Risk & Compliance, supportare i business owner per abbracciare il cambiamento
La paura di commettere errori è la radice della burocrazia ed il maggior nemico dello sviluppo, diceva Ingvar Kamprad, che nel 1943 fondò IKEA. Pertanto nella nostra azienda siamo incoraggiati a stimolare il nostro spirito imprenditoriale, per cogliere tutte le opportunità di business.
Questa mentalità aperta e proattiva non solo stimola la creatività e l’innovazione, ma favorisce anche una cultura organizzativa che abbraccia il cambiamento e l’esplorazione di nuove opportunità nel mercato.
Ed è in questo contesto che diventa estremamente rilevante il ruolo della funzione di Risk & Compliance, poiché è necessario supportare tutti i business owner nell’individuazione e nella descrizione accurata dei rischi attuali e potenziali, nonché nella condivisione delle azioni di mitigazione e nel monitoraggio delle azioni messe in atto, spiegano Roberto Giorgi, Operational Risk Management Leader e Eliana Carusi (in foto), Country Business Risk & Compliance Manager di IKEA Italia Retail che hanno incontrato compliancedesign.it
I rischi emergenti
L’output dello strategic risk assessment di Ikea ha evidenziato due rischi principali che richiedono particolare attenzione e azioni specifiche. Il primo rischio è legato alla gestione delle terze parti, mentre il secondo riguarda la cybersecurity.
Per quanto riguarda la gestione delle terze parti, l’azienda ha implementato un metodo di lavoro strutturato che prevede uno screening durante la fase di selezione dei fornitori, una due diligence approfondita prima della firma del contratto e un monitoraggio continuo del rischio durante l’esecuzione del contratto stesso. È rilevante l’attenzione che IKEA dedica alle terze parti, tanto che ha istituito un’organizzazione ad hoc, inserendo in organico il Third-Party Compliance Specialist, che è un riporto diretto di Eliana Carusi, ed ha il compito di verificare l’aderenza dei principali fornitori ai documenti guida di IKEA incluso il codice IWAY.
In Ikea siamo incoraggiati a stimolare il nostro spirito imprenditoriale, per cogliere tutte le opportunità di business. Questa mentalità aperta e proattiva non solo stimola la creatività e l’innovazione, ma favorisce anche una cultura organizzativa che abbraccia il cambiamento e l’esplorazione di nuove opportunità nel mercato
La cosa fondamentale da sottolineare è il rapporto che si instaura con i fornitori, cerchiamo infatti persone che condividono i nostri valori, aiutandoli a crescere continuamente creando una visione condivisa, questo è il cuore e l’anima dell’IWAY approach, è la chiave per sviluppare una collaborazione seria e duratura; pertanto non si tratta di firmare un foglio di carta, ma di stringere un patto nel viaggio verso la creazione di un futuro migliore per la maggioranza delle persone e del pianeta.
Passando alla cybersecurity, la prima azione di mitigazione è stata la mappatura di tutte le soluzioni locali, con l’obiettivo di valutarne il business impact analizzando due aspetti principali: il tipo di dato trattato all’interno del sistema e la business criticality del servizio fornito.
Gli output di questa mappatura sono stati riassunti in un rating model denominato “medal” per aiutarci nella prioritizzazione degli interventi in base alla quantità di dati gestiti ed al livello di sicurezza richiesto. Abbiamo pertanto individuato 4 livelli di rischio partendo dal “Platinum” dove viene richiesto il massimo livello di protezione di dati, per poi descrescere passando per i livelli “Gold”, “Silver”, fino ad arrivare al livello “Bronze” dove in quest’ultimo caso ci limitiamo ad applicare i fundamentals di Cyber Security & Data Privacy.
Il commitment del vertice
Tutti i temi di risk management, così come quelli relativi all’anticorruzione e alla cultura della legalità, sono sempre presenti nell’agenda del gruppo. Questo impegno si riflette anche a livello paese, dove la funzione incaricata di gestire il risk management lavora attivamente con le altre funzioni, fornisce formazione e condivide i processi.
Per quanto riguarda l’anticorruzione, da qualche anno è stato lanciato il programma ABC (Anti-Bribery and Corruption) a livello globale, il quale è stato diffuso in tutti i paesi in cui IKEA opera. Questo programma include diverse attività come la sensibilizzazione, la comunicazione, la formazione e l’implementazione di controlli strutturati e informatizzati.
Inoltre, i temi di risk management sono sempre al centro dell’attenzione del country management. Ad esempio, durante le valutazioni periodiche del paese da parte del board internazionale, viene dedicata una parte specifica ai processi di risk management, dove vengono monitorati, analizzati e prese decisioni basate su vari KPI.
Cerchiamo persone che condividono i nostri valori, aiutandoli a crescere continuamente creando una visione condivisa, questo è il cuore e l’anima dell’IWAY approach, è la chiave per sviluppare una collaborazione seria e duratura.
Il sistema dei controlli
IKEA ha implementato un approccio olistico al rischio che include controlli interni standard per mitigare quelli che sono i rischi più rilevanti e integrano la modalità di effettuazione del monitoraggio, l’esecuzione delle verifiche e la condivisione delle evidenze. Nel nostro gergo sono definite le 5 W (Who, What, When, Why, hoW).
Attraverso l’esecuzione dei controlli interni abbiamo la sicurezza che i rischi sono mitigati e monitorati seguendo un approccio risk-based, ossia facendo focus sui rischi più rilevanti. Per documentare l’esecuzione di questi controlli utilizziamo un tool digitale che oltre a efficientare l’attività di reporting, ci protegge anche da possibili verifiche eseguiti da organi di vigilanza esterni.
La struttura dei controlli interni prevede anche delle verifiche di secondo livello effettuate dalla funzione Compliance per assicurare che i controlli richiesti siano correttamente in place. La frequenza di esecuzione è decisa sempre in correlazione al rischio potenziale, pertanto controlli con un rating inferiore saranno verificati con intervalli più ampi.
La formazione
IKEA dispone di un codice di condotta, diffuso durante la formazione e consegnato personalmente ai nuovi assunti, che racchiude i principi che guidano le azioni quotidiane e il comportamento dei dipendenti. All’interno del codice di condotta sono presenti direttive su vari aspetti, come l’abuso di sostanze come alcol e droghe, quest’ultima essendo ovviamente illegale. Inoltre, sono specificati comportamenti appropriati nei confronti delle autorità e delle istituzioni, come il rifiuto di regali da parte dei fornitori, promuovendo così la trasparenza e un comportamento etico.
Ogni anno, durante i programmi di formazione, vengono “rinfrescati” sia i principi del codice di condotta sia dell’anticorruzione. I corsi non si limitano a enunciare concetti di base ma prevedono anche attività interattive e pratiche. Vengono proposti casi reali o situazioni simulate che possono verificarsi nella realtà aziendale, e si chiede ai partecipanti di risolverli, stimolando il pensiero critico e la comprensione pratica. I corsi vengono quindi costantemente aggiornati per mantenere la loro rilevanza e efficacia nel tempo. Tuttavia, l’efficacia più significativa risiede nell’applicare effettivamente ciò che viene insegnato in aula, il cosiddetto “walk the talk”. “Non c’è nulla di più dannoso che professare determinati valori e comportamenti e poi non applicarli nella pratica quotidiana”, concludono gli esperti […] continua a leggere People in Compliance#33
