IL QUADRO ATTUALE

La normativa è di fatto in aumento continuo, vi è sovrabbondanza di norme, una crescente complessità del loro intreccio ed una rapidità di mutamenti che richiedono un approccio

* Consulenza per l’Innovazione Tecnologica - Direzione Generale INAIL.

integrato per poter rispondere in modo efficace ed efficiente, e possibilmente economico, ai principi dell’attività amministrativa. L’interesse crescente nei confronti della compliance è in realtà interesse nei confronti dei rischi operativi che l’organizzazione deve mitigare con adeguate contromisure fra le quali l’informatica può assumere un ruolo di primo piano, tra-ducendo le norme di etero ed autoregolamentazione in processi e procedure che permettano di adottare un ruolo proattivo anche a livello di cultura aziendale.

L’innovazione amministrativa si basa su quella tecnologica, che provoca nuove norme spe-cifiche da quando i sistemi informativi, da sistemi di registrazioni di dati sono diventati ambienti di accertamento, di verifica, di realizzazione di istruttorie e di decisione, in una parola sistemi di amministrazione. Nascono allora testi normativi specifici sulla digitalizza-zione della Pubblica Amministradigitalizza-zione, sul e-government, e su aspetti prettamente tecnici sui quali il governo si impone tramite direttive e circolari.

L’informatica veniva utilizzata dalla P.A. per rispondere ai cambiamenti normativi esterni, ora la P.A. innova il proprio sistema di governo grazie alla innovazione di tecnologia, gene-rando così nuove necessità normative specifiche che contribuiscono alla complessità nor-mativa già in essere.

Il culmine di tale rovesciamento di rapporti si è avuto recentemente con il progetto del Sistema Pubblico di Connettività (SPC), istituito e disciplinato con il D.lgs. 28 febbraio 2005, n. 42, che si presenta come un’infrastruttura condivisa che assicura alle amministra-zioni, a tutti i livelli di governo, lo scambio di dati e informaamministra-zioni, nonché tutti i servizi di semplificazione dei rapporti tra le singole amministrazioni e tra queste e l’utente. Detta innovazione, che si pone sul piano tecnico-strutturale, è stata affiancata dal cosiddetto

“Codice dell’amministrazione digitale” (CAD), contenuto nel D.lgs. 82/l2005, corretto ed integrato dal D.lgs. 159/2006, che ha infine assorbito lo stesso decreto SPC. Viene così impostata una disciplina sostanziale di azione per l’e-government che in qualche modo rap-presenta una svolta epocale per i suoi attori, ovvero i dipendenti ed i funzionari della P.A., e per la nozione stessa di responsabilità. Sancito il diritto di cittadini e imprese a richiedere ed ottenere l’utilizzo degli strumenti tecnologici e telematici nelle comunicazioni con la P.A., il CAD attribuisce alla pubblica amministrazione la diretta responsabilità del cambia-mento organizzativo e procedimentale in attuazione delle disposizioni del codice. Tale responsabilità è innanzitutto una responsabilità dirigenziale, ma l’informatizzazione com-porta una forte specializzazione delle competenze con introduzione nel procedimento amministrativo del nuovo “attore”, l’informatico, al quale afferiscono responsabilità di eventuali anomalie che causano disservizi tecnologici: vizi di macchina, vizi di dati, vizi di software, ognuno dei quali potrebbe essere imputato, direttamente o indirettamente, a più soggetti. La compliance si estende perciò a tutto il procedimento tecnico.

2.1 Il Codice dell’Amministrazione Digitale e la Compliance

In senso lato, la compliance può essere distinta in: ‘regulatory compliance’, conformità alla normativa di legge; ‘commercial compliance’, conformità alle regole di mercato commer-ciali, comuni e condivise con i competitor dello stesso segmento di business per rispondere alle aspettative della clientela; ‘organizational compliance’, conformità di tipo organizzati-vo per il rispetto di modelli interni adottati per rendere l’azienda aderente allo stile ed alle regole stabilite internamente.

Questi concetti sono traslabili nella Pubblica Amministrazione e la norma emanata

recente-L’INNOVAZIONE TECNOLOGICA E METODOLOGICA AL SERVIZIO DEL MONDO DEL LAVORO

36

mente e che più ha inciso nella ICT pubblica, il CAD, in un certo senso modifica questo schema di tipizzazione. Il CAD accomuna di fatto tutti gli organismi della Pubblica Amministrazione in uno stesso “segmento” di mercato, impone alla PA il rispetto totale del suo cliente, il cittadino, dotandolo di tutti i dititti ‘informatici’ che spaziano dalla ‘cultura informatica’ (diritto alla alfabetizzazione) alla interazione tramite mezzi informatici (servizi on line e posta elettronica), il tutto secondo una sua piena soddisfazione (customer satisfac-tion). Il segmento di mercato della PA, per la realizzazione del pieno rispetto dei suoi utenti e dei loro diritti, deve altresì dotarsi di una organizzazione interna tesa a perseguire questo obiettivo e a dimostrare che ha messo in atto tutto quanto occorre per prevenire criticità ostative. L’avvento del CAD stabilisce il diritto di cittadini ed imprese all’uso delle tecno-logie telematiche di comunicazione con le PA e obbliga la PA a promuovere l’innovazione tramite un cambiamento organizzativo e procedimentale a sua diretta responsabilità. Il CAD, ha incrementato il quadro della compliance ‘regulatory’ riconducendo la compliance

‘commerciale’ e la compliance ‘organizzativa’ al concetto di compliance normativa. Ciò che in passato la PA metteva in atto per andare incontro al cittadino e contemporaneamente ottenere essa stessa vantaggi in termini di efficienza, efficacia ed economicità, ora essa deve perseguirlo a norma di legge.

2.2. La non conformità

La mancata conformità comporta una serie di rischi operativi, legali e reputazionali: rischi di sanzioni amministrative, di sanzioni giudiziarie, di perdite finanziarie, di perdita di repu-tazione, danno di immagine in caso di violazioni di norme legislative, regolamentari o di autoregolamentazione. La mancata conformità può derivare da ritardi o difficoltà nel tenere il passo con gli sviluppi di nuova normativa, nei nuovi controlli imposti o nella realizzazio-ne di nuovi servizi obbligatori, può essere provocata da eventuali illeciti, involontari o meno, dei dipendenti, o a carenze nella gestione del rischio IT. La responsabilità ammini-strativa dell’ente prevede che questi possa essere chiamato a rispondere di danni conse-guenti a fatti illeciti di amministratori e dipendenti, nel caso in cui non dimostri che ha adottato ed attuato modelli di organizzazione, gestione e controllo idonei a prevenire tali fatti, o ad ridurne il rischio ad un livello accettabile. Deve essere provato che vi è stata la volontà dei soggetti di aggirare il sistema di prevenzione messo in atto dall’amministrazio-ne e che questi non può essere aggirato che in modo fraudolento.

Una visione olistica di un tale sistema di prevenzione poggia sugli elementi chiave della governance, della gestione del rischio e della compliance, in acronimo GRC, per i quali occorre investire in infrastrutture di supporto a garanzia del raggiungimento dell’obiettivo della prevenzione della non conformità.

2.3. La Funzione di Compliance ICT

Nella consapevolezza degli obblighi incombenti sulla PA e dei rischi del loro mancato rispet-to, si evidenzia l’opportunità, se non la necessità, di individuare o creare un elemento dell’organizzazione per il rispetto della normativa; inoltre, alla luce della complessità crescen-te della normativa collegata ai siscrescen-temi informativi e comunicativi, come questi debba prevede-re un ramo specializzato nei temi dell’ICT, Information and Communication Technology.

L’INNOVAZIONE TECNOLOGICA E METODOLOGICA AL SERVIZIO DEL MONDO DEL LAVORO

La istituzione di una Funzione di Compliance ICT è disposta in base al principio di focaliz-zazione sul rispetto della normativa e al principio di indipendenza sia rispetto alle strutture operative sia a quelle di controllo interno dell’organizzazione. La sua attività consiste nella verifica di conformità alla normativa, nella valutazione di impatto di questa nei processi e nelle procedure, nella individuazione dei rischi e la loro mappatura con le modifiche evolu-tive delle norme. La Funzione di Compliance ICT, dedicata al presidio, al controllo e alla valutazione ex ante della conformità, assume un particolare ruolo di staff specializzato a garanzia della legittimità stessa del sistema informativo e del sistema comunicativo come rispondenti ai dettami normativi.

3. LE REGOLE

Qualsiasi sistema informativo formalizza di fatto regole aziendali, dette regole di business, e le utilizza per emulare o simulare il comportamento di processi aziendali. L’implementazione è stata fatta sinora generalmente secondo un paradigma standard che, identificando le risorse informatiche solo in applicazioni e dati, ha fatto si che le regole aziendali siano state imple-mentate nelle funzioni applicative e parzialmente nei database. Questo paradigma introduce nei sistemi informativi alcune “rigidità” non necessarie legate alla disseminazione delle regole nei codici dei programmi, ad un certo grado di incertezza nelle loro effettive implementazione ed operatività nelle applicazioni, a varie difficoltà nella loro valutazione e controllo in quanto dissolte nelle molteplici logiche applicative e intrinsecamente associate alle varie interpreta-zioni procedurali. Le regole sono di fatto “embedded” e sono difficili da isolare. Una stessa regola di business può essere oggetto di diverse implementazioni, in dipendenza della logica applicativa che la utilizza ed ogni adeguamento dei sistemi informativi alle nuove esigenze, coinvolge l’aggiornamento di tutte le applicazioni che la utilizzano. Quanto meno le regole sono isolate, tanto più il sistema informativo manca di flessibilità e tanto più è costosa e com-plessa la implementazione di nuove regole o il cambiamento alle regole esistenti.

Nella fattispecie, le regole attinenti al business della PA devono trattare un insieme di ele-menti la cui complessità risulta evidente già dalle classificazioni applicabili alle norme stes-se; tipizzazione a valenza geografica, con valorizzazioni di livello quali Europa, Italia, Regione, Comune; tipizzazione a valenza normativa, con valorizzazioni di tipo Legge, Codice, Decreto, Regolamento, Circolare, Standard, Codice etico; inoltre tipizzazione secondo il settore di applicazione quale amministrativo, contabile, del lavoro, tecnico, ambientale, relativo alla privacy, alla sicurezza.

In particolare i progressi in campo della ICT hanno offerto nuove opportunità alla PA ma hanno anche comportato nuove necessità di normazione specifica, sia sui sistemi informati-vi automatizzati in genere, che su specifici elementi prettamente tecnologici inseriti in con-testi amministrativo-organizzativi: accessibilità agli strumenti informatici, CNS (Carta Nazionale dei Servizi), documento informatico, protocollazione e firme elettroniche, sicu-rezza informatica e delle telecomunicazioni, archiviazione sostitutiva, CAD (Codice dell’Amministrazione Digitale), SPC (Sistema Pubblico di Connettività), Codice in materia di protezione dei dati personali. Infine ricordiamo gli impegni volontari, o quasi, rappresen-tati dall’insieme degli standard che spaziano da materie trasversali alle organizzazioni quali la famiglia degli ISO, in particolare quello 9000: 2000, a quelli prettamente tecnici quali ITIL (IT Infrastructure Library), CMMI (Capability Maturità Model Integration), COBIT (Control Objectives for Information and related Technology).

L’INNOVAZIONE TECNOLOGICA E METODOLOGICA AL SERVIZIO DEL MONDO DEL LAVORO

38

3.1 Le regole implicite e quelle esplicite

Abbiamo visto che la compliance consiste nel rispetto della normativa che viene ad afferire alla organizzazione in tutti i modi, sia direttamente tramite leggi e simili, sia indirettamente come logiche di condotta e di comportamento usuale interne. La logica è quella delle regole di business e, da un estremo all’altro, si passa dalla compliance alle regole esplicite alla compliance alle regole implicite.

La figura che segue schematizza i diversi usi dei termini implicito ed esplicito riferiti alla tipologia di regola oppure al modo di immetterla nel sistema informatico e riporta alcune riflessioni in merito.

Nel seguito accentreremo la nostra attenzione sulle regole da un punto di vista tecnologico e utilizzeremo i termini implicito ed esplicito per significare la diversità di trattamento nel campo del software. Le regole implicite sono perciò annegate nel codice applicativo e sono gestibili con le stesse caratteristiche delle componenti sw tradizionali; parleremo invece di regole esplicite, o regole non specificando ulteriormente, nel caso esse siano trattate tramite software specializzato e specificatamente architettato e realizzato.

3.2 I sistemi a regole

I motori di regole sono nati a causa della non completa soddisfazione dei sistemi di proces-so. Essi differiscono sostanzialmente e talvolta è utile dotarsi di entrambi, scegliendo tra e dosando opportunamente le caratteristiche di entrambi. Ad un estremo abbiamo la soluzio-ne di ansoluzio-negare le regole all’interno del processo, all’estremo opposto il metodo ‘agile’ con-siste nell’isolare le regole e creare il processo in modo dinamico combinando le regole in modo tale da ottenere il processo.

L’INNOVAZIONE TECNOLOGICA E METODOLOGICA AL SERVIZIO DEL MONDO DEL LAVORO

Figura 1 - Regole esplicite e regole implicite.

Fra le varie gradazioni di bilanciamento fra i due estremi, focalizziamo l’attenzione sul secondo ed individuiamo i vantaggi che ne possono derivare e che l’applicazione reale potrà confermare.

Il dominio dei sistemi basati sui processi e sulle regole è un continuum nel quale il posiziona-mento è subordinato alle necessità del business. L’analista analizza gli obiettivi ed il contesto di un nuovo progetto prima di decidere come posizionarsi rispetto alla scelta sul livello più opportuno di esplicitazione delle regole e di granularità. Il continuum che l’analista fronteggia nella sua decisione di dotazione del sistema di un motore a regole è rappresentato nella figura seguente in cui la nuvola rosa evidenzia il posizionamento della maggioranza dei sistemi.

3.3 Le componenti del sistema di compliance

Un’organizzazione impegnata nell’obiettivo di agire in modo conforme alle regole di busi-ness si appoggia ad un sistema articolato di cui la tecnologia e solo uno dei componenti. La figura seguente rappresenta le componenti di un sistema per la compliance e le loro interre-lazioni e sovrapposizioni. I 3 cerchi maggiori rappresentano le componenti base dei proces-si, delle risorse umane e della tecnologia e alle loro intersezioni confluiscono la governan-ce, la comunicazione e la capacità di audit.

Nell’ambito di una riorganizzazione generale l’azienda deve prendere in considerazione tutte le componenti suddette, ivi comprese le responsabilità e competenze del personale che sarà chiamato ad effettuare un mestiere nuovo per molti versi, con la necessità di essere for-mato sulla nuova organizzazione e sulle nuove competenze richieste e sui vincoli, regole, che la nuova organizzazione comporta. La componente della tecnologia dovrà essere a sua volta rivisitata sia per garantire che essa sia adeguata ai nuovi processi, sia per sostenere le persone nelle attività del nuovo regime.

L’INNOVAZIONE TECNOLOGICA E METODOLOGICA AL SERVIZIO DEL MONDO DEL LAVORO

40

Figura 2 - Continuum del percorso dalle regole implicite alle regole esplicite (Fonte Gartner).

I tempi di reazione delle persone, la loro assimilazione ed interiorizzazione dei nuovi paradig-mi rischia di comportare tempi di messa a regime non compatibili con le necessità della strut-tura. Questo significa dover cercare soluzioni ad effetto immediato, o perlomeno con tempi di risoluzione più brevi, ovvero delegare alla tecnologia stessa la possibilità di sostenere forte-mente le persone nella loro introduzione e prima operatività nella nuova organizzazione.

Il ruolo della componente tecnologica sarà enfatizzato nei primi tempi in confronto alla componente persone e dovrà in gran parte sovrapporsi, cercando di sostenere con automati-smi le nuove regole cui le persone devono ancora apprendere a conformarsi e in attesa che la componente ‘persone’ cresca ed agisca in modo consapevole.

La tecnologia costituisce un pilastro fondamentale per tutto il sistema della compliance.

4. CENNI STORICI