interne e alle norme esterne attraverso l’allineamento di strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da aumentare efficienza ed efficacia”.
In molti casi però, si compie questo passo senza prima aver raggiunto, in termini di organizzazione, una maturità tale da poter contare su una reale integrazione dei processi aziendali sotto un unico sistema di gestione. E quindi l’uso di un tool di per sé non riesce ad aggiungere tutto il valore previsto, perché l’azienda non dispone di una visione trasversale e chiara della propria organizzazione.
Non è raro riscontrare che si continua a progettare, organizzare ed effettuare audit distintamente per i vari schemi, senza condividere a livello strategico i criteri e gli obiettivi dell’audit, né si condividono i risultati tra le diverse funzioni di assurance. Anzi, in questo senso si osserva ancora una vera e propria gelosia in difesa del proprio perimetro di lavoro.
Non si riesce quindi a superare l’approccio a “silos” tipico di molte grandi aziende.
Altra debolezza che ne deriva riguarda la gestione dei rischi che difficilmente riesce ad essere costruita appunto a livello Enterprise, con la conseguenza che ogni unità di business mantiene il proprio presidio sui suoi rischi specifici, e a livello strategico manca quella visione integrata che consentirebbe di indirizzare le giuste priorità e l’uso più appropriato delle risorse.
Un unico sistema di gestione aziendale
La conoscenza maturata in anni di esperienza nel mondo dei sistemi di gestione mi spinge a sostenere con forza che la via maestra è costruire un unico sistema di gestione aziendale costituito da processi che rispondano simultaneamente a tutti i requisiti che ivi trovano applicazione.
Mi piace immaginare che non vi saranno più processi creati ad hoc per questo o quello schema o norma, ma che nella progettazione dei processi verranno integrati tutti i requisiti, in modo tale che gli owner siano consapevoli di cosa, il proprio processo dovrà fare e in quale momento, per questo o quel requisito di compliance.
In questo sta appunto l’efficienza, e la non duplicazione. Sarà certamente un passaggio graduale che porterà ad una maggiore maturità dell’organizzazione.
Il mondo ISO ha ben risposto a questa esigenza infatti da qualche anno esiste una struttura comune di riferimento per le norme ISO/TC, denominata High Level Structure – HLS che identifica un nucleo comune per tutte le nuove norme sui sistemi di gestione, e che condivide ben 10 punti e 21 tra termini e definizioni.
Uno degli obiettivi dell’High Level Structure è proprio quello di agevolare le organizzazioni nell’armonizzare sistemi di gestione diversi, e facilitare la loro integrazione in un unico sistema.
Al livello basso, più tattico ed operativo, occorre invece avere competenze più trasversali per introdurre in punti precisi di processi specifici gli adempimenti di conformità che sono richiesti in quella fase del processo produttivo.
Serve la conoscenza profonda delle leggi e delle normative applicabili, ma anche una capacità di sintesi per comprendere l’organizzazione e le sue dinamiche.
In questo senso, anche le più note norme di settore spingono verso una visione integrata – si pensi ad esempio alla circolare 285 di Banca d’Italia, o alla norma ISO 27001, che richiama in un unico punto dell’Allegato A l’obbligo di conformarsi a tutti i requisiti di conformità applicabili al proprio contesto, dalle norme sul copyright alle normative per la privacy e la protezione dei dati personali.
Anche in merito alle attività di audit, che rimane lo strumento più importante per valutare se i requisiti vengono effettivamente applicati nell’organizzazione e se il sistema produce i risultati attesi, la norma ISO 19011 nella versione del 2018 introduce un principio importante per il nostro argomento: il settimo principio è appunto “Approccio basato sul rischio” – un approccio all’audit che considera rischi e opportunità.
L’approccio basato sul rischio dovrebbe influenzare in maniera sostanziale la pianificazione, la conduzione e il reporting degli audit al fine di assicurare che questi ultimi siano focalizzati su questioni che siano significative per il committente dell’audit e per conseguire gli obiettivi del programma di audit.
La ISO 19011 è una norma internazionale che può essere adottata anche per sistemi di gestione non ISO, ferma restando la particolare attenzione alle competenze necessarie. E la versione del 2018 finalmente introduce l’approccio dell’audit combinato, ovvero la possibilità di sottoporre contemporaneamente ad audit un sistema di gestione in riferimento a diverse discipline.
Conclusioni
In sintesi ciò che ci sembra importante auspicare è che si vada via via definendo una funzione di Integration Assurance, che consenta un migliore allineamento tra tutte le diverse funzioni di assurance: Internal Audit, Compliance, Risk Enterprise, Responsabili per la protezione dei dati che culmini nella definizione di un’Assurance Strategy, e che sia di ispirazione per tutti i processi aziendali.
Ne conseguirebbe un Integrated Auditing in grado di parlare con una sola voce attraverso reporting integrati.