Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Governance, Risk and Compliance: quale approccio?

pittogramma Zerouno

Governance, Risk and Compliance: quale approccio?

25 Ago 2009

di Nicoletta Boldrini

Così come per i progetti di business, anche l’implementazione di piattaforme di Grc deve seguire un percorso che non è dato solo dalla scelta e dall’installazione della tecnologia. Impattando direttamente sull’organizzazione e trattandosi di soluzioni di valore principalmente diretto al business, un progetto di questo tipo richiede il coordinamento degli obiettivi e delle aspettative, nonché delle differenti risorse. Forrester suggerisce alcune best practice in merito

Anche in tempi di crisi e con tagli di budget che sembrano prolungarsi nel tempo, il mercato della sicurezza cresce. Secondo Forrester Research (www.forrester.com) le ragioni sono diverse: innanzitutto proteggere dati e informazioni è diventato un dovere, sia a causa delle minacce legate al furto di dati, sia in relazione agli obblighi normativi. La sicurezza It è infondo alla lista dei tagli dei progetti “business-oriented” (considerando che è aumentata la consapevolezza della sicurezza come importante valore di business) ed è quindi “al riparo” da eventuali “blocchi” progettuali. E la ragione sta appunto in quella comprensione del suo valore per l’azienda. Secondo Forrester, inoltre, la sicurezza ha saputo sempre più allinearsi alle esigenze del business (con una spinta derivante soprattutto dalla Compliance); sono sempre più i responsabili It e della sicurezza che si occupano di tematiche come Compliance, Risk Management, Business Continuity non solo in relazione all’infrastruttura tecnologica ma anche dal punto di vista di processi di business (che per il Cio o il Cso significa interagire con le altre linee di business, avere una vista strategica, confrontarsi con il business, ecc.). Infine, non va dimenticato che le minacce continuano ad aumentare e, di conseguenza, la soglia di sicurezza deve continuamente essere alzata. Forrester precisa infatti come il taglio di budget di altre tecnologie in azienda si traduca semplicemente nel continuare a fare ciò che si faceva prima con gli strumenti già a dispozione; nel campo della sicurezza, non adeguarsi significa abbassare la soglia di protezione ed esporre l’azienda a maggiori rischi.
    Secondo la società di analisi, il mercato della sicurezza It, già a partire dal 2009, sarà guidato sempre più da esigenze di business e, soprattutto, dalla capacità di supporto nella gestione della complessità (intesa come infrastrutture It ma anche come complessità organizzativa aziendale, dovuta da fattori sia interni che esterni). Nel 2009, e nei prossimi anni, i dipartimenti di sicurezza lavoreranno sempre più a stretto contatto con i business manager per meglio comprendere quali sono le minacce (e la complessità) per il business e attuare quindi le giuste politiche di intervento, comprese le iniziative It (che, naturalmente, non devono tradursi in ulteriore rischio o complessità ma, anzi, essere driver di efficienza).  
    In questo contesto, i vendor devono comprendere come questi atteggiamenti cambieranno il mercato della sicurezza e adeguare quindi la loro strategia e offerta. 
   
Grc: mercato in crescita
    Quello della Grc, Governance, Risk and Compliance, per esempio, è un nuovo segmento di mercato, che sta attirando le attenzioni di molti operatori, anche quelli che “tradizionalmente” non si occupano di sicurezza (perché si tratta di soluzioni che richiedono l’integrazione con i processi di business).
    Secondo Forrester, il mercato mondiale delle piattaforme software Grc continuerà a crescere regolarmente nei prossimi quattro anni: arriverà a 590 milioni di dollari per la fine del 2009 e si prevede che arrivi a 1,3 miliardi di dollari nel 2011. Dal punto di vista tecnologico, il percorso di maturazione è ancora in atto ma i vendor continuano a rilasciare soluzioni sempre più aggiornate e con funzionalità e caratteristiche sempre più avanzate.
    Secondo Chris McClean, analista di Forrester (nella foto in alto), ancor più “impressionante” è il cammino che stanno compiendo le aziende utenti. Fino a un paio di anni fa questi tre ambiti della sicurezza erano considerati in maniera distinta all’interno delle organizzazioni (anche come soluzioni tecnologiche); oggi le aziende si stanno muovendo verso sistemi sempre più integrati perché hanno compreso i vantaggi derivanti da un simile approccio: riduzione dell’esposizione al rischio, costi di gestione ridotti, costi di verifica e controllo ridotti, operazioni di analisi e controllo semplificate e più veloci, maggior conformità normativa. 
    Attenzione però, dice Forrester, per riuscire a trarre questi benefici è bene seguire delle best practice e avere un efficace programma progettuale perché si tratta di tecnologie che impattano, prima di tutto, sui processi di business.
   
Best practice: i consigli di Forrester
    Per identificare i passaggi chiave di un progetto Grc, Forrester ha intervistato 21 professionisti americani che hanno implementato con successo questo tipo di piattaforme. Si tratta di professionisti che sono a capo di dipartimenti di risk management, information security, compliance o controllo finanziario di aziende di grandi dimensioni di un vasto spettro di settori merceologici (servizi finanziari, manufacturing, high-tech, logistica, life sciences, energy). Si tratta di un’analisi su un campione ridotto, è vero, e su un bacino di utenza che poco somiglia al tessuto aziendale europeo e italiano, ma i consigli che ne derivano possono rappresentare un significativo riferimento per aziende di ogni tipo. Il fattor comune è dato dal seguire un approccio quanto più strutturato ed organizzato possibile, in modo da sfruttare poi al massimo le potenzialità insiste nella tecnologia. Benché, infatti, la natura e la portata dei progetti analizzati da Forrester siano diverse da caso a caso, i metodi seguiti per il raggiungimento dell’obbiettivo sono nella maggior parte dei casi molto simili.
    Tre le best practice individuate da Forrester:
     1. Iniziare dalla sponsorship del management (ossia individuare i responsabili delle varie aree legate a risk, audit, sicurezza, compliance, ecc. e i responsabili di processo; trattandosi di un progetto che coinvolge l’intera organizzazione, è fondamentale che ci sia cooperazione tra i vari top manager). In particolare, Forrester suggerisce di iniziare dall’analisi dei processi esistenti e dalle persone che ne sono coinvolte: “queste persone – si legge nel report – sono in grado di individuare gli impatti che un progetto potrebbe avere sul processo all’interno del quale sono coinvolte, così come identificare le aree di miglioramento e i benefici derivanti da eventuali automatismi o integrazioni con altri processi” (inoltre, non è ipotizzabile ridisegnare ex novo tutti i processi in virtù di un progetto, sebbene di valore per il business; risulterebbe oneroso sia economicamente sia come sforzo organizzativo). Non solo: affinché un progetto Grc abbia successo, è fondamentale che i responsabili trasferiscano alle persone dei messaggi “sartoriali” ossia ritagliati a seconda delle specifiche esigenze (i benefici per il dipartimento legale, per esempio, saranno diversi da quelli del dipartimento di gestione del rischio; è importante che ognuno comprenda e colga l’opportunità in base alle proprie necessità prima ancora che a livello globale per l’intera organizzazione). Infine, dice Forrester, ricordare sempre che la tecnologia da sola non basta. Le piattaforme Grc innescano automatismi e sistemi di monitoraggio e controllo efficaci solo se alla base c’è un approccio organizzativo chiaro e partecipativo.   
     – 2. Avere sempre la vista d’insieme (i programmi Grc coinvolgono svariati processi e richiedono anche diverse tecnologie; una volta compresi gli effetti sulla propria struttura, è fondamentale che tutte le persone coinvolte abbiano anche una vista univoca di quelle che sono le esigenze e, quindi, gli obiettivi). Uno dei consigli di Forrester è redigere una sorta di roadmap del progetto, in modo che sia immediatamente chiaro a tutti il punto di partenza e quello di arrivo e quindi siano comprensibili anche le varie fasi dell’iniziativa (chi verrà coinvolto, come, quando, ecc.). Dal punto di vista organizzativo, una volta avviato il progetto Grc, è bene stabilire obiettivi e responsabilità e monitorarle (in modo che ci sia controllo non solo a livello di attività legate al Grc ma anche sui processi e le persone coinvolte).  
     – 3. Portare il Grc all’interno della cultura aziendale (proprio perché coinvolge persone e processi su più livelli, l’intera organizzazione deve collaborare). Significa che una volta conclusa la fase di implementazione della tecnologia e del progetto globale di Grc, tutti i gruppi coinvolti (executives, responsabili di processo, responsabili organizzativi, owner di dipartimento, ecc.) devono essere costantemente aggiornati e informati (il Grc dovrebbe diventare una vero e proprio strumento strategico per le decisioni aziendali; motivo per cui è fondamentale anche che si individui la tecnologia più adatta e in linea con il modus operandi dell’azienda e le sue criticità).  
   
Next practices
    Per concludere, Forrester aggiunge due note che, sebbene non emerse come elementi comuni negli approcci al Grc analizzati per redigere le best practice sopra riassunte, sono fondamentali per una corretta implementazione del Grc (inteso come piattaforma tecnologica ma anche come progetto strategico nel suo insieme): integrare i dati provenienti dai sistemi business (Erp, HR mangement, Crm, ecc.) con i tools di gestione del rischio e della compliance per elevare il livello di conoscenza e attuare tutti gli interventi necessari; tracciare metriche per la gestione del rischio e delle performance applicabili sia a livello generale sia per specifiche operations o applicabili a singole business unit in modo da ridurre i rischi di perdite (economiche ma anche in termini di efficienza produttiva e/o organizzativa) e migliorare l’efficienza aziendale su più livelli.

Nicoletta Boldrini

Giornalista

Articolo 1 di 5