Senza fare particolari distinzioni per tipologia di azienda, settore di riferimento o posizione geografica, probabilmente sono quasi inesistenti le imprese che rifiutano l’opportunità di gestire con più efficacia i rischi, ridurre i costi della compliance o evitare “sviste” pericolose. Ancor di più in periodi turbolenti e condizioni di mercato incerte che comportano una serie di conseguenze non solo di rilievo economico. Le normative intervengono con parametri e tempi di attuazione sempre più stringenti per le imprese (anche alla luce dei fatti di “cronaca” legati alle turbolenze dei mercati finanziari) e questo, laddove non esiste in azienda un approccio strutturale e di prospettiva, causa spesso difficoltà e rallentamenti, oggi sempre più difficilmente sostenibili. La possibilità, e opportunità, di agire attraverso soluzioni che garantiscono una migliore gestione del rischio, un maggiore governo delle tecnologie e dei ruoli, nonché la capacità di integrare nuove normative e parametri in un ambiente predisposto, nelle sue linee generali, a queste continue variazioni, rappresenta un elemento di flessibilità e time-to-market davvero strategico. Sempre che si riesca a costruire un ecosistema (tecnologico ed organizzativo) adeguato.
Già perché il problema non è banale, evidenzia Chris McClean, analista di Forrester. L’interesse sempre maggiore alle tematiche della Grc, Governance, Risk and Compliance, ha spinto i vendor a proporre le proprie tecnologie con la promessa di soluzioni uniche e omnicomprensive che talvolta hanno disorientato le aziende approcciando la tematica, di conseguenza, in modo molto cauto. “Il segreto è riuscire a filtrare le promesse dei vendor identificando le tecnologie più adatte alle proprie necessità implementando poi le soluzioni come un puzzle tecnologico”, dice McClean. “Un puzzle che deve però seguire un approccio business oriented e una strategia olistica che permetta di avere la visione d’insieme”.
I livelli di un ecosistema GRC
Sono molte le tecnologie che indirizzano le tematiche della Governance, Risk and Compliance in relazione alle esigenze che l’azienda ha a vari livelli. Anche se, idealmente, la Grc è una tematica “executive-level”, una visione olistica richiede di valutare la Grc ad almeno cinque differenti livelli dell’organizzazione: It Infrastructure; business; Grc support; Risk/Compliance; Governance.
Figura 1 – I cinque livelli che compongono l'ecosistema Grc
(cliccare sulla figura per visualizzarla correttamente)
Cinque livelli che compongono quello che Forrester identifica come un ecosistema tecnologico di Grc, dove per ogni singolo livello corrispondono esigenze e soluzioni specifiche.
– 1) It Infrastructure Layer: a questo livello troviamo tutto ciò che ha a che fare con le informazioni ossia le tecnologie che garantiscono e controllano l’accesso e l’utilizzo delle informazioni secondo quanto richiesto dal business in virtù di policy, normative o in ragione della gestione dei rischi (sistemi di monitoraggio e controllo della rete, del web, dei dati, delle infrastrutture server e storage, ecc.).
– 2) Business Layer: in questo caso le tecnologie assicurano che le operation seguano le policy aziendali (siano esse dettate da normative esterne o provenienti dall’interno dell’organizzazione). In questo caso, dunque, si parla di sistemi di monitoraggio e controllo che si integrano e interfacciano con sistemi di business come gli Erp, il Supply Chain Management, l’Hr management, o gestionali in ambito Finance, vendita, produzione, ecc.
– 3) Grc Support Layer: è a questo livello, secondo Forrester, che si iniziano a vedere le prime piattaforme integrate di Grc, soprattutto per quanto riguarda l’It Governance, Risk and Compliance. In sostanza, a questo livello troviamo dashboard e console di gestione del rischio e della Compliance in ambito It che, se integrate adeguatamente, diventano strumenti in grado di fornire informazioni utili a una gestione e controllo di livello superiore. Rientrano in questo livello anche tutte le tecnologie che inglobano alcune funzionalità di Grc o che possono dare origine a informazioni e dati utili da un punto di vista di Enterprise Governance Risk and Compliance (informazioni finanziarie o legali, per esempio, o dati che provengono dalla gestione degli asset, dal quality management, ecc.).
– 4) Risk/Compliance Layer: a questo livello si definiscono le regole per le business operations. Tecnologicamente parliamo di piattaforme: da un lato, di It Grc, per la gestione e i controlli relativi ai rischi It; dall’altro, di Enterprise Grc, per il tracciamento dei processi (gestione delle policy e delle procedure; gestione dei rischi; gestione delle azioni di intervento, ecc.). Tutte tecnologie necessarie per raggiungere il livello più alto dell’ecosistema, quello che consente di allineare le performance con gli obiettivi di business.
– 5) Governance Layer: dai dashboard e gli strumenti di analytics per la gestione e il controllo dei rischi e della Compliance a livello Enterprise, agli strumenti di corporate reporting, auditing management, corporate social responsibility management, board/entità management. Rientrano in questo livello tutte le tecnologie finalizzate al controllo e al governo delle performance aziendali (in relazione a rischi, policy, normative, ecc.) in relazione agli obiettivi di business.
Come ben delineato da Forrester, dunque, parlare di Grc significa fare riferimento a diverse aree di business per le quali sono oggi disponibili molteplici soluzioni. L’ecosistema disegnato dall’analista potrebbe rappresentare un valido strumento per meglio comprendere l’offerta dei singoli vendor, oltre ad essere usato come traccia in funzione di una evoluzione tecnologica cui tendere.
Se è vero, infatti, che la Grc invade l’azienda nel suo insieme, è importante sottolineare il ruolo primario dell’It. Il dipartimento It è soggetto alla Grc e deve dotarsi di processi adeguati al proprio interno, così come gli altri dipartimenti aziendali, ma è al tempo stesso l’oggetto attraverso il quale implementare in azienda l’ecosistema prospettato da Forrester.
L’It è fondamentale per la fattibilità e la sostenibilità della strategia Grc, non solo perché è solo grazie alla tecnologia che si possono raggiungere i massimi livelli di efficacia ed efficienza, ma anche perché detiene l’adeguata conoscenza e visibilità dell’intero spettro di processi di business coinvolti.
L’esperienza di chi ha già fatto strada
Sulla base di una ricerca che Forrster ha condotto di recente sul tema negli Stati Uniti, intervistando circa 70 responsabili in ambito risk and compliance e raccogliendo le esperienze maturate in seguito all’avvio di progetti di implementazione o integrazione di piattaforme di Grc, l’analista fornisce alle imprese alcuni suggerimenti.
Innanzitutto ricordarsi sempre che introdurre logiche di Grc in azienda significa dar vita a un processo in continua evoluzione, che non si esaurisce con la sola implementazione tecnologica ma che necessita di essere continuamente “alimentato” secondo logiche di business e non tecnologiche.
Gli aspetti organizzativi, come sempre, sono fondamentali; nelle aziende più evolute si assiste all’ingresso di figure nuove con competenze specifiche che si occupano di business risk, di compliance, di affari legali o di internal audit, anche se rimane del Cio il compito di portare all’attenzione di questi attori le questioni tecnologiche (fornendo loro un quadro quanto più chiaro possibile dello stato dei sistemi e degli impatti, economici, tecnologici e organizzativi delle diverse scelte implementative).
Dal punto di vista meramente tecnico, comunque, è bene prendere in considerazione il fatto che è bene informatizzare e automatizzare tutto ciò che è possibile , perché questo semplifica di molto gli aspetti di gestione e controllo, oltre a ridurre i costi.
E dall’esperienza delle aziende, da Forrester arrivano consigli anche sul rapporto con i vendor:
– il mercato Grc è basato su una relazione diretta e molto stretta tra vendor e aziende utenti, dato che è ancora tutto in evoluzione; è la situazione ideale per costruire un rapporto di sinergia grazie al quale l’azienda utente può “sfruttare” suggerimenti e best practice gratuite;
– bisogna essere chiari su ciò che ci si attende e dettagliare bene le proprie necessità per assicurarsi l’adeguato supporto; chiarezza che deve venire da entrambe le parti. Il vendor deve essere chiaro circa le performance raggiungibili e i costi da sostenere, nonché garantire presenza e supporto in previsione di evoluzioni future (magari fornendo una roadmap della propria evoluzione tecnologica);
– prevedere da subito ostacoli e intoppi. Tenendo conto dello spazio sempre più importante che sta avendo la tecnologia in ambito Grc e le sue potenzialità di espansione, va ricordato che anche per i vendor molte aree sono inesplorate e in fase di maturazione. Il successo, almeno in questa fase temporale, va costruito insieme.
