Il metodo GRC semplifica e integra sistemi multinorma

Il metodo GRCteam è strategicamente concepito per coniugare una approfondita conoscenza normativa con la necessaria expertise maturata sul campo; la ricerca all’interazione normativa per ridurre rindondanza di elementi ripetitivi e talvolta ostativi, migliorando al contempo la fruibilità di sistemi e norme; un supporto tecnologico proprietario e appositamente concepito per supportare i consulenti e semplificare lato cliente la consultazione del sistema gestionale rendendolo realmente fruibile.

  • Integrazione normativa 

Integrazione normativa

La pervasività di un quadro normativo sempre più articolato, sia a livello nazionale che internazionale, rende sempre più significativo lo sforzo di adeguamento alle regole cogenti, a verifica del perimetro di legalità, e di implementazione di standards internazionali finalizzati alla massimizzazione dell’efficienza e al miglioramento continuo. 

La conformità normativa a elementi cogenti o volontari, nella percezione dei più, ostacola l’agire organizzativo.

Quanto più cresce l’insieme dei requisiti obbligatori da rispettare, tanto più l'agire operativo quotidiano diviene macchinoso, eccessevimante burocratico e quindi costoso, aumentando la convinzione che, efficienza e rispetto della legalità siano incompatibili.

Tale fraintendimento è dovuto a modelli mal implementati e a resistenze applicative interne.

Esiste un profondo legame tra i modelli organizzativi (voluti da norme cogenti) e sistemi di gestione (voluti dalle norme volontarie). Sovente l'integrazione fra gli uni e gli altri, oltre a snellire e semplificare le procedure, produce significativi miglioramenti nella gestione dell'organizzazione.

  • L’integrazione è l’unica strada possibile

     


    Le compliance sono legate tra loro 

    Spesso c’è un collegamento diretto o indiretto tra diverse normative e standard vigenti. Vediamo alcuni esempi:

    In ambito di prevenzione e contrasto alla corruzione c’è una relazione tra Standard ISO 37001, i PTPCT, legge 190/2012 e d.lgs 231/2001.

    In ambito sicurezza delle informazioni e protezione dei dati personali, esistono relazioni tra le norme ISO/IEC 27001, Reg. UE 2016/679 (GDPR) e Modelli Organizzativi Gestionali (MOG) ex artt. 24, 24-bis e 25-quinquies comma 1 lett. c del d.lgs 231/01.

    In ambito di salute e sicurezza sul luogo di lavoro c’è una relazione tra ISO 45001, il D.Lgs 81/2008, e il D.lgs 231 (ex art. 25 septies del d.lgs 231/01).

    In ambito ambientale esistono relazioni tra ISO 14001, Regolamenti EMAS, MOG ex articolo 25 undecies del d.lgs.231/01 ed il d.lgs 152/06 e s.m.i.

    Se una normativa impone obblighi, un’altra offre soluzioni 

    Stiamo assistendo alla crescita significativa di normative che forniscono indicazioni a carattere generale - di “alto livello”, lasciando che sia l’organizzazione a individuare le soluzioni pertinenti. Tali soluzioni sono spesso offerte da altre normative. 

    Il GDPR all’Art. 32 impone alle organizzazioni di adottare misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza commisurato al rischio, lasciando all’accountabilty dell’organizzazione di provvedervi. Il NIST Cybersecurity Framework o la ISO/IEC 27001 o le linee guida di ENISA sono 3 standard idonei a rispondere alle richieste dell’Art.32 GDPR. 

    Le norme facoltative diventano “quasi” obbligatorie 

    Sempre più frequentemente si assiste alla richiesta in fase di gara e o accreditamento, di esibire la certificazione a standard di riferimento (es. ISO 9001, ISO/IEC 27001, ISO 45001, ISO 14001, SA 8000, ecc), imponendo all'organizzazione la certificazione quale prerequisito per la partecipazione alla gara.

Le Criticità

Se una corretta integrazione d modelli cogenti e sistemi di gestione volontari può innescare proficue e virtuose dinamiche. La stratificazione di norme, implementate senza alcuna armonizzazione, appesantiscono la struttura organizzativa. Pur rispondendo singolarmente alle esigenze dettate dalla normativa di riferimento, la mancanza d'integrazione comporta il rischio di duplicazione di ruoli, moltiplicazione documentale e incoerenza delle informazioni; determinando difficoltà di mantenimento, costi elevati ed evidenti inefficienze economiche, organizzative e gestionali. Fra le quali ad esempio:

  • I costi elevati di gestione della “conformità”, soprattutto per la parte che interessa le normative cogenti; 
  • Le responsabilità della “conformità” sono attribuite a differenti figure, che agiscono in modo spesso indipendente e carenti di coordinamento pur avendo obiettivi comuni; 
  • Sottostima dell’impegno umano e finanziario per le fasi successive di monitoraggio, controllo, valutazione dei rischi, nonché pianificazione delle azioni di miglioramento; 
  • L’organizzazione ed i processi sono spesso indipendenti dai modelli organizzativi messi in atto per le varie “conformità” come se differenti modelli organizzativi coabitassero; 
  • L’assenza di un’analisi volta ad individuare aree di sovrapposizione tra più normative comporta la duplicazione e la ridondanza delle attività con incremento della complessità e dei costi. 
  • Sei un'azienda Multinorma?

    Chi si occupa di compliance chiama "Organizzazione multinorma" quelle realtà con più Modelli organizzativi che coabitano con uno o più Sistemi di gestione.

    Se sei un'Organizzazione multinorma, noi di GRC team, saremo felice di aiutarti a scoprire come tagliare inutili costi e sprechi, armonizzando fra loro i tuoi eleemnti di conformità.

    Scrivici l'elenco dei tuoi sistemi al info@grcteam.it

Il nostro gruppo
Cosa facciamo
Il metodo GRC