OpenTech Risk Management GO GRC

GRC: l’evoluzione dei sistemi e delle soluzioni a supporto

20 November 2019

di Carlo CAMERATA e Maurizio RUBINI

IL SISTEMA GRC

Le principali normative e le bestpractice di corporate governance a livello nazionale e internazionale, oltre ad enfatizzare la centralità del rischio, richiedono alle aziende di mettere in atto solidi processi di risk management che devono partire dalla definizione delle strategie.

L’insieme delle interrelazioni che intercorrono tra organi aziendali, funzioni di controllo e management, rappresenta quindi uno dei fondamentali meccanismi operativi di funzionamento di tale sistema.

Il governo dei rischi, oltre a preservare l’approccio “difensivo” a tutela del valore delle aziende, deve essere un fattore abilitante del cambiamento e delle opportunità di business che esso propone. I responsabili di risk governance devono, quindi, analizzare i segnali di cambiamento, valutarne gli impatti sul business (in termini di rischio e di opportunità), identificare le azioni da intraprendere e gestire i rischi connessi al cambiamento.

Per raggiungere tale scopo ottimale è necessario approntare e gestire un insieme di strumenti, strutture organizzative, norme e regole aziendali volte a consentire una conduzione dell’azienda sana, corretta e coerente con gli obiettivi. Tale insieme è comunemente indicato come sistema GRC (Governance, Risk Management and Compliance), cioè “la capacità di raggiungere in modo affidabile gli obiettivi (Governance), affrontando al contempo l’incertezza (Rischi) e agendo con integrità (Compliance)”.

LA TECNOLOGIA PER IL GRC

In considerazione di quanto sopra appare evidente che la tecnologia per il GRC assume carattere sempre più rilevante.

I processi GRC sono stati spesso supportati in passato, e lo sono ancora oggi in certi casi, da tool in Excel e da applicazioni di informatica individuale, ad uso degli specialisti aziendali e/o dei consulenti.  Questi strumenti hanno aspetti positivi per la loro flessibilità e facilità d’uso e sono validi in una prima fase sperimentale, ma non possono essere una soluzione efficace e duratura. Infatti, la creazione di un modello con decine di fogli di calcolo per le registrazioni di rischi, controlli, fornitori, responsabili, processi e delle attività può richiedere un tempo enorme e può generare errori operativi. L’aggiornamento del modello poi può rivelarsi un’ulteriore sfida e richiedere ancora più tempo, con attività manuale, facilità di errori e difficoltà di condivisione.

Le prime soluzioni tecnologiche (GRC 1.0; 2002-2007) sono state introdotte con la legge 231/2001 e successivamente con la legge 262/2005,. Erano soluzioni ad hoc, a silos separati, e l’attenzione per il GRC  era focalizzata sulla conformità, sui controlli interni e sull’informativa finanziaria.

Negli anni successivi (GRC 2.0; 2007-2012), la tecnologia GRC supportava la visione aziendale integrata (piattaforma Enterprise Integrated GRC), con la convinzione che più dipartimenti potessero utilizzare una soluzione informatica e tecnologica unica per gestire in comune rischi, controlli, politiche, conformità, audit, valutazioni e incidenti.

Man mano che la tecnologia si espandeva nell’organizzazione, era evidente che per risolvere tutte le sfide era necessaria l’integrazione con altri sistemi aziendali e con specifiche soluzioni GRC, profondamente focalizzate. Il GRC ha anche iniziato ad ampliarsi (GRC 3.0; 2012-2017) e non riguardava più solo il back office dei processi di controllo (la seconda e la terza linea di difesa), ma anche la prima linea dell’organizzazione, quella che prende decisioni di rischio che incidono sugli obiettivi di ogni giorno.

Recenti survey però, sia di OCEG che delle maggiori società di consulenza, hanno evidenziato diverse criticità sulle soluzioni GRC tradizionali; in particolare:

  1. La mappatura delle relazioni e degli impatti dei rischi non è multidimensionale. Infatti un singolo rischio può impattare l’azienda in diversi modi ed avere un impatto esponenziale nel contesto di altri rischi gestiti in altre aree, ma nessuno vede il range dei relativi rischi.
  2. Metodologia che obbliga ciascuno ad una analisi omogenea per tutti i rischi.

Le aziende tendono ad implementare un metodo unico per l’analisi dei rischi che finisce per annacquare le valutazioni dei rischi al minimo comune denominatore. .

  1. Carenza nella normalizzazione ed aggregazione dei rischi.

Le aziende tendono a standardizzare la gestione dei rischi con una sola vista piatta di graduazione del rischio e dell’appetito al rischio; ciò crea problemi nell’individuare e gestire minacce ed opportunità operative localizzate poiché ogni cosa è valutata a livello generale.

È necessario pertanto integrare la soluzione calando la governance all’interno della strategia e dei processi aziendali e le soluzioni GRC devono essere non solo integrate in una architettura ben definita, ma devono combinare tecnologia, processi e dati per consentire la semplificazione, l’automazione e l’integrazione della gestione dei rischi all’interno di un’organizzazione.

La più attuale ed efficace tecnologia è denominata Agile GRC (GRC 4.0); si tratta di una tecnologia altamente configurabile, che coinvolge l’intera organizzazione dal front office al back office. Tale tecnologia è facilmente personalizzabile, non richiede che gli utenti abbiano certificazioni o conoscenze avanzate, ha interfacce intuitive e coinvolgenti e di facile utilizzo.

La continua evoluzione tecnologica porterà ancora ulteriori benefici alle soluzioni GRC, già si parla, infatti, di GRC Cognitivo(GRC 5.0). Sono funzionalità innovative legate all’intelligenza artificiale, ai big data, al linguaggio naturale, all’analisi predittiva che arricchiranno nei prossimi anni tali soluzioni.

ARCHITETTURA DELLE SOLUZIONI GRC

Il GRC è supportato da una suite di soluzioni verticali integrate, basate su una comune piattaforma, con moduli applicativi specializzati, tra loro indipendenti e quindi anche attivabili con gradualità. Le soluzioni sono molteplici, anche in relazione alle specificità dell’azienda, ma tutte condividono una piattaforma base, con alcune funzionalità comuni, un modello organizzativo unico e una tassonomia unica dei processi, dei rischi, dei controlli e delle norme. Le metodologie delle soluzioni verticali possono, a volte devono, essere diverse, purché congruenti e con una metrica comune; solo così, infatti, sarà possibile ottenere una governance effettiva tramite una visione complessiva dei rischi ed un reporting di sintesi.

Le soluzioni verticali devono essere progettate per soddisfare particolari requisiti:

  • Architettura modulare e flessibile
  • Fruibilità sia da WEB che da mobile
  • User friendly
  • Dati sicuri, aggiornati, affidabili, immediatamente reperibili e tracciati
  • Motori per importazione, esportazione e ricerca dati
  • Gestione automatica di workflow operativi
  • Integrazione con provider normativi
  • Integrazione con strumenti di informatica individuale (Office e posta elettronica)
  • Integrazione tramite API con il sistema informativo e con altre soluzioni
  • Reporting condiviso e personalizzato

Con riferimento alla suite di Opentech  (denominata GO GRC), possiamo esemplificare le seguenti soluzioni :

  • Piattaforma base
  • Organizzazione
  • Compliance
  • Antiriciclaggio
  • Reclami
  • Norme interne, Policy e Procedure
  • Controlli di 1° livello
  • Rischi operativi e Rischi IT
  • Internal Audit
  • Privacy e GDPR
  • Terze Parti
  • Legale e contenzioso
  • Responsabilità amministrativa 231/01
  • Anticorruzione e trasparenza
  • Adempimenti amministrativi – CFO (L.262/05)
  • Business Continuity
  • Sicurezza sul lavoro

IL PROGETTO GRC

Ogni progetto GRC partendo dalla governance è sempre un progetto strategico, che richiede più fasi e particolare attenzione. Sono diversi gli aspetti da verificare ed approfondire che possono determinare il successo o meno del progetto. Oltre ai costi (tutti i costi, non solo quelli di acquisto e di manutenzione della soluzione, soprattutto i costi interni), vanno chiariti e ponderati i tempi e gli attori coinvolti. Un progetto GRC vincente non può prescindere da: la formazione degli utenti, la disponibilità di strumenti per il reporting e gli analytics, soprattutto la facilità d’uso, e la navigazione tra i dati, il collegamento diretto tra i dati per vedere le varie correlazioni non sono negoziabili.

In base alla nostra esperienza, il cambiamento è la più grande sfida che incide sulla gestione dei sistemi GRC. Gli ambienti normativi, i processi aziendali e i rischi evolvono ogni giorno e possono avere un impatto su un’organizzazione e complicare il lavoro dei responsabili dei rischi; pertanto le soluzioni tecnologiche devono essere flessibili e adattabili per far fronte a tali sfide.

I vantaggi sono altrettanto grandi e il progetto viene ampiamente ripagato in termini di efficienza, di reputazione e di soddisfazione di tutti gli utenti coinvolti.

 

Intervento di

Carlo CAMERATA, senior partner di Opentech (*) e consigliere AICOM (Associazione Italiana Compliance).
Maurizio RUBINI, avvocato esperto di Compliance e Governance e membro di numerosi Organismi di Vigilanza.

(*) Opentech  è una società leader nel mercato delle soluzioni software GRC, in cui opera da oltre dieci anni. È stata riconosciuta da CIO Applications tra i Top Ten Solution Providers per l’Integrated Risk Management in Europa per il 2019.

 

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *