Scrivere un libro a quattro mani mentre si lavora fianco a fianco ogni giorno. Non è una scelta editoriale, ma il riflesso diretto di un’esperienza condivisa, vissuta dentro le dinamiche reali di un’organizzazione. Compliance Integrata, firmato da Selina Zipponi (in foto a sx) e Valentina Paduano (in foto a dx), nasce dall’osservazione quotidiana delle interazioni e delle potenzialità tra funzioni che, nelle aziende di oggi, non possono più permettersi di viaggiare separate. Il testo non si limita a mappare le principali normative in materia di controllo interno, 231, sostenibilità, privacy o whistleblowing, ma si propone di restituire un’idea complessiva di che cosa significhi oggi parlare di compliance in un’organizzazione complessa.
Le autrici, che hanno incontrato ComplianceDesign.it, ricoprono ruoli diversi ma strettamente collegati all’interno del gruppo Dedalus, realtà internazionale nel digital healthcare. Selina Zipponi è Group Data Protection Officer e AI Compliance Officer, mentre Valentina Paduano è Chief Risk, Compliance & Sustainability Officer e Chief Audit Executive. Una combinazione di incarichi che riflette, in modo strutturale, la convergenza in atto tra ambiti che un tempo venivano trattati in modo autonomo e parallelo.
Nel loro quotidiano professionale, i confini tra privacy, risk management, audit, sostenibilità e compliance non esistono più come silos: si incontrano e si contaminano in tutti i passaggi critici della vita aziendale, dalla selezione e monitoraggio dei fornitori alla valutazione dei rischi operativi, dalla gestione delle segnalazioni interne alla stesura dei piani di sostenibilità, fino all’integrazione dei dati nei report direzionali.
“Non volevamo scrivere un altro testo teorico. Il nostro intento era costruire uno strumento concreto”, sottolinea Paduano. Perché il problema non è solo normativo o organizzativo: è culturale. Finché si continuerà a trattare compliance, audit, ESG, privacy come materie separate, ogni tentativo di efficienza sarà solo parziale.
Oltre la conformità: la compliance come leva di valore
La parola compliance una volta evocava (o tuttora, in determinati contesti) un’immagine rigida, burocratica, talvolta persino frenante. Ma l’idea centrale che attraversa l’intero volume è un’altra: la compliance può e deve diventare una leva di valore.
“Quando diciamo che vogliamo andare oltre la mera conformità normativa, intendiamo proprio questo”, chiarisce Paduano. “La compliance non può essere vissuta come un esercizio sterile, fine a sé stessa. Il vero obiettivo è renderla parte integrante del modo in cui l’azienda prende decisioni, imposta i propri processi e gestisce il cambiamento”.
Un primo passo per ottenere questo cambiamento passa dal linguaggio. È inutile costruire regole perfette se i destinatari non le comprendono. Il vero valore della compliance nasce quando si crea una comunicazione fluida tra chi disegna i presidi normativi e chi li deve mettere in pratica ogni giorno.
“Il rischio è che si crei una frattura culturale tra funzioni di controllo e funzioni operative”, spiega Zipponi. “È qui che bisogna intervenire: servono strumenti semplici, linguaggi comprensibili, esempi concreti. Altrimenti la compliance resta percepita come un’imposizione, non come una risorsa”.
Il libro mette in discussione un approccio che impone di essere conformi ai requisiti normativi senza valutare contesto, rischi e priorità: un atteggiamento che spesso si traduce in inefficienze, irrigidimenti e scarso coinvolgimento delle altre funzioni aziendali.
“Non sempre è possibile essere compliant al 100% da subito, soprattutto in contesti complessi o in transizione. Per questo è importante adottare una visione risk-based: partire dall’analisi del rischio, stimare l’esposizione, valutare l’impatto e costruire insieme un piano di avvicinamento alla compliance”, continua Paduano. “L’approccio definito zero tolerance è spesso un percorso da costruire e un obiettivo a cui tendere”.
“Molte regole inizialmente percepite come ostacolo, pensiamo alla data retention, alla documentazione dei processi o ai controlli sui fornitori, diventano un’occasione per rafforzare la trasparenza, semplificare i flussi o prevenire errori”, osserva Zipponi. “Ma questo richiede collaborazione e ascolto. Solo se le funzioni si parlano davvero è possibile trasformare un vincolo in opportunità”.
Persone, processi, cultura
Centrale è distinguere tra i concetti di coordinamento e integrazione. Il coordinamento si limita ad allineare obiettivi e tempistiche: ognuno continua a lavorare con i propri strumenti, le proprie metriche, i propri linguaggi. L’integrazione, invece, presuppone condivisione, strumenti comuni, metodologie compatibili, obiettivi definiti insieme e non solo allineati a posteriori.
“Nel nostro libro raccontiamo cosa significa questo passaggio. Per esempio, la valutazione dei rischi sulla privacy che oggi conduciamo in Dedalus è parte integrante del processo di Enterprise Risk Management: stesse matrici, stessi indicatori, stessi livelli di lettura per il top management”, spiega Zipponi. “Questo ha cambiato il modo in cui il nostro lavoro viene recepito dai vertici aziendali, che ricevono report omogenei, più chiari, più leggibili. Prima parlavamo linguaggi diversi, ora parliamo lo stesso”.
La differenza, però, non è solo tecnica. Dietro c’è un livello più profondo, quello culturale. Integrare significa prima di tutto accettare l’idea che i confini funzionali non siano barriere da difendere. È un modo di lavorare che richiede fiducia, apertura mentale e disponibilità a mettere in discussione i propri approcci.
Un esempio concreto? Gli audit congiunti. “In passato poteva accadere che la funzione privacy conducesse un audit sul trattamento dei dati personali all’interno di un determinato processo e che, nel corso dello stesso anno, lo stesso processo fosse oggetto di audit interno da parte della funzione Internal Audit. Questo generava una duplicazione di attività e quindi resistenza e inefficienza da parte delle funzioni auditate”, spiega Zipponi. “Oggi lavoriamo insieme, cercando sinergie nei rispettivi piani di audit e nelle relative modalità di svolgimento delle attività stesse: ci poniamo come un’unica voce. E i colleghi apprezzano”.
In questo senso, l’integrazione non è solo un modo per ridurre lo sforzo organizzativo, ma anche per aumentare la credibilità interna delle funzioni di controllo. “Quando ti presenti in modo coerente, trasversale, con messaggi chiari e condivisi, non vieni più percepito come un ostacolo, ma crei le basi affinché se ne valorizzi il supporto”, aggiunge Paduano.
Dare strumenti, non solo regole: gli esempi pratici
Uno degli elementi distintivi di Compliance Integrata è il suo carattere operativo. Non è un manuale accademico né un compendio normativo. È un libro scritto da due professioniste che vivono la compliance nella pratica quotidiana e che hanno deciso di restituire questa esperienza in forma di strumenti, modelli ed esempi concreti.
I casi coprono ambiti chiave della gestione aziendale, passando attraverso la governance e presentando esempi di best practice, calati in strutture organizzative, ruoli e responsabilità. Non si tratta di raccomandazioni generiche, ma di modelli già messi in atto, affinati nel tempo e resi disponibili al lettore in modo diretto.
Uno degli esempi riguarda l’implementazione congiunta delle procedure integrate. Invece di approcci separati (uno per la compliance 231, uno per la privacy, uno per il whistleblowing), il libro mostra come costruire un unico impianto procedurale capace di tenere insieme tutti gli aspetti rilevanti. “Un sistema frammentato genera inefficienza e, spesso, anche sfiducia. L’integrazione, invece, dà coerenza e aumenta la credibilità dell’intero sistema di governance”, sottolinea Paduano.
Leadership, visione e fiducia: il ruolo chiave del top management
Il libro insiste anche sul ruolo del vertice aziendale nel promuovere un modello integrato. L’integrazione non si può imporre per decreto: va favorita. “Serve un management illuminato”, afferma Paduano. “Uno che dia autonomia, che promuova la collaborazione, che attribuisca responsabilità condivise e riconosca il valore della compliance come leva per innovare”.
Non a caso, la prefazione del volume è affidata ad Alberto Calcagno, CEO di Dedalus. Una scelta simbolica ma non solo: nella sua introduzione, Calcagno racconta il passaggio da un modello in cui le funzioni di controllo erano viste come freno a uno in cui diventano alleati. È il passaggio da una compliance subita a una compliance voluta: da funzione di controllo a partner strategico.