OCTO Group: Fari puntati sulla compliance contrattuale

La compliance contrattuale assume assume un ruolo critico nei contesti in cui i processi di vendita delle aziende sono complessi o coinvolgono un elevato numero di clienti, anche nell’ordine dei milioni. In situazioni in cui i flussi di lavoro sono integrati con quelli dei fornitori o dei clienti, infatti, si presentano rischi significativi di non conformità contrattuale che le aziende devono conoscere e saper gestire. Concentrarsi esclusivamente sulla compliance legale e regolamentare, quindi, potrebbe non essere sufficiente.

È l’avvertimento lanciato da Giovanni Vercillo Puglisi (in foto), Chief Audit & Risk Management Executive di OCTO Group, azienda leader mondiale nel settore dei servizi di telematica avanzata e di analisi dei dati per l’industria assicurativa, il Fleet Management e la Smart Mobility.

“Il monitoraggio quotidiano dei rischi di revenue assurance è quindi fondamentale, considerando la nostra stretta collaborazione con diverse compagnie assicurative che inviano flussi di dati da elaborare e restituire”, spiega Vercillo Puglisi. “Ad esempio, la corretta fatturazione è un elemento chiave, poiché coinvolge non solo l’adempimento corretto dei contratti, ma anche questioni fiscali e di compliance in merito a diverse normative”.

Uno degli errori comuni nel definire un sistema di compliance, che sia un Modello 231, un Modello 262 o qualsiasi altro tipo di struttura GDPR o di conformità, è pensare che “una volta stabilito il modello o il sistema, il lavoro sia concluso”. Al contrario, è evidente che le aziende, il business e le persone evolvono, quindi, “qualsiasi struttura che si crei o si definisca deve essere soggetta a miglioramento continuo e monitoraggio continuo” proprio come avviene con il ciclo di Deming (“Plan-Do-Check-Act”).

Anche se l’intelligenza artificiale potrebbe non essere ancora completamente matura per questo contesto, l’automazione rappresenta sicuramente un passo avanti che consente sia il monitoraggio continuo che il miglioramento costante.

Ma oggi viene in aiuto la tecnologia, attraverso l’uso di strumenti automatici, “anche se l’intelligenza artificiale potrebbe non essere ancora completamente matura per questo contesto, l’automazione rappresenta sicuramente un passo avanti che consente sia il monitoraggio continuo che il miglioramento costante”.

Quando Vercillo Puglisi si è unito al team di OCTO, circa cinque anni fa, dopo quasi vent’anni di esperienza in consulenza, ha sviluppato un sistema a 360 gradi basato sull’adozione del COSO Framework (Internal Control – Integrated Framework), utilizzandolo come punto di riferimento per il sistema di controllo interno. “Questo sistema viene valutato annualmente, definendo un piano d’azione per apportare continui miglioramenti rispetto alla situazione precedente”.

In ambito di controllo interno, OCTO ha istituito internamente dei pilastri in cui sono stati implementati un Codice Etico, un Modello 231, Politiche anticorruzione e per la gestione dei Conflitti di interesse, Politiche Whistleblowing nonché un Codice etico per i fornitori. “Abbiamo creato un sistema di compliance multi-normativa, con l’obiettivo di garantire anche la trasparenza”.

Uniamo le forze per condurre attività insieme verso i soggetti interni ed esterni, come i fornitori, massimizzando l’efficienza e condividendo il carico di lavoro.

L’approccio integrato
Le funzioni di controllo, sia di secondo che di terzo livello come l’audit, possono tendere a sovrapporsi, generando inefficienze sia nei processi di controllo che di monitoraggio, indipendentemente dalle funzioni coinvolte. Per affrontare questa sfida, Octo Telematics ha strutturato internamente alcune attività attraverso degli “audit integrati”, coinvolgendo periodicamente anche altre funzioni come IT security, Qualità, Privacy/GDPR e l’Organismo di Vigilanza 231.

“Uniamo le forze per condurre attività insieme verso i soggetti interni ed esterni, come i fornitori, massimizzando l’efficienza e condividendo il carico di lavoro”. Quando si conduce un audit su un’area specifica, si coinvolgono anche altre funzioni per massimizzare l’efficienza e condividere il carico di lavoro. “Cerco di mettere in comune tutte le diverse prospettive analizzabili in ogni audit e di condurre drill down specifici, ad esempio dal punto di vista della Sicurezza o Privacy/GDPR, per poi sfruttare le informazioni ottenute anche come verifica dell’operatività del Modello 231. Questo approccio ci consente di ottimizzare i nostri sforzi di controllo e di garantire un monitoraggio più efficace ed efficiente”.

Quindi, durante un audit, si considerano almeno 4-5 prospettive diverse per mitigare il rischio che più funzioni possano richiedere le stesse informazioni o informazioni parzialmente sovrapponibili allo stesso interlocutore. Di conseguenza, per il soggetto controllato, “è più efficiente coinvolgere contemporaneamente diversi interlocutori anziché nel corso del tempo”. Inoltre, dal punto di vista della reportistica, è preferibile creare un report integrato rispetto a diversi report distinti.

Cerco di mettere in comune tutte le diverse prospettive analizzabili in ogni audit e di condurre drill down specifici.

L’automazione dei processi
Nelle attività di audit OCTO ha implementato, tra gli altri, alcuni strumenti di continuous auditing e continuous monitoring. In particolare, si utilizza una dashboard sviluppata internamente, che consente di monitorare in tempo reale 26 indicatori relativi a diversi processi, quali procurement, pagamenti, IT general controls e indicatori antifrode.

“Ciò permette di auditare automaticamente i processi impattati, ottenendo risultati qualitativamente migliori poiché è possibile analizzare il 100% della popolazione in tempo reale. Inoltre, non vi è impatto sulle funzioni auditate fino a quando non si presentano delle anomalie”.

I dati vengono acquisiti automaticamente dai sistemi tramite connettori e successivamente elaborati in modo automatizzato. Ad esempio, all’interno del processo dei pagamenti, se un pagamento non è autorizzato da un procuratore o se non è stato inserito nel sistema da un altro soggetto, viene generato un segnale di allarme. In questo modo, oltre al controllo sull’autorizzazione del pagamento, viene verificato automaticamente anche il principio di separazione delle responsabilità, segnalando eventuali criticità.

Questo approccio viene replicato anche in altri processi, come il procurement, la gestione delle richieste d’acquisto, la creazione e la distribuzione degli ordini, così come nel matching tra ordini, fatture e pagamenti. Ad esempio, quando si riceve una fattura da un fornitore e viene registrata nel sistema associandola a un ordine, se l’importo della fattura non coincide con quello dell’ordine o se il nome del fornitore non corrisponde a quello a cui è stato inviato l’ordine, viene generato un segnale di allarme.

Per quanto riguarda i fornitori, la società ha implementato un processo strutturato di qualifica. Si utilizza un questionario dettagliato che copre tre principali prospettive: finanziaria, di compliance e sostenibilità, e sicurezza IT. Successivamente, vengono condotti audit integrati per valutare la rischiosità e monitorare l’evoluzione nel tempo. Anche in questo caso, vengono impiegati strumenti automatizzati personalizzati per massimizzare l’efficienza e ridurre al minimo l’impatto sulle funzioni.

Formazione e comunicazione
Passando all’approccio educativo verso la compliance e le procedure integrate e automatizzate, “lavoriamo costantemente per educare l’organizzazione su questi aspetti e facilitare la transizione verso processi più efficienti e integrati”. È essenziale comunicare l’utilità di questi strumenti, che non riguarda solo la conformità, ma anche il fatto che determinati strumenti sono utili per l’azienda e le consentono di raggiungere i propri obiettivi.

Di recente sono state riviste le policy e i processi di whistleblowing in risposta alle nuove normative. Successivamente, “abbiamo comunicato e diffuso questo sistema all’interno della nostra azienda attraverso processi di comunicazione interna e training a tutti i livelli, compresi board, audit risk committee e leadership team, sottolineando l’importanza del rispetto di questi principi”.

Inoltre, è stata fornita formazione a tutto il personale sia online che in presenza quando possibile, e organizzato regolarmente corsi obbligatori sui temi per i nuovi assunti. “Questi sono elementi che considero best practice e che dovrebbero essere presenti in qualsiasi azienda di medie o grandi dimensioni”. Non ultimo, c’è l’aspetto di come gli individui possono contribuire positivamente. “Nelle nostre politiche e procedure, includiamo un paragrafo finale che spiega come gli individui possono contribuire al miglioramento del sistema. Questo approccio alla comunicazione e alla formazione diffonde la cultura di questi aspetti in modo efficace” […] continua a leggere People in Compliance#33