Alle volte fa veramente tanta rabbia guardare l’Italia, un paese con un alto potenziale e scoprire una nazione troppo lenta, pesante, incapace di stare al passo con i tempi.
Ma attenzione, non è il caso di gettare sempre la colpa sulla Pubblica Amministrazione, perché una mentalità imprenditoriale a volte un po’ retrò configura anche il settore privato come non particolarmente brillante, specie quando si tratta di conformità.
La normativa circa la responsabilità amministrativa delle organizzazioni (D.lgs. 231/01) ha definito un chiaro meccanismo di esimenza in relazione a differenti classi di reati: qualora sia possibile dimostrare che questi siano stati commessi evadendo in modo fraudolento le misure organizzative adottate.
Una delle caratteristiche innovative di questa normativa consiste nel focalizzare l’attenzione sulla necessità di attuazione di un processo di analisi del rischio.
Ed è a questo punto che troviamo il primo intoppo.
Una schiera di dirigenti e amministratori, spinti anche dai propri legali, non ce la fanno proprio a riconoscere nel risk management un sistema intelligente per priorizzare gli investimenti e prevenire i disastri.
Preferiscono piuttosto credere che il disastro non sia verosimile ma purtroppo questo modo di ragionare, in alcuni casi, è costato la vita a molte persone e dichiarare un rischio basso nella maggior parte degli scenari presi in considerazione.
L’effetto immediato è quello di aver salvaguardato l’organizzazione da “una spesa inutile”. Ma nel medio lungo periodo, la spesa si rivelerebbe realmente inutile?
Il secondo intoppo, chiaramente vincolato al primo in un rapporto ciclicamente infinito di causa – effetto, consiste nel fatto che alcune classi di reati vengano sopravvalutati rispetto ad altri secondo una percezione distorta imputabile probabilmente ad una carenza di consapevolezza.
Cerco di chiarire: in molte analisi dei rischi si assiste ad un’esplosione delle considerazioni relative alla sicurezza e salute sul posto di lavoro, ai rischi ambientali e ai reati amministrativi e finanziari, mentre i rischi informatici, ad esempio, vengono spesso rilegati in un angolo con qualche riflessione sbrigativa.
Eppure non è forse lo scambio di informazioni (e l’informatica) che governa e lo farà in modo sempre più invasivo le tre macro aree sopra riportate? Pensate alla gestione dei macchinari di lavoro e all’industria 4.0 (che non è un modello poi così lontano dalla realtà), ai dispositivi di sicurezza fisica e alla loro integrazione con l’IoT, alle questioni amministrative e finanziarie gestite con firme elettroniche, transazioni on-line e lo scambio di documenti riservati attraverso la rete.
In quest’ottica le minacce e le vulnerabilità correlate alle informazioni non divengono vettori che influenzano tutti gli altri ambiti? E’ così difficile comprendere che questa strana incuria per il cybercrime debilita il settore privato con perdite crescenti da capogiro?
Terzo intoppo: tutti i processi ruotano sull’operato delle persone, ma gli sforzi maggiori ricadono spesso sui formalismi: procedure ufficiali lunghe e difficili da capire, in alcuni casi prive di contenuti, sul mantenimento di una classe dirigente con capacità e visione arcaiche o limitate, su attività preventive di natura informatica, automatica.
Insomma il momento della formazione e dell’esercitazione, specie di quelle funzioni che sono in campo e che tutti i giorni hanno un contatto reale con i rischi, arriva sempre tardi; in alcuni casi solo su carta, senza mai diventare concreta, efficace.
Gettando uno sguardo al mondo delle normative volontarie, ed in particolare all’ultima stella del mondo ISO, i cui requisiti descrivono un Sistema di Gestione Anticorruzione (ISO 37001:2016), si ha la palese conferma che la compliance ruota su alcuni assi principali.
La norma, strutturata secondo l’HLS, fa riferimento al risk assessment già dal punto 4, quando in altre normative se ne parla successivamente. L’ICAC Australiana (Indipendent Commission Against Corruption) nel fornire indicazioni sulle principali aree di azione per un risk assessment efficace fa esplicito riferimento anche alla gestione delle informazioni. Infine al punto 7, la 37001 non fa riferimento solamente alla consapevolezza (del personale), bensì anche al training.
E non sono forse questi gli stessi argomenti trattati sino ad ora?
Esiste quindi conformità senza un approccio orientato all’analisi del rischio, ad un attento presidio circa la sicurezza delle informazioni e senza coinvolgimento attivo delle persone?
Cari imprenditori, la risposta è NO! E un’impresa gode di particolari eccezioni che la esonerino dal mantenere un comportamento conforme alle vigenti normative, nel proprio interesse e nell’interesse delle persone che hanno contatto con essa (dipendenti, clienti, fornitori, altre parti implicate)?
Cari imprenditori, la risposta è sempre NO! Ne consegue che non resta che mettersi al lavoro e colmare questo gap imbarazzante.
