Le norme sono tutte uguali

di

Titolo volutamente provocatorio, ma non troppo distante dalla realtà.

Quando un’Impresa (in particolare PMI) deve affrontare l’adeguamento ad una nuova normativa, di quelle che comportano un elevato impatto a livello organizzativo, si trova di fronte ad uno schema sempre più simile.

Qualsiasi sia la norma, infatti, una volta verificato di essere effettivamente coinvolta, l’Impresa dovrà:

  1. descrivere i propri processi dal punto di vista della norma
  2. effettuare un’analisi dei rischi
  3. in base ai rischi emersi, definire un piano di miglioramento in cui sono coinvolti anche gli stakeholder
  4. applicare il piano di miglioramento e diffondere la cultura normativa in azienda
  5. rivalutare i rischi e ricominciare, secondo un principio di miglioramento continuo.

In cosa invece differiscono davvero le norme tra loro? Beh, ovviamente cambia l’ambito di applicazione: ciascuna norma regola un aspetto specifico della vita aziendale. Inoltre:

  1. cambiano alcuni formalismi e la documentazione obbligatoria
  2. cambiano le misure organizzative minime da applicare (anche se si va sempre più verso un concetto di responsabilizzazione dell’impresa – accountability)
  3. cambiano le modalità di controllo (anche se non più di tanto)

I casi specifici in cui le norme differiscono sensibilmente sono invece di solito limitati a determinati settori, o a nicchie di attività con peculiarità proprie che hanno effettivamente bisogno di approcci molto più strutturati

UN ESEMPIO BREVE – PARTE 1 – LA PRIVACY

un’Impresa che deve affrontare un percorso di adeguamento alla normativa sulla Privacy (REGOLAMENTO UE 670/2016 – GDPR, in vigore dal 2018), dovrà:

  1. analizzare le attività di trattamento dei dati personali (redigendo quindi un registro dei trattamenti)
  2. valutare il rischio di perdita, diffusione incontrollata, manomissione, violazione dei diritti degli interessati
  3. definire un piano di lavoro per mitigare i rischi più concreti
  4. applicare il piano di miglioramento, occupandosi anche di formare i soggetti coinvolti
  5. rivalutare i rischi e ripetere queste attività periodicamente

Vien da sè che, dato l’argomento, il piano di miglioramento dovrà prevedere principalmente misure di sicurezza informatiche e policy comportamentali.

una serie di documenti specifici dovrà essere prodotta: Informative e nomine, alcuni registri, alcune procedure specifiche: la richiesta di consensi ove necessario, le procedure di cancellazione dei dati… e dovranno essere codificati alcuni comportamenti organizzativi.
I controlli, nella maggior parte dei casi, sono effettuati internamente da un soggetto nominato, mentre in casi specifici sarà necessario nominare un DPO che verificherà l’applicazione della norma e fornirà una relazione periodica sull’operato dell’Impresa.

UN ESEMPO BREVE – PARTE 2 – IL MODELLO ORGANIZZATIVO EX. D.LGS. 231/2001

si parla in questo caso di protezione dell’Impresa dal rischio che i dipendenti commettano dei reati nell’operare per conto dell’Impresa stessa.

Anche in questo caso, l’Impresa dovrà:

  1. analizzare i processi nei quali si può annidare più facilmente la possibilità di commettere reati
  2. valutare il rischio che questi reati possano essere effettivamente commessi
  3. costruire un piano di miglioramento che vada a mitigare i rischi con la valutazione peggiore
  4. applicare il piano, diffondendo nel frattempo la cultura sulla norma all’interno dell’organizzazione
  5. rivalutare il rischio residuo, e procedere in ottica di miglioramento continuo

Il piano di miglioramento, in questo caso, comprenderà una quantità di vincoli e controlli, oltre ad alcune misure di sicurezza tecnologiche o infrastrutturali.

Il modello dovrà essere descritto adeguatamente, i controlli dovranno essere effettivamente applicati e dovrà essere nominato un ODV (organismo di vigilanza) che procede alla verifica delle misure, alla redazione del piano di miglioramento continuo, e alla relazione annuale.

UN APPROCCIO INTEGRATO
Si nota facilmente un parallelo tra queste due normative, ma si potrebbe andare molto oltre: sicurezza sul lavoro, certificazioni varie, cybersecurity, rischio d’impresa, sostenibilità… Funzionano tutte allo stesso modo, pur cambiando di volta in volta l’ambito di applicazione, i formalismi e i metodi di controllo.

Ciò che conta davvero, quindi, è avere un approccio univoco e snello all’analisi dei processi, alla valutazione dei rischi e alla produzione e applicazione di un piano di miglioramento (inclusa la diffusione culturale all’interno dell’organizzazione).

Il consiglo per l’Impresa è dunque quello di investire in base a questo approccio, piuttosto che in adeguamenti monolitici e indipendenti, non coordinati tra loro (e talvolta anche in contrasto).

Meglio sarebbe affidare il flusso di compliance a un soggetto (interno o esterno) che abbia competenze in materia di risk management e piani di miglioramento, che abbia una visione d’insieme della conformità normativa e che faccia da filtro e coordinamento con i vari enti, organismi di controllo nominati e consulenti specialistici (laddove necessario). In questo modo, il risultato sarà decisamente migliore, sia come efficacia che come impegno economico.

Che ne pensi? fammi avere le tue considerazioni o condividi le tue esperienze. Dal dialogo nascono le idee migliori.

Andrea Bisio

Lascia un commento