Le soluzioni GRC (governance, risk, compliance) costituiscono un mercato molto variegato del software enterprise. Dai vendor si possono acquistare suite progettate per aiutare i responsabili di business, delle compliance o della sicurezza IT a definire e fare rispettare policy e regole per ottemperare a obblighi di compliance (ad esempio normative settoriali, nazionali e internazionali) o comunque evitare di fare incorrere a rischi il business, le persone, i dati e altre risorse aziendale. Le soluzioni GRC consentono di effettuare analisi della situazione (assessment), individuare i potenziali elementi di rischio in funzione degli specifici processi o attività aziendali, creare workflow di governance e di auditing per garantire sempre il migliore assetto possibile di GRC. Ovviamente, nell’attuazione delle strategie di governance, risk and compliance, l’utilizzo delle soluzioni GRC deve avvenire in sinergia con quello di strumenti operativi che permettono di intervenire sulle attività aziendali, sulle persone, sulle infrastrutture IT e così via.
Il GRC fra suite full-blown e point solution
Da anni sul mercato IT sono disponibili suite di governance, risk, compliance modulari e scalabili, in grado di rappresentare un’unica piattaforma su cui innestare strategie di GRC specifiche. Dal momento però che non tutte le aziende necessitano di implementare attività di governance, risk, compliance su molti processi diversi, nonché di permettere l’accessibilità alle soluzioni GRC da tutti gli angoli del mondo aziendale, appesantendo così ulteriormente le infrastrutture IT già impegnate da altre applicazioni e traffici di dati, sul mercato delle soluzioni GRC mondiale sono nate molte suite rivolte a problematiche di governance, risk, compliance e figure professionali specifiche. Esempi di queste problematiche sono il corporate governance and compliance management, il supply chain management, la business continuity (continuità operativa), il third-party risk management e l’operational risk management.
Fino a pochi anni fa, per poter contare su soluzioni GRC sempre allo stato dell’arte della tecnologia, complete dal punto di vista funzionale, facilmente integrabili con il resto dell’ecosistema IT aziendale, e ben supportate dal punto di vista dei servizi, le aziende erano quasi obbligate a rivolgersi ai grandi vendor che offrivano suite di governance, risk, compliance di tipo full-blown (vasta scala). Per rispondere alle esigenze delle imprese (come la maggior parte delle PMI che necessitano di soluzioni GRC per obiettivi più circoscritti), accanto alle soluzioni su larga scala sono nate sul mercato internazionale e nazionale anche offerte cosiddette point solution.
Del resto, se si va a vedere in quali ambiti sono prevalentemente implementare le soluzioni GRC, si scopre che ci sono aree privilegiate a livello trasversale e altre che lo sono solo in determinati settori verticali. Una grande fetta delle implementazioni di suite GRC è sempre stata indirizzata a garantire le compliance a regolamentazioni internazionali. L’esempio principe è l’ottemperanza alla normativa HIPAA (Health Insurance Portability and Accountability Act). Nata nel 1996 negli Stati Uniti per garantire la protezione dei dati sanitari dei cittadini americani è diventata negli anni uno standard internazionale in grado di rassicurare che un’azienda adotta buone pratiche nella memorizzazione e gestione delle informazioni sulla salute. Un grande impulso all’implementazione di soluzioni GRC è prevedibile in conseguenza della necessità delle aziende europee (e di quelle di tutto il mondo che si trovano a trattare dati personali di cittadini UE) di mettersi in regola con la GDPR (General Data Protection Regulation), che entrerà definitivamente in vigore dal 25 maggio 2018.
Il debutto dell’Artificial Intelligence (AI) nel GRC
Le suite GRC tradizionali su larga scala avevano la caratteristica di essere molto integrate con le principali piattaforme applicative business (come gli ERP o le suite di supply chain management on-premise) e i loro database. Dal momento che i processi critici, le possibili cause di rischi e le fonti di dati erano circoscritti, le attività di configurazione delle modalità di raccolta dei dati, dei calcoli da effettuare su di essi, nonché di creazione delle regole per la generazione di alert, avvenivano in buona parte in modo manuale per tutte le aree di attività in cui si decideva di estendere una strategia GRC.
Il vantaggio delle point solution verso le suite full-blown si è evidenziato nel momento in cui è emersa la possibilità di integrare nei software per la gestione di governance, risk and compliance strumenti di analytics (che consentono di effettuare analisi di diverso tipo su enormi moli di dati), di intelligenza artificiale e machine learning (che permettono ai software GRC di imparare dalle scelte effettuate in precedenza dall’operatore umano, e di attuarle autonomamente in seguito sulla base di analisi di contenuto e contesto), di Internet of Things (IoT; per raccogliere dati da oggetti connessi via Internet, per esempio per garantire la sicurezza sul lavoro) e così via. I vendor di GRC per ambiti e target molto specifici (vedi sopra) hanno avuto buon gioco a integrare queste innovazioni in modo più rapido di quanto possano i vendor di suite di governance, risk and compliance full-blown su tutti i possibili moduli di una piattaforma “omnicomprensiva”.
Inoltre, va sottolineato come le aree da cui possono provenire i maggiori rischi per un determinato tipo business sono aumentate, ma allo stesso tempo hanno un peso molto diverso fra un tipo di azienda e un’altra. Ecco quindi aumentare le attività in cui si possono generare rischi di natura legale o economica per un’azienda. Un esempio calzante è la stipula di nuovi accordi commerciali con controparti che sottopongono contratti già scritti da loro e che vanno velocemente analizzati e valutati per non perdere una buona occasione di business, ma allo stesso tempo non cadere in un errore fatale. In questo contesto, una point solution GRC che si è evoluta grazie alle tecnologie di analytics e AI incorporate, e che è in grado di comprendere il linguaggio naturale di un documento o porre le domande giusto a un utente tramite il riconoscimento vocale può veramente fare la differenza.
