Agovino (Inwit): Combined Assurance per una visione integrata dei controlli

Un’area condivisa dalle funzioni di controllo per agire in maniera integrata, ottimizzando l’efficacia sulle linee operative.
È il progetto di Combined Assurance avviato da INWIT (Infrastrutture Wireless Italiane), il principale operatore di infrastrutture wireless in Italia, forte della più ampia rete di oltre 24mila siti macro (torri, pali, tralicci – macro grid) e 8mila sistemi di microcoperture (Distributed Antenna Systems, DAS e small cell – micro grid), asset che permettono una copertura capillare e integrata del territorio a supporto della connettività, con un modello di business “tower as a service” aperto a tutti gli operatori mobili, FWA e IoT.

compliancedesign.it ha parlato con Antonio Enrico Agovino, Head of Risk Compliance & Corporate Security e Data Protection Officer.

La Combined Assurance è un’iniziativa che integra tutte le funzioni di controllo, fornendo sicurezza e garanzie al vertice aziendale: riunisce le funzioni nei momenti chiave dell’attività, come la valutazione del rischio, il monitoraggio e infine la comunicazione e il reporting al vertice, con l’efficace supporto di un tool informatico.

“Il sistema favorisce una stretta interazione e massimo coordinamento tra le diverse funzioni di controllo aziendale”, spiega Agovino. “Possiamo considerarlo uno spazio comune in cui tutti caricano risk assessment, analisi dei gap e action plan per coordinarci efficacemente”. Passiamo a un esempio pratico. Molte volte accade che le funzioni di controllo di II o III livello svolgano la stessa verifica o attività di controllo. Attraverso la Combined Assurance è possibile verificare “se le funzioni di controllo stiano eseguendo la stessa tipologia di verifica, magari sula stessa funzione aziendale”. Grazie a questo coordinamento, “invece di effettuare verifiche separate, è possibile agire attraverso una sola funzione che poi condividerà le informazioni”.

Il sistema favorisce una stretta interazione e massimo coordinamento tra le diverse funzioni di controllo aziendale. Possiamo considerarlo uno spazio comune in cui tutti caricano risk assessment, analisi dei gap e action plan per coordinarci efficacemente.

Antonio Enrico Agovino

Le terze parti
La catena di approvvigionamento di INWIT si caratterizza per una doppia sensibilità: da un lato, una rigorosa attenzione all’anticorruzione richiede un’approfondita due diligence sulle terze parti; dall’altro, sotto il profilo tecnologico, sono imposti precisi obblighi normativi con particolare enfasi sulla cybersecurity e sull’information security.
In termini di anticorruzione, considerando l’enorme mole di contratti che si trova a gestire INWIT, è fondamentale una corretta gestione dei conflitti di interesse
Per quanto riguarda gli aspetti tecnologici della catena di approvvigionamento, sono in vigore obblighi specifici di sicurezza governati dalle funzioni che si occupano di Information & Cybersecurity, che hanno il compito di valutare la “security posture” dei fornitori di servizi informatici, garantendo un’adeguata protezione delle informazioni sensibili e dei sistemi aziendali.

La formazione
Un ruolo strategico all’interno della compliance di INWIT è quello giocato dalla formazione e dalla sensibilizzazione del personale. Oltre alla formazione obbligatoria, INWIT ha creato uno spazio dedicato sull’intranet aziendale, dove è disponibile una vasta gamma di corsi online accessibili a tutti i membri dell’organizzazione. Tra questi figurano quelli su tematiche GRC, anticorruzione ed etica, che sono valutati dal team di compliance.

Nell’ambito di un più ampio piano di comunicazione interna, sono state inoltre realizzate delle video pillole con lo scopo di diffondere la Risk & Compliance Culture anche illustrando i contenuti di nuove policy, come ad esempio in quella in materia di whistleblowing. “Mettiamo a disposizione di tutta l’azienda queste risorse audiovisual, perché la comunicazione scritta non risulta altrettanto efficace in situazioni o in procedure complesse”. L’obiettivo è quindi di renderle comprensibili a tutti ma anche di “metterci la faccia”.

Sempre sul fronte della comunicazione interna, INWIT ha realizzato una Compliance Newsletter con cadenza semestrale che viene inviata a tutto il personale. La newsletter fornisce gli aggiornamenti normativi principali che influenzano la vita aziendale e illustra come vengono implementati internamente. “Questo strumento ha ricevuto un buon riscontro poiché stimola la curiosità e talvolta permette di individuare aree di miglioramento” […] continua a leggere People in Compliance#32