Adempiere o non adempiere? Questo è il problema, da sempre. Tuttavia, la risposta comporta tutta una serie di complessità e di implicazioni per qualsiasi organizzazione. Per molte aziende, in special modo per quelle in settori fortemente regolamentati come i servizi finanziari e l'assistenza sanitaria, intraprendere le misure necessarie per rispondere agli obblighi di legge, ossia per adempierli, è fondamentale al fine di tutelare la salute, la sicurezza e il benessere dell'organizzazione e dei suoi clienti.
Man mano che un'azienda cresce però, quello della compliance diventa un tema sempre più complesso, che va a toccare ambiti relativi ai dipendenti, alle assunzioni, ai licenziamenti, alla discriminazione, alle molestie, alla sicurezza, ai salari, alla gestione delle buste paga, ai benefit, per citarne solo alcuni. Ne consegue che le responsabilità in materia di compliance sono talmente tante che i costi da sostenere per attuarla sono spesso elevatissimi.
Se ti occupi di compliance nella tua organizzazione, conosci perfettamente le problematiche più comuni inerenti all'implementazione dei relativi protocolli nella forza lavoro. Purtroppo i dipendenti non sempre vedono di buon grado la formazione riguardante questa materia. Solitamente, impegnarsi per coinvolgere i vari componenti dell'organizzazione significa affrontare tutta una serie di difficoltà che comprendono, fra le altre, situazioni in cui:
- I dipendenti affermano di frequente che non ritengono di avere maggiori strumenti al termine della formazione sulla compliance.
- dipendenti sostengono che la formazione sulla compliance richieda troppo tempo. La necessità di tutelare il tempo dei dipendenti è una dinamica che presenta sfide continue.
- I dipendenti si limitano a completare la formazione obbligatoria sulla compliance senza approfondire più di tanto. La formazione è descritta come "noiosa", il che inibisce il coinvolgimento e il consolidamento delle conoscenze.
Cercare di risolvere questi problemi può comportare un enorme dispendio di risorse per un'organizzazione, senza contare che i dipendenti che dovrebbero prestare maggiore attenzione alla formazione obbligatoria sulla compliance mettono in pericolo l'intera azienda.
Tuttavia, la compliance presenta anche altre criticità. Oltre alla complessità del coinvolgimento dei dipendenti, ci sono da considerare anche i costi. Molti responsabili d'azienda razionalizzano i costi dell'inadempienza comparandoli con le spese necessarie per aggiornare i sistemi tecnologici e i processi di elaborazione dei dati. Risulta però illuminante osservare i costi dell'inadempienza alla luce di quadri normativi quali il GDPR, l'HIPAA, il PCI-DSS e altri.
I costi di compliance riguardano tutte le azioni richieste per fare in modo che l'organizzazione rispetti le normative applicabili. Le aziende devono disporre di un piano dettagliato che includa le politiche e le procedure necessarie per soddisfare i requisiti di compliance in modo adeguato e tempestivo. È anche indispensabile possedere un sistema di conservazione dei dati per documentare tali procedure. Le best practice suggeriscono di adottare software e database che tengano traccia in modo automatico di tutti i dati e che fungano da supporto in compiti che richiedono molto tempo come la gestione delle prestazioni di audit e dei rischi legati alla compliance.
Considerando queste necessità, le aziende vedono spesso queste soluzioni come una seccatura e un dispendio di risorse che, in molti casi, sono già ridotte al minimo. Tuttavia, seppure i costi della compliance possano sembrare elevati, l'inadempienza porta spesso l'organizzazione a sostenere dei costi ancora maggiori.
Stando alle ultime ricerche, l'inadempienza ha raggiunto degli apici di spesa mai toccati prima, e che sono di gran lunga superiori ai costi di compliance. La sicurezza dei dati è l'aspetto che assorbe la maggior parte di questi costi sebbene, per la maggioranza delle aziende, gli investimenti in questo ambito non siano tanto orientati al miglioramento della sicurezza dell'organizzazione quanto al rispetto delle leggi e delle normative.
In passato era vivamente consigliato di adempiere a leggi e normative, ma, a differenza di quanto accade oggi, una volta l'inadempienza non aveva come risvolto multe salate, conseguenze legali o danni alla reputazione dell'azienda.
Le sanzioni in caso di inadempienza sono salate.
Nel 2018, le aziende inadempienti hanno dovuto pagare sanzioni per 3,945 miliardi di dollari e altri 794 milioni di dollari a seguito di sentenze relative a indagini svolte dalla Securities and Exchange Commission o reclami inoltrati alla stessa commissione. A tutto questo si aggiungono le sanzioni della Financial Industry Regulatory Authority che ammontano a 61 milioni di dollari. Sebbene si tratti di cifre da capogiro, costituiscono solo la punta dell'iceberg dei possibili costi in cui possono incorrere le aziende che operano senza adottare solidi programmi di compliance normativa.
Le spese non si fermano qui, però. Negli ultimi anni, le interruzioni dell'attività causate dall'inadempienza, come sanzioni normative, perdita in termini di produttività, di ricavi e di fiducia da parte dei clienti e spese operative per azioni correttive, sono costate alle aziende quasi il triplo rispetto agli investimenti per la compliance.
In altre parole, la spesa media per la compliance era di 5,47 milioni di dollari, mentre il costo medio per l'inadempienza corrispondeva a 14,82 milioni di dollari. Quest'ultimo ha quindi subito un incremento superiore al 45% negli ultimi dieci anni.
Con l'espansione delle aziende, in molti si affidano a terze parti per assicurarsi di rispettare tutte le normative e per ridurre i possibili costi dell'inadempienza.
Per un'azienda, le sanzioni costituiscono solo uno dei costi dell'inadempienza. Per esempio, se, negli Stati Uniti, un'organizzazione risulta inadempiente su più fronti, l'FDA potrà prendere provvedimenti a seconda della gravità. Alcune di queste azioni comprendono:
- Invio di lettere di avviso in cui vengono dettagliate le violazioni e in cui si richiede di intraprendere una specifica azione correttiva.
- Confisca dei prodotti non conformi per rimuoverli dal mercato.
- Ricorso a un provvedimento inibitorio per evitare che l'azienda commetta o determini una violazione.
Le aziende devono poi considerare i costi finanziari legati all'erosione del mercato, ai danni alla reputazione e alla perdita della fiducia da parte dei clienti, oltre a quelli relativi a processi e risarcimenti, senza contare che tutte le notifiche di inadempienza vengono pubblicate sul sito della FDA.
Nonostante le sfide della compliance e l'incremento dei costi ad essa associati, è chiaro che l'inadempienza è decisamente più costosa e rischiosa per la reputazione, gli stakeholder e i risultati economici di un'azienda. Tuttavia, c'è molto altro da considerare, poiché ignorare le misure di compliance può influire sull'organizzazione anche a livello di:
- Interruzione dell'attività: le aziende inadempienti sono spesso costrette ad applicare le misure correttive prima di riprendere l'attività. Se poi risulta necessario introdurre nuovi processi, questo può causare un ulteriore ritardo nella ripresa dell'operatività.
- Potenziali violazioni dei dati: le normative sulla protezione dei dati stanno diventando sempre più complesse per via del valore e della sensibilità delle informazioni personali e proprietarie. L'inadempienza può incrementare il rischio di violazione e perdita dei dati, di attacchi informatici o di minacce interne.
- Danni alla reputazione: si tratta di uno dei costi meno considerati dell'inadempienza. Sanare i danni alla reputazione è difficile e spesso richiede molto tempo.
- Operazioni internazionali: la complessità della compliance della gestione dei salari a livello internazionale è significativa. Gli studi hanno dimostrato che rispettare le normative nazionali è notevolmente più economico: ecco perché è consigliabile adempiere a tutte le norme locali prima di espandersi e di mettere a rischio la possibilità di operare all'estero.
- Perdita di ricavi: le violazioni normative hanno un enorme impatto sui ricavi di un'azienda.
Per giustificare la mancata adozione di un solido programma di compliance, le organizzazioni ritengono spesso di gestire efficacemente i rischi legati alla compliance solo perché, fino ad ora, non sono incappate in alcuna violazione normativa. Credere che questo sia vero è un grave errore. L'assenza di violazioni non comporta l'assenza di problematiche perché potrebbero in realtà essere presenti criticità che non sono ancora state individuate.
Se non vengono affrontati, questi problemi potrebbero costare all'azienda molto di più di quanto avrebbe speso per prevenirli. Alla maggior parte delle organizzazioni serve un supporto per riuscire ad adempiere ai propri sforzi tesi alla compliance. Sebbene possa risultare allettante procedere come si è sempre fatto, questo può causare gravi perdite finanziarie e di reputazione.
I rischi associati all'inadempienza sono in costante evoluzione, quindi, continuare a basarsi su programmi di compliance datati non è una strategia valida. I team necessitano invece di un modo efficace per monitorare e gestire i programmi di compliance in uso (per esempio la gestione manuale di compiti legati alla revisione o alla certificazione oppure la ricerca di informazioni salvate all'interno di file o e-mail) che aumentano i rischi e i casi di inefficienza della compliance.
Considerato che il costo dell'inadempienza corrisponde a quasi il triplo del costo medio del rispetto delle normative di settore, non dovrebbe esserci ombra di dubbio in merito al valore di un solido programma interno di compliance e delle soluzioni giuste necessarie per operare in modo efficace.