Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Risk, governance e compliance ancora in ordine sparso

pittogramma Zerouno

Risk, governance e compliance ancora in ordine sparso

20 Gen 2009

di Riccardo Cervelli

Secondo un’indagine commissionata da Oracle alla Economist Intelligence Unit, sono ancora poche le aziende che hanno implementato sistemi di gestione integrata dei rischi, della compliance e della corporate governance. Il ruolo che i dipartimenti It possono assolvere nell’affrontare queste tematiche è ampiamente sottovalutato. Ma le cose potrebbero cambiare nel prossimo futuro. Se non altro per una questione di costi

Quanto è efficace il ruolo dei dipartimenti It nel supportare la gestione dei rischi in un’epoca in cui si assiste a un continuo aumento delle normative che riguardano questo tema? L’argomento è stato oggetto di un sondaggio realizzato dall’ Economist Intelligence Unit per conto di Oracle. L’indagine, dai risultati nient’affatto incoraggianti, ha mirato soprattutto a verificare quanto siano state integrate, fino a questo momento, le attività di risk management, governance e gestione delle compliance. Il survey, condotto nei mesi di aprile e maggio 2008, ha interessato 195 executive, il 55% dei quali di livello C, con i Ceo rappresentanti il gruppo più ampio del campione (28%). Le aziende, assortite per dimensioni, appartenevano a diversi comparti economici, inclusi i servizi finanziari, il manufacturing e l’industria farmaceutica. L’85% degli intervistati faceva parte delle funzioni strategia, finanza e risk management. “Quello che mi ha maggiormente colpito – spiega Clint Witchalls, senior editor Economist Intelligence Unit Industry & Management – è che, a dispetto dell’aumento delle normative e delle personali liability che molti chief executive officer e chief financial officer si ritrovano ad affrontare in caso di non compliancy, tematiche come governance, risk e compliance non sono ancora veramente integrate nelle organizzazioni. Considerato il numero di persone che dovrebbero beneficiare di una maggiore integrazione, è sorprende notare quanto invece questa sia ancora limitata e quanto il ruolo dei dipartimenti It sia ancora largamente sottovalutato”. Solo il 13% degli executive intervistati, infatti, ha definito “molto integrate” le iniziative di risk, governance e compliance delle proprie aziende. Il 46% ha descritto le iniziative come “in qualche modo integrate”, il 21% come “né integrate né separate”, il 15% come “separate” e il 5% come “molto separate”. Il livello più elevato d’integrazione si riscontra nelle società di servizi professionali (32% dei rispondenti molto d’accordo sull’unificazione delle iniziative nella propria azienda), in quelle finanziarie (17%) e in generale in quelle con un fatturato superiore ai 10 miliardi di dollari (20%). Nessuno ha giudicato “molto integrate” le iniziative della propria azienda nel settore del manufacturing, dove poco più della metà dei rispondenti (53%) le ha valutate come “in qualche modo integrate”. A definirle in questo modo è ancora il 60% dei rispondenti appartenenti al settore finance, l’11% di quello che lavora nei servizi professionali, e il 57% in generale di chi opera in realtà con un fatturato superiore ai 10 miliardi di dollari. All’incirca un terzo degli intervistati definisce il ruolo dell’It “moderato” negli sforzi di corporate governance, compliance, e risk management. Una percentuale più o meno analoga lo definisce piccolo. Solo un intervistato su cinque lo giudica importante. Le percentuali variano a seconda del tipo di attività considerata (vedi figure 1 e 2)

Figura 1: Qual è il ruolo del dipartimento It nel supporto alla corporate governance della vostra azienda? (% intervistati)
(cliccare sull’immagine per visualizzarla correttamente)

Figura 2: Qual è il ruolo del dipartimento It nel supporto alla vostra unità nel rispetto delle normative? (% intervistati)
(cliccare sull’immagine per visualizzarla correttamente)

Se sommiamo le percentuali di chi considera “moderato” o “grande” il ruolo dell’It in rapporto alle tre diverse discipline, troviamo che l’ambito in cui il peso dei dipartimenti informatici è meglio considerato è quello della compliance (61%), seguito da quello della gestione e del controllo dei rischi (52%) e da quello della corporate governance (50%). In generale, comunque, ci troviamo di fronte a tre temi rispetto ai quali le imprese non hanno ancora espresso tutte le loro potenzialità. Solo il 5% degli intervistati ritiene “molto maturi” i processi di risk, governance e compliance della propria azienda. Poco più di un terzo (34%) li considera “maturi”, poco meno (31%) “né maturi né sottosviluppati”, quasi uno su quattro (23%) “immaturi” e un 7% addirittura “molto immaturi”. In oltre metà delle organizzazioni, in definitiva, risulta esserci ancora molto da fare. Quali sono allora gli ostacoli principali sulla strada di una buona implementazione di strategie di risk, governance e compliance? Il 19% del campione mette al primo posto la “scarsa cultura” su queste tematiche. Una percentuale all’incirca analoga (18%) attribuisce il ritardo nell’implementare strategie efficaci di risk, governance e compliance all’inesistenza di misurazioni delle performance dei manager rispetto a questi obiettivi. Il 12% degli intervistati, invece, considera come maggiori ostacoli la scarsa documentazione o la cattiva definizione dei processi di business. L’11% segnala la mancanza di collaborazione tra business unit e dipartenti. Budget insufficienti sono invece il maggiore ostacolo per l’8% del campione, seguiti dalla mancanza di commitment da parte del management (7%) e dal mancato supporto da parte dell’infrastruttura It (6%). Il 4% indica infine genericamente altre cause, mentre il 13% ritiene che non ci siano ostacoli, o che comunque quelli proposti non lo siano (vedi figura 3).

Figura 3: Qual è il maggiore ostacolo nell’implementazione di una corretta strategia di risk management, compliance, e governance nella vostra azienda? (% intervistati)
(cliccare sull’immagine per visualizzarla correttamente)

L’esistenza di problemi sia di natura strategica (la mancanza di cultura su queste soggetti, la non predisposizione di controlli sulle performance, la scarsità di documentazione, la cattiva definizione dei processi) sia organizzativa (budget insufficienti, mancanza di commitment da parte del management, insufficiente supporto da parte dell’It) si spiega con un atteggiamento ancora fortemente “reattivo” e non “proattivo” da pare delle aziende verso risk management e compliance. Per il 61% degli intervistati, l’approccio della propria organizzazione verso queste due tematiche è “largely reactive”, solo per il 34% “largely proactive”. Non sa rispondere il 5%.

Ceo, Cio, Cfo: affrontare insieme i problemi
Sulle probabilità di incremento delle normative e su quali tematiche incideranno maggiormente in azienda nei prossimi anni (sempre in tema di sicurezza), o potrebbero incidere le normative e l’approccio aziendale, si registrano pareri discordati. Alla domanda “Quali benefici apporterebbe all’organizzazione affrontare in modo ottimale queste tematiche?”, il 77% del campione indica, molto pragmaticamente, la riduzione dei rischi, mentre un 53% indica anche un “aumento dell’efficienza”. Solo il 25% risponde che potrebbe aumentare la “fiducia da parte degli shareholder”. Alla domanda se – grazie anche a sistemi più flessibili e a strutture orientate ai processi – la loro organizzazione potrebbe affrontare la prossima sfida normativa con un minimo impatto negativo, risponde positivamente il 65% degli intervistati, no il 19% e non so il 16%. Un maggiore sforzo nell’integrazione, basata sull’It, delle iniziative di risk, governance e compliance è, secondo Witchalls, prevedibile nel prossimo futuro. “Se non altro – spiega – per una questione di costi. Alle imprese costa troppo sostenere un enorme portafoglio di applicazioni separate e con diversi punti di sovrapposizione”. Un ruolo importante nella razionalizzazione e integrazione delle iniziative possono giocarlo i dipartimenti It. “I responsabili It si trovano in una posizione che permette loro di avere una visione complessiva dei processi di un’azienda e di notare le duplicazioni. Le aziende potrebbero quindi mettere insieme il chief executive officer, il chief financial officer e i responsabili dei diversi team per affrontare insieme i problemi”. Sono molte, rileva Witchalls, le figure interessate in prima persona dai temi di risk, governance e compliance. Sarebbe sorprendente se nei prossimi anni non si assistesse a un deciso cambiamento di marcia nel modo di affrontare queste problematiche.

Figura 4: Prevedete un aumento delle normative nei prossimi tre anni? (% intervistati)
(cliccare sull’immagine per visualizzarla correttamente)

Tutti i grafici sono di fonte Economist Intelligence Unit, Aprile 2008/Oracle

Riccardo Cervelli
Giornalista

57 anni, giornalista freelance divulgatore tecnico-scientifico, nell’ambito dell’Ict tratta soprattutto di temi legati alle infrastrutture (server, storage, networking), ai sistemi operativi commerciali e open source, alla cybersecurity e alla Unified Communications and Collaboration e all’Internet of Things.

Articolo 1 di 5