Nella foto, come sono visti gli auditor durante l’audit.
Quando la compliance cala su un reparto di una azienda, specialmente se riguarda la parte di information technology, scoppia la tempesta.
Centinaia se non migliaia di regole da conoscere e centinaia se non migliaia di sistemi e di procedure da verificare contro queste regole. E ovviamente da allineare con aggiornamenti, modifiche, cambi di procedure, implementazione di ruoli e di controlli di accesso.
La compliance diventa il centro di tutte le attività. Diventa spesso l’ultimo baluardo da superare per qualsiasi nuova implementazione, ammesso che non venga bloccata sul nascere (da qualcuna delle regole).
La domanda fondamentale da porsi è questa:
Il nostro prodotto di punta è la compliance?
L’azienda deve essere centrata sul prodotto o sul servizio che crea o meglio sul valore che questo prodotto o servizio crea per i suoi clienti.
Se sono una azienda di consulenza che crea compliance, allora questa “cosa” sarà al centro delle mie attività.
Se produco biciclette, assolutamente no.
La compliance è uno strumento
La compliance, come un software, una chiave inglese o un robot, è uno strumento che deve essere utilizzato per implementare al meglio quei processi che creano valore per il cliente.
Facciamo un esempio: devo sviluppare una soluzione per raccogliere specifici lead attraverso il sito web.
Avrò bisogno di diversi strumenti: un prodotto per disegnare una pagina promozionale con la possibilità di iscriversi, un sistema di memorizzazione e di analisi dei dati raccolti, uno strumento per contattare successivamente i potenziali utilizzatori.
Tra questi strumenti avrò bisogno anche della compliance che mi darà indicazioni sullo possibili modalità di trattamento dei dati, sulla sicurezza della transazione che l’azienda vuole garantire, sulle procedure di ingaggio dei contatti raccolti.
La compliance ci aiuta
La compliance, come qualsiasi strumento, è un elemento che aiuta ad implementare nel modo migliore i processi che creano valore per i clienti ed è in questa ottica che va utilizzata.
Il responsabile della compliance deve quindi sedere fin dal primo momento al tavolo dove si stanno progettando nuovi processi, valutando nuove proposte, creando innovazione per cercare tra le regole quelle che supportano al meglio le attività in via di realizzazione.
La compliance non deve essere il “boia” che abbatte la sua mannaia su ogni idea esposta, snocciolando le regole che si rischia di infrangere con una serie infinita di “non si può fare”. Tanto meno deve essere l’ultimo filtro, finissimo, da passare prima di andare in onda.
Spesso si vedono progetti uccisi da un ultimo “no” a causa della compliance o dalle tardive valutazioni dell’ufficio legale (che ovviamente non avevano partecipato alla progettazione e allo sviluppo). O, se non uccisi, menomati in modo tale da non essere più efficaci (ma rimanendo un costo attivo).
La compliance come strumento di innovazione
Alcune volte, non poche, la compliance fa emergere nelle aziende sistemi e procedure vecchi, obsoleti, insicuri o, ovviamente, non compliant.
Alla fine di un audit, ci si trova con una lista lunghissima di oggetti di “colore rosso” che mostrano in modo vergognoso come l’azienda sia piena di “buchi”.
Un lungo elenco dei cose che non vanno e che sono la chiara evidenza che siamo stati “bocciati” dagli auditor.
A quel punto, anche per orgoglio, inizia la corsa a far diventare verdi tutti quei pallini, a dimostrare che siamo in grado di sistemare le cose e recuperare la nostra insufficienza. La compliance diventa il centro.
Ma in che modo? Solitamente mettendo delle pezze. Chiudo gli accessi, disabilito delle funzioni, blocco una o più attività perché non sono compliant. Peccato che spesso quelle attività sono indispensabili al business. Magari condotte in modo casereccio perché “si è sempre fatto così”, ma non di meno necessarie per l’azienda.
La compliance torna ad essere il boia taglia teste, creando malumore, insofferenza, sensazione di non poter svolgere al meglio il proprio lavoro. Condizioni difficili da misurare ma che finiscono con il peggiorare la produttività ed aumentare il turn-over. E che ammazzano definitivamente ogni forma di creatività.
La compliance va usata come strumento di innovazione.
Quando un software è troppo insicuro, non deve essere spento ma deve iniziare un progetto di aggiornamento o di sostituzione. Il pallino da rosso diventa verde e lo sforzo produce un miglioramento e non un peggioramento delle modalità di lavoro.
Ogni elemento critico di un audit dovrebbe portare alla domanda: cosa cambiamo perché quella particolare situazione diventi “a norma” e venga fatto anche un passo verso l’innovazione?
Ma è faticoso!
Sì, scucire e ricucire un vestito perché non ci va più bene è faticoso e richiede tanto lavoro. Attaccare una pezza è veloce e gli auditor spesso non distinguono le due situazioni (o meglio non sono tenuti a farlo).
La compliance diventa un elemento di perdita di valore per l’azienda anche quando il report dice che è “tutto verde” e si possono dormire sonni tranquilli.
Sperando di non doversi trovare un altro lavoro.
