Compliance normativa digitale in 10 passi

9 Maggio 2019

La gestione degli adempimenti è un processo integrato in costante evoluzione.

La gestione della compliance normativa è oggi un tema cruciale: se da un lato stiamo assistendo alla moltiplicazione del numero di leggi, standard e norme privatistiche a cui adeguarsi, dall’altro cresce l’impatto sui modelli di funzionamento delle imprese e delle Pubbliche Amministrazioni (PA), anche rispetto ai processi di trasformazione digitale in atto (tra cui l’Internet of Things, l’Intelligenza Artificiale e Blockchain). Da qui la necessità di un approccio innovativo, che trova la sua espressione in un modello integrato di governance di normative e standard in dieci passi*.

1.Individuare, classificare e dare una priorità a normative e standard a cui ci si deve o a cui ci si può adeguare, nel caso in cui i processi siano gestiti con il digitale. In questo caso può essere utile sviluppare una mappa comprensiva degli impatti di alto livello sul proprio modello di funzionamento, con focus, ad esempio, sulla struttura organizzativa. Per farlo è necessario avere una visione complessiva per costruire una roadmap di adeguamento costantemente aggiornata con gli sviluppi normativi che tiene conto delle deadline – come la data di entrata in vigore e l’applicabilità della normativa -, dei rischi di non conformità – con visibilità anche sulle sanzioni -, e degli impatti sul modello di funzionamento.

2.Modellizzare i requisiti di normative e standard in funzione delle principali dimensioni aziendali. Questo passaggio facilita la comprensione e favorisce la definizione di azioni concrete da mettere in campo. Inoltre, consente di individuare i responsabili dell’attività (Affari Legali, Compliance, IT & Security, Risorse Umane, …). È questa la fase in cui viene ipotizzato e costruito un framework per classificare in modo adeguato (e uniforme) i requisiti, per capire quali sono le reali implicazioni degli articoli sul modello di funzionamento di imprese e PA.

3.Confrontare i requisiti di normative e standard diversi, partendo dal framework, individuando eventuali sinergie ed effettuando le opportune razionalizzazioni in un’ottica di compliance normativa “integrata”. Questo approccio consente l’allocazione ottimale delle risorse a disposizione di imprese e PA. In alcuni casi è possibile sfruttare gli standard stessi come strumento per mettere a confronto ed evidenziare sinergie tra i requisiti di normative differenti. È il caso dell’adozione del framework di Cyber Security NIST o la ISO 27001 per confrontare le misure di sicurezza tecniche e organizzative adottate da imprese e PA, con riferimento ad esempio ai requisiti del GDPR, della PSD2 e della NIS.

4.Adottare tecniche di rappresentazione grafica e simbolica per semplificare la lettura e interpretazione di normative e standard. In questa fase si raggruppano e sintetizzano i requisiti, adattando il livello di profondità al tipo di interlocutore.

5.Valutare il livello di maturità aziendale e creare un piano di adeguamento. Partendo dalla normativa o dallo standard specifico, si progetta o acquista uno strumento che, allineato ai requisiti richiesti, permetta di rilevare i gap da colmare e di tradurli in azioni, valutando le sinergie con altri interventi previsti da altre normative e standard.

Per disegnare un piano di adeguamento, può essere utile definire alcuni “cantieri di lavoro” che coinvolgano gli attori a cui sarà attribuita la responsabilità delle specifiche azioni (Affari Legali, Sistemi Informativi, Compliance, …) Inoltre, è consigliabile individuare per ciascun cantiere le azioni, facilmente riconducibili a capitoli, sezioni, articoli e opportunamente integrate con attività trasversali necessarie per la buona riuscita del percorso, come le attività che supportano la gestione dei progetti schedulandone e gestendone le attività nel rispetto del programma predefinito (PMO) e di Knowledge Management.

6.Implementare e coordinare in modo strutturato il piano di adeguamento. Per farlo si deve partire dalla costruzione di un modello di compliance normativa (come il modello per la protezione dei dati personali o quello per la prevenzione dei reati), che sia in linea con la realtà aziendale e integrato con gli asset disponibili (come il funzionigramma e la mappa dei processi). Inoltre è opportuno che il modello costruito sia replicabile, sia dal punto di vista dell’approccio sia dal punto di vista dei deliverable, per evitare la proliferazione di modelli che “non si parlano”.

7.Progettare iniziative di change management “non convenzionali”. Workshop e webinar interattivi, video-pillole su temi verticali, field projects per l’applicazione sul campo di policy e procedure sono dei validi alleati per informare, sensibilizzare e fare formazione al personale, a patto di prevedere contenuti specifici costruiti tenendo conto della tipologia e numerosità degli interlocutori, che siano comprensibili anche a chi non ha dimestichezza con la normativa.

8.Progettare un sistema di monitoraggio e controllo di normative e standard “integrato”, per avere una visuale complessiva dei rischi di non conformità legati a una gestione digitale, e razionalizzare e ottimizzare il numero di verifiche.

9.Dotarsi di soluzioni in grado di facilitare l’implementazione di uno o più modelli di compliance normativa, meglio se in ottica integrata. In questo passaggio è importante non concentrarsi solo sul supporto alla gestione degli adempimenti: le soluzioni devono garantire un monitoraggio e un controllo continuo, anche (e soprattutto) per fornire al Top Management una reportistica sintetica come supporto decisionale.

10.Disegnare o rivedere il modello di governance complessivo di normative e standard. Questo passaggio serve per indirizzare, gestire e controllare i rischi di non conformità, con opportune scelte in termini di domini (strategia, budget, risorse, presidi, ecc.) e meccanismi decisionali (modello centralizzato, misto o decentralizzato), con l’obiettivo di fare chiarezza su quali strutture, comitati e ruoli hanno in carico il governo di normative e standard: chi è “Accountable”? Chi è “Responsible”? Chi è “Consulted”? Chi solamente “Informed”?

Questo percorso verso una compliance normativa innovativa e integrata pone l’enfasi sul fatto che oggi a imprese e PA è richiesto uno sforzo importante sia per adattarsi ai cambiamenti imposti dall’esterno, sia per rendere effettive le modalità di lavoro di cui l’organizzazione si è dotata, anche rispetto alla prevenzione e gestione dei rischi aziendali. 

 

* Fonte: P4I-Partners4Innovation

Share This