In un precedente articolo pochi giorni fa abbiamo visto come la gestione della compliance normativa sia diventata un tema cruciale, sia per il numero di leggi, standard e norme privatistiche a cui occorre adeguarsi, sia per il loro impatto sui modelli di funzionamento di Imprese e Pubbliche Amministrazioni (PA), anche rispetto ai processi di trasformazione digitale in atto.
Si rende quindi necessario affrontare questo tema con un approccio innovativo, che eviti duplicazioni attraverso la chiara definizione di un modello integrato di governance di Normative e Standard. Ma come procedere? Proponiamo qui un percorso in 10 punti che suggerisce appunto come “maneggiare” gli adempimenti, con le necessarie condizioni al contorno di governance, change management, monitoraggio/controllo, ma anche digitalizzazione.
Who's Who
Luca Galetti
Manager presso P4I - Practice Compliance Innovation
1. Identificare, classificare e prioritizzare normative e standard a cui devono o possono adeguarsi, sviluppando una mappa comprensiva di impatti di alto livello sul proprio modello di funzionamento, con focus, ad esempio, sulla struttura organizzativa (rif. organigramma e funzionigramma). Ciò comporta la costruzione di una roadmap di adeguamento complessiva che tiene conto di deadline (es. data di entrata in vigore e applicabilità della normativa) e rischi di non conformità (es. entità delle sanzioni), ma anche degli impatti sul modello di funzionamento, da mantenere costantemente aggiornata con gli sviluppi normativi.
2. Modellizzare i requisiti di normative e standard in funzione delle principali dimensioni aziendali, facilitandone la comprensione e favorendo la definizione di azioni concrete da implementare, ma anche dei rispettivi owner (Affari Legali, Compliance, IT & Security, Risorse Umane, …). Per capire le reali implicazioni di ciascun articolo sul modello di funzionamento di Imprese e PA, occorre disporre di un framework per classificare in modo adeguato (e uniforme) i requisiti. Tale framework è determinante per poter confrontare i requisiti di normative e standard differenti e individuare eventuali sinergie.
A titolo di esempio, citiamo l’art. 16 del Regolamento n. 38 di IVASS relativo a Sistemi informatici e cyber security. L’articolo parla di requisiti fortemente eterogenei se letti nell’ottica del modello di funzionamento di Imprese e PA. Tra questi vi sono: piano strategico ICT; funzioni, ruoli e responsabilità legati alla cybersecurity aziendale; iniziative di formazione per mantenere i rischi sotto la tolleranza; processo per la gestione degli incidenti; relazione sintetica con descrizione dell’incidente e dei disservizi provocati.
Senza un framework per classificare i requisiti in funzione delle dimensioni aziendali, Imprese e PA non possono comprendere i reali impatti di normative e standard, con conseguenti difficoltà nell’identificare i corretti attori da coinvolgere per disegnare e implementare il percorso di adeguamento.
3. Confrontare i requisiti di normative e standard diversi, grazie al framework citato al punto precedente, individuando eventuali sinergie ed effettuando le opportune razionalizzazioni in un’ottica di compliance normativa “integrata”, approccio che consente l’allocazione ottimale delle risorse a disposizione di Imprese e PA.
Talvolta è possibile sfruttare anche gli stessi standard come strumento per mettere a confronto ed evidenziare sinergie tra i requisiti di normative differenti. Si pensi ad esempio all’adozione del framework di Cyber Security NIST o la ISO 27001 per confrontare le misure di sicurezza tecniche e organizzative adottate da Imprese e PA, con riferimento ad esempio ai requisiti del GDPR, della PSD2 e della NIS.
4. Semplificare la lettura e interpretazione di normative e standard, adottando tecniche di rappresentazione grafica e simbolica per raggruppare e sintetizzare i requisiti, adattando il livello di profondità in funzione del tipo di interlocutore (Top Management vs Operativi).
5. Valutare il livello di maturità aziendale e disegnare un piano di adeguamento alla specifica normativa o standard, progettando o acquistando uno strumento – perfettamente allineato ai requisiti richiesti – per rilevare i gap da colmare e tradurli in azioni da implementare, valutando attentamente le sinergie con altri interventi previsti da altre normative e standard.
Per la creazione del piano di adeguamento, consigliamo di definire dei “cantieri di lavoro” coinvolgendo gli attori a cui sarà attribuita l’ownership delle relative azioni (Affari Legali, Sistemi Informativi, Compliance, …). Per ciascun cantiere, inoltre, individuare azioni facilmente riconducibili a capitoli, sezioni, articoli – considerando la specificità della normativa o standard, anche in termini di nomenclatura – opportunamente integrate con azioni trasversali a supporto della buona riuscita del percorso (es. attività di PMO e Knowledge Management)
6. Implementare e coordinare in modo strutturato il piano di adeguamento alla specifica normativa o standard, costruendo un modello di compliance normativa (es. modello per la protezione dei dati personali; modello per la prevenzione dei reati) aderente alla realtà aziendale e integrato con gli asset disponibili (es. funzionigramma e mappa dei processi), il più possibile replicabile, sia dal punto di vista dell’approccio sia dal punto di vista dei deliverable, evitando in questo modo la proliferazione di modelli che “non si parlano”.
7. Progettare iniziative di change management “non convenzionali”, in termini di informazione, sensibilizzazione e formazione del personale: per esempio workshop e webinar interattivi, video-pillole su temi verticali, ma anche field projects per l’applicazione sul campo di policy e procedure. Per fare ciò, è importante anche differenziare le modalità di erogazione e i contenuti delle attività di change in funzione della tipologia e numerosità di interlocutori, parlando un linguaggio comprensibile (tutt’altro che scontato quando si parla di normative)
8. Progettare un sistema di monitoraggio e controllo di normative e standard “integrato”, che consenta di avere una vista complessiva dei rischi di non conformità e razionalizzare e ottimizzare il numero di verifiche, ivi compresi i flussi informativi da e verso i soggetti coinvolti.
9. Dotarsi di soluzioni in grado di facilitare l’implementazione (ma anche il monitoraggio e controllo) di uno o più modelli di compliance normativa, meglio se in ottica integrata, non solo supportando la gestione degli adempimenti (es. registro dei trattamenti per il GDPR), ma mettendo anche a disposizione del Top Management una reportistica sintetica per prendere le opportune decisioni. Le soluzioni veramente solide e sicure, oltre che integrate, non sono tante, ma esistono, anche se magari non sono quelle che si “presentano” meglio.
10. Disegnare o rivedere il modello di governance complessivo di normative e standard al fine di indirizzare, gestire e controllare i rischi di non conformità, effettuando le opportune scelte in termini di domini (strategia, budget, risorse, presidi, …) e meccanismi decisionali (modello centralizzato, misto o decentralizzato). Diventa sempre più importante, infatti, fare chiarezza in merito a strutture, comitati e ruoli che hanno in carico il governo di normative e standard: chi è “Accountable”? Chi è “Responsible”? Chi è “Consulted”? Chi solamente “Informed”?
Nei prossimi articoli andremo ad approfondire le varie fasi di questo approccio, portando anche degli esempi concreti in merito a come affrontare – passo dopo passo – questo lungo ma stimolante percorso verso una compliance normativa innovativa (e integrata).