(ADR) Una compliance semplice e integrata a sostegno dei process owner
Obiettivi ambiziosi richiedono sistemi di controllo strutturati, anche vista la crescente complessità normativa e la necessità di gestire un set di rischi in continua evoluzione. In questo contesto, Aeroporti di Roma (ADR) emerge come best practice nell’adozione di approcci innovativi, multidisciplinari e integrati per garantire la conformità normativa, la gestione efficace dei rischi e la resilienza del business.
compliancedesign.it ha incontrato Lorenzo Rinaldi, Chief Risk Officer e Vice President Risk Governance & Compliance di Aeroporti di Roma.
Le organizzazioni hanno la responsabilità di
contribuire attivamente alla lotta a frodi e corruzione, consapevoli che le normative di riferimento rappresentano un elemento necessario ma non sufficiente a contrastare tali fenomeni, ma sono la base da cui partire per costruire una cultura aziendale e del modo di operare delle società.
Trasparenza, integrità e rispetto delle regole sono dei pilastri su cui si basano le attività quotidiane di ADR, insieme all’innovazione, alla qualità e alla sostenibilità. In tale contesto, anche al fine di supportare al meglio il raggiungimento di questi obiettivi, “la società negli ultimi anni ha ulteriormente rafforzato le strutture di controllo a presidio dei principali rischi e sviluppato modelli integrati e smart per una gestione efficace degli stessi”, spiega Rinaldi.
“In un ambiente così complesso come il nostro è importante dotarsi di strumenti efficaci di contrasto e prevenzione dei fenomeni di illegalità che hanno impatto negativo non solo su di noi, ma sull’intera collettività, come ad esempio le frodi e la corruzione”. Le organizzazioni hanno infatti la responsabilità di contribuire attivamente alla lotta a frodi e corruzione, “consapevoli che le normative di riferimento rappresentano un elemento necessario ma non sufficiente a contrastare tali fenomeni, ma sono la base da cui partire per costruire una cultura aziendale e del modo di operare delle società”.
È necessario semplificare il più possibile i messaggi, i requisiti e il lavoro che i responsabili dei processi devono svolgere. La formula è quella di fornire una sorta di ‘plug and play’ delle azioni necessarie, supportando i process owner nell’applicazione pratica. Un obiettivo che si facilita attraverso un modello integrato.
A tal fine, ADR si è dotata di un Sistema di Gestione per la prevenzione della corruzione secondo lo standard internazionale ISO 37001:2016, certificazione recentemente rinnovata da ADR per il triennio 2024-2027, ed ha definito un Modello Antifrode per la gestione dei rischi e per diffondere la cultura dell’integrità promuovendo i valori e i principi in grado di sostenere comportamenti virtuosi. In un contesto in cui la proliferazione normativa ha caratterizzato complessivamente i diversi settori economici (e ancor più significativamente i settori regolamentati), a cui si aggiungono anche le norme esterne volontarie (es. norme ISO) e le forme di autoregolamentazione interna, un approccio disomogeneo alla compliance comporta il rischio di allocare le risorse in base alla spinta di fattori contingenti e soggettivi, quindi non in modo ottimale, con approcci frammentati e a “silos”.
Gestire in modo integrato e uniforme le nostre terze parti
nell’intero ciclo di vita del rapporto – dalla fase di identificazione e qualifica, fino alle attività di monitoraggio delle performance e della compliance – supera una visione frammentata e parziale dei rischi attraverso un approccio olistico.
Diventa quindi cruciale attuare un processo di compliance integrata, ovvero implementare metodologie di compliance coerenti tra loro per le diverse normative, utilizzando un linguaggio comune e consentendo la comparabilità dei risultati delle diverse attività, che, in un contesto complesso, abilita una serie di benefici tra i quali, ad esempio, la possibilità di pianificare in modo integrato le diverse attività di compliance connesse alle varie normative, svolgere le attività di verifica e di audit in logica multi-compliance, integrare e razionalizzare le azioni sul Sistema di Controllo Interno e di Gestione dei Rischi, semplificando l’attività di follow up delle stesse.
“In questo modo è possibile sia ridurre l’effort delle strutture di controllo e dei process owner sia affrontare la compliance in modo evoluto e maturo, consentendo alle funzioni di controllo anche di supportare il management nell’identificazione, valutazione e gestione dei rischi di conformità associati alle decisioni di business, per promuovere scelte consapevoli e coerenti con il profilo di rischio atteso dagli stakeholder, fin dalla fase di pianificazione strategica”. Complessità significa anche operare in un ecosistema composto da una pluralità di stakeholder ampia e diversificata – vettori, handler, subconcessionari, fornitori – i cui rischi associati possono ricadere direttamente o indirettamente sul gestore aeroportuale.
Lorenzo Rinaldi
Un lavoro di tutta l’organizzazione
Servono comunicazione e formazione nella costruzione di una cultura diffusa del rispetto delle norme e della legalità, ma al di là di ogni implementazione tecnica, le organizzazioni sono fatte da persone con una propria storia, una propria percezione e sensibilità, distinte e diverse. “L’errore più comune nasce nel pensare di poter implementare un Sistema di Controllo e di Gestione dei Rischi che non sia su misura”. Ogni forma di trasformazione o mitigazione dei rischi dipende fondamentalmente dalle azioni della leadership. “Pertanto, il concetto di coerenza tra parole e azioni è fondamentale, oltre a quello del lead by example della leadership.
Inoltre, la pluralità di attori coinvolti ed il contesto normativo ed organizzativo in continua evoluzione rendono il processo di gestione dei rischi articolato con il pericolo di creare sovrastrutture che non facilitano di certo l’integrazione: la soluzione è semplificare il processo. Questo può avvenire sia attraverso una compliance integrata, riducendo i requisiti a pochi e rendendo il processo di conformità più chiaro, sia attraverso la comprensione dei compiti e degli obiettivi di ciascun requisito normativo.
“Se la compliance è percepita come un rallentamento o un’imposizione dall’alto, ciò può influenzare negativamente i process owner che potrebbero vedere la compliance come un ostacolo al loro lavoro e al raggiungimento degli obiettivi”. Al contrario, è fondamentale che le funzioni di compliance siano “più consulenti e advisor”. È quindi necessario semplificare il più possibile i messaggi, i requisiti e il lavoro che i responsabili dei processi devono svolgere. La formula è quella di “fornire una sorta di plug and play delle azioni necessarie, supportando i process owner nell’applicazione pratica”. Un obiettivo che si facilita attraverso un modello integrato […] continua a leggere People in Compliance#34
