Poche semplici regole per evitare il rischio di non conformità normativa: la redazione e l’aggiornamento delle procedure aziendali.
Uno degli elementi essenziali per gestire i rischi di non conformità normativa all’interno dell’azienda sono le procedure aziendali, o, altrimenti dette, SOP (Standard Operating Procedures).
Tuttavia, capita molto spesso di trovarsi in aziende molto strutturate, con un cospicuo numero di policy, procedure e linee guida e di riscontrare che tali documenti sono lettera morta; oppure ci si trova dinanzi a piccole e/o medie imprese ove tali documenti sono assolutamente assenti.
In entrambi i casi il problema è il medesimo: il sistema di gestione del rischio (teoricamente offerto dalle procedure) non esplica alcuna efficacia, con l’enorme probabilità che i rischi non vengano identificati e gestiti correttamente e che si incorra in una non conformità, con possibile responsabilità dell’organizzazione.
La soluzione è redigere correttamente le SOP, attraverso poche e semplici regole.
A tale proposito è importante chiarire preliminarmente la funzione delle procedure rispetto ai processi.
In particolare, un processo, secondo la normativa ISO 9001:2015, è un insieme di attività correlate che trasformano un determinato input in output. Nelle aziende dotate di un sistema di gestione della qualità, in accordo alla norma ISO 9001:2015, i processi aziendali devono essere misurabili e monitorabili nel tempo, mediante l’utilizzo di indicatori di prestazione chiave.
Nei processi sono normalmente coinvolti più organi aziendali e le loro attività sono coordinate attraverso un flusso di informazioni (work flow).
Il coordinamento fra i vari organi aziendali verrà formalizzato in procedure, ove verranno definite nel dettaglio i passaggi tra una funzione aziendale e un’altra.
Le procedure sono, quindi, la descrizione dettagliata di come una parte del processo deve essere eseguita e sono spesso riferite a singole funzioni o ai team e consistono in un insieme di attività ripetitive, sequenziali e finalizzate al raggiungimento di un determinato risultato.
La caratteristica rilevante di una procedura è la sua condivisione; ogni procedura deve essere divulgata all’interno dell’Organizzazione e deve essere chiara e semplice, affinché venga seguita dai destinatari.
Possiamo elencare qui di seguito una serie di consigli per la redazione e l’aggiornamento delle procedure.
- 1. Anzitutto, prima di iniziare a redigere una procedura, occorre coinvolgere i partecipanti al processo, capire la loro attività e comprendere come il processo è stato organizzato dal business per ottenere un ottimo work flow; in questa fase di “assessment” sarà importantissimo avere delle conoscenze di carattere normativo e specialistico, perché è il momento ove più facilmente possono evidenziarsi conflitti di interesse, rischi di non conformità normativa, violazioni di norme imperative. È una fase molto delicata perché occorre indagare su quello che è l’as is e se la situazione necessita di essere meglio gestita perché presenta delle weaknesses. Tutte le informazioni raccolte in fase di assessment dovranno essere condivise e occorrerà chiedere ed ottenere un feedback affinché non vi siano incongruenze tra quanto rappresentato nella procedura e il processo per come è effettivamente gestito.
- 2. Creare un diagramma di flusso del processo. Si tratta di uno step fondamentale perché chiarisce visivamente il work flow del processo e aiuta ad individuare quali sono i check point ove porre in essere eventualmente delle verifiche e garanzie. Per l’elaborazione dei diagrammi di flusso ci si può affidare a software specifici oppure possono essere redatti manualmente, non esiste una regola specifica per la loro redazione, l’importante è che il flusso risulti chiaramente spiegato dallo schema.
- 3. Chiarito il flusso, si potrà redigere la bozza di procedura nella quale presentare le tappe da seguire, con i fattori sequenziali e i fattori decisionali, corredate da tutti i dettagli necessari ed eventuali “warning” sulle fasi più delicate. A tal proposito è assolutamente indispensabile capire e conoscere il “pubblico” della stessa. Occorrerà, infatti, modulare i contenuti della stessa tenendo conto de: i) la vastità del pubblico (diverse nazioni e diversi livelli organizzativi); ii) la conoscenza base dei destinatari (ad es. evitare l’utilizzo di abbreviazioni o di latinismi); iii) la loro conoscenza dell’azienda (es. neoassunti) e della terminologia comunemente in uso all’interno di essa (andranno quindi evitate abbreviazioni o formule per indicare determinati soggetti o funzioni). In tutti i casi deve essere favorita la redazione di procedure che abbiano infografiche esplicative. Infatti, anche se i destinatari possono avere familiarità con la terminologia utilizzata e con il protocollo, avere un supporto visivo è sempre di aiuto per l’utente. Al contrario, è davvero privo di senso l’utilizzo di manierismi linguistici.
La SOP dovrà tendenzialmente essere semplice e vivace.
Le premesse e le informazioni rilevanti che dovranno avere un contenuto maggiormente discorsivo, andranno inseriti all’inizio. Nelle premesse sarà indispensabile spiegare il perché la SOP è utile. Ad esempio, se si tratta di una procedura volta ad evitare il rischio di riciclaggio, andrà focalizzata l’attenzione del destinatario a questo aspetto, chiarendo come il rischio possa concretizzarsi. Rappresenta un passaggio importante perché solleciterà l’attenzione dell’utente al contenuto che segue e lo “ingaggia” rispetto alla missione della procedura.
All’inizio della procedura occorrerà, altresì, inserire: 1) copertina; 2) titolo della procedura; 3) numero della procedura; 4) data di pubblicazione (o data di revisione); 5) ambito di applicazione e scopo; 6) responsabili della SOP e della sua revisione e aggiornamento; 7) indice e 8) glossario, ove necessario per chiarimenti sulla terminologia. Il risultato cui la procedura dovrà tendere è la completezza, chiarezza e accuratezza.
- In altre parole, la procedura deve poter spiegare come funziona il processo anche un soggetto estraneo all’impresa.
Naturalmente, atteso che i processi aziendali si sviluppano e cambiano velocemente e che pure l’ambiente aziendale è soggetto a continue evoluzioni, la procedura, onde evitare di divenire velocemente obsoleta, dovrebbe prevedere che determinate attività siano in capo alle funzioni e non ai singoli soggetti.
Infatti, capita spessissimo che alcune variabili ambientali (es. modifica della job decription o la situazione di vacancy di un determinato ruolo aziendale) possano minare la tenuta di una procedura.
Onde evitare tale circostanza, è bene che la procedura non faccia riferimenti a singole persone o singoli ruoli, ma alle funzioni aziendali, che, pertanto, avranno il compito di individuare, attraverso le comunicazioni organizzative, i soggetti di quella funzione che presidieranno il processo.
- 4. Una volta predisposta, sarà importante rivedere la SOP con tutti i soggetti coinvolti, inclusi i destinatari. È, infatti, importantissimo che tutti i destinatari si sentano coinvolti nel processo di redazione e che intervengano per apportare migliorie o evidenziare punti di debolezza e margini di miglioramento.
- 5. Successivamente alla revisione, la SOP potrà essere approvata. Tuttavia, anche a seguito della sua approvazione, sarà sempre necessario un monitoraggio della SOP, attraverso il quale monitorare i segnali che dimostrino la sua inefficacia o la necessità di un suo aggiornamento.
Intervento di Michela BARBAROSSA, Avvocato, Privacy & Compliance Specialist Amissima Assicurazioni