Per anni gli enti regolatori hanno sommerso le aziende con una enorme quantità di norme da rispettare, con diverse finalità, non per ultima quella di scaricare i costi dei controlli di competenza dello Stato direttamente sulle aziende e sui loro clienti, come è accaduto per le disposizioni sull’antiriciclaggio o sullo spesometro.
I costi della compliance sono aumentati in pochi anni in modo esponenziale, tanto da essere spesso considerati un fardello finanziario da sopportare, attribuiti soprattutto ad una forma di burocratizzazione negativa della società, che salvaguarda solo gli aspetti esteriori lasciando la sostanza delle cose invariata.
In Italia dal 2008 formalmente è a regime l’analisi d’impatto ex ante sull’introduzione delle nuove normative (Analisi d’Impatto Regolatorio – AIR). Tuttavia, proprio le leggi di maggior impatto sono state spesso escluse dall’analisi e, dalla lettura dei rapporti, si evince come questa spesso sia stata incentrata soprattutto su aspetti di carattere normativo o macroeconomico, confinando la valutazione degli impatti organizzativi ed economici sulle aziende prevalentemente a considerazioni di carattere qualitativo.
Rispetto al quadro desolante appena descritto, esistono alcune eccezioni che mostrano come la normativa possa addirittura fornire delle opportunità in termini di miglioramento organizzativo e di riduzione dei costi.
[Scarica qui l'articolo in pdf] o prosegui nella lettura...
Un primo esempio viene da lontano: la Sarbanes-Oxley Act, nota come SOX, la normativa americana emanata nel 2002 dal governo degli Stati Uniti d'America a seguito di diversi scandali contabili che avevano coinvolto grandi aziende americane.
La parte più nota e più onerosa della SOX è la Sezione 404, che afferma il principio di responsabilità della direzione nel mantenere un solido sistema di controllo interno per garantire la veridicità della rendicontazione finanziaria e attestare la sua efficacia.
La SOX ha imposto la documentazione dei processi contabili, la definizione puntuale dei controlli messi in atto, la pianificazione ed esecuzione di test per la valutazione della loro efficacia e l’attuazione di un percorso di miglioramento continuo. Già dai primi anni della sua introduzione, molti manager furono sorpresi dalle debolezze e dalle lacune che emergevano proprio grazie alle pratiche introdotte dalla normativa.
Per i manager più lungimiranti è stata l’occasione per semplificare e standardizzare i processi e i sistemi informativi che erano nel perimetro della normativa.
Un po’ di tempo fa un Dirigente di un’importante azienda nostra cliente, soggetta alla normativa, ha riconosciuto che sebbene all’inizio l’adeguamento alla SOX fosse stato molto faticoso, dopo qualche anno, il management ha iniziato ad apprezzarne i benefici, tanto da estendere le modalità di gestione anche ad altri processi fuori perimetro.
La SOX è stata di fatto una norma che ha ispirato molte altre norme successive, anche europee. Si può considerare il primo esempio, su larga scala, di una normativa che affrontava l’impatto sulle aziende in termini positivi, imponendo le migliori pratiche “ovvie” già conosciute e consolidate ma, evidentemente, non applicate da tutte le aziende fino a quel momento.
Un secondo esempio viene dal GDPR (General Data Protection Regulation- Regolamento UE 2016/679), un regolamento europeo di origine anglosassone, che non prescrive misure di sicurezza valide per tutti, ma impone un approccio basato sul rischio. È una legge che trova diversi detrattori, ma che in realtà dovrebbe essere salutata di buon grado da tutti, sia come cittadini che come manager aziendali. Il regolamento enuncia dei principi che sono eticamente ineccepibili, come la liceità ad ottenere i dati dall’interessato, la loro minimizzazione rispetto alle finalità del trattamento e la loro integrità e riservatezza.
Prescrive di dimostrare di aver ottenuto il consenso da parte dell’interessato e di mantenere un registro delle attività di trattamento, ovvero, banalizzando: di sapere quali dati vengono raccolti, con quale finalità, per quanto tempo e con quali misure di sicurezza. Richiede, inoltre, alle aziende di dare un’adeguata documentazione delle valutazioni che hanno portato a determinare le scelte organizzative e tecnologiche a protezione dei dati.
C’è da chiedersi come le aziende abbiano gestito i dati personali sino ad ora, se non seguendo i suddetti principi e buone pratiche organizzative e tecnologiche?
Il regolamento va un po’ oltre e prescrive di utilizzare un approccio by design e by default, ovvero di garantire la privacy dalla progettazione dei processi alla loro esecuzione, integrandola nella tecnologia o includendola nelle pratiche commerciali e in tutti i processi in cui ci siano delle attività di trattamento dei dati personali. Un approccio introdotto ufficialmente da Ann Cavoukian, che riprende i concetti di compliance integrata, processo centrica, già conosciuti e applicati da molte aziende nel mondo.
In sostanza, il GDPR spinge le aziende ad adottare delle buone pratiche organizzative e tecnologiche, che consentano di non contrapporre la privacy agli interessi economici, ma di coniugarli in un approccio a somma-positiva in cui ci sia un incremento sia del rispetto della privacy che del vantaggio competitivo.
La scelta delle aziende, soprattutto quelle più complesse, a questo punto sarà di trattare l’argomento come atto formale, con notevoli sforzi senza reali benefici, oppure di modificare radicalmente il modo di gestire le proprie architetture aziendali, la compliance e la gestione del rischio. Un cambiamento che per i suoi effetti sull’organizzazione, incontra solitamente molte resistenze interne.
Un terzo esempio, sebbene con caratteriste molto diverse rispetto a quelle sopracitate, è fornito dalla normativa sulla fatturazione elettronica tra privati. Una norma lontana dal principio di “accountability” presente nella SOX e nel GDPR, ma che promette una forte innovazione tecnologica.
La fatturazione elettronica tra privati nasce con lo scopo di ridurre l’evasione fiscale e i comportamenti fraudolenti. In cambio semplificherà gli adempimenti fiscali e permetterà di abbattere i costi interni di gestione delle fatture passive. La fattura diventa un “Record”, un documento completamente digitale, con la possibilità di utilizzare singolarmente tutti i dati in esso contenuti.
Per capire la portata dell’innovazione, bisogna fare riferimento alle fatture EDI (Electronic Data Interchange) un sistema di interscambio delle informazioni gestito mediante intermediari privati e ai portali fornitori che si sono diffusi in questi ultimi anni. Le grandi aziende, già da tempo, hanno investito in queste tecnologie con la finalità di ridurre i costi di gestione delle fatture. Queste forme di fatturazione elettronica si basano sull’accordo tra le parti e il risparmio ottenibile è parziale. Nel caso dei portali, il beneficio sta da una sola parte e si basa sullo sbilanciamento delle forze a favore dei Clienti più grandi, con un potere contrattuale maggiore.
Solo lo Stato poteva agire come acceleratore nell’adozione di un’innovazione che era in atto con ritmi lenti dovuti alla difficoltà, se non impossibilità, di coordinamento complessivo del mondo aziendale italiano.
La storia ci insegna che gli Stati hanno sempre avuto un ruolo attivo nell’innovazione. Grazie alla visione d’insieme, alla capacità d’investimento e di coordinamento possono migliorare o peggiorare il sistema competitivo del proprio paese. Oltre agli investimenti diretti all’innovazione e alla generazione dei fattori produttivi, le leggi sono la forma più comune con cui essi esercitano la loro influenza. Alcuni Stati, come gli USA, hanno favorito l’innovazione, mentre altri l’hanno rallentata.
Gli sforzi fatti dall’Europa negli ultimi anni sono sicuramente lodevoli. Nel 2016 è stato sottoscritto da parte delle istituzioni europee un nuovo Accordo interistituzionale “Legiferare meglio” (Inter Institutional Agreement on Better Law-making), che dovrebbe porre le basi per una migliore collaborazione tra tutte le parti coinvolte dal processo di cambiamento originato dall’introduzione di una nuova norma.
Commissioni come quella sulla “Competitività”, reti informali come la “Better Regulation Network” e scambi culturali continui sono la spinta verso l’adozione da parte degli stati membri di best practices sulla regolamentazione finalizzate a favorire l’innovazione e la competitività del sistema Europa.
Se i cambiamenti normativi seguiranno la strada di questi ultimi esempi mostrati, probabilmente avremo anche una semplificazione delle attività di compliance, dovute da una parte alla migliore normazione, e dall’altra all’applicazione da parte delle aziende dell’innovazione tecnologica e delle migliori pratiche organizzative.
Il vero nemico dell’innovazione non sarà la burocrazia, ma semmai saranno i burocrati, pubblici e privati, che in ambito personale acquistano beni via Amazon, fanno amicizia su Facebook o pianificano i loro viaggi con Google Travel, ma poi sono restii ad attuare i cambiamenti aziendali.
Dove lo scopo del gioco psicologico è di ascoltare i consigli, anzi richiederli, ma respingerli adducendo obiezioni profondamente radicate. Chi vuole aiutare prova stupore, mentre l’altro si giustifica avendo conferma che il suo è davvero un problema irrisolvibile, e che quindi non può proprio fare nulla se non lasciare la situazione così com'è.