Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Best Practice

Compliance normativa, 3 motivi per cui conviene un modello integrato

La proliferazione di standard e leggi rende la gestione delle conformità sempre più complessa: evitare duplicazioni è fondamentale. Ad aziende ed enti della PA occorre un approccio di governance unificato perché gli adempimenti sono spesso legati tra loro, perché le norme a volte danno indicazioni non specifiche, e perché le compliance sono sempre più richieste come requisiti dai partner di business

20 Nov 2018

Luca Galetti

La gestione della compliance normativa è diventata un tema molto importante in considerazione della proliferazione, sovrapposizione e pervasività di un quadro normativo sempre più articolato, sia a livello nazionale che internazionale (regolamenti, direttive, norme primarie e secondarie, …). Quadro normativo a cui si sommano standard e norme privatistiche (sistemi di gestione, norme tecniche, linee guida, …), sempre più preponderanti nei modelli di funzionamento di Imprese e Pubbliche Amministrazioni (PA), anche rispetto ai processi di trasformazione digitale in atto (es. Internet of Things, Intelligenza Artificiale, Blockchain).

Tutti questi adempimenti generano uno sforzo importante per Imprese e PA, non solo nell’adattamento ai cambiamenti imposti dall’esterno, ma soprattutto nel rendere effettive le modalità di lavoro di cui l’organizzazione si è dotata, anche rispetto alla prevenzione e gestione dei rischi aziendali.

Luca Galetti

Manager presso P4I - Practice Compliance Innovation

La crescita della complessità e dell’impatto della compliance normativa su Imprese e PA rende necessario affrontare questo tema con un approccio innovativo (e integrato), che eviti duplicazioni di logiche, strutture, processi, metodologie, documenti e sistemi informativi. Le ragioni sono almeno tre.

Le compliance sono legate tra loro

La prima ragione è  che spesso c’è un collegamento diretto o indiretto tra diverse normative e standard vigenti. Per esempio in ambito di prevenzione e contrasto alla corruzione c’è una relazione tra Standard ISO 37001, i PTPCT, la legge 190/2012 e il d.lgs 231/2001. Analogamente in ambito di salute e sicurezza sul luogo di lavoro c’è una relazione tra ISO 45001, l’art. 30 del d.lgs 81/08 e i Modelli Organizzativi Gestionali (MOG) ex art. 25 septies del d.lgs 231/01. Infine in ambito ambientale, di fronte a un quadro normativo sempre più articolato, si evidenzia la relazione tra ISO 14001, Regolamenti EMAS, i MOG ex articolo 25 undecies del d.lgs.231/01 ed il d.lgs 152/06 e s.m.i.

Quando le normative impongono obblighi, ma non danno soluzioni

La seconda ragione è la crescita significativa di normative che forniscono indicazioni di “alto livello”, ma senza entrare nel merito dei requisiti richiesti. L’esempio forse più eclatante in questo momento è il GDPR, il Regolamento Europeo per la Data Protection, dove si parla di misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza commisurato al rischio. Gli standard, in questo senso, possono essere una leva importante per dare più solidità al modello di compliance normativa adottato. Si pensi ad esempio alla possibilità di adottare il Cybersecurity Framework NIST o la ISO 27001 per dimostrare la conformità dei sistemi informativi dell’azienda o ente pubblico (e delle relative misure di sicurezza) nell’ambito di normative come GDPR, PSD2 e NIS.

Gli standard sono diventati “quasi” obbligatori

La terza ragione è la sempre più frequente richiesta nelle trattative, nelle gare e nei requisiti accreditativi, già in fase pre-contrattuale, della conformità a standard di riferimento (es. ISO 9001, ISO 27001, SA 8000, ecc), considerati sullo stesso piano degli obblighi di legge, da leggere come una “garanzia” di serietà e solidità di Imprese e PA, oltre che come un requisito fondamentale per la formalizzazione e l’avvio di un rapporto contrattuale e di lavoro.

Detto questo quindi l’opportunità di adottare un modello integrato di gestione delle compliance è evidente, ma come procedere? In un secondo articolo nei prossimi giorni vedremo nel dettaglio un approccio in 10 punti che suggerisce appunto come “maneggiare” gli adempimenti, con le necessarie condizioni al contorno di governance, change management, e monitoraggio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4