Le annose domande dell’imprenditore alle prese con la compliance
Compliance: investimento o spreco? Una domanda annosa per chi di mestiere fa il consulente, chi di noi non si è trovato a cercare di convincere un cliente che i soldi per l’adeguamento a una normativa non sono soldi gettati alle ortiche, ma che contribuiscono a dare un’immagine moderna all’azienda?
Spreco
Concepire l’adeguamento a una serie di norme come uno spreco di denaro è un approccio spesso collegato alla realtà nazionale in cui, troppo spesso, negli anni andati, la parte gestionale era molto lasciata alla libera interpretazione dei singoli.
Un tempo questo genere di adeguamenti in Italia non erano necessari, né obbligatori o avevano un impatto reale molto basso. Sembra quasi che le autorità nazionali ed europee si siano coalizzate per mettere sul piatto una grossa quantità di normative. Pensiamo al vecchio Codice Privacy, e a quanto impatto abbia il cambiamento di una singola parola. Da misure minime ad adeguate. C’è un mondo dentro. un mondo fatto di misure tecniche molto più serie, di controlli alle reti e ai computer e server dei clienti, di vulnerabilità assessment e penetration test.
Eppure, questi orpelli normativi vengono percepiti (a causa di una sovrapproduzione normativa e del tremendo carico fiscale sugli imprenditori) come una perdita di denaro. Ma sarà vero?
Rischio
Partiamo da un piccolo presupposto, si deve fare. E allora facciamolo al risparmio. Così impattiamo meno sui budget e sulle spese annuali dell’azienda.
Siamo sicuri che sia conveniente?
Prendiamo l’esempio dell’adeguamento alla 231 del 2001. Lo scopo è costruire un castello di protezioni, di procedure, un costrutto organizzativo volto a dimostrare che io azienda ho fatto il massimo e il meglio per impedire la commissione dei reati del catalogo 231.
Perché? Perché in caso di problemi potrò dare evidenze al PM di aver fatto di tutto e il mio modello di organizzazione e controllo avrà un potere esimente, cioè non mi farà ritenere colpevole.
Ma se procedo al risparmio? Facile, avrò tanti bei pezzi di carta, magari non applicati bene, magari con un OdV che procede al risparmio anch’esso (limitando interventi e controlli al minimo sindacale). Potrebbe capitare, quindi, che un giudice osservando tutta la mia bella carta ci faccia i complimenti per l’esercizio teorico, ma ci condanni per aver ottenuto un guadagno o un vantaggio di qualche genere dalla commissione di un delitto.
Lo stesso dicasi per tutte le altre norme di compliance, siano esse il GDPR, il Whistleblowing o l’Antiriclaggio o quel che desiderate.
Investimento
Esiste un modo per viverla diversamente? Sì, esiste. Ma impone agli imprenditori un’inversione di visione. Me lo voglio tenere quel cliente con cui fatturo X euro all’anno? Mi richiede un audit GDPR. Caspita che seccatura, però se mostro che sono perfettamente adeguato offrirò della mia azienda un’immagine positiva.
I miei clienti mi mandano decine e decine di documenti da controllare, verificare sulla data protection, ma io che ne so di questa roba? Mi chiedono anche di controllare che il mio subresponsabile (ma che parole usano!) sia adeguato al GDPR. Ma io di mestiere faccio altro.
Non sto inventando niente sia chiaro. Se passo un audit, se dimostro di comprendere i documenti o magari addirittura propongo modifiche perché non sono troppo corretti (così dice quel rompiscatole del consulente), se dimostro di avere un Modello di organizzazione e controllo 231 o di aver adempiuto a tutti gli obblighi AML, se tutti questi se hanno un certo tipo di esito non solo mi terrò i miei clienti, ma avrò la possibilità di acquistarne di nuovi in quanto alla domanda “sei a posto con questa o quella normativa?” la risposta sarà un sì convinto, sereno.
E come vedete non mi sto minimamente occupando delle sanzioni. Non sono un tema rilevante. non per chi fa seriamente compliance.
Integrazione
Altro aspetto veramente importante, visto il proliferare di leggi, è riuscire a gestire la compliance in modo quanto più possibile integrato, costruire assessment che possano essere utili a più adeguamenti in contemporanea (così da risparmiare tempo sia dei consulenti che degli intervistati).
L’assessment integrato è un fonte di chiarezza e risparmio
In questa prospettiva anche la documentazione prodotta deve essere integrata, in modo da poter correlare i vari settori nel modo più efficace possibile.
Aggiornamento
E qui si deve stare attenti. Se abbiamo fatto l’investimento iniziale non lo dobbiamo far finire in malora trascurandone l’aggiornamento periodico. Altrimenti avremo ottenuto un simpatico monumento al nostro adeguamento passato e nulla più.
Facendo un qualche esempio, i delitti 231 mutano e se ho un MOGC aggiornato a quattro anni fa non ho un modello esimente perché non considera e non analizza le nuove fattispecie di reato. Se il mio adeguamento AML non considera le nuove direttive europee o le linee guida di Banca d’Italia avrò nuovamente qualcosa di non usabile. Se per risparmiare non aggiorno il mio software whistleblowing agli standard richiesti dalla normativa non sarò a posto, se i miei server cambiano e non li traccio nel mio modello di gestione data protection avrò un meraviglioso elenco di macchine che non ho magari più e quindi la mia analisi del rischio sarà errata, e magari potrei scoprire rischi residuali elevati che potrebbero impedirmi di effettuare un determinato trattamento.
In conclusione
Oggi è molto più elevato il rischio che un imprenditore corre a non essere adeguato a una certa normativa di settore o generale, o ad averla applicata all’acqua di rose, che non la spesa per ottenere quel genere di adeguamento. Il rischio comporta al di là della sanzione o del rischio penale, una perdita di credibilità sul mercato, un rischio reputazionale tale da farmi perdere i clienti. E perdere la faccia è un attimo, ma porvi rimedio diventa un’operazione lunga e complessa ed ecco che la risposta alla domanda Compliance: investimento o spreco? diventa molto più semplice..
