Risk & Compliance: trasformare una necessità in vantaggio competitivo

Portare la Gestione dei Rischi e della Compliance a livello, dell’intera Organizzazione

Un buon livello reputazionale, la capacità di rispondere velocemente ed in modo incisivo alle minacce ed alle opportunità, un solido ed efficace track record delle attività dei sistema compliance e dei controlli interni sono elementi che integrano e rafforzano la capacità competitiva di un'organizzazione.

È necessario porre i processi dell’organizzazione al centro dei sistema di governo della Compliance, fornendo il necessario contesto per gestire in modo integrato ed omogeneo il completo panorama delle attività volte a garantire il rispetto e l'applicazione delle normative di riferimento (i processi impattati, o stato dei controlli e delle iniziative volte a mitigare i rischi identificati). Gestire le categorie diverse di rischio e la conformità a specifiche normative, sono necessità comuni a tutte le organizzazioni e a tutte le unità funzionali. L’efficace risposta a questi requisiti richiede che si affronti la sfida in modo integrato, evitando attività solo formali o addirittura duplicazioni con approcci non sistematici, non interiorizzati ed inefficienti. Si devono fornire le basi per aumentare il livello di consapevolezza dell'intera organizzazione, per sensibilizzare e coinvolgere i personale nelle iniziative, ma anche per identificare e valutare le aree di rischio, per consolidarne le valutazioni, per implementare le attività del sistema e per garantire un continuo monitoraggio ed efficace reporting.

I rischi si trasformano in opportunità, quando l’organizzazione sviluppare una profonda consapevolezza delle situazioni di rischio oltre che delle normative a cui è necessario dare risposta. Diffondere nell’organizzazione comprensione e consapevolezza di tali temi sono condizioni che stanno alla base di una loro efficace gestione oltre che delle iniziative volte a dimostrare, anche all’esterno, il grado di controllo e di presidio realizzato. È così necessario supportare l'intero ciclo di gestione dei rischio e degli standard di compliance:

  • dall’identificazione dei rischi e sensibilizzazione del personale alle attività di valutazione degli impatti sull’organizzazione, alle attività di controllo sino alla definizione degli obiettivi ed al monitoraggio dei risultati delle unità organizzative ma anche dei singoli ruoli.
  • passando dalla definizione di quali rischi accettare, trasferire o gestire e sostenere; dal processo di comunicazione e dallo sviluppo della necessaria consapevolezza circa le responsabilità di ogni ruolo.
  • per finire con la definizione di cruscotti per un efficace e continuo monitoraggio, la definizione dei livelli di allarme e la strutturazione delle analisi per fornire al management e agli altri organi preposti la base informativa per azioni tempestive e coerenti al contesto ed alle non conformità rilevate.

Identificazione di eventi potenziali e rischi rilevanti

Sviluppare una vista completa, a livello di intera organizzazione, per identificare gli eventi potenziali e significativi per la gestione del sistema di compliance richiede l'attivo coinvolgimento delle persone chiave. Per farlo è indispensabile la comprensione dei processi operativi, della strategia e degli obiettivi chiave dell'organizzazione. È necessario implementare un approccio che si fondi proprio sulla comprensione del modello dei processi dell'organizzazione, degli obiettivi e delle performance realizzate e fornire così gli ingredienti per un'efficace identificazione di rischi, degli obiettivi di ruolo, dei processi operativi e delle interfacce (ruoli e responsabilità) tra dipartimenti e funzioni.

Nell'ambito di un contesto di lavoro unificato e strutturato è possibile decentralizzare le attività di identificazione dei rischi attivando una "gestione collaborativa" che coinvolge tutta la struttura organizzativa. Ogni dipartimento, funzione, unità organizzativa e ruolo può partecipare al processo e, collaborando in team che attraversano i confini funzionali, alimentare un unico archivio centralizzato di reporting, classificazione e riesame degli eventi in grado di compromettere la conformità organizzativa agli standard.

Tale attività è in grado di alimentare ulteriormente lo sviluppo della consapevolezza organizzativa e della responsabilizzazione circa gli obiettivi del sistema di compliance aziendale. In tal modo si può creare una sorta di circolo virtuoso, in cui il processo di identificazione diviene un processo continuo che si fonda sul costante coinvolgimento, oltre che contributo, delle persone che agiscono nell'ambito dei processi. Sono loro in grado di percepirne i punti di debolezza, di comunicarli, di proporre azioni di gestione sempre nell'ambito dei meccanismi di comunicazione della soluzione.

Efficace valutazione dei Fattori di Rischio e degli Eventi Potenziali

Per valutare, classificare, allocare e monitorare le condizioni ed i fattori di rischio, i framework più diffusi (COSO, AS/NZ 4360, il Risk Management Standard di IRM, ISO 31000,...) offrono molteplici approcci, è però necessario utilizzare un framework di lavoro personalizzato, coerente con le peculiarità di ogni singola organizzazione.

In alcuni casi si può voler adottare un approccio di tipo qualitativo (scala qualitativa è ad esempio: "basso-medio-alto") sia per stimare le probabilità di accadimento che gli impatti attesi, in altri casi è da preferirsi un approccio più accurato di tipo quantitativo. Si dovrà comunque avere sempre la possibilità di procedere ad accurati riesami e ai necessari andando in profondità ad ogni singolo rischio da un livello complessivo aziendale ai livelli inferiori di singola “business unit” o unità organizzativa puntualizzando se e come è stato valutato ai diversi livelli.

La possibilità di implementare le modalità di valutazione che si ritiene più efficaci rende ancora più incisiva la possibilità di effettuare confronti sugli elementi caratterizzanti: impatto, probabilità, punteggio, costi di mitigazione o qualsiasi altra dimensione che si ritenga significativa. In questo modo si potranno costruire schemi dì sintesi per categoria di rischio, per unità organizzativa, per processo, ecc.

Diventa così necessario gestire tutte le informazioni in modo centralizzato, per facilitare l'attivazione di processi di valutazione "decentralizzati", in questo modo si stimola la responsabilizzazione dei "process owner", dei manager di unità organizzativa o delle funzioni di staff a farsi carico delle decisioni di gestione e di miglioramento delle procedure di compliance per le aree di loro competenza.

Si rendono così visibili i processi aziendali e gli obiettivi collegati, si comunica in modo appropriato e trasparente queste informazioni a tutti i livelli dell’organizzazione.

Azioni tempestive per la mitigazione dei Rischi e delle Non Conformità

Dare un continuo supporto alle attività di controllo oltre che le decisioni assunte a valle della fase di valutazione diventa un fattore imprescindibile, che consente di definire, comunicare e seguire le attività di controllo secondo le modalità preferite dall'organizzazione. In tal modo è possibile proseguire in modo integrato nella gestione del sistema di compliance. Si possono definire le responsabilità e le risorse assegnate, i tempi, le “milestone” per le attività che si è deciso di implementare. Tutto questo per facilitare la gestione collaborativa delle attività di controllo.

Sovente gli audit condotti sia da auditor interni che esterni portano a definire numerosi progetti di revisione delle politiche e delle procedure che introducono nuovi controlli al fine di mitigare le situazioni di rischio o le non conformità rilevate.
Gestire le priorità e le "deadline" di questi progetti è una delle responsabilità principali delle unità del Chief Compliance Officer. È possibile attuare azioni tempestive quando si ha:

  • Una vista chiara e completa di tali attività, il loro stato avanzamento, lo scostamento rispetto ad obiettivi e scadenze assegnate
  • Tutti i piani d'azione sono essere documentati e registrati fornendo a tutti gli attori interessati un unico punto di accesso per il loro controllo e riesame

Garantire la Comprensione delle proprie responsabilità

Un elemento chiave per un'efficace gestione del sistema dì compliance è la componente di consolidamento e comunicazione delle informazioni chiave. Le persone devono essere consapevoli e comprendere le dimensioni della compliance in rapporto al ruolo, le politiche e le procedure che impattano sulle loro attività. Si deve gestire la documentazione e la comunicazione del sistema di compliance, utilizzando un approccio fondato sui processi, che ne facilita la gestione e l'utilizzo; con la disponibilità di mappe di processo integrato con le informazioni di rischio e dei controlli previsti, si garantisce la sostanziale coerenza dei termini e delle comunicazioni riducendo in modo significativo lo sforzo necessario alla gestione dell'intero sistema. Un evento come, per esempio, un nuovo rischio, deve essere  immediatamente attribuito a tutte le mappe di processo su cui impatta.

Dato che le attività di valutazione e di controllo vengono svolte periodicamente, è indispensabile tenere conto dei risultati in relazione ai processi ed alle attività, bisogna collegare gli indicatori di performance alle attività/processi per avere mappe di processo con evidenziate le performance del sistema di compliance.

Gestire in modo pro-attivo il sistema di Compliance

Un altro fattore chiave è quello di mantenere aggiornate in tempo reale i valori degli indicatori di rischio e di controllo, consente di strutturarli in modo organico nell’ambito di cruscotti e di gestire sistemi automatici di allarme. Questi cruscotti (e gli indicatori contenuti) sono costruiti sulla base delle esigenze specifiche di monitoraggio e possono essere organizzati in più livelli (il numero di questi illimitati è illimitato) in modo da consentire il grado di dettaglio richiesto dai necessari approfondimenti.

Sarà così possibile avere una panoramica accurata, completa e aggiornata dei profili di rischio e della rispondenza alla normativa; si fornisce l’evidenza della capacità di gestione efficace dei rischi e del rispetto delle regole e degli standard.
Un utile elemento sarà il poter  configurare avvisi per livelli di performance che escono dalle tolleranze, per valori assenti o per mancate valutazioni, consentendo di intervenire in modo tempestivo. Questo permette a coloro che sono autorizzati di svolgere le attività di analisi e di pianificazione degli interventi necessari a gestire l’intero sistema di compliance.

In Sintesi, una base affidabile per il processo decisionale

Le problematiche di gestione del rischio e di compliance impattano sempre più su tutte le organizzazioni.
Il modello organizzativo con cui le imprese implementano i principi della trasparente, sana e prudente gestione in conformità al quadro normativo. Se il concetto di prudente richiama la capacità di valutare i rischi e di attrezzarsi per mitigarne gli effetti negativi, i concetti di trasparente e sana sono da considerarsi come principi necessari alla continuità dell'esercizio d'impresa e del suo sviluppo. Sebbene la realizzazione e la configurazione del sistema adottabile possa variare da caso a caso, è possibile definire due momenti centrali:

  • Il disegno del modello di controllo nel cui ambito, a fronte della mappatura e valutazione di processi e rischi aziendali si definiscono le caratteristiche organizzative del sistema di controllo verso cui tendere: le procedure da adottare per la gestione dei processi e le responsabilità organizzative, l'articolazione del sistema autorizzativo e delle deleghe, le caratteristiche del sistema di auditing interno, la definizione dei "cruscotti" e del set di indicatori di performance e l'integrazione con i meccanismi del sistema di controllo di gestione in essere; 
  • La realizzazione operativa delle componenti del sistema che si configura come un vero e proprio processo di cambiamento organizzativo in cui la dimensione tecnica non può non essere supportata da attività di formazione e comunicazione al personale.