Tutte le società, ma in special modo quelle operanti su base internazionale e/o quotate sui mercati finanziari, devono confrontarsi con un numero crescente di regole che sovente (pensiamo a quelle riguardanti la sicurezza, la privacy, la trasparenza finanziaria, i rischi di credito e così via) si traducono in normative aventi forza di legge e la cui violazione comporta pesanti sanzioni. E poiché un qualsiasi sistema di controllo ha tanta maggiore efficacia e minore impatto sul business quanto più è automatizzato e integrato nei processi operativi, ne consegue che ogni attività tesa a raggiungere l’aderenza e conformità delle attività di una società alle norme che ne regolano l’operato, in una parola la cosiddetta ‘compliance’, ha impatto sui sistemi informatici. Un impatto sempre maggiore se, come è probabile (con indice pari a 0,7 – un valore alto nella scala delle probabilità di Gartner) entro il 2012 le normative aventi effetto diretto sulle operazioni It andranno a raddoppiare.La compliance però costa, ed è un costo difficile da calcolare. Per esempio, separare i costi per l’adeguamento alle leggi sulla privacy dai costi generali relativi alla sicurezza e al trattamento dei dati non è un problema di facile soluzione. Dopo il primo anno di compliance alla Sarbanes-Oxley, la maggioranza delle società ha potuto calcolarne l’impatto economico in base al costo del personale assunto per la gestione delle attività di controllo e di auditing interno e delle consulenze e degli attestati rilasciati dalle società di auditing esterne. Questi costi, secondo una ricerca della Financial Executives International, ammontano al 57% della spesa annua totale per l’auditing, e l’aumento delle tariffe applicate ai nuovi contratti ha superato il 35%. Per ridurre questi costi occorre automatizzare i processi di controllo, con minore intervento di personale qualificato, e usare nuovi strumenti di audit e reporting. Di conseguenza, il gruppo di lavoro preposto al raggiungimento della compliance deve allineare investimenti It ed evoluzione dei processi per focalizzare precise aree di costo. D’altra parte, le imprese devono rendersi conto che l’epoca della deregulation è finita. C’è una forte probabilità (con indice pari a 0,8) che entro il 2012 il 90% delle società quotate dovrà confrontarsi con controlli finanziari basati su requisiti obbligatori, e un 50% dovrà fare lo stesso anche per attività non finanziarie. La Sarbanes-Oxley ha catturato l’attenzione dei manager per le pesanti sanzioni, anche penali, previste; mentre analoghe normative adottate in altri paesi, come il Cromme Code in Germania, sono più che altro dei set di ‘best practices’ spesso opzionali. Ma la scarsa adesione a queste pratiche indurrà i governi a sostituirle con norme obbligatorie e la recente approvazione della cosiddetta ‘Euro SOx’ (EU Companies Law Directive 8) è un esempio di questa tendenza.
In questo contesto evolutivo, alle imprese si offrono due opzioni. Una è semplicemente di fare ciò che le leggi dicono, uniformandosi a quanto prescritto. L’altra è di assumere un atteggiamento proattivo cercando di creare una cultura per cui diventi naturale ‘fare la cosa giusta’ e l’aderenza alle leggi sia la logica conseguenza di tale mentalità. Questa strada è importante quando le cose da fare, per quanto indispensabili, non sono imposte e il governo dell’impresa dipende in larga parte dal senso di responsabilità del management. Quanto al ruolo dell’It, con il crescere della pressione alla compliance deve far da supporto alle attività di monitoring e report, oltre a essere essa stessa, come organizzazione, adeguata alle norme. Per le attività guidate da processi specifici (come è per l’osservanza delle regole in ambito finanziario) la crescita dei fattori di pressione porta ad una maggiore automazione di tali processi e cresce quindi la responsabilità dell’It nel raggiungere la compliance desiderata.
È importante infine capire che in un ambiente di ‘impresa responsabile’ dove le attività di business sono condotte con la consapevolezza dell’importanza “sociale” del rispetto delle regole, i cosiddetti ‘regulatory risks’, ossia i rischi dati dall’inosservanza di tali regole (sanzioni economiche, messa al bando di prodotti o di materie prime, indennizzi a clienti e quant’altro) devono essere visti come un’inevitabile dimensione delle performance dell’impresa. In caso contrario, si diventa vittime dell’iniziativa degli auditor e degli organi di controllo. Anche qui il ruolo delll’It è fondamentale nell’automatizzare i processi di business in modo da saper bilanciare i rischi connessi alle operazioni con quelli connessi alla presenza di norme e regole da osservare.
Una qualsiasi previsione riguardo gli investimenti in attività di compliance e gestione del rischio non può prescindere dalle seguenti considerazioni:
– l’autorità dei non-executive stakeholder (cioè delle persone aventi legami e interesse al business ma non responsabili della sua conduzione) cresce a scapito dell’autorità dell’executive management;
– i ‘regulatory risks’ e gli obblighi derivanti dall’attività commerciale (come gli Sla stipulati con i clienti) continueranno ad aumentare;
– la pressione sulle performance finanziarie continuerà a crescere;
– la compliance e il risk management acquisterà uno spazio sempre maggiore nelle attività della funzione It.Peraltro, la compliance è solo la parte più evidente di quell’insieme di cose che una società deve fare per raggiungere e mantenere quella che possiamo chiamare ‘licenza d’operare’, che non è ovviamente una vera licenza, ma un modo di esprimere il rispetto delle leggi, l’adeguamento alle regole e relazioni sociali e le attività di gestione del marchio direttamente legate alle operazioni di business. Il mancato rispetto di queste politiche e regole implica la perdita della ‘licenza d’operare’; in altre parole, rende l’azienda fuorilegge e la pone fuori dal mercato.
Cosa deve fare dunque la funzione It per ottenere risultati in tema di compliance? Per cominciare, la prima cosa è non aspettare che le nuove norme cui sottostare arrivino sul tavolo del Cio. Leggi come quelle a tutela della privacy, la Sarbanes-Oxley o l’HIPAA (Health Insurance Portability and Accountability Act), non nascono in ventiquattr’ore, ma si sviluppano da istanze evidenti e vengono discusse in forum pubblici. Cogliendo questi segnali e anticipando dove possano andare a parare si può evitare di essere sommersi dall’onda degli eventi.
Cosa fare e come
Sul piano operativo, essendo i requisiti di compliance numerosi e disparati bisogna evitare di rispondervi con singoli progetti dedicati. L’approccio ‘reattivo’ (fare un progetto ogni volta che se ne presenta la necessità) crea una complessità che fa lievitare dal 30 al 50% il Tco della compliance dell’azienda. Per governare questa complessità occorre aggregare le richieste di compliance provenienti dalle diverse funzioni aziendali, sviluppare un project plan che sia dettagliato senza essere troppo ambizioso nei suoi obiettivi ed affidarlo alla guida di manager responsabili e dotati di autorità. E naturalmente, occorre allocare risorse che siano, se possibile, un po’ più dello stretto necessario. Scendere a compromessi su questi punti porta solo ad uno spreco di tempo e di denaro, oltre che ad assumere rischi.
In alcune organizzazioni si sono poste le basi per un’architettura It che integri le attività di compliance con quelle di controllo dei rischi operativi. Questo permette di eliminare quei controlli relativi ai processi di compliance che si sovrappongono a controlli equivalenti già previsti nello sviluppo dell’architettura unificata. Inoltre, molte applicazioni specifiche per la compliance finanziaria (come quelle per l’auditing) si possono eliminare in quanto le stesse funzionalità vengono integrate nelle nuove applicazioni finanziarie. Oggi, 2006, la gran parte delle imprese non ha organizzato il proprio ambiente di controllo, ma è certo che un investimento in It sarà un efficace rimedio a questo caos, anche se i suoi vantaggi saranno diluiti nel tempo. La raccomandazione è che, prima di spendere in soluzioni per la compliance, un’azienda faccia un accurato risk assessment per individuare quali siano i controlli fondamentali e quindi standardizzare tali controlli in modo trasversale nei processi di business. Su questi controlli si dovrà poi focalizzare il supporto della tecnologia.
Per concludere, si ricordi che il raggiungimento della compliance è solo uno degli aspetti che portano alla riduzione dei rischi e al miglioramento delle performance dell’impresa. Oggi troppe società, preoccupate dalle scadenze imposte dalle leggi, perdono di vista le più ampie opportunità che i controlli che stanno mettendo in opera, così come la loro automazione, possono dare loro in prospettiva. E ciò, nonostante una ricerca Gartner del 2005 mostri come la spesa per la sola compliance finanziaria possa salire al 10-15% del budget It. Dato che la compliance è una cosa con la quale bisogna comunque fare i conti, occorre rimpiazzare l’attuale atteggiamento mentale orientato al breve termine con una visione più ampia, che abbracci, in chiave di compliance, tutta l’impresa. Questo approccio permetterà di rispondere meglio alle fluttuazioni del contesto in cui si opera, focalizzando gli sforzi sui rischi davvero pericolosi ai fini del vantaggio competitivo e proteggendo così, in ultima analisi, il valore dell’impresa verso gli stakeholder.
Rischi normativi e prestazioni aziendali
Il diagramma, che riporta in ascissa i rischi correlati all’inosservanza delle regole e in ordinata la pressione all’aumento delle performance aziendali, configura quattro filosofie d’impresa derivanti dal rapporto tra rischi e prestazioni. Un tasso di rischiosità elevato a fronte di un basso livello di sforzo sul lato performance porta ad avere un’azienda il cui comportamento è appiattito sull’assoluta obbedienza alle norme “il ‘Grande Fratello’ ha parlato”). All’estremo opposto, si lascia invece spazio a comportamenti decisamente anarchici. Un equilibrio al minimo livello di entrambi i fattori porta all’immobilismo (“cambiare è male”) mentre la crescita contemporanea di rischio e pressione sulle performance spinge ad agire con agilità. Ma per essere un ‘agile player’ occorre che gli investimenti in It siano costantemente e proattivamente allineati agli obiettivi di business.
Obiettivo finale: migliori prestazioni
Il diagramma, che riporta in ascissa la spesa in attività di compliance e in ordinata i risultati che ne derivano, evidenzia il percorso di crescita che da un situazione di passività, dove le misure di controllo sono viste come necessaria risposta ad eventi accidentali, porta (attraverso lo stadio intermedio della prevenzione degli incidenti) ad una situazione di Corporate performance management, dove un governo proattivo degli eventi permette di migliorare le prestazioni dell’impresa.
