Gli oneri imposti dalle normative sulla trasparenza comportano costi di gestione anche doppi rispetto alla media degli investimenti It. Si delinea il ruolo del Chief Compliance Officer.
Durante il Ca World 2005, in corso a Las Vegas in questi giorni, alcuni specialisti di compliance hanno disegnato un bilancio sul costo di applicazione delle normative americane in materia di trasparenza gestionale (Sarbanes-Oxley per gli Usa e Basilea II per alcuni segmenti industriali, in Europa).
Si valuta che le società americane stiano spendendo dall’1 al 2% del loro fatturato in attività e comitati il cui unico scopo è di garantire l’aderenza alle normative e che tale costo sia destinato ad aumentare.
In sostanza, già oggi, molte industrie spendono in comitati interni e revisori esterni più di quanto investono ogni anno per lo sviluppo e la gestione dell’intera infrastruttura It.
Un costo enorme, che non può essere sostenuto a lungo e che, paradossalmente, è destinato ad aumentare, visto che il dettaglio di controllo cresce con la progressiva applicazione delle normative. Ossia il secondo setaccio è sempre più fine del primo.
In Europa la situazione è meno critica visto che, storicamente, le normative europee in materia di gestione aziendale e di trasparenza sono sempre state più rigorose e perciò le aziende sono già meglio strutturate.
Tuttavia, i costi sono comunque alti e in gran parte inutili, visto che molte delle attività di compliance (fino al 50%) sono ridondanti. Spesso diversi comitati operano sulle stesse informazioni generando rapporti di contenuto quasi identico, ma destinati a enti diversi.
Inoltre l’esistenza di comitati paralleli che operano sulle stesse informazioni aumenta le possibilità di fare errori e d’introdurre nuovi rischi rispetto a quelli che si sta cercando di censire e di controllare.
Mancano metodi efficaci per automatizzare parte dei processi e per ricondurne la complessità a strutture controllabili in termini di carico di lavoro e di costi.
Si sta tuttavia sviluppando un know how che può portare alla definizione di strutture unificate per la gestione del rischio e della compliance, alla pari di come l’Erp ha portato all’integrazione della gestione dei vari aspetti di un business.
Il primo passo in tale direzione la creazione di un responsabile interno per le attività di compliance, che spesso può essere identificato nello stesso Cio, e nell’affidargli il ruolo strategico di garantire al resto del management una visione di trasparenza globale sui vari aspetti di rischio presenti in azienda e sulle eventuali contromisure e rischi residui (con i corrispondenti costi).
La figura prende il nome di Chief Risk Officer o Chief Compliance Officer. Grazie al suo operato, diventa possibile assegnare corrette priorità, aumentare l’efficienza operativa e ridurre i costi di reporting ridondanti, sfruttando strumenti automatizzati che facciano leva su un rinnovato sistema informativo.
Lo scenario è stato descritto nel dettaglio da Steve Papermaster, imprenditore, Ceo della società Rome e già presidente del comitato per la scienza e la tecnologia all’interno dell’amministrazione Bush.
Vediamo quindi un’evoluzione della figura del Cio che oggi deve acquisire una cultura di governo del sistema informativo ispirata alla gestione del rischio. Il che significa, in pratica, costruire un singolo repository che contenga informazioni unificate, con particolare attenzione alle aree di rischio residuo. Una sorta di cruscotto aziendale che può capitalizzare le capacità di centralizzazione delle informazioni offerte dal nuovo Unicenter 11 e dalla suite Eitm (Enterprise Information Technology Management) che Ca sta annunciando in questi giorni.
Per il Cio emerge, quindi, un ruolo decisamente più strategico e consultivo che si basa comunque su un controllo adeguato dell’infrastruttura tecnologica e sulla visione del rischio non solo come vincolo, ma anche come opportunità. Qualsiasi processo di rinnovamento comporta per definizione rischi che, se adeguatamente gestiti, si traducono in vantaggi competitivi.