Archivio per ottobre 2011

06
Ott
11

the courage to follow your heart and intuition

“Your time is limited, so don’t waste it living someone else’s life. Don’t be trapped by dogma — which is living with the results of other people’s thinking. Don’t let the noise of others’ opinions drown out your own inner voice. And most important, have the courage to follow your heart and intuition. They somehow already know what you truly want to become. Everything else is secondary.”

— Steve Jobs

Annunci
05
Ott
11

Come il tema della Compliance sta assumendo il ruolo di motore del business

Per un’azienda è sempre più importante essere abili nel gestire le problematiche di rischio ed oggi gli aspetti relativi alla compliance sono ormai ai primi posti della scrivania dei manager al pari dei temi economici e di mercato. Possiamo quasi dire che oggi i temi classici della gestione aziendale poggiano sempre più sulla compliance. Quest’ultima infatti, dopo essere rimasta esclusa per molto tempo, si è imposta prepotentemente all’attenzione nella definizione di valore di un’impresa ed in tutte le iniziative strategiche che impattano sugli obiettivi di business, sia legate all’ambiente fisico, sia virtuale o cloud.

Approfondiamo come sta evolvendo il mercato nazionale su una terna di termini che oggi più che mai sono risultati fondamentali per fare impresa: il tema della Governance Risk Compliance (GRC). Il tradizionale approccio per silos tematici, che caratterizza ancora oggi la gestione delle imprese, quindi frammentato e gestito caso per caso, appare ormai superato o quantomai inefficace.

Le imprese più innovative e le scuole di economia oggi si stanno orientando su piattaforme integrate allo scopo di migliorare la vigilanza della Corporate Governance (correttezza del reporting finanziario, conformità alla normativa, sistema dei controlli e Enterprise Risk Management, …etc.). L’evoluzione della sensibilità sul tema GRC è stata determinata da fattori interni ed esterni che hanno contribuito al cambiamento dell’approccio al tema e quindi dell’aumento della domanda di sistemi di gestione a supporto. Per citarne alcuni: la crisi economica, l’aumento della complessità degli affari e della relativa normativa a garanzia del corretto svolgimento del business (sistema dei controlli), l’evoluzione della normativa internazionale. Ma ancora, il cambiamento della percezione del mercato all’importanza della trasparenza e correttezza dell’agire delle imprese, il cambiamento di strategia nel business verso la globalizzazione, il cambiamento della tecnologia e dei processi a supporto delle nuove strategie, la necessità di una visione integrata di tutte le componenti del business”.

Tutti i mercati sono interessati a questa evoluzione, anche se il settore Finance è quello che sta facendo da apripista sospinto dalla crisi finanziaria che ci coinvolge tutti. L’adeguamento alla normativa dettata da Basilea 2 e oggi 3 , accelerata dalla crisi mondiale del 2008, ha spinto le aziende da una parte e le autorità dall’altra a modificare le strategie per poter far fronte alla situazione intervenendo nei fattori di trasparenza e regolarità.
In Italia la spinta principale all’adozione di strumenti per il GRC arriva certamente dalla necessità di ridurre i costi di compliance alle varie normative quali la legge 231/2001 e le altre leggi ricomprese, la normativa sulla privacy 196 (in particolare per il DPS), ma anche le tematiche relative al risk management sono affrontate con maggior frequenza. I mercati più maturi che hanno e stanno affrontando queste iniziative o le hanno già avviate sono certamente i mercati finanziari, assicurativi e delle telecomunicazioni”.

Il tema Governance, Risk and Compliance (GRC) sul mercato industry italiano sta avendo un’evoluzione probabilmente più lenta rispetto ad altri Paesi Europei (gli Stati Uniti sono già passati ad una fase di revisione critica delle metodologie adottate), ma al contempo sempre più importante, capillare e  significativa.

I mercati che per primi hanno affrontato il tema sono sicuramente quelli più sottoposti a normative di controllo. Questi settori hanno giocato un ruolo da apripista in un contesto che sta progressivamente ampliandosi trasversalmente a tutti i settori industriali, spinti anche dalla normativa sulla sicurezza dei luoghi di lavoro che rientra nella 231/2001, ovviamente con maggiore forza e pervasione laddove le società sono o quotate in borsa o hanno una dimensione di rilievo economico e sociale nella realtà ove operano. Parallelamente si è anche assistito all’evolversi dell’azione giudiziaria, all’inizio frenata dal dover adeguare prassi e procedure all’applicazione di un impianto normativo innovativo per l’Italia basato su principi e non più su specifiche prescrizioni.

Fornire una visione olistica del rischio e della conformità normativa è indispensabile per qualsiasi azienda di qualsiasi settore. La compliance, che non vuole dire solo conformità ma aderenza al dettato di norme e leggi, significa essere in grado di adeguarsi proattivamente a leggi, normative, policy, obblighi contrattuali e standard di mercato, ma anche all’evoluzione stessa del mercato. È l’abilità di un’azienda a gestire le problematiche associate al rischio e alla compliance in condizioni di assoluta trasparenza, in correlazione con le iniziative strategiche che impattano sugli obiettivi di business. La Governance richiede una definizione chiara degli obiettivi di business e delle regole, delle policy, delle procedure e degli standard dell’azienda. Norme e linee guida spesso vengono adottate per affrontare potenziali rischi. Per esempio, il mercato finanziario è guidato da indicazioni in merito a diverse norme e leggi nazionali nel settore bancario; leggi che hanno l’obiettivo di prevenire e ridurre l’esposizione ai rischi al credito e al bisogno di mantenere sufficientemente liquide le attività delle aziende, in modo tale da assicurare che le organizzazioni restino profittevoli e in grado di “mantenere gli impegni presi”. Tali regolamentazioni, come gli Accordi di Basilea 2 e 3 (per il settore bancario) o i regolamenti Solvency per il settore Assicurativo, o come la 231/2001, imposte dall’Unione Europea, sono necessariamente connessi e guidati dalla necessita di accedere e gestire un’elevata quantità di dati, ormai non più strutturati, multimediali in alcuni casi, di cui bisogna salvaguardarne l’affidabilità e la leggibilità.

Poiché in questo momento in Italia si sta iniziando a fare ricorso a queste cosiddette buone prassi (best pratiche) che si sono già rivelate di parziale efficacia, in questo contesto occorre definire quali sono i nuovi paradigmi che possono portare ad un incremento dell’efficacia di un sistema GRC evitando di cadere negli errori di chi ha gia messo in atto queste “buone prassi”.

Negli Stati Uniti in un primo momento sono comparse normative come la SOX (Sarbanes-Oxely Act) o metodiche come il framework COSO volti a creare un framework uniforme di controlli e di risultati confrontabili (ad es. : Access Control a supporto delle logiche di Segregazione dei Ruoli, Process Control a supporto dei processi di attestazione della compliance aziendale, Risk Management a supporto delle tematiche di analisi e pianificazione dei rischi operativi – )”. La sempre più forte richiesta da parte del mercato di soluzioni, anche economiche, integrate per indirizzare questi temi, ha visto proprio recentemente lo sviluppo di soluzioni preconfezionate, che integrano sia da un punto di vista tecnico che funzionale le funzioni operative di GRC presenti già da tempo sul mercato. Se utili sul piano operativo si sono già rivelate inefficaci sul piano pratico e della cronaca, l’adozione di tali strumenti e modelli preconfezionati ha mostrato come si sia instaurata una presunzione di conformità che ha solo distolto l’attenzione da a rilevare i veri problemi e ha allentanto il livello di guardia e attenzione ai rischi. Si pensi ad es. al caso Societè General (la Francia è un paese in cui certi controlli sono avviati da più tempo rispetto all’Italia) in cui si è prodotto un ammanco miliardario sfruttando la logica meccanicistica e le regole del sistema dei controlli.

Sicuramente occorre un sistema integrato per standardizzare e gestire tutti i rischi aziendali e consolidare tutte le informazioni derivanti da specifici sistemi di Risk Management, sia finanziari sia non finanziari, al fine di ottenere una visione dei rischi Enterprise Wide,

Ma questo non vuole dire che ciò basti; oggi, grazie al lavoro di vari ricercatori come Gigerenzer, Kahneman, Simmon, Goldstein, Thaler, Sunstein ma anche al successo del libro divulgativo di N.N. Taleb, che si è finalmente capito che l’approccio deterministico e razionale sino ad oggi adottato, così come gli strumenti matematici e statistici, coprono solo un universo ridottissimo degli eventi possibili. Occorre imparare ad agire quindi in condizioni di assoluta incertezza cercando di raggiungere il miglior livello di subottimalità. Questo è possibile proprio rispolverando un approccio già indicato da grandi religioni e antiche filosofie, e fiabe e regole di vita che hanno individuato nell’insegnamento di euristiche, il mezzo per consentire di decidere in condizioni di incertezza.

L’adozione di euristiche può guidare nel momento della scelta e orientare l’agire meglio di framework di regole di natura prescrittiva che non può oggettivamente riuscire a ricomprendere tutti i possibili eventi di scelta che un individuo o un’Impresa si trova continuamente a dover affrontare.

Le  soluzioni di natura prescrittiva non sono completamente inutili ma sono limitate a quei casi per i quali si è definita la prescrizione: ovvero nei casi in cui l’universo dei possibili eventi è abbastanza definibile e sufficientemente noto, quando gli effetti non hanno riflessi troppo lontani nel tempo dell’azione,  il numero delle scelte è compatibile con il tempo disponibile per esaminarle, il livello di interazioni tra gli agenti coinvolti è caratterizzato da un quadro, anche complicato, ma sostanzialmente statico o di bassa inferenza reciproca. In queste particolari e infrequenti condizioni, gli approcci sino ad oggi adottati sono ancora utili con presentano un buon livello di efficacia.

In ogni caso occorre poi facilitare la collaborazione tra i vari soggetti coinvolti e interessati alla gestione dei rischi, quali Enterprise Risk Manager, Operational Risk Manager, Compliance Officer, IT Risk Manager, Information Security Manager, Internal Auditors, ma fra tutti gli stessi agenti-attori el sistema. Occorre permettere il monitoraggio continuo dei rischi e dei controlli fornendo un panorama a 360° dei rischi noti che si deve si integrare con la parte valutativa della efficacia delle euristiche adottate. Oltre a questo c’è da tenere conto che in un’imprese si dovrà imparare a valutare il reale valore prodotto dalle attività depurato delle componenti di rischio che lo caratterizzano.

In poche parole è inutile produrre valore se questo è a rischio di azzeramento per effetto di un evento negativo più o meno coscientemente trascurato, ancor più grave e creare vantaggio adottando comportamenti illeciti che possono in molti casi portare un vantaggio immediato ma effimero e continuamente sottoposto al rischio di compliance ovvero al suo sequestro per mancanza di conformità al rispetto di qualche norma o legge.

La tecnologia informatica di oggi sta facendo passi notevoli nello sviluppo di strumenti di analisi della conoscenza, analisi dei contenuti non strutturati (testo libero) e nel trattamento di enormi moli di dati (BigData). Sorgono sempre più sofisticate soluzioni in grado di interpretare il linguaggio comune evitando i limiti delle classificazioni tipici dell’informatica strutturata dei database, dei codici e dei record. Sono sempre più sofisticati gli strumenti in grado di sviluppare modelli di simulazione di ambienti non deterministici come i modelli dinamici ad agenti, in cui ricreare le condizioni di variabilità e incertezza del comportamento individuale al fine di testare e astrarre le euristiche che aiutano noi esseri umani, ormai consapevolmente incerti, fallaci e dotati di razionalità limitata ad operare nella realtà.

Il cammino che ci sta portano a ridimensionare l’ubriacatura scientifico-riduzionista basata su una casualità lineare figlia di una razionalità olimpica, restituendogli la giusta dimensione e validità è ancora agli inizi, così all’opposto il superamento degli effetti nel pensiero comune e nell’agire di ogni individuo è ancora in moti settori da scrivere.

Di fronte a queste sfide e nell’attuale momento di crisi non solo economica e sociale, il comportamento di aggregati di agenti o individui o agenti che  chiamiamo imprese non può non  tenere conto di queste conoscenze nell’affrontare in chiave aderente ai tempi la tematica del Governance, Risk e Compliance.

Per capire i rischi e i limiti sopra esposti occorre fare anche una disamina di come sino ad oggi si sono affrontati i temi di GRC nelle imprese. Vediamo infatti come sono orientati oggi  in un’azienda tipo gli approcci adottati al GRC, cosa hanno adottato per saper gestire al meglio il rischio, e realizzare una sinergia tra le funzioni di Governance, Risk Management e Compliance.

Molti approcci adottati derivano da modelli concettuali nel campo ingegneristico sviluppati per la determinazione, gestione e mitigazione di rischi del settore della progettazione degli impianti e dei macchinari, metodiche in cui si introducono analisi più vaste possibili di eventi dell’impianto raccogliendo le informazioni, classificandole in apposite banche dati, estrapolando modelli di comportamento e introducendo fattori o apparati di mitigazione.  Dal punto organizzativo si traduce , per esempio, nel costruire una libreria unica e condividere rischi e controlli in modo da poter verificare l’esistenza di un rischio e la sua ‘pericolosità’ da diversi punti di vista, per poter definire il Risk Appetite e di conseguenza il sistema dei controlli a presidio dei rischi aziendali. L’utilizzo di librerie dei rischi ha finalità diverse a seconda delle funzioni aziendali e viene applicata alle aree aziendali interessate, quali linee of business, prodotti, aree, tecnologie, ecc. Ogni funzione dovrebbe di solito esprimere un giudizio sull’elemento rischiosità che sarà poi valutato in maniera aggregata e confrontato con il Risk Appetite che predisporrà le misure di mitigazione opportune, qualora se ne individuino di necessarie. Tutto questo può o meno avvenire con l’adozione di uno strumento unico che, con l’opportuna profilazione, permette la gestione/visione dei rischi da parte dei diversi attori aziendali coinvolti e fornisce una sintesi dei Rischi Enterprise Wide.
L’approccio suggerito da associazioni internazionali è anche quello di passare comunque da una gestione dei rischi tipicamente effettuata in modo manuale e con strumenti generici quali i fogli di calcolo o con applicazioni proprietarie e verticali, a una gestione effettuata con una piattaforma esplicitamente progettata per il supporto dei processi GRC anche per realizzare un repository integrato e condiviso con altre strutture terze affini contenente le informazioni associate al GRC in grado di abilitare una efficace azione di supporto di quei processi di Governance Risk e Compliance coperti dalle analisi e rilievi effettuati e contemporaneamente supportare efficacemente la collaborazione e la comunicazione attraverso la condivisione e la correlazione di tali informazioni.
Tra gli  approcci correnti ci sono però quelli cosiddetti evolutivi, partendo da logiche prettamente di compliance (gestione della SOD, creazione di efficienza nell’attestazione dei controlli di processo) e creando in questo modo la cultura aziendale necessaria per poter successivamente gestire tutti i rischi operativi, di cui la funzione organizzativa di compliance rappresenta di solito solo una parte.

Questi approcci prevedono in genere l’istituzione di figure e processi aziendali che prendano in carico la gestione della Governance, del Risk Management e della Compliance in modo integrato. Ove possibile l’area informatica risponde a questa esigenza con soluzioni software atte ad inglobare e gestire gli aspetti documentali e buana parte dei sistemi di controllo.

Comunque è ormai acquisito il concetto che il tema di Governance, Risk Management e Compliance si può realizzare solo abbandonando la classica e rischiosa logica riduzionista a silos e adottando modelli condivisi e non statici, supportati da piattaforme applicative integrate, gestendo tutte le informazioni all’interno di un unico sistema ma garantendo al contempo a ogni attore dei processi di GRC di mantenere la vista di business che gli compete come ad esempio nei moderni sistemi di Dynamics Balanced Score Card.

Questi modelli come facile intuire sono basati sull’analisi degli eventi passati e dalla loro valutazione statistica, all’associazione di questi a specifici processi interni, e a pratiche di mitigazione il più delle volte definite mediante serie di prescrizioni specifiche. Oggi sappiamo che nell’operatività quotidiana le condizioni ottimali in cui si dovrebbero applicare questi modelli non sono sempre presenti: ad esempio il tempo per decidere è limitato così come è limitata la quantità di informazioni disponibili al decisore, o quanto meno esaminabili nel momento della decisione, così come è limitata la possibilità di applicare sofisticati modelli di valutazione, si è inoltre soggetti a errori cognitivi che influenzano i processi di scelta e decisione. In queste condizioni reali di scelta è intuitiva l’affermazione che i criteri maturati secondo principi di razionalità e logica come quelli oggi adottati non sono attuabili, perdono di efficacia e quindi la razionalità del decisore risulta  “limitata” e fallace. L’alternativa è adottare modelli dinamici basti su framework di euristiche, in questo contesto le scelte sono fatte seguendo ragionamenti semplici e rapidi. Queste euristiche hanno il pregio dell’immediatezza sono tanto più efficaci quanto più sono di tipo orientativo e lontane dall’enunciazione di liste di opzioni prescrittive, come dimostrato ormai da tempo da molti studi scientifici di neurologia comportamentale e altri su questi temi.

Oggi sappiamo che un adeguato framework di euristiche, formulate per dare un indirizzo e un’aderenza ai principi e gli obiettivi di un’impresa, è in grado di orientare il comportamento generale di questa al mutare dell’ambiente in cui opera. Riesce a stimolare reazioni autoadattive al modificarsi delle condizioni al contorno al piunto, mantenendo il sistema stesso in quello stato fluido al margine del caos, condizione necessaria e sufficente perche un sistema resti in vita. In tale stato il sistema può modificarsi dinamicamente sino all’emergere di forme non presenti al suo interno , ne nel suo passato , ma che conservano una coerenza con i principi e gli obiettivi che si sonos posti.

La consapevolezza di dover tener conto della complessità della realtà sta quindi modificando e rimettendo in discussione molte certezze fornite dagli approcci e dai paradigmi sinora adottati, in questo contesto in cui domina l’incertezza occorre agire e quanto oggi serve per affrontare il tema della GRC è sempre più coincidente con quanto serve per raggiungere e sviluppare gli obiettivi stessi di business. Proprio per l’emergere di questa consapevolezza ed il superamento di questa dicotomia possiamo dire che il tema ha assunto sempre più un ruolo cardine rispetto ai processi di business ed evolve, specialmente nelle grandi imprese corporate, da obbligo di compliance normativa a strumento strategico per l’evoluzione del business e per la creazione di vantaggio competitivo e a motore dell’emersione del comportamento di un’impresa.

 

Alessandro Cerboni

//

//




Time is real? I think not

ottobre: 2011
L M M G V S D
« Giu   Nov »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Commenti recenti

Inserisci il tuo indirizzo e-mail per iscriverti a questo blog e ricevere notifiche di nuovi messaggi per e-mail.

Segui assieme ad altri 959 follower

Latest Tweets

Errore: Twitter non ha risposto. Aspetta qualche minuto e aggiorna la pagina.


%d blogger hanno fatto clic su Mi Piace per questo: