RISPETTO DELLE REGOLE, SICUREZZA E INNOVAZIONE. L’ADOZIONE DI UNA COMPLIANCE 2.0 RENDE TUTTO POSSIBILE

Intervista al team CSM di Yoroi

CSM (Customer Success Management) è la struttura di Yoroi costituita quest’anno che si caratterizza per l’utilizzazione di risorse con skill tecnico molto avanzato che presidiano tematiche trasversali, in virtù della profonda esperienza/attitudine acquisita nella gestione dei rapporti diretti con il Cliente. Le risposte alle domande che seguono non sono attribuibili a un unico interlocutore, in quanto sintesi di un confronto a più voci realizzato con tutto il gruppo di lavoro. Nella discussione emerge l’interessante declinazione di un service management che assume la connotazione 2.0. 

Compliance: da adempimento a opportunità. Cosa occorre fare per compiere un “salto”, non solo organizzativo, ma logico- culturale nelle imprese che devono affrontare il mercato in un contesto sempre più difficile?

La Compliance incarna da sempre, per le aziende, una sorta di “tornado ricorrente” che, con estrema freddezza e violenza travolge e sconvolge l’assetto interno penalizzando la prediletta operatività. Questo fa sì che la percezione delle indicazioni provenienti da Leggi, Regolamenti e Direttive si traduca costantemente in attività statiche, e spesso difficili da interpretare e “scaricare a terra”, che l’Azienda, nel suo complesso, subisce senza alcuna personalizzazione. La vera sfida sta nel dare un significato differente ai requisiti “canonici” trasformando quelle indicazioni statiche e rigide, che da questi discendono, in regole dinamiche e adattabili al proprio contesto, applicando un processo di “assorbimento attivo e di contestualizzazione personalizzata”.

Quali sono i vantaggi per l’azienda generati da questo cambio di atteggiamento?

L’adozione di una diversa “vista” permette all’Azienda di rivedere il proprio assetto interno con una “bussola autorevole e insindacabile” che indirizza le principali azioni richieste in modo oggettivo, così individuando il quadrante dei livelli attesi entro cui posizionarsi, affiancato da interventi di carattere soggettivo che vedono impegnata tutta la popolazione aziendale in una rivisitazione dei propri processi e delle proprie risorse. La consapevolezza di essere parte di un progetto di reingegnerizzazione aziendale, dove ciascuno può contribuire portando valore aggiunto alla fase di personalizzazione, renderà quelle stesse Norme, da sempre recepite come adempimento necessario e onerosa attività ricorsiva, in opportunità di scomporre, approfondire e reinventare la propria realtà rendendola più simile a quella che si vorrebbe.

Norme ed esigenze di business devono trovare un momento di conciliazione in ambienti e organizzazioni complesse. Quali strumenti vanno messi in campo e quali competenze occorrono per attuare questa “sintesi operativa” decisiva per migliorare gli standard di competitività?

Ogni volta che si parla di Compliance e di obblighi normativi la prima preoccupazione delle Aziende è quella di non penalizzare operatività e priorità di business per attività che, secondo la comune percezione, sono considerate come un costo e per nulla un investimento. Eppure, bisognerebbe ricordare che l’aderenza ai requisiti cogenti è presupposto e condizione necessaria all’esercizio del business, anzi, può esserne altresì moltiplicatore di valore se si considera che il rating di legalità, per esempio, attribuisce consistenti vantaggi proprio per l’accesso a strumenti al servizio del business. Le stesse certificazioni aziendali, in ambito Sistemi di Gestione, sono abilitanti per l’aggiudicazione di appalti e gare, senza contare che sono obbligatorie per esercitare l’attività, in taluni casi. Lo stesso Dlgs 231/01 accorpa in sé moltissime norme che si ripercuotono severamente nella pratica di ogni giorno, indipendentemente dalla complessità, anche soltanto per accedere a fondi UE e/o per lavorare con la P.A.

Gli uomini di business di solito, però, mal sopportano la “camicia di forza” rappresentata da regole e procedure. Come se ne esce?

Non si deve fare l’errore di pensare che, per conciliare gli aspetti normativi con le esigenze di business esista un “guru” capace di sintetizzare problematiche e regole e restituire un bignami del “cosa fare e quando”. Questo processo di armonizzazione richiede la combinazione e il lavoro di skill diversi, senza dubbio con un taglio organizzativo, risorse con competenze legali e di processo, esperti di risk management e di audit (soprattutto in ambito sistemi di gestione e controllo interno), con un contributo della parte più tecnica per quelli che saranno poi gli aspetti di declinazione operativa. Il mandato aziendale in termini di “governance strutturata” deve essere il primo passaggio, la linea guida, la visione che ogni risorsa aziendale deve percepire, oltre che il processo a cui tutti devono partecipare per contribuirne alla riuscita.

La rivoluzione tecnologica ha modificato i concetti di vulnerabilità e rischio, come si attua una corretta governance della sicurezza in uno scenario in costante e rapida mutazione?

Le Aziende, nella maggior parte dei casi, sono abituate a gestire la complessità dividendola in “silos”. Questa scelta, per certi versi, può essere condivisibile poiché favorisce la sempre efficace segregation di ruoli e responsabilità, nonché la capacità di granularizzare i risultati di ciascun dominio fino all’ultimo bit. Se proviamo però a spostarci a un livello più alto e immaginiamo un ruolo Direzionale che abbia bisogno di una vista di sintesi eloquente e sostenibile per riportare lo stato attuale in ambito compliance e/o per rispondere a specifiche richieste da parte di Autorità, Istituzioni e/o Terze parti interessate, ivi compresa una Casa Madre, come si possono riassumere queste elaborazioni quando le informazioni sono “sparpagliate” o, addirittura, non codificate? Quanti interlocutori si dovranno coinvolgere con il conseguente costo “operativo”? Oggi la Governance esige il passaggio da una vista verticale ad una visione orizzontale, una sintesi efficace e certificata di tutti quei parametri significativi idonei a misurare la postura di sicurezza aziendale. Questi parametri non riguardano solo aspetti tecnologici, ma anche processi e organizzazione, finendo col coinvolgere altre strutture oltre alla IT.

Si impone, dunque, una sensibilità diffusa e trasversale per tutte le questioni che hanno degli impatti sulla tutela aziendale?

Quello che risulta prioritariamente necessario è rivedere i parametri che oggi, anche e soprattutto alla luce degli ultimi “sconvolgimenti sociali” (degna traduzione e dimostrazione del più impensabile Black Swan), vanno integrati con componenti nuove che contribuiscono a configurare ulteriori scenari di rischio e altrettante vulnerabilità/ricadute dagli effetti devastanti. Oggi, per fare un esempio, lo smartworking diventa un’istituzione, non più una modalità di lavoro eccezionale e improvvisata; sono proliferate tecnologie artigianali e strumenti fai da te che si portano dietro moltissime criticità, così come il digital media Marketing e le politiche di utilizzo del Cloud non sempre correttamente contrattualizzate e definite in termini di perimetro di responsabilità. La nuova governance è una governance che attinge da fonti di ultima generazione, fonti che devono essere necessariamente considerate e tradotte in controlli specifici, correlati fra loro e codificati.

Modelli come la 231 ma anche un articolato decreto come il GDPR impongono la messa in esercizio di una compliance integrata. Aziende e istituzioni sono pronte a contemperare, senza perdere la visione di insieme: le best practices operative con una quotidianità fatta di un fitto microcosmo di controlli e verifiche?

Oggi “Integrazione” è la parola d’ordine, un “must” da cui è impossibile prescindere; integrazione di competenze, di tecnologie, di metodologie e di controlli, un approccio completo e complesso alla governance aziendale. L’ottimizzazione delle risorse disponibili e la capitalizzazione delle attività di analisi e implementazione sono elementi chiave per una gestione matura e virtuosa della propria organizzazione; questo vuol dire che il Management dovrà essere in grado, da un lato, di individuare gli skill idonei ad impostare e portare a termine il percorso di integrazione, dall’altro, di studiare e implementare meccanismi di controllo e sistemi di cross check capaci di raccogliere e riassumere le indicazioni mandatarie (normative e regolamenti) e i requisiti abilitanti per il business (linee guida e best practices), in modo razionale e coerente con il contesto operativo.

L’impianto (o Sistema di Gestione) “integrato”, includerà tutti i punti di controllo da verificare e monitorare per garantire il costante mantenimento dei livelli di conformità attesi, scomponendo i singoli processi in fase di analisi e accorpandone i risultati in un sistema codificato di indicatori e regole “congruente”, efficiente ed efficace. Questa sintesi richiede un grande sforzo, soprattutto iniziale, da parte del Management e di tutto il personale aziendale coinvolto, ma a valle di questo primo sacrificio, una volta creato l’impianto documentale e la matrice di controllo, si tratterà esclusivamente di monitorarne l’attualità e l’effettiva applicazione, curandone l’aggiornamento e la manutenzione evolutiva (non solo in termini di organizzazione e tecnologie a supporto, ma anche rispetto ai cambiamenti nel panorama normativo).

“Rating di conformità” è un termine sempre più ricorrente. Possiamo spiegare di che si tratta e in quale misura questo indice esercita un peso sui livelli di performance delle imprese?

Una delle principali sfide per le Aziende resta sempre quella di poter definire il proprio livello di conformità. Quando si parla di Compliance Rating, e, nello specifico per quanto riguarda Yoroi, di Cybersecurity Compliance risk rating, si intende il risultato di un’attività di indagine, profonda e mirata, su un ampio set di domini che costituiscono, in questa specifica fase storica, i maggiori driver da applicare per indagare la postura aziendale che definisce i profili di sicurezza. Si può passare da un first check up, che posiziona immediatamente l’Azienda all’interno di range predeterminati di Compliance Rating, all’effettiva diagnosi che, viceversa, costituisce il risultato di un’indagine modulare e cross referenziata su tutti i domini identificati come rilevanti ed efficaci per il calcolo del rating.

Questa diagnosi, in concreto, che cosa ci dice sullo stato di salute dell’impresa?

Tradotta in valore numerico (debitamente supportato da algoritmi di calcolo certificati), la diagnosi è una fotografia che costituisce la base di partenza del percorso di adeguamento/miglioramento. L’Azienda potrà 53 applicare questo metodo di valutazione esclusivamente a se stessa, oppure decidere di capitalizzare questo strumento/metodologia applicandolo alla propria catena di fornitura, con ciò rispettando e garantendo i principali obblighi di selezione, monitoraggio e controllo che ad essa vengono richiesti da Leggi e Best Practices. Il Cybersecurity Compliance Risk Rating diventa quindi strumento di misurazione e di accreditamento. Al di là del valore numerico si nasconde un sistema documentale complesso e sostenibile capace di fungere da evidenza e/o da reportistica a supporto di qualsiasi richiesta interna/esterna.

Compliance e innovazione rappresenta un altro binomio antitetico. Possono trovare una conciliazione?

Se si riesce a slegare la Compliance dal suo aspetto prettamente statico, portandola ad un livello superiore, con i processi di integrazione e innovazione che vengono dalla personalizzazione e dalla reingegnerizzazione della propri a realtà e, perché no, anche delle proprie risorse (skill misti, tecnologie evolute, sviluppi proprietari, etc.), di fatto la linea di confine tra attività obbligatoria e opportunità si assottiglia, aprendo la strada ad una Compliance 2.0 e, prima ancora, ad Aziende 2.0! Si tende sempre a pensare che tecnici e “legali” parlino due lingue diverse, ed è senza dubbio vero, soprattutto per quanto riguarda il modo di interpretare i concetti di riferimento e di declinarli poi nella quotidiana operatività.

La “babele” determinata dalla diversità dei linguaggi è superabile?

È possibile trovare un linguaggio comune, almeno per alcuni aspetti, un perimetro di collaborazione dove esiste un vocabolario standard che permette alle due anime di comunicare e creare nuovi paradigmi, favorendo in tal modo il passaggio dalla “teoria” alla pratica, perché è solo con la pratica che si fa innovazione! Per fare degli esempi pratici di questo tipo di “goal”, basti pensare che un modello di Compliance Management efficace può essere esportato, come standard di riferimento, alle diverse unità operative di un Gruppo di Aziende, anche di matrice geografica differente. Altro esempio a valore aggiunto può ritrovarsi nei casi in cui un’Azienda, in base alla sua esperienza, riesce a trasformare il proprio modello di gestione della Compliance in servizio al Cliente finale, differenziando ed arricchendo il portafoglio di offerta. Riuscire a trasformare un’attività identificata per la maggior parte in comandi spesso troppo generici e/o addirittura inapplicabili, in un processo operativo reale, misurabile ed ingegnerizzabile, restituisce la governance ai singoli e contribuisce alla responsabilizzazione in termini di obiettivi e risultati. Detto in sintesi: non si tratterà più di fare qualcosa che arriva dall’alto subendone il carico senza trarne beneficio, questa imposizione diventerà, viceversa, un’occasione per applicarne i suggerimenti secondo la propria inclinazione, con la sensazione di aver così contribuito a quel processo decisionale più alto che tendiamo a vedere sempre lontano e distinto da noi.

 

Autore: Massimiliano Cannata

Twitter
Visit Us
LinkedIn
Share
YOUTUBE