Sfruttare al massimo la conformità

Con le pressioni della globalizzazione, la liberalizzazione dei mercati locali e la crescente competitività, la conformità legale viene spesso trascurata. Martin McGuinness analizza i benefici della sua integrazione nella gestione del rischio e dei processi

Conformità significa conoscere quali sono le regole del gioco e rispettarle. Sapere che esistono delle regole ed anche delle sanzioni nel caso le si infrangano, aumenta il rischio per le imprese, Questi rischi derivano dal contesto nel quale l'organizzazione opera e dagli obiettivi che si è posta all'interno di esso. Sono quindi un prodotto diretto dell'attività in tale ambito.

Questi rischi sono direttamente collegati agli obiettivi delle organizzazioni ed all'inclinazione al rischio da parte del mercato che porta allo sviluppo di indicatori-chiave di prestazioni e, a livello di singola attività, agli indicatori di prestazione. Oggi il rischio nasce dal proliferare della legislazione. Ognuno detta il proprio corpo di leggi e in cambio fornisce un centro di interesse per i singoli stakeholder. La gestione di queste differenti relazioni richiede lo sviluppo di un sistema interno di controllo, progettato per assicurare:

  • efficacia ed efficienza delle attività;
  • affidabilità del reporting aziendale;
  • conformità a leggi e regolamenti applicabili.

La conformità quindi prescrive che un'organizzazione debba conoscere la legislazione applicabile ed i rischi più significativi correlati. La legge non ammette ignoranza. Parti interessate non sono soltanto i dirigenti dell'azienda - ultimi responsabili della mancanza di conformità - ed i vari organi di regolamentazione che desiderano sapere che le proprie leggi sono applicate, ma anche gli investitori finanziari, i soci e le assicurazioni. Infatti, tutti gli stakeholder desiderano sapere che non è probabile che i propri investimenti, responsabilità ed altri interessi possano essere influenzati negativamente da attività potenzialmente negligenti di un'organizzazione.

Raggiungere la conformità

Un'organizzazione concentrata sul far sì che sua la reputazione resti integra, come può difendersi dalla non conformità ed assicurare di essere stata - e che continuerà ad essere - conforme alle regole? Un'organizzazione conforme rammenta che sono disponibili dati significativi e verificati per dimostrare il raggiungimento di obiettivi aziendali e legali. Ciò richiede un sistema di gestione delle informazioni che assicuri che le informazioni sono appropriate, tempestive, aggiornate, accurate ed accessibili.

Per sapere che resti conforme, l'organizzazione ha bisogno di avere personale competente che operi all'interno di politiche e processi definiti che producono le evidenze richieste. Inoltre, in questi processi saranno inserite attività di autovalutazione e di verifica indipendente: l'intero schema sarà oggetto di formale valutazione continua. Restare conformi nel lungo termine richiede un'operazione di ingegno che in tempi brevi permetterà all'organizzazione di reagire a variazioni nel mercato, individuare le attività interessate da questi cambiamenti ed affrontare velocemente nuovi rischi che emergono dal contesto d'azione. Questo richiede lo sviluppo di politiche e processi chiari e di relativi controlli. Le tipologie di controlli attuati varieranno a seconda della dimensione, complessità e contesto operativo dell'organizzazione e possono assumere una qualsiasi delle seguenti forme:

  • riesami dell'alta direzione a fronte di obiettivi, fattori critici di successo e indicatori-chiave delle prestazioni aziendali;
  • gestione funzionale o delle attività, autovalutazione ed emissione di rapporti a fronte degli indicatori di prestazione dei processi;
  • valutazione dei sistemi di controllo delle informazioni per garantire che la gestione dei dati disponga delle caratteristiche di sicurezza ed accessibilità richieste;
  • separazione delle responsabilità per attività critiche.

Rischi, regole e processi

Il rischio d'impresa è il prodotto diretto di un'attività all'interno del mercato scelto dall'organizzazione. Meno attività ci sono significano meno esposizione al rischio. Le attività di un'organizzazione sono sempre definite all'interno dei suoi processi aziendali e quindi non bisogna mai sottostimare la loro importanza all'interno del contesto di gestione della conformità. Se non ha processi ben definiti ed applicati in modo coerente, un'organizzazione lascia la porta aperta ai rischi che derivano dalla non conformità, il che nel mercato odierno può significare perdita di reputazione, di incassi e prezzo azionario più basso.

I processi definiti sono importanti in quanto sono lo strumento per raggiungere gli obiettivi aziendali. La loro presenza è a sostengo del raggiungimento della visione a lungo termine e per assicurare inoltre il trasferimento coerente della mission. Sono infine il mezzo con cui l'organizzazione effettua le attività progettate per dimostrare la conformità alle regole imposte da fonti sia interne che esterne, per es. le direttive CE, la legislazione nazionale e varie norme di prodotto o servizio.

Inoltre, in un'organizzazione i processi conferiscono uno scopo ed un significato agli individui definendone in dettaglio ruoli e responsabilità all'interno di un singolo processo. Questa trasparenza di ruoli offre una chiara dimostrazione della divisione delle responsabilità richiesta dalla legislazione internazionale quale la Sarbanes-Oxley. I processi descrivono anche le interazioni tra gli individui ed i gruppi, permettendo una comprensione più chiara del ciclo interno di relazione con il cliente. Lo sviluppo di processi aziendali definiti e conformi soddisfa anche l'obbligo legislativo di fornire informazioni adeguate permettendo ai dipendenti di operare all'interno di un contesto di rischio accettabile. Infine, i processi sono i canali per gestire i dati e le conoscenze: descrivono il loro percorso e trattamento e guidano gli utenti esattamente dove sono conservati.

Raggiungere la vera integrazione

Per raggiungere la vera integrazione tra regole, rischi e processi aziendali, dev'essere definito l'insieme delle regole applicabili alle esigenze di un'organizzazione per stabilire quali politiche siano richieste e dove - nell'ambito dei processi - debbano trovarsi le attività progettate per assicurare la conformità. E' da tenere presente che i singoli processi spesso dimostrano conformità a numerose regole differenti: per questo motivo la relazione tra tutte le regole ed i processi deve essere accuratamente mappata. Inoltre, questo fornisce un chiaro percorso fino a dove si trovano le evidenze di conformità.

Il passo successivo richiede un riesame critico dei processi aziendali dell'organizzazione per l'individuazione dei rischi. Questi rischi dovrebbero essere considerati a fronte delle attività di controllo atte a mitigarli fino ad ottenere un rischio residuo accettabile. Una volta individuati, i rischi dovrebbero essere allineati non solo alle attività ma anche alle regole che ne sono la genesi, per dimostrare che è stata prestata la massima attenzione ai requisiti ed alle prescrizioni.

Secondo l'Institute of Risk Management: "Questo processo permette che il rischio venga mappato alle aree aziendali interessate, descrive le principali procedure di controllo in atto ed indica le aree nelle quali il livello di investimento relativamente al controllo del rischio potrebbe essere aumentato, diminuito o ridistribuito". Mappare i processi, allinearli alle regole ed identificare i rischi a fronte delle attività all'interno dei processi soddisfa numero di requisiti - sia a livello di legge che aziendali - ed innalza ad un livello più alto il concetto di sistema di gestione integrato.

Tutti i livelli dell'organizzazione beneficiano da quest'approccio in quanto offre una prospettiva reale tra visione, mission e il ruolo del singolo nel raggiungimento degli obiettivi dell'organizzazione. Nel contesto della conformità passata, presente e futura, dona all'alta direzione ed al personale che lavora in qualità, salute e sicurezza, ambiente ed a livello operativo la soddisfazione di assicurare la raccolta di informazioni adeguate, collegate a controlli precisi sui vari processi.

Fornisce integrazione tra la miriade di requisiti, indirizza direttamente alle fonti dei dati sulla prestazione a fronte di obiettivi e definisce la responsabilità per le singole attività a supporto degli obiettivi, il che assicura una prestazione costante delle attività aziendali. Dota inoltre l'agilità richiesta per reagire alle variazioni nei mercati.

Quest'approccio crea una piattaforma per la gestione e la comunicazione del cambiamento nell'ambito legislativo in cui ci si trova ed assicura la mappatura alle fonti di evidenze definitive, nella forma di registrazioni accurate che rendono possibile l'effettuazione di audit in qualsiasi momento.

Inoltre, mappa direttamente alle fonti non solo della conoscenza esplicita ma anche di quella tacita. Lo fa individuando le persone che posseggono le qualifiche ed esperienze richieste e che possono fornire analisi ed interpretazioni affidabili dei dati prodotti come risultato del processo. Questo è di vitale importanza in un mondo nel quale i requisiti sono sempre in aumento e sono gestiti da un numero sempre minore di persone con le implicazioni della gestione della conoscenza riguardo la formazione, la conservazione della competenza e l'assicurazione del suo costante progredire.

Nel contesto della gestione del rischio di impresa questo approccio integrato dona all'alta direzione una chiara visibilità del rischio e del suo allineamento con le attività dell'organizzazione, assicurando così la chiara definizione del proprietario del rischio. Contestualizza il rischio e l'attività all'interno di una prospettiva legislativa locale, nazionale ed internazionale ed assicura che ciò sia gestito dall'organizzazione nei limiti della sua inclinazione per l'esposizione al rischio. La riduzione del rischio è così portata avanti in modo proattivo lungo tutto il processo senza restare passivamente in attesa di conferma dagli auditor. In più, fa sì che il rischio sia preso in considerazione ai più alti livelli manageriali.

Raggiungere uno stato di reale integrazione non è per niente facile, ma è qualcosa cui tutte le organizzazioni devono aspirare. Le gestioni "classiche" di qualità, sicurezza ed ambiente devono affrontare la sfida lanciata dall'odierno contesto di globalizzazione, dalle leggi più severe in campo nazionale ed internazionale, da una maggiore competizione e maggiori aspettative degli stakeholder.

Le organizzazioni devono ampliare il loro sguardo sulla conformità e rendersi conto che le politiche ed i processi da esse sostenuti possono avere un'applicabilità più ampia.

Le organizzazioni devono istruirsi sugli aspetti globali della conformità aziendale e di quella legislativa nazionale ed internazionale. Devono imparare a raggiungere tale integrazione oppure soffrirne le conseguenze quando vengono introdotti dei nuovi requisiti ed il miope approccio tradizionale porta come risultato lo sviluppo di un intero nuovo sistema di gestione che l'azienda non vuole e che - con le risorse limitate - non può nemmeno implementare.

L'autore:

Martin McGuinness è Senior Business Analyst presso BusinessPort. Per ulteriori informazioni, scrivere all'indirizzo e-mail: martinm@business-port.net oppure visitare il sito: www.business-port.net