La gestione dei rapporti con il RIA affidato in outsourcing

Sono passati oramai cinque anni dall’emanazione della Circolare 288/2015 – Disposizioni di vigilanza per gli Intermediari Finanziari, ma ancora oggi permangono dubbi, o meglio, molte e variegate interpretazioni sulle caratteristiche e responsabilità in capo a questa figura interna – chiamata Referente per le attività esternalizzate, specie nella gestione dei rapporti con la funzione di Internal Audit.

Partiamo dall’inizio e cerchiamo innanzitutto di capire la ratio di questa posizione, ulteriore responsabile del controllo, questa volta delle funzioni esternalizzate richiesta dalla Autorità di Vigilanza; quest’ultima ha voluto responsabilizzare in modo più definito, rispetto a quanto lo avesse fatto con la Circolare che precedeva, l’intermediario, che conserva la competenza richiesta per controllare efficacemente le funzioni esternalizzate e per gestire i rischi connessi con l’esternalizzazione, inclusi quelli derivanti da potenziali conflitti di interessi del fornitore di servizi; in tale ambito, individua, all’interno della propria organizzazione, un responsabile del controllo delle funzioni esternalizzate (“referente per le attività esternalizzate”).

È indubbio e riconosciuto da chi lavora nel mondo del controllo interno che esternalizzare le attività o le funzioni, anche di controllo, non significhi esternalizzare le relative responsabilità; anzi proprio per questo l’Autorità di Vigilanza richiede che tale figura sia, in primo luogo, interna alla organizzazione – escludendo evidentemente la possibilità di affidare questa responsabilità ad un ulteriore consulente o esterno all’Intermediario, che invece di mantenere al suo interno tale competenza proprio per avere la continuità di azione, di controllo e di monitoraggio sulle attività affidate in outsourcing, compresi i rischi connessi con l’esternalizzazione, compresi quelli derivanti da possibili conflitti di interesse del fornitore di riferimento.

Ecco allora che sorgono i primi problemi e dubbi; chi siano i candidati papabili e più accreditati per assumere questa responsabilità, per esempio; immaginate realtà tra le più variegate in termini di struttura organizzativa e dimensionale dalle 10/15 unità e oltre, ma pensate alle realtà piccole e già limitate nella configurazione organizzativa principale, figuriamoci per le funzioni di controllo.

Ecco che le figure candidate, nonché suggerite dalla stessa normativa di riferimento, a ricoprire il ruolo sono proprio gli amministratori, basta che non rivestano ruoli esecutivi e non siano in possesso di specifiche deleghe operative che ne possono compromettere l’autonomia; sono privilegiati invece gli amministratori in possesso di deleghe in materia di controllo interno e, meglio ancora se anche completamente indipendenti dalla realtà di riferimento.

Non mancano tuttavia però i casi, soprattutto nelle organizzazioni più piccole, in cui tale responsabilità venga assegnata al responsabile delle funzioni di controllo di secondo livello; quest’ultimo si trova spesso anche ricoprire tutte le funzioni aziendali di controllo, fatta ovviamente eccezione della funzione di Internal Audit.

In questi casi, ancorché la normativa non escluda tale possibilità, viene però compromessa l’indipendenza e autonomia di giudizio della funzione di terzo livello in quanto si trova da una parte a “giudicare adeguatezza e efficacia” delle funzioni di secondo livello e dall’altra ad essere “giudicato” – anche se solo in termini di SLA/KPI dal referente della funzione esternalizzata: che guarda caso è proprio colui che è e sarà anche oggetto di audit.

Ma veniamo al punto. Quali compiti e responsabilità ha il Referente per le attività esternalizzate? E soprattutto fino a che punto può o deve entrare nel merito del Piano di Audit o delle verifiche previste nel Piano, approvato dal Consiglio di Amministrazione, esprimendo una propria valutazione o giudizio?

Il referente per le attività esternalizzate ha il compito e responsabilità di monitorare il rispetto del contratto dell’outsourcer nell’esecuzione dei servizi esternalizzati, in particolare nel rispetto degli SLA e dei KPI in esso obbligatoriamente riportati come richiesto dalla normativa di riferimento, segnalando al Consiglio di Amministrazione, ove si verifichi il non completo e/o accurato rispetto dello stesso in termini oggettivi, appunto di prestazioni mancate o non effettuate: in tal senso infatti predispone, per l’approvazione del Consiglio di Amministrazione, entro il 30 aprile di ogni anno la “relazione sulle FOI”, con le considerazione dell’Organo con funzione di controllo in cui riporta il risultato del monitoraggio espletato sull’outsourcer.

Spesso capita però che proprio per senso di responsabilità o confusione più totale si eserciti un altro ruolo che con proprie valutazioni soggettive finisca per pronunciarsi sul merito del lavoro svolto dal fornitore selezionato, creando spesso duplicazioni inutili e non efficienti a volte anche di imbarazzo nel riconoscimento dei ruoli apicali: giova ricordare che è appunto il RIA ad essere il Responsabile della funzione di Internal Audit e dello svolgimento del Piano approvato dal Consiglio di Amministrazione; è infatti il suo nome che viene segnalato alla Autorità di Vigilanza e non quello del Referente interno.

Il Referente interno della funzione deve invece predisporre la relazione annuale sulle attività svolte dalla funzione di Internal Audit da inviare alla Autorità di Vigilanza: ciò appunto per dimostrare di aver conservato la competenza richiesta oltre che di essere sul pezzo nella gestione dei rischi di esternalizzazione connessi.

 

 

Il comitato controllo e rischi e la sostenibilità

Secondo il Codice di Corporate Governance, nella versione di gennaio 2020 che entrerà in vigore nel 2021, il successo sostenibile è l’obiettivo che guida l’azione dell’organo di amministrazione e che si sostanzia nella creazione di valore nel lungo termine a beneficio degli azionisti, tenendo conto degli interessi degli altri stakeholder rilevanti per la società.

È interessante notare che il primo principio – quindi si potrebbe dire il più importante – che viene declinato nel ruolo dell’organo di amministrazione è che esso guida la società perseguendone il successo sostenibile.

Viene raccomandato che l’organo di amministrazione, tra gli altri compiti, definisca la natura e il livello di rischio compatibile con gli obiettivi strategici della società, includendo nelle proprie valutazioni tutti gli elementi che possano assumere rilievo nell’ottica del successo sostenibile della società; ciò significa che il diligente ruolo dell’organo di amministrazione deve necessariamente ed esplicitamente includere l’obiettivo di creazione di valore nel lungo termine, tenendo conto degli interessi degli altri stakeholder rilevanti per la società.

È compito del Presidente dell’organo di amministrazione prendersi cura che, tra l’altro, tutti i componenti degli organi di amministrazione e controllo possano partecipare, successivamente alla nomina e durante il mandato, a iniziative finalizzate a fornire loro un’adeguata conoscenza dei settori di attività in cui opera la società, delle dinamiche aziendali e della loro evoluzione anche nell’ottica del successo sostenibile della società stessa nonché dei principi di corretta gestione dei rischi e del quadro normativo e autoregolamentare di riferimento.

Non a caso, in tema di remunerazione, il primo importante principio suggerisce che la politica per la remunerazione degli amministratori, dei componenti dell’organo di controllo e del top management sia funzionale al perseguimento del successo sostenibile della società e tenga conto della necessità di disporre, trattenere e motivare persone dotate della competenza e della professionalità richieste dal ruolo ricoperto nella società; gli stessi obiettivi di performance, cui è legata l’erogazione delle componenti variabili, predeterminati, misurabili e legati in parte significativa a un orizzonte di lungo periodo devono essere coerenti con gli obiettivi strategici della società e devono essere finalizzati a promuoverne il successo sostenibile, comprendendo, ove rilevanti, anche parametri non finanziari.

Per quanto da più vicino ci riguarda, il Codice di Corporate Governance propone una integrazione alla definizione stessa di sistema di controllo interno e di gestione dei rischi, costituito dall’insieme delle regole, procedure e strutture organizzative finalizzate ad una effettiva ed efficace identificazione, misurazione, gestione e monitoraggio dei principali rischi, ora esteso ad includere a considerare esplicitamente il fine di contribuire al successo sostenibile della società.

Il Comitato Controllo e Rischi, tra gli altri compiti, valuta l’idoneità dell’informazione periodica, finanziaria e non finanziaria, a rappresentare correttamente il modello di business, le strategie della società, l’impatto della sua attività e le performance conseguite, coordinandosi con l’eventuale Comitato previsto dalla Raccomandazione 1, lett. a); questa raccomandazione si riferisce all’importante compito dell’organo di amministrazione, che esamina e approva il piano industriale della società e del gruppo ad essa facente capo, anche in base all’analisi dei temi rilevanti per la generazione di valore nel lungo termine effettuata con l’eventuale supporto di un Comitato del quale l’organo di amministrazione determina la composizione e le funzioni. Poiché a sua volta il piano industriale è il documento programmatico nel quale sono definiti gli obiettivi strategici dell’impresa e le azioni da compiere al fine di raggiungere tali obiettivi in coerenza con il livello di esposizione al rischio prescelto, nell’ottica di promuovere il successo sostenibile della società, ecco che la soluzione più comune già adottata e che molti adotteranno è quella di estendere nominalmente e sostanzialmente il ruolo del Comitato Controllo e Rischi, definendo lo stesso Comitato Controllo, Rischi e Sostenibilità, affinché estenda il proprio interesse ai temi inerenti il successo sostenibile e alla sostenibilità.

I reati tributari, tanto per parlarne

Non fosse stato per il COVID-19, non vi è dubbio che l’introduzione dei reati tributari nell’elenco dei reati presupposto per la responsabilità amministrativa degli enti sia stato per molti l’argomento preferito delle riunioni. Molti insistono che sia una rivoluzione epocale e che un aggiornamento del Modello di Organizzazione, Gestione e Controllo sia urgente e indispensabile e che, infine, la gestione del rischio – reato di natura tributaria sia un processo complesso e articolato e non si pensi di cavarsela con quattro principi di comportamento, insomma.

Andiamo con ordine.

In primo luogo, è facile ammettere che l’assenza dei reati tributari – per loro essenza e natura, essi sono inerentemente e intimamente correlati allo stesso fatto di fare impresa – nell’elenco dei reati presupposto fosse un’anomalia che era necessario sanare.

Che si tratti invece di rivoluzione epocale, è tutto da vedere.

“I reati tributari ora rilevanti quale presupposto della responsabilità amministrativa di impresa sono in verità rimasti pressoché immutati dal 2000”.

Prendiamo un esempio solo, quello relativo alla Dichiarazione fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti. Introdotto nell’aprile del 2000, il testo del reato è rimasto immutato fino a settembre 2011, quando viene abrogata l’attenuante applicabile altrimenti nel caso in cui l’ammontare degli elementi passivi fittizi fosse inferiore a circa 150 mila euro; nell’ottobre 2015 si elimina il riferimento annuale alle dichiarazioni; proprio recentemente, con l’introduzione dei reati tributari nell’elenco dei reati presupposto, si inasprisce la pena principale, che passa da un anno e sei mesi a sei anni e che viene elevata da quattro a otto anni e viene introdotta nuovamente l’attenuante nel caso in cui l’ammontare degli elementi passivi fittizi sia inferiore a 100 mila euro – quindi un valore minore rispetto all’originale abrogato nel 2011 – con una pena da un anno e sei mesi a sei anni – contro una pena originaria che andava da sei mesi a due anni, quindi nel complesso con una circostanza attenuante applicabile per importi più “contenuti” rispetto alla precedente soglia ma il cui trattamento sanzionatorio risulta complessivamente più favorevole del periodo in cui tale attenuante era stata abrogata.

Si vuole sottolineare che i reati tributari erano rilevanti per qualsiasi attività di impresa prima come lo sono oggi; l’inserimento dei reati tributari nel novero dei reati presupposto per la responsabilità amministrativa di impresa solo aggiunge una responsabilità, tra l’altro innanzi tutto pecuniaria, cui si aggiungono le sanzioni interdittive, di cui quella certamente di interesse a tutte le aziende è quella relativa al divieto di pubblicizzare beni o servizi, con durata non inferiore a tre mesi e non superiore a due anni.

Questa responsabilità, specie quella pecuniaria, colpisce comunque il patrimonio dell’impresa, tanto quanto colpisce il patrimonio l’inevitabile corredo di sanzioni amministrative indirizzate all’impresa nel ben più diffuso caso di violazione delle norme tributarie, senza che tale violazione rappresenti reato.

Infine, che il Modello di Organizzazione, Gestione e Controllo vada aggiornato siamo tutti d’accordo; l’adozione del Modello è un atto di auto-normazione, del tutto volontario; ma nel momento in cui si è deciso di seguire questa strada, gli amministratori non esprimono alcuna diligenza se decidessero arbitrariamente quali siano gli aggiornamenti necessari e quali invece gli aggiornamenti che possono essere ignorati o posticipati.

Viceversa, che l’aggiornamento del Modello costringa per forza ad adottare un Tax Compliance Framework, in altri termini un sistema di controllo interno di secondo livello dedicato alla gestione del rischio fiscale sta solo nella testa dei consulenti che già si leccano le dita al solo pensiero di partecipare all’implementazione di tale sistema e nel Rapporto Iniziative per il rilancio “Italia 2020-2022” prodotto dal Comitato di esperti in materia economica e sociale [http://www.governo.it/sites/new.governo.it/files/comitato_rapporto.pdf, paragrafo relativo agli interventi di urgenza in materia di Imprese e Lavoro, motore dell’economia].

 

Non fraintendiamo ciò che stiamo dicendo. Sarebbe assolutamente fantastico se si potesse davvero attuare un sistema di controllo interno di secondo livello dedicato alla gestione del rischio fiscale; pensiamo che prima però – sempre per rimanere in tema di responsabilità amministrativa delle società – sarebbe meglio incentivare i sistemi di controllo interno di secondo livello dedicati alla salute e sicurezza sul lavoro nei luoghi di lavoro e alla gestione dei rischi ambientali, perché la vita delle persone e la salubrità dell’ambiente in cui viviamo sono obiettivi ben più nobili; non ci risulta, tuttavia, che rispettivamente negli ultimi dodici anni [art. 25-septies Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro] e cinque anni [art. 25- undecies Reati ambientali] si sia mai parlato così tanto di sistemi dedicati alla gestione del rischio.

I controlli non piacciono a nessuno

I controlli non apportano valore alle cose, ma preservano e proteggono le cose dai rischi che su di queste incombono. Questa è la semplice e dura verità che bisogna accettare: non potete pretendere che le persone a lavoro siano particolarmente interessate ai controlli, in moltissimi casi.

Bisogna tuttavia comprendere cosa si intenda dire quando si afferma che i controlli non apportino valore. Tecnicamente le attività di controllo non trasformano un input in un diverso output; se tuttavia un’attività di controllo intercetta che qualcosa non vada nell’input – perché per esempio esso è di qualità inferiore a quella che era attesa – l’intervento correttivo che ne segue impedisce che il problema passi oltre e vada a propagarsi più a valle nel processo, con un effetto moltiplicativo a cascata delle conseguenze negative.

“In questo senso diciamo che i controlli preservano il valore; diciamo, in altri termini, che i controlli assicurano che il valore aggiunto che è già stato creato dalle attività precedenti – a volte senza difetti, a volte con difetti che possono e devono essere corretti in tempo utile – possa essere preservato per le attività a venire”.

È evidente che molte volte i controlli sembreranno non servire a nulla, perché non vi sono errori e difetti da correggere: tutto era andato bene fino a quel momento; paradossalmente i controlli sono quelle attività che sono messe in osservazione e in discussione quando non intercettano gli errori. Se tutto va bene, nessuno se ne accorge.

Pensiamo alla contabilità: un semplice errore di contabilizzazione di un fatto economico si cumula insieme ad altri errori e minaccia l’attendibilità del bilancio nel suo complesso. Le attività di controllo di linea cercano di prevenire o di rimediare a questi errori. Cattivo esempio, voluto, perché è evidente che un singolo errore contabile non potrà probabilmente mai minacciare da solo l’attendibilità del bilancio.

Immaginiamo allora che l’errore sia sistematico, sia generato per esempio da una logica errata a livello applicativo che genera errori ogni volta che gira il ciclo di fatturazione; forse, in questo caso, l’effetto cumulativo potrebbe davvero minacciare l’attendibilità del bilancio. Probabilmente neppure questo esempio ha solleticato l’interesse per i controlli, ne siamo sicuri.

Ciò non deve sorprendere, perché i controlli sono percepiti come importanti quando il valore che è a rischio è altrettanto importante.

Cambiamo esempio e immaginiamo la produzione alimentare di un prodotto fresco, facilmente deperibile e particolarmente soggetto a rischi di contaminazione; sulle etichette spesso si legge che il processo di produzione è soggetto a migliaia di controlli giornalieri. Questo vi rassicura, perché la salubrità del prodotto che portate in tavola è essenziale a preservare il valore della vostra salute. E quando avete bambini piccoli, la vostra attenzione alla qualità – si potrebbe dire ai controlli di qualità – aumenta, perché in qualche modo ciò che è a rischio vi sta ancora più a cuore.

Se ciò non ha colto nel segno, immaginiamo sappiate che ogni volta che un aereo si prepara al decollo, ci sono una serie di protocolli obbligatori, all’esterno e all’interno dell’aereo, tutti orientati a controllare che non ci siano anomalie. Nessuna di queste attività di controllo aggiunge in qualche modo valore all’esperienza di volo, ma se i controlli non fossero eseguiti correttamente o non fossero messi in atto nella corretta sequenza oppure non fossero proprio rispettati, ciò che ne va a rischio sarebbe la vita di coloro che sono a bordo. Improvvisamente ecco che il controllo interno diventa importante, perché è il rischio che altrimenti affrontate ad essere importante.

Il controllo ha senso di esistere se c’è un rischio che deve essere gestito; e il rischio deve essere gestito se ciò che ne viene altrimenti minacciato ha un valore importante.

La gestione dei rischi

La gestione dei rischi è un processo che si articola nell’individuazione, nella valutazione e nella gestione in senso stretto dei rischi, attraverso le misure di gestione comunemente chiamate controlli; qualora vi sia spazio e modo di gestire i rischi in maniera più adeguata o più efficace, si attiva una fase rappresentativa di un classico ciclo di Deming.

Il ciclo di Deming è un ciclo di PDCA, acronimo dall’inglese Plan–Do–Check–Act, in italiano Pianificare – Fare – Verificare – Agire; è un classico metodo di gestione iterativo in quattro fasi utilizzato per il controllo e il miglioramento continuo dei processi.

Di rischi se ne parla poco anche nella normativa più generale.
Nell’articolo 2381 del codice civile, il principale compito del Consiglio di Amministrazione nei confronti degli organi delegati, il quale sulla base delle informazioni ricevute valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società, richiede un rilevante esercizio di dottrina e di stile nell’intravedere il processo di gestione dei rischi nella sintetica espressione dell’assetto organizzativo.
Similarmente, quando l’articolo 2428 del codice civile dice che la Relazione sulla Gestione deve includere una descrizione dei principali rischi e incertezze cui la società è esposta, ciò si traduce spesso in una sterile e sommaria descrizione copiata di anno in anno, non integrata nella gestione e certamente non corredata di alcuna misurazione previsionale, né a consuntivo.
Nel Codice della crisi di impresa, che in qualche modo rappresenta il momento più patologico del conclamarsi di un mediocre processo di gestione dei rischi, le parole rischio o rischi appaiono una sola volta: è nell’articolo 187, rubricato Contratto di assicurazione.

“Non sorprende che, nel concreto, nelle aziende non si sviluppi una vera e proprio cultura di gestione del rischio”.

È innanzi tutto necessario ammettere che, nella gran parte delle aziende, il processo di gestione dei rischi sia raramente integrato con il processo di pianificazione strategica e non sia comunemente integrato con il processo di pianificazione e controllo.
Con riferimento alla pianificazione strategica, ciò comporta che i rischi più rilevanti siano spesso implicitamente considerati, piuttosto che esplicitamente identificati, valutati e gestiti dal Consiglio di Amministrazione; ci si riferisce ai rischi cosiddetti strategici e a quelli relativi alla sostenibilità delle attività nel lungo periodo.
D’altra parte, è ancora più raro che il processo di pianificazione e controllo consideri i rischi di natura operativa, ancorandoli agli obiettivi; o meglio che gli obiettivi operativi siano in qualche modo soppesati per i rischi che implicitamente ne minacciano il raggiungimento; ne consegue che spesso i soggetti apicali non gestiscono formalmente i rischi, con una chiara assegnazione di responsabilità, bensì li gestiscono sostanzialmente, nel bene o nel male, si potrebbe dire.
Se si volesse riassumere, si potrebbe affermare che il processo di individuazione, valutazione e gestione dei rischi è parte dei più ampi processi di gestione strategia tipici del governo societario e di gestione operativa del management.

Molto spesso, tuttavia, non vi sono strumenti e metodi formalmente adottati per questo importante processo; dire, con un eufemismo, che è un processo integrato nei più ampi processi di gestione significa ammettere candidamente che al più si tratta di un momento descrittivo necessario soltanto ai fini di qualche obbligo di conformità.

L’insostenibile leggerezza del consulente

Ci sono cose difficili da comprendere.

Tra queste c’è l’insostenibile leggerezza del consulente che tenta di argomentare, come scivolando sul vetro, soluzioni e proposte che non hanno ragione d’essere e, a volte, sono semplicemente sbagliate.

“C’è chi dice che sia una semplice questione di conoscenza: se non sai, non puoi consigliare nulla”.

Più probabilmente sono interpretazioni e soluzioni frettolosamente sviluppate; poi magari il consulente ci pensa sopra e comprende di non aver colto nel segno, ma ovviamente insiste nel difendere la propria creazione anche quando è chiuso nell’angolo.
L’esempio di scuola è quello dei delitti informatici di cui all’art. 24-bis del D. Lgs. 231/01; la Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, è stata adottata dal nostro paese nel 2008, introducendo una nuova famiglia di reati quali reati presupposto della responsabilità amministrativa delle società.

Sarebbe bastata una semplice e rapida lettura del testo di questi reati, come dei documenti di accompagnamento del disegno di legge, per comprendere che si tratta per lo più di atti criminali a danno di dati e sistemi. Il fascicolo del Servizi Studi della Camera dei Deputati [n. 249 del 24 settembre 2007, A.C. 2807] chiarisce il concetto già nelle prime pagine: si tratta, per citare un caso a titolo esemplificativo, di danneggiamento di sistemi informatici o telematici altrui. Buon senso direbbe che quindi, per quanto riguarda la responsabilità amministrativa delle società, stiamo parlando di danneggiamento di sistemi informatici o telematici altrui con interesse o procurato vantaggio per la società i cui soggetti apicali o i dipendenti hanno commesso il reato.
Insomma, stiamo parlando di attività sensibili caratterizzate da una condotta criminale particolarmente grave, con una componente psicologica dolosa evidentemente forte e che richiedono tra l’altro una competenza tecnica e strumentazione sofisticata per essere portate a segno; il tutto – non dimentichiamo – procurando danni ad altri e interesse o vantaggio per chi mette in atto questi comportamenti criminali.
Ti aspetteresti di non trovare situazioni di questo tipo nelle aziende comuni:

  • primo perché non è facile immaginare perché mai un’azienda industriale che fa laminati si metta a pensare, in qualche modo, a danneggiare e rendere inservibili i dati e i sistemi del concorrente per averne un vantaggio;
  • secondo perché la competenza media IT degli utenti in azienda rende ricche le società che fanno outsourcing dell’Help Desk IT.

Invece prendi la Parte Speciale dedicata ai delitti informatici e ci trovi venti pagine di protocolli di controllo a presidio dei propri sistemi dagli attacchi altrui, insomma una manuale di sicurezza informatica degna dei servizi tecnologici di una banca nazionale. Che poi, per carità, non c’è niente di male a proteggere i propri sistemi dagli attacchi altrui, anzi è cosa buona e giusta. Semplicemente non c’entra nulla con i reati informatici commessi a danno dei dati e sistemi altrui con proprio interesse o vantaggio, insomma con un proprio beneficio o tornaconto.
A quel punto fai un bel respiro e chiedi al consulente che ti ha preceduto [brutta storia trovarsi in questa situazione, ma capita] perché mai si sia imposto al cliente di adottare un ISO 27001 a protezione dei propri sistemi e delle proprie informazioni se al massimo ciò che rilevava erano i dati e i sistemi altrui. L’insostenibile leggerezza del consulente allora ti guarda e ti spiega che è tutto necessario per proteggere in via precauzionale il traffico Internet in uscita su un normale browser e i messaggi di posta elettronica in uscita, perché – non si sa mai – potrebbero contenere un virus che passiamo ad altri.

Mai che invece dica che si è trattata di una mera iniziativa commerciale di bassa lega: il cliente voleva un semplice taglio e piega, ma lo hai convinto a fare anche il colore.

Lavora e studia: un modo di essere “operàri”.

Spesso pensiamo che l’ultimo giorno del corso di laurea rappresenti in qualche modo il passaggio definitivo dai tempi dello studio ai tempi del lavoro.

Niente di più falso.

Forse l’unica vera differenza è che nel lavoro ci è permesso di studiare davvero le cose che ci appassionano; per carità, ciò dovrebbe essere vero anche nel periodo ufficiale in cui siamo studenti, ma dobbiamo ammettere che non sempre siamo così fortunati.

“La verità – la cruda e dura verità – è che non si smette mai di studiare e di imparare; non si smette mai di imparare e di insegnare ad altri, perché il cerchio si chiude e la conoscenza non ha alcun diritto di proprietà; essa è di tutti, va condivisa, deve essere preservata, coltivata, raccolta gelosamente”.

Così noi siamo. Seminiamo conoscenza, con la passione di coloro che sono più esperti; ed è onestamente gratificante sapere che altri, con serio interesse, raccolgano i frutti della nostra esperienza. E coloro che sono più esperti, non lo sono per sempre, se non sono affamati di sapere, di nuove conoscenze; regrediscono e non progrediscono invece se sono convinti di sapere oramai tutto.

La formazione è teoria, metodo e applicazione del metodo. Non si fa solo in aula, non si fa solo sui libri, non si fa solo sul campo. Noi chiediamo alle persone di studiare sempre, di parlare di metodologia, di leggere libri e di scrivere articoli, di ascoltare le esperienze e di condividere il proprio punto di vista.

Siamo altresì convinti nella validità dei programmi di certificazione delle professionalità, promossi a livello nazionale e internazionale da autorevoli enti ed autorità di settore; riconosciamo per esempio che centosessanta mila Certified Internal Auditor (CIA) nel mondo non abbiano studiato per caso, non abbiano superato gli esami senza sacrificio e siano anzi la conferma che la nostra professionalità non abbia confini geografici e che anzi apra le porte ai sogni di ciascuno.

Per questa ragione, da noi non si smette mai di studiare e non si finisce mai di imparare. Lo affermano anche coloro che sono stati con noi e poi hanno sviluppato il proprio successo professionale altrove.

Studia e lavora. Lavora e studia.

Smart working? In stile operàri.

Per noi lavorare significa innanzi tutto stare con gli altri, perché audit viene dal latino e significa ascoltare; tra le tecniche classiche di audit, l’osservazione presuppone che si possa vedere di persona le cose.

Sembra quindi, sulla carta, impossibile parlare di smart working nel nostro caso. E invece noi facciamo smart working in via sperimentale già da prima dell’approvazione formale della normativa in materia di lavoro agile e poi formalmente dall’inizio del primo anno utile successivo all’approvazione della legge.

Era il 2018.

Per noi smart working non significa chiedere permesso per lavorare da casa una volta alla settimana. C’è molta gente in giro che chiama lavoro agile il semplice diritto di chiedere autorizzazione a lavorare in maniera un poco più flessibile il venerdì di fine giugno.

“Per noi smart working significa credere realmente che ciascuno sia capace di organizzare in autonomia la propria giornata lavorativa, rispettando gli impegni con i clienti e con i colleghi, perché non si lavora mai da soli e non si è mai un’isola”.

Per noi smart working è raggiungere gli obiettivi di squadra – e non soltanto i propri obiettivi – indipendentemente dal luogo e dai tempi; è avere la piena consapevolezza che si lavora insieme – magari distanti – e che si va avanti se si agisce insieme e non solo uno per uno.

Certo la tecnologia fa la differenza; i nostri processi operativi fanno tesoro di soluzioni tecnologiche cloud che permettono di lavorare in ogni luogo, con accesso alle informazioni e alla condivisione delle informazioni.

Il luogo fisico del lavoro ha senso di esistere soltanto se ha la sua concreta utilità; ci sono cose che si possono fare soltanto fisicamente dal cliente e non c’è lavoro agile che tenga; ci sono momenti in cui il confronto tra noi merita di essere onorato in un luogo prezioso e in SPACES abbiamo spazi informali per parlare, terrazze per chiacchierare, stanze riunioni per ragionare; ci sono modi per lavorare insieme senza passare per incurabili presenzialisti; ci sono strumenti per aprire una finestra con i nostri clienti e farli sentire a casa nostra e noi a casa loro, senza la necessità di essere presenti fisicamente.

La prossima volta che vi parlano di smart working, non fermatevi semplicemente al titolo.

Ritorno alla consulenza

Dopo più di dodici anni nel ruolo di General Counsel in aziende nazionali e multinazionali, ho deciso di ritornare alla consulenza ed ho costituito operàri lex, uno studio legale affiliato alla rete operàri .

In operàri ho trovato tutto quello che ho sempre ricercato nei consulenti: serietà, professionalità, coraggio nel prendere posizione; coerenza ed onestà nella proposizione commerciale e nella realizzazione dei progetti.

In questo percorso, che dura oramai da un quinquennio, ho imparato, con operàri, a costruire relazioni di durata con i Clienti, basate sulla fiducia e sulla stima reciproca:

  • ho contribuito alla costruzione di un ambiente di lavoro che valorizza le capacità personali e fa delle diversità un valore aggiunto;
  • ho riscoperto il piacere di appassionarmi al business dei Clienti ai quali offrire un servizio artigianale e sartoriale,
  • ho ritrovato tutti i plus di lavorare in team e far si che ogni progetto di diverso dagli altri.

“Ho contribuito a garantire e ad assicurare che ogni Cliente abbia il suo ed esclusivo risultato costruito con passione ed attenzione ai dettagli ed alla qualità del “prodotto” finale a misurare la qualità del nostro lavoro e l’apprezzamento dei Clienti”.

E tutto sulla base dei sorrisi e del tempo che i Clienti stessi volentieri ci dedicano.

Gabriele Ambrogetti