Per un’azienda è sempre più importante essere abili nel gestire le problematiche di rischio ed oggi gli aspetti relativi alla compliance sono ormai ai primi posti della scrivania dei manager al pari dei temi economici e di mercato. Possiamo quasi dire che oggi i temi classici della gestione aziendale poggiano sempre più sulla compliance. Quest’ultima infatti, dopo essere rimasta esclusa per molto tempo si è imposta prepotentemente all’attenzione nella definizione di valore di un’impresa e in tutte le iniziative strategiche che impattano sugli obiettivi di business, sia legate all’ambiente fisico, sia virtuale o cloud.

Approfondiamo come sta evolvendo il mercato nazionale su una terna di termini che oggi più che mai sono risultati fondamentali per fare impresa: il tema della Governance Risk Compliance (GRC). Il tradizionale approccio per silos tematici che caratterizza ancora oggi la gestione delle imprese, quindi frammentato e gestito caso per caso, appare ormai superato o quantomai inefficace.

Le imprese più innovative e le scuole di economia oggi si stanno orientando su piattaforme integrate allo scopo di migliorare la vigilanza della Corporate Governance (correttezza del reporting finanziario, conformità alla normativa, sistema dei controlli e Enterprise Risk Management, …etc.). L’evoluzione della sensibilità sul tema GRC è stata determinata da fattori interni ed esterni che hanno contribuito al cambiamento dell’approccio al tema e quindi dell’aumento della domanda di sistemi di gestione a supporto. Per citarne alcuni: la crisi economica, l’aumento della complessità degli affari e della relativa normativa a garanzia del corretto svolgimento del business (sistema dei controlli), l’evoluzione della normativa. Ma ancora, il cambiamento della percezione del mercato dell’importanza della trasparenza e correttezza dell’agire delle imprese, il cambiamento di strategia nel business verso la globalizzazione, il cambiamento della tecnologia e dei processi a supporto delle nuove strategie, necessità di una visione integrata di tutte le componenti del business”.

Tutti i mercati sono interessati a questa evoluzione, anche se il settore Finance è quello che sta facendo da apripista sospinto dalla crisi finanziaria che ci coinvolge tutti, grazie all’adeguamento alla normativa dettata da Basilea 2 e oggi 3 e accelerata dalla crisi mondiale del 2008 che ha spinto le aziende da una parte e le autorità dall’altra a modificare le strategie per poter far fronte alla situazione.
In Italia la spinta principale all’adozione di strumenti per il GRC arriva certamente dalla necessità di ridurre i costi di compliance alle varie normative locali quali la legge 231/2001 e le altre leggi ricomprese, la normativa sulla privacy 196 (in particolare per il DPS), ma anche le tematiche relative al risk management sono affrontate con maggior frequenza. I mercati più maturi che hanno e stanno affrontando queste iniziative o le hanno già avviate sono certamente i mercati finanziari, assicurativi e delle telecomunicazioni”.

Il tema Governance, Risk and Compliance (GRC) sul mercato industry italiano sta avendo un’evoluzione probabilmente più lenta rispetto ad altri Paesi Europei (gli Stati Uniti sono già passati ad una fase di revisione critica delle metodologie adottate), ma al contempo sempre più importante, capillare e  significativa.

I mercati che per primi hanno affrontato il tema sono sicuramente quelli più sottoposti a normative di controllo. Questi settori hanno giocato un ruolo da apripista in un contesto che sta progressivamente ampliandosi trasversalmente a tutti i settori industriali, spinti anche dalla normativa sulla sicurezza dei luoghi di lavoro che rientra nella 231/2001, ovviamente con maggiore forza e pervasione laddove le società sono o quotate in borsa o hanno una dimensione di rilievo economico e sociale nella realtà ove operano. Parallelamente si è assistito all’evolversi dell’azione giudiziaria all’inizio frenata dal dover adeguare prassi e procedure all’applicazione di un impianto normativo innovativo per l’Italia basato su principi e non più su specifiche prescrizioni.

Fornire una visione olistica del rischio e della conformità normativa è indispensabile per qualsiasi azienda di qualsiasi settore. La compliance, che non vuole dire solo conformità ma aderenza al dettato di norme e leggi, significa essere in grado di adeguarsi proattivamente a leggi, normative, policy, obblighi contrattuali e standard di mercato. È l’abilità di un’azienda a gestire le problematiche associate al rischio e alla compliance in condizioni di assoluta trasparenza, in correlazione con le iniziative strategiche che impattano sugli obiettivi di business. La Governance richiede una definizione chiara degli obiettivi di business e delle regole, delle policy, delle procedure e degli standard dell’azienda. Norme e linee guida spesso vengono adottate per affrontare potenziali rischi. Per esempio, il mercato finanziario è guidato da indicazioni in merito a diverse norme e leggi nazionali nel settore bancario che hanno l’obiettivo di prevenire e ridurre l’esposizione ai rischi al credito e al bisogno di mantenere sufficientemente liquide le attività delle aziende, in modo tale da assicurare che le organizzazioni restino profittevoli e in grado di mantenere gli impegni presi”. Tali regolamentazioni, come gli Accordi di Basilea 2 e 3 (per il settore bancario) o i regolamenti Solvency per il settore Assicurativo come la 231/2001imposte dall’Unione Europea, sono necessariamente connessi e guidati dall’accesso a un’elevata quantità di dati di cui bisogna salvaguardarne l’affidabilità.

Poiché in questo momento in Italia si sta iniziando a fare ricorso a queste cosiddette buone prassi( best pratiche) che si sono già rivelate di parziale efficacia, in questo contesto occorre definire quali sono i nuovi paradigmi che possono portare ad un incremento dell’efficacia di un sistema GRC.

Negli Stati Uniti in un primo momento sono comparse normative come la SOX (Sarbanes-Oxely Act) volti a creare un framework uniforme di controlli e di risultati confrontabili (ad es. : Access Control a supporto delle logiche di Segregazione dei Ruoli, Process Control a supporto dei processi di attestazione della compliance aziendale, Risk Management a supporto delle tematiche di analisi e pianificazione dei rischi operativi – )”. La sempre più forte richiesta da parte del mercato di soluzioni anche economiche integrate per indirizzare questi temi ha visto proprio recentemente lo sviluppo di soluzioni preconfezionate, che integrano sia da un punto di vista tecnico che funzionale le funzioni operative di GRC presenti già da tempo sul mercato. Se utili sul pano operativo si sono già rivelate inefficaci sul piano pratico e della cronaca, l’adozione di tali strumenti e modelli preconfezionati ha mostrato come si sia instaurata una presunzione di conformità che ha solo distolto l’attenzione da a rilevare i veri problemi e ha allentanto il livello di guardia e attenzione ai rischi. Si pensi ad es. al caso Societè General (la Francia è un paese in cui certi controlli sono avviati da più tempo rispetto all’Italia) in cui si è prodotto un ammanco miliardario sfruttando la logica meccanicistica e le regole del sistema dei controlli.

Sicuramente occorre un sistema integrato per standardizzare e gestire tutti i rischi aziendali e consolidare tutte le informazioni derivanti da specifici sistemi di Risk Management, sia finanziari sia non finanziari, al fine di ottenere una visione dei rischi Enterprise Wide,

Ma questo non vuole dire che ciò basti; oggi, grazie al lavoro di vari ricercatori come Gigerenzer, Kanhanema, Simmon, Goldstain,Thaler, Sunsatain ma anche al successo del libro divulgativo di N.N. Taleb, che si è finalmente capito che l’approccio deterministico e razionale sino ad oggi adottato così come gli strumenti matematici e statistici, coprono solo un universo ridottissimo degli eventi possibili. Occorre imparare ad agire quindi in condizioni di assoluta incertezza cercando di raggiungere il miglior livello di subottimalità. Questo è possibile proprio rispolverando un approccio già indicato da grandi religioni e antiche filosofie di vita che hanno posto nell’insegnamento di euristiche, il mezzo per consentire di decidere in condizioni di incertezza.

L’adozione di euristiche può guidare nel momento della scelta e orientare l’agire meglio di framework di regole e prescrizioni che non può oggettivamente riuscire a ricomprendere tutti i possibili eventi di scelta che un individuo o un’Impresa si trova continuamente a dover affrontare.

Le  soluzioni prescrittive non sono inutili ma da limitare a quei casi: in cui l’universo dei possibili eventi è abbastanza definibile e sufficientemente noto, gli effetti non hanno riflessi troppo lontani nel tempo dell’azione, il numero delle scelte è compatibile con il tempo disponibile per esaminarle, il livello di interazioni tra gli agenti coinvolti è caratterizzato  da un quadro anche complicato ma sostanzialmente statico o di bassa inferenza reciproca. In queste condizioni gli approcci sino ad oggi adottati sono ancora utili con un buon livello di efficacia.

In ogni caso occorre poi facilitare la collaborazione tra i vari soggetti coinvolti e interessati alla gestione dei rischi, quali Enterprise Risk Manager, Operational Risk Manager, Compliance Officer, IT Risk Manager, Information Security Manager, Internal Auditors, ma fra tutti gli stessi agenti. Occorre permettere il monitoraggio continuo dei rischi e dei controlli fornendo un panorama a 360° dei rischi noti che si deve si integrare con la parte valutativa della efficacia delle euristiche adottate. Oltre a questo c’è da tenere conto che in un’imprese si dovrà imparare a valutare il reale valore prodotto depurato delle componenti di rischio che lo caratterizzano.

In poche parole è inutile produrre valore se questo è a rischio di azzeramento per effetto di un rischio più o meno coscientemente trascurato, ancor più grave e creare vantaggio adottando comportamenti illeciti che possono in molti casi portare un vantaggio immediato ma effimero e continuamente sottoposto al rischio di compliance ovvero al suo sequestro per mancanza di conformità al rispetto di qualche norma o legge.

La tecnologia informatica di oggi sta facendo passi notevoli nello sviluppo di strumenti di analisi della conoscenza, analisi dei contenuti non strutturati (testo libero) Sorgono sempre più sofisticate soluzioni in grado di interpretare il linguaggio comune evitando i limiti delle classificazioni tipici dell’informatica dei database, dei codici e dei record. Sono sempre più sofisticati gli strumenti in grado di sviluppare modelli di simulazione di ambienti non deterministici come i modelli ad agenti, in cui ricreare le condizioni di variabilità e incertezza del comportamento individuale al fine di testare e astrarre le euristiche che aiutano noi esseri umani, ormai consapevolmente incerti, fallaci e dotati di razionalità limitata ad operare nella realtà.

Il cammino che ci sta portano a ridimensionare l’ubriacatura scientifico-riduzionista basata su una casualità lineare, restituendogli la giusta dimensione e validità è ancora agli inizi, così all’opposto il superamento degli effetti nel pensiero comune e nell’agire di ogni individuo è ancora in moti settori da scrivere.

Di fronte a queste sfide e nell’attuale momento di crisi non solo economica e sociale, il comportamento di aggregati di agenti o individui che chiamiamo imprese non può non  tenere conto di queste conoscenze nell’affrontare in chiave aderente ai tempi la tematica del Governance, Risk e Compliance.

Per capire i rischi e i limiti sopra esposti occorre fare anche una disamina di come sino ad oggi si sono affrontati i temi di GRC nelle imprese. Vediamo infatti come sono orientati oggi  in un’azienda tipo gli approcci adottati al GRC, cosa hanno adottato per saper gestire al meglio il rischio, e realizzare una sinergia tra le funzioni di Governance, Risk Management e Compliance.

Molti approcci adottati derivano da modelli concettuali nel campo ingegneristico sviluppati per la determinazione, gestione e mitigazione di rischi del settore della progettazione degli impianti e dei macchinari, metodiche in cui si introducono analisi più vaste possibili di eventi dell’impianto raccogliendo le informazioni, classificandole in apposite banche dati, estrapolando modelli di comportamento e introducendo fattori o apparati di mitigazione.  Dal punto organizzativo si traduce , per esempio, nel costruire una libreria unica e condividere rischi e controlli in modo da poter verificare l’esistenza di un rischio e la sua ‘pericolosità’ da diversi punti di vista, per poter definire il Risk Appetite e di conseguenza il sistema dei controlli a presidio dei rischi aziendali. L’utilizzo di librerie dei rischi ha finalità diverse a seconda delle funzioni aziendali e viene applicata alle aree aziendali interessate, quali linee of business, prodotti, aree, tecnologie, ecc. Ogni funzione dovrebbe di solito esprimere un giudizio sull’elemento rischiosità che sarà poi valutato in maniera aggregata e confrontato con il Risk Appetite che predisporrà le misure di mitigazione opportune, qualora se ne individuino di necessarie. Tutto questo può o meno avvenire con l’adozione di uno strumento unico che, con l’opportuna profilazione, permette la gestione/visione dei rischi da parte dei diversi attori aziendali coinvolti e fornisce una sintesi dei Rischi Enterprise Wide.
L’approccio suggerito da associazioni internazionali è anche quello di passare comunque da una gestione dei rischi tipicamente effettuata in modo manuale e con strumenti generici quali i fogli di calcolo o con applicazioni proprietarie e verticali, a una gestione effettuata con una piattaforma esplicitamente progettata per il supporto dei processi GRC anche per realizzare un repository integrato e condiviso con altre strutture terze affini contenente le informazioni associate al GRC in grado di abilitare una efficace azione di supporto di quei processi di Governance Risk e Compliance coperti dalle analisi e rilievi effettuati e contemporaneamente supportare efficacemente la collaborazione e la comunicazione attraverso la condivisione e la correlazione di tali informazioni.
Tra gli  approcci correnti ci sono però quelli cosiddetti evolutivi, partendo da logiche prettamente di compliance (gestione della SOD, creazione di efficienza nell’attestazione dei controlli di processo) e creando in questo modo la cultura aziendale necessaria per poter successivamente gestire tutti i rischi operativi, di cui la funzione organizzativa di compliance rappresenta di solito solo una parte.

Questi approcci prevedono in genere l’istituzione di figure e processi aziendali che prendano in carico la gestione della Governance, del Risk Management e della Compliance in modo integrato. Ove possibile l’area informatica risponde a questa esigenza con soluzioni software atte ad inglobare e gestire gli aspetti documentali e buana parte dei sistemi di controllo.

Comunque è ormai acquisito il concetto che il tema di Governance, Risk Management e Compliance si può realizzare solo abbandonando la classica e rischiosa logica riduzionista a silos e adottando modelli condivisi e non statici, supportati da piattaforme applicative integrate, gestendo tutte le informazioni all’interno di un unico sistema ma garantendo al contempo a ogni attore dei processi di GRC di mantenere la vista di business che gli compete come ad esempio nei sistemi BSC.

Questi modelli come facile intuire sono basati sull’analisi degli eventi passati e dalla loro valutazione statistica, all’associazione di questi a specifici processi interni, e a pratiche di mitigazione il più delle volte definite mediante serie di prescrizioni specifiche. Oggi sappiamo che nell’operatività quotidiana le condizioni ottimali in cui si dovrebbero applicare questi modelli non sono sempre presenti: ad esempio il tempo per decidere è limitato così come è limitata la quantità di informazioni disponibili o quanto meno esaminabili nel momento della decisione, così come è limitata la possibilità di applicare sofisticati modelli di valutazione, si è inoltre soggetti a errori cognitivi che influenzano i processi di scelta e decisione. In queste condizioni reali di scelta è intuitiva l’affermazione che i criteri maturati secondo principi di razionalità e logica come quelli adottati non sono attuabili, perdono di efficacia e quindi la razionalità del decisore risulta  “limitata” . Le scelte sono fatte seguendo ragionamenti semplici e rapidi : le cosiddette euristiche. Queste euristiche hanno il pregio dell’immediatezza ma sono tanto più efficaci quanto più sono di tipo orientativo e lontane dall’enunciazione di liste di opzioni prescrittive.

La consapevolezza di dover tener conto della complessità della realtà sta modificando e rimettendo in discussione molte certezze fornite dagli approcci sinora adottati, in questo contesto in cui domani l’incertezza, occorre agire e quanto oggi serve per affrontare il tema della GRC è sempre più coincidente con quanto serve per raggiungere e sviluppare gli obiettivi di business. Proprio per l’emergere di questa consapevolezza ed il superamento di questa dicotomia possiamo dire che il tema ha assunto sempre più un ruolo cardine rispetto ai processi di business ed evolve, specialmente nelle grandi corporate, da obbligo di compliance normativa a strumento strategico per l’evoluzione del business e per la creazione di vantaggio competitivo e a motore dell’emersione del comportamento di un’impresa.

Annunci

0 Responses to “Come il tema della Compliance sta assumendo il ruolo di motore del business”



  1. Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...




Time is real? I think not

settembre: 2017
L M M G V S D
« Ago    
 123
45678910
11121314151617
18192021222324
252627282930  

Commenti recenti

Inserisci il tuo indirizzo e-mail per iscriverti a questo blog e ricevere notifiche di nuovi messaggi per e-mail.

Segui assieme ad altri 959 follower

Latest Tweets


%d blogger hanno fatto clic su Mi Piace per questo: