direttore Filippo Astone

HPE
cube-427897_1280

Compliance: rispettare le regole nell’era digitale

di Marco Scotti ♦ Dati personali, informazioni riservate. Conformarsi a  norme sempre più strette e vincolanti pone nuovi problemi gestionali alle aziende, grandi e piccole: un errore può costare caro. Sullo sfondo l’arrivo imminente del GDPR europeo. L’esperienza dei big Tim, Eni e Prysmian, e le soluzioni di Microsoft allargate al risk management

Assicurare il presidio del rischio per non incorrere in sanzioni giudiziarie o amministrative; evitare perdite patrimoniali o danni di reputazione a seguito di violazione di leggi, regolamenti o provvedimenti di diversa natura; far rispettare codici etici e principi deontologici all’interno delle aziende. Sono questi i capisaldi della compliance, un settore divenuto sempre più importante all’interno delle imprese, specialmente quelle di grandi dimensioni e soprattutto ora, alla vigilia dell’entrata in vigore del GDPR europeo; un’autentica rivoluzione in materia di gestione dei dati personali e delle informazioni riservate che obbliga tutte le aziende a dotarsi di meccanismi strutturati per garantire la piena rispondenza ai nuovi dettami continentali.

Tim, Eni e Prysmian: tre modelli diversi

Fino a un paio d’anni fa il settore compliance nelle grandi imprese faceva parte della direzione legale. Poi, complice anche il proliferare di nuove norme (la sola Unione Europea ne ha realizzate oltre 600 in materia), è stato stabilito di creare apposite direzioni, che siano totalmente indipendenti nell’analisi. È il caso di tre colossi che hanno deciso di dotarsi di tre dirigenti specifici a capo delle divisioni compliance: Giampaolo Leone in Tim, Luca Franceschini in Eni, Alessandro Nespoli in Prysmian.

Tim: la direzione compliance riporta direttamente al cda

«In Tim – ci ha spiegato Leone – la direzione compliance riporta direttamente al cda. Si tratta di una nuova funzione, creata in tempi recenti per venire incontro alle nuove esigenze in materia. Va però detto che spesso le grandi aziende come Tim lavorano con risorse in diminuzione: le operazioni di taglio e riduzione dei costi vanno di moda e c’è grande impegno, da parte del management, nel processo di razionalizzazione e semplificazione. È naturale che non si possa pensare di avere a disposizione una squadra di oltre 60 impiegati deputati alla compliance, ma è altrettanto ovvio che non si possa pensare di andare a tagliare eccessivamente in un comparto che, con l’entrata in vigore del GDPR, sarà ancora più sotto i riflettori». Nell’ex-Sip, il fatto che l’head of compliance riporti direttamente al consiglio di amministrazione significa garantire al dipartimento una completa autonomia rispetto all’organigramma aziendale, evitando che esso sia sotto il diretto controllo del management. C’è da aggiungere che spesso i dirigenti aziendali guardano all’ufficio compliance come al principale fattore che impedisce alla loro azienda di trasformarsi digitalmente.

Eni: la divisione riporta direttamente all’amministratore delegato

In Eni, invece, la divisione riporta direttamente all’amministratore delegato. «Come struttura dedicata – ci ha raccontato Luca Franceschini – la divisione compliance ha meno di due anni, per la precisione 18 mesi. Prima vi era un nucleo di compliance normativa all’interno della direzione legale. A un certo punto, però, si è posto il tema di separare le due specificità, creando una nuova funzione, cioè quella di compliance integrata, a diretto riporto dell’amministratore delegato».

 

Prysmian SERRA_02
Prysmian, la nuova sede di Milano
Prysmian: riportare ad Ad, al comitato controllo interni e rischi e al collegio sindacale

Prysmian  ha una struttura ancora differente, a riprova di come la materia sia complessa e articolata e non abbia ancora una modalità comune di posizionamento all’interno del management aziendale. «Nel nostro gruppo – ci ha spiegato Nespoli – la funzione compliance nasce con la mia nomina nell’ottobre del 2016. Durante questi 18 mesi abbiamo cercato di fare tanto grazie agli strumenti digitali. Prima non esisteva un’organizzazione dedicata, ma la compliance veniva comunque effettuata e rispettata, principalmente dalla divisione legale, anche perché non bisogna dimenticare che Prysmian è probabilmente l’unica public company in Italia, nel senso che non ha un azionista di riferimento ma risponde a un consiglio di amministrazione che viene nominato dall’assemblea dei soci. Quello che mi è stato chiesto è di riportare a tre diverse entità, con modalità differenti: all’amministratore delegato, al comitato controllo interni e rischi e al collegio sindacale».

La piattaforma Compliance 365

Il problema, però, oltre alla nuova strutturazione dell’organigramma, è quello di effettuare un controllo capillare e attivo dei comportamenti dei lavoratori, in modo che siano sempre adeguati agli standard richiesti. Oggi è difficile avere la certezza che i sistemi messi a punto per la compliance siano effettivamente utilizzati dai dipendenti. Ma con la legge 231/2001 viene sancita la responsabilità diretta delle aziende e degli enti in genere in sede penale o civile per taluni reati commessi nel proprio interesse o vantaggio dai propri amministratori o dipendenti.

Per ottimizzare l’esercizio dei controlli e mantenere elevati gli standard, Microsoft – insieme a Proactive Compliance Technologies, una startup innovativa nata da esperti in tecnologie informatiche che hanno unito le loro competenze a professionisti della compliance societaria – ha creato una serie di soluzioni ad hoc, la prima delle quali è appunto Compliance 365, una piattaforma che consente di ridurre i rischi e semplificare il controllo, automatizzando le attività assegnate, integrando i dati su rischi e controlli di compliance, ottimizzando tempi e costi e permettendo una gestione collaborativa dell’area.

Per capire le funzionalità e le peculiarità della nuova piattaforma, Microsoft ha organizzato recentemente un convegno per mostrare quanto un sistema strutturato possa migliorare e snellire le procedure. Con l’applicativo realizzato dalla più importante software house del mondo si può gestire in modo efficiente l’intero sistema di compliance, monitorandone la corretta attuazione sia tra le mura aziendali, sia con le cosiddette terze parti, come fornitori o appaltatori. L’interfaccia è integrabile con qualsiasi sistema aziendale e abilita la gestione della compliance, evitando sovrapposizioni e lacune nei controlli. In questo modo si possono ridurre i costi, i tempi di gestione e perfino l’impatto burocratico, grazie a una gestione di tutte le policy sia interne che esterne all’azienda.

Come funziona

La piattaforma si compone di cinque moduli: Compliance Governance, Employees Engagement, Assesment&Moniotring, Third Parties Management e Whistleblowing System & Case Management.

Con il modulo di gestione delle attività di compliance si possono creare e archiviare le policy e le procedure, gestendo e assicurando l’allineamento automatico di tutti i contenuti. Inoltre, si possono visualizzare i rischi inerenti, i rischi residui e le priorità per processi, utenti, società, business unit e paesi in una visione olistica.

Per quanto riguarda il modulo di coinvolgimento dei dipendenti, con Compliance 365 è possibile attivare programmi di engagement relativi a specifici argomenti che possono essere indirizzati a tutti i dipendenti o solo ad alcuni gruppi, a seconda delle diverse necessità.

Con il modulo di monitoring, invece, si può tenere sotto controllo lo stato di implementazione del programma di compliance e realizzare delle survey per il monitoraggio dei rischi e del livello di attuazione di policy, procedure e altri controlli.

Come già detto, inoltre, con Compliance 365 ci si può assicurare che le terze parti lavorino nel rispetto delle norme e delle policy aziendali. È naturale, infatti, che anche soggetti non direttamente riconducibili all’impresa possano mettere in atto comportamenti che abbiano un rilievo per l’azienda stessa.

Infine, è possibile implementare moduli di whistleblowing che consentano sia di fungere da canale protetto e anonimo, sia di offrire una piattaforma di case management che consenta di svolgere tutte le fasi del processo di gestione delle segnalazioni. Una sorta di area protetta accessibile soltanto a un pubblico ristretto e selezionato preventivamente.

 

Risk management
Risk management

ERM 365 e la gestione del Risk Managemenent

Un’ulteriore offerta presentata recentemente da Microsoft in collaborazione con Proactive Compliance Technologies è una web app integrata per la gestione del Risk Management, ERM 365. Questo applicativo consente di pianificare e monitorare le attività a carico dei diversi attori aziendali come cda, risk manager e funzioni di controllo. Inoltre, viene abilitata la ownership del rischio da parte del management, contribuendo a una diffusione della cultura del rischio che coinvolga l’intera struttura aziendale. Viene anche migliorata l’efficienza di tutto il processo del rischio, dalla fase di prevenzione a quella di gestione delle situazioni di emergenza. ERM 365 è una web app che può essere utilizzata sia da desktop che da mobile da parte di tutti i gestori e utenti. Viene posta grande attenzione sulla tracciabilità di ogni attività, consentendo lo sviluppo di programmi di autovalutazione dei rischi.

Qui l’intelligenza artificiale viene impiegata anche nei meccanismi di compliance. Insieme a Proactive Compliance Technologies, infatti, Microsoft ha realizzato un assistente virtuale basato su un modulo di AI che impara dai contenuti e fornisce un supporto immediato agli utenti. Inoltre, la funzionalità di chat disponibile sulla Web App consente ai dipendenti di richiedere assistenza alla funzione risk management per condividere commenti su temi specifici. L’intelligenza artificiale è uno dei capisaldi dell’offerta di Microsoft per le imprese e la sua integrazione sulle diverse piattaforme – come Office 365, Azure o, appunto, Compliance 365 – dimostra come il gigante di Redmond voglia puntare forte su questa tecnologia anche in settori storicamente meno avanzati dal punto di vista dell’informatizzazione e della digitalizzazione.

 

Logo GDPR

GDPR 365

Il prossimo 25 maggio, come è ormai noto, il General Data Protection Regulation entrerà in vigore con l’obiettivo di rafforzare la protezione dei dati personali e armonizzare le normative in questo settore in tutta l’Unione Europea. I nuovi sviluppi tecnologici, infatti, hanno reso necessaria l’introduzione di una nuova serie di accorgimenti per tutelare un bene divenuto sempre più prezioso come, appunto, i dati. Per rispondere a queste esigenze, Microsoft ha messo a punto la soluzione GDPR 365, un verticale della piattaforma Compliance 365 che permette di adeguarsi rapidamente a obblighi e requisiti del Regolamento europeo sulla privacy grazie ad analisi, verifiche e continui monitoraggi della gestione dei dati da parte dell’azienda titolare del trattamento.

La soluzione si compone di otto moduli diversi, che vanno dall’analisi preliminare della situazione in cui si trova l’azienda a una serie di accorgimenti sia per le condizioni “standard”, sia in caso di data breach, mantenendo sempre in primo piano l’attenzione per la formazione di tutti i soggetti interessati e l’erogazione in modo dinamico di test per provare l’effettiva conoscenza da parte dei dipendenti dei più importanti riferimenti normativi in materia di gestione e controllo dei dati personali.

In questo caso, infatti, l’azienda ha solo 72 ore di tempo per avvertire il l’autorità di controllo competente dell’avvenuta intromissione e per dimostrare di aver messo in atto tutti gli accorgimenti necessari per mantenere al sicuro i dati. Se non agissero per tempo scatterebbero multe che, a seconda delle dimensioni, potranno arrivare fino a 20 milioni di euro o fino al 4% del fatturato dell’anno precedente. Cifre molto significative, in grado di mandare al tappeto realtà aziendali anche con un giro d’affari notevole. Inoltre, viene introdotto il principio dell’accountability, che obbliga le imprese a dimostrare di aver preso tutte le misure necessarie per garantire una efficiente protezione dei dati personali.

Diventerà obbligatorio mettere in atto almeno tre soluzioni che, se combinate, garantiscono all’azienda di essersi comportata in maniera congrua alla nuova norma. Prima di tutto, i dati dovranno essere protetti da una password di almeno otto caratteri, di cui uno maiuscolo, un numero e un carattere speciale. In secondo luogo, bisogna separare il dato dall’identificativo in due luoghi diversi del server. Il terzo punto quello relativo è all’anonimizzazione, che consente di eliminare qualsiasi riferimento alla persona, pur mantenendo i suoi dati.

Dal punto di vista dell’organigramma aziendale, viene introdotta una nuova figura professionale, quella del Dpo (Data Protection Officer). Si tratta di una mansione con un inquadramento preciso e competenze specifiche ben delineate: il soggetto dovrà ricoprire almeno la qualifica di quadro aziendale, dovrà essere in possesso di un preciso “patentino” e dovrà essere laureato in legge o esperto di privacy. Inoltre, il suo parere diventa vincolante per il datore di lavoro: questo significa che il titolare dell’azienda, o il legale rappresentante, qualora venga informato della necessità di apportare correttivi o misure strutturali per incrementare la tutela dei dati personali, non potrà esimersi dal metterle in atto e, qualora non lo faccia, ne risponde in prima persona. Infine, se il Dpo è inserito nell’organico aziendale con un contratto di assunzione, non può essere licenziato, esattamente come avviene per il rappresentante sindacale. Si prevede che nei prossimi anni ci sarà una necessità di circa 41mila Dpo.

Condividi questo articolo sui Social Network

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Lascia un commento

Your email address will not be published.

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Latest from Innovazione

Go to Top
ISCRIVITI ALLA NOSTRA NEWSLETTER
Rimani aggiornato su notizie, eventi, analisi e approfondimenti
dal primo sito italiano dedicato a economia reale,
industria manifatturiera e Industry 4.0
Le tue informazioni non saranno condivise con nessuno soggetto terzo.
ISCRIVITI ALLA NOSTRA NEWSLETTER
Rimani aggiornato su notizie, eventi, analisi e approfondimenti
dal primo sito italiano dedicato a economia reale,
industria manifatturiera e Industry 4.0.
Le tue informazioni non saranno condivise con nessuno soggetto terzo.

ISCRIVITI ALLA NOSTRA NEWSLETTER