Lean Compliance Management – Come misurare e migliorare l’attitudine al cambiamento delle organizzazioni

Con il termine Compliance si esprime il risultato conseguito dalle organizzazioni che rispettano la totalità delle proprie obbligazioni. L’impegno dichiarato da parte di un’organizzazione a conseguire la Compliance implica quindi per essa il rispetto di:

  • Tutte le leggi e le normative applicabili e che abbiano un impatto sulla propria attività
  • Tutte le condizioni contrattuali concordate con i propri clienti e le altre parti interessate
  • Tutti i requisiti, scelti su base volontaria, in accordo alla propria politica aziendale.

Le organizzazioni interagiscono con il contesto in cui esse operano e tale interazione comporta l’esposizione al rischio di non ottemperare a una o più delle proprie obbligazioni. I cambiamenti sempre più frequenti del contesto normativo, sociale e culturale comportano l’aumento della complessità dell’ambiente in cui operano le organizzazioni alle quali è richiesto di sviluppare una spiccata capacità di adattamento per sopravvivere alle fasi di crisi e continuare ad essere competitive.

La capacità di adattamento e soprattutto la flessibilità organizzativa, espressa in termini di velocità di attuazione dei cambiamenti organizzativi e procedurali, diventano fattori di competitività delle organizzazioni. Ai più tradizionali quadri di indicatori che esprimono l’efficacia e l’efficienza di un’organizzazione, si devono quindi associare:

  • indicatori di contesto, che siano in grado di misurare in termini quantitativi la complessità dell’ambiente e di valutare i rischi di origine esterna ed interna all’organizzazione
  • indicatori di flessibilità, che siano in grado di esprimere la capacità di adattamento dell’organizzazione alla variazioni del contesto e la sua attitudine a reagire tempestivamente a tali variazioni

La norma ISO 19600, pubblicata nel mese di dicembre 2014, propone un approccio alla gestione della compliance basato sulla misura e sul controllo dei rischi e, a tale scopo, suggerisce l’applicazione delle metodologie di valutazione e controllo del rischio indicate nella norma ISO 31000.

In questo articolo si vuole evidenziare come l’adozione di un sistema di gestione della compliance possa migliorare la resilienza di un’organizzazione, definita[1] come “la capacità di adattamento di un’organizzazione in un ambiente complesso e mutevole”.

LEAN COMPLIANCE MANAGEMENT

LCBS – Lean Compliance Business Solutions[2] è una rete internazionale di professionisti che, operando come consulenti, formatori e auditor di sistemi di gestione, promuovono un modello organizzativo e gestionale denominato Lean Compliance Management (LCM). tale modello è il frutto di una sintesi innovativa di strumenti già noti e consolidati nel mondo della gestione d’impresa, ovvero:

  • l’approccio risk-based al controllo dei processi aziendali[3]
  • il sistema di gestione della compliance[4]
  • la metodologia six sigma[5]
  • il lean management[6]
  • la gestione della business continuity[7]

La scelta di seguire la metodologia del Lean Management, orientata solo al controllo delle variabili determinanti ai fini della creazione del valore, scaturisce dalla necessità di mediare fra l’applicazione tradizionalmente rigida del sistema di gestione e la flessibilità organizzativa richiesta dai continui mutamenti del contesto in cui opera l’azienda.

L’approccio Lean, fortemente basato sulla semplificazione dei processi, sulla leadership del management aziendale e sul coinvolgimento delle risorse umane, appare quindi la scelta culturalmente più appropriata per affrontare le insidie di un ambiente complesso e mutevole.

Dopo la pubblicazione ufficiale a dicembre 2014 della norma ISO 19600, essa è stata assunta dagli autori come schema di riferimento per la struttura di base del modello LCM.

La norma ISO 19600, attualmente disponibile solo in lingua inglese, fornisce indicazioni per impostare, sviluppare, attuare, valutare, mantenere e migliorare un Sistema di Gestione della Compliance efficace e rispondente alle esigenze di ogni organizzazione, indipendentemente dalle sue dimensioni, struttura, natura e complessità. La Compliance è definita come la rispondenza a tutti i requisiti (Compliance Obligations) che un’organizzazione è tenuta a soddisfare, in quanto obbligatori (Compliance Requirements), o volontariamente scelti (Compliance Committments).

L’impegno a conseguire la Compliance implica quindi per un’organizzazione il rispetto di:

  • tutte le leggi, i regolamenti e le norme che abbiano un impatto sulla propria attività;
  • tutte le condizioni contrattuali concordate con i propri clienti e le altre parti interessate;
  • tutti i requisiti, scelti su base volontaria, in accordo alla politica aziendale e al codice etico.

Il rispetto delle obbligazioni imposte dal legislatore, o volontariamente assunte come impegno dall’organizzazione, è un risultato che deve essere conseguito e mantenuto nel corso del tempo. Introduciamo quindi nelle nostre considerazioni la variabile temporale rispetto alla quale devono essere effettuate le valutazioni in merito alla conoscenza del contesto e alla misura della capacità di adattamento dell’organizzazione.

LA CONOSCENZA DEL CONTESTO E DELLE PARTI INTERESSATE

Nella fase di pianificazione del Sistema di gestione, il processo fondamentale da cui si parte è la comprensione del contesto in cui opera l’organizzazione e la conoscenza delle parti interessate e delle loro aspettative. Questo comporta anche la determinazione dei fattori interni ed esterni che sono fonte di rischi per la compliance e che possono pregiudicare il raggiungimento degli obiettivi del sistema di gestione.

Nel mettere in atto lo studio del contesto, l’organizzazione deve prendere in considerazione un ampio spettro di aspetti interni ed esterni che includono, ad esempio: l’orientamento delle istituzioni legislative, i regolamenti internazionali, la normazione tecnica, il progresso tecnologico, l’ambiente sociale e culturale, la situazione economica, i committenti, le organizzazioni concorrenti, i fornitori, il codice etico aziendale, le politiche aziendali e le risorse disponibili.

Di pari importanza è la determinazione di quali siano le parti interessate alla compliance dell’organizzazione e di quali siano le loro aspettative in termini di risultati con le quali l’organizzazione è tenuta a misurarsi. Come evidenziato nella figura seguente, estratta dalla norma ISO 19600, partendo da un’efficace valutazione dei rischi interni ed esterni correlati al contesto in cui operano, le aziende possono volontariamente adottare un Sistema di Gestione della Conformità coerente con le linee guida ISO 19600 (Compliance Management System – CMS).

L’attuazione da parte di un’organizzazione di un CMS ha quindi il duplice scopo di:

  • fornire all’organizzazione la capacità di tenere efficacemente sotto controllo i rischi interni ed esterni associati al contesto in cui essa opera
  • aiutare a mitigare i potenziali coinvolgimenti dell’organizzazione nel caso di conclamata mancanza di Compliance e proteggere la reputazione dell’azienda e la fiducia delle parti interessate.

LO STUDIO DELLE VARIAZIONI DEL CONTESTO

Nel breve periodo, un’approfondita analisi del contesto mantiene la sua validità e offre all’organizzazione l’opportunità di definire una struttura organizzativa e una rete di processi che risultino efficaci ai fini del conseguimento degli obiettivi di compliance e quindi di mitigazione e controllo dei rischi interni ed esterni. Se invece prendessimo in considerazione l’evoluzione dello scenario nel lungo periodo, risulterebbe immediatamente chiaro che lo studio del contesto e la valutazione dei rischi devono costituire un processo continuo. Il contesto varia in funzione del tempo. Per conoscerne le variazioni e comprendere le possibili conseguenze, dobbiamo definire degli indicatori di contesto che, in modo per quanto possibile quantitativo, possano contribuire a formare un quadro di controllo delle fonti di rischio per l’attività dell’organizzazione.

Diventa essenziale la definizione degli indicatori e la selezione delle fonti di dati per modellare in modo affidabile le evoluzioni del contesto. Una regola unica è impossibile da definire, in quanto le decisioni sono fortemente condizionate da aspetti quali l’estensione geografica delle aree di intervento dell’organizzazione, il settore merceologico, la sensibilità delle attività aziendali rispetto a fenomeni di natura politica, sociale e culturale. A tale scopo, un’eccellente fonte di informazioni alla quale si può fare riferimento è la Riskmap 2015[8], pubblicata in gennaio 2015 da ControlRisks e liberamente scaricabile da Internet. Un altro esempio, utile per la disponibilità di dati demografici e sociali, è “The World Factbook” pubblicato dalla CIA, anch’esso liberamente accessibile.

Il riferimento alle organizzazioni che operano in ambito internazionale non esclude che le piccole e medie imprese nazionali, che operano esclusivamente nel mercato locale, abbiano la medesima esigenza di conoscere le variazioni del contesto attraverso lo studio di indicatori quantitativi.

Il seguente schema può guidare un’organizzazione nella definizione dei propri indicatori di contesto:

LA MISURA DELLA CAPACITÀ DI ADATTAMENTO DELLE ORGANIZZAZIONI

I continui cambiamenti del contesto pongono le organizzazioni di fronte alla necessità di adattare rapidamente le proprie caratteristiche al nuovo profilo dei rischi interni ed esterni[10].

Per esprimere tale attitudine, è necessario definire indicatori che, per ciascuna tipologia di rischio valutato come significativo, siano in grado di rilevare il tempo impiegato dall’organizzazione a ultimare tutte le operazioni pianificate per rispondere adeguatamente alle variazioni del contesto.

Eventuali ritardi nell’attuazione delle misure di miglioramento, soprattutto ove siano in gioco rischi molto significativi e tali da pregiudicare la continuità operativa dell’organizzazione, devono essere immediatamente rilevati in modo da intervenire con misure drastiche di recupero e ripristino dell’attuazione del programma.

Non si può escludere che, in alcuni casi, l’organizzazione possa non essere in grado di rilevare come significativa una variazione del contesto. A tale scopo è necessario che il programma di audit interno del sistema di gestione della compliance includa specifiche attività finalizzate al monitoraggio della continua adeguatezza della valutazione dei rischi interni ed esterni. Risulta evidente come un sistema di gestione eccessivamente rigido e ridondante possa costituire un impedimento rispetto alla richiesta di adattamento frequente rispetto ai mutamenti del contesto.

La scelta di applicare i principi del Lean Management all’interno del sistema di gestione della compliance è proprio finalizzata a scardinare tutte le inutili sovrastrutture burocratiche dei sistemi di gestione, a favore di una semplificazione indispensabile per agire in modo flessibile ed efficiente[11]

CONCLUSIONI

Il contesto in cui operano le organizzazioni è in continua evoluzione e le organizzazioni per sopravvivere e continuare ad essere competitive, devono essere sufficientemente flessibili in modo da reagire rapidamente a ogni variazione dei rischi esterni e interni.

Il Sistema di Gestione della Compliance può essere uno strumento potente a disposizione della organizzazioni per consentire loro di comprendere il contesto e i suoi cambiamenti e per migliorare la propria capacità di adattamento e la velocità di attuare i cambiamenti organizzativi e procedurali.

La misura della flessibilità, ovvero della resilienza delle organizzazioni, dovrebbe esprimere in termini quantitativi la loro velocità di adattamento in relazione ai tempi di cambiamento del contesto.

Lean Compliance Management è la soluzione proposta e offerta da LCBS alle organizzazioni di tutti i settori per agevolare il perseguimento degli obiettivi di business e di compliance nel lungo periodo.

NOTE

  1. ISO/Guide 73 “Risk management – Vocabulary”
  2. LCBS – Lean Compliance Business Solutions http://www.lcbs-ww.com
  3. ISO 31000:2009 “Risk management – Principles and guidelines”
  4. ISO 19600:2014 “Compliance Management Systems – Guidelines”
  5. Mikel Harry, Richard Schroeder – Six Sigma: The Breakthrough Management Strategy Revolutionizing the World’s Top Corporations – 2006.
  6. Roger G. Lewandowski. Beyond Lean Production. – CRC Press. Taylor & Francis Group, 2014.
  7. ISO 22301:2012 “Societal security – Business continuity management systems – Requirements”
  8. https://www.controlrisks.com/webcasts/studio/flipping-book/riskmap-report-2015/files/assets/basic-html/page-1.html
  9. William A. Pasmore. Creating Strategic Change: Designing the Flexible, High-Performing, Organization. – John Wiley & Sons, Inc., Canada, 1994
  10. Veronica Yarnykh, Alessandro Celuzza “Lean Compliance Management: getting the measure of compliance risk” – The Journal of Business Compliance 06/2014 – Baltzer Science Publishers.

A cura di Veronica Yarnykh, Managing Partner LCBS (Russia) vyarnykh@gmail.com e Alessandro Celuzza, Managing Partner LCBS (Italia) alessandro.celuzza@gmail.com

Articolo pubblicato sulla rivista Leadership & Management – Gennaio/Febbraio 2015

Condividi sui Social Network:

Articoli simili