Il bello e il brutto della compliance

Pubblicato il 19 Ott 2011

stefanoubertifoppa70

Enti, garanti e organismi vari in Italia come all’estero stanno ormai da tempo emanando una serie di provvedimenti per cercare di governare l’accesso ai dati personali da un lato, salvaguardando nel limite del possibile la privacy dall’altro. Senza dimenticare compliance in ambito sicurezza e tracciabilità specificatamente indirizzate al settore finanziario e bancario.
Questi organismi non stanno facendo altro che tentare una missione impossibile: definire alcune regole comportamentali all’interno di quel fenomeno che sta sempre di più connotando la nostra società e che è rappresentato dall’esplosione dei dati e dalla facilità al loro accesso.
Oggi sempre più individui e imprese trattano ogni giorno la “questione dati”, immettendone nella rete dei propri o accedendo a quelli di terzi; quindi, teoricamente, non sarebbe accettabile procedere senza una normativa di riferimento. Ma la costante messa a punto di “quadri normativi” induce le aziende a dover ripensare spesso, in parte, le proprie organizzazioni e tecnologie. Una materia che si traduce, tecnologicamente parlando, in piattaforme integrate di GRC (Governance, Risk & Compliance) che hanno l’obiettivo di facilitare la governance di elementi di rischio (sicurezza e accessi indesiderati o fuori norma ai dati) garantendo al contempo un allineamento alle variabili indotte dalle diverse normative di volta in volta emanate dai vari soggetti preposti.

Qual è oggi la situazione rispetto al tema spinoso della necessità, come impresa, di non essere esposta a sanzioni perché non in grado di adempiere alla normativa? Parlando dell’Italia, potremmo dire che la situazione è…tipicamente italiana. Come sempre abbiamo normative di grande dettaglio ed eleganza, che possono magari anche essere considerate all’avanguardia rispetto a quella di altre nazioni, ma la cui applicabilità diventa, oltre che costosa e complessa, di difficile attuazione.
Di recente abbiamo partecipato ad un evento nel quale, come ZeroUno, portavamo una nostra web survey realizzata su questo tema, ma al di là dei dati, interessante è quello che abbiamo sentito confrontandoci “nei corridoi” e durante una tavola rotonda da me moderata.
Abbiamo tracciato, per supportare il confronto, il seguente quadro di partenza che in sintesi vi proponiamo. Le aziende stanno oggi disperatamente cercando di passare da una struttura a silos ad una trasversalità che porti, attraverso l’integrazione, ad una maggiore capacità di risposta di valore rispetto alle esigenze del business. È un percorso difficile e costoso, che investe sia le tecnologie/architetture, sia i modelli organizzativi e i processi. Da un punto di vista delle normative, esiste un quadro di riferimento che possa considerarsi anch’esso “trasversale” e organico al punto da consentire alle aziende di muoversi in un contesto meno schizofrenico e specifico dell’attuale? In altri termini: accanto alla specificità delle diverse normative esiste una visione “strutturale” della compliance considerando i pesanti cambiamenti che le aziende devono poter sostenere? La risposta, da parte di chi opera quotidianamente nella legislazione e nel confronto con le aziende è stata categorica: assolutamente no. Spesso ci si trova a dover rincorrere normative che a fronte di un impianto teorico anche valido sono del tutto improponibili nella loro attuazione. Le imprese, le banche soprattutto, sono obbligate a mettere a punto, nelle scadenze previste, ciò che viene loro richiesto, ma gli impatti, in termini di costi, forse non sono valutati fino in fondo da chi disegna la compliance.
Per “natura”, in genere finché non esiste una legge o una norma in materia, ben lungi da ognuno di noi cercare di procedere (e investire) con adeguamenti e garanzie di sicurezza, così come fino a poco tempo fa, sempre in materia di security, prima che accadesse il furto o il danno, difficilmente si provvedeva ad investimenti preventivi. Ma quanto costa oggi, a livello Paese, in un momento complicato come quello attuale, la compliance? Quante risorse tiene bloccate? E soprattutto, quanto può costare non tenere conto delle complessità organizzative e tecnologiche e dei costi che l’allineamento alla normativa comporta sulle casse delle imprese con budget già “provati” dalla stagnante situazione economica che stiamo vivendo? Alcune banche stanno impostando progetti di revisione tecnologica e organizzativa per riuscire a rispondere alle normative nell’ordine di milioni di euro. Pochi giorni fa, sempre durante l’incontro che dicevamo prima, un Cio di un’importante azienda multinazionale affermava con il tono di chi, tra lo stupito e lo sconsolato, ha perduto una battaglia: “Ho finito questo pomeriggio un incontro sulla definizione del budget. Una buona quota che come It avevamo destinato a progetti a nostro avviso di innovazione di business, l’abbiamo dovuta tagliare a favore di investimenti dedicati all’adeguamento normativo. Non c’è stato niente da fare…”. E allora cosa vogliamo dire con questo editoriale? Che le normative frenano e non servono? No, senz’altro. Il disegno normativo a garanzia di persone e imprese è una struttura fondamentale di uno stato democratico e del buon funzionamento della società. Ma bisogna che si prenda atto (Garante e vari enti) che l’esplosione dei dati, l’aumento delle vulnerabilità dei sistemi, l’accesso alle informazioni da parte di ognuno di noi oggi non si possono governare soltanto agendo su un inasprimento e una crescita delle specificità normativa. Si disegnano, in questo modo, delle “cattedrali di norme” rispetto alle quali le aziende devono cercare di adeguarsi, con scarse possibilità di riuscirci per la complessità, il costo attuativo e spesso l’incongruenza della norma stessa. Servirebbe invece prendere coscienza della necessità di trovare la via mediana, quella della definizione di regole più generali che possano essere convertite in investimenti e progetti sia tecnologici sia organizzativi reali e non con una rispondenza formale dietro la quale c’è spesso l’impossibilità di procedere ad un vero cambiamento da parte delle imprese. In sostanza procedere ad una definizione più snella che non impegni risorse umane, finanziarie e tecnologiche in una corsa senza fine verso un impossibile obiettivo di adeguamento totale.
Certo quella attuale è una situazione che piace molto ai vendor Ict. Una parcellizzazione di questo tipo altro non può portare che alla necessità di investire in software e sistemi che vanno a stratificarsi su un già ampio multistrato di cui si compongono i sistemi informativi delle aziende, soprattutto quelle più grandi e strutturate, investite dalle diverse compliance. Crediamo invece che in una fase nella quale si sta disperatamente cercando di semplificare, di riuscire a fare di più con risorse minori serva un quadro normativo, sia internazionale sia nazionale, in grado di dare spinta a questa trasformazione, cercando senz’altro di preservare sicurezza e privacy ma al contempo di non sacrificare su questo altare le già poche risorse disponibili nelle aziende. Un equilibrio certo non facile da trovare ma che deve scaturire da un confronto tra enti regolatori, imprese e cittadini che forse, fino ad oggi, hanno parlato linguaggi tra loro alquanto diversi (o forse qualcuno non ha ascoltato con sufficiente attenzione). Le crisi economiche, ci hanno insegnato, servono anche ad affinare i sistemi. Su quest’ambito, a nostro avviso, c’è senz’altro ancora molto da lavorare…

Figura 1 – Presenza di strategie di Governance, Risk & Compliance
(cliccare sull'immagine per visualizzarla correttamente)


Figura 2 – Figure aziendali coinvolte nei progetti Governance, Risk & Compliance (aziende con strategia GRC avviata o prevista)
(cliccare sull'immagine per visualizzarla correttamente)

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4