Governance, Risk & Compliance –  Cosa si intende per GRC? Una breve storia dell’acronimo dalle origini ad oggi

di Fabio ACCARDI

Premessa

Ormai l’acronimo GRC è di utilizzo diffuso da parte dei professionisti e degli esperti sia di estrazione aziendale che giuridica. Ricorre anche negli approfondimenti relativi a temi di grande attualità come l’utilizzo dell’intelligenza artificiale (AI) nell’ambito della compliance  con la finalità di prevenire e mitigare rischi emergenti complessi ed articolati.

Consideriamo  molto rilevante focalizzare l’attenzione su questi argomenti   sui quali si gioca  il futuro delle professioni nell’ambito delle  funzioni interne di assurance, come di tutte le altre.  Ma riteniamo altrettanto importante  periodicamente interrogarci su temi di fondo,  cosiddetti “fondamentali”, non dando  per scontato nulla  relativamente al significato di termini o acronimi.

Anche perché, come vedremo  in questo contributo, allo stesso acronimo possono essere attribuite valenze e contenuti diversi in ragione del contesto nel quale esso è inserito. 

Procediamo quindi con una disamina che parte dalle origini  per passare in rassegna i diversi approcci che si sono successivamente manifestati sia in ambito pratico – professionale che in ambito accademico- metodologico, evidenziando  che valore aggiunto ciascun contributo ha apportato.  Ciò nella convinzione che un utilizzo più consapevole dei termini che costituiscono il  vocabolario di base delle nostre attività non può che rafforzare il nostro bagaglio di strumenti e renderci più preparati alle sfide che il futuro ci riserva.

Le Origini dell’acronimo GRC:  la Visione di Michael Rasmussen

L’acronimo GRC nasce nei primi anni 2000 nel mondo aziendale e della consulenza manageriale.  La genesi è riconducibile al fatto  che le aziende cominciano a percepire che governance, gestione del rischio e compliance (conformità normativa) non sono ambiti isolati, ma interconnessi. La gestione separata di questi aspetti generava inefficienze, duplicazioni di sforzi e rischi non presidiati.

Perché proprio questi tre termini? In sintesi: 

• Governance → riguarda il modo in cui un’organizzazione viene diretta e controllata, con ruoli chiari, processi decisionali, responsabilità e strategie.
• Risk → identifica, valuta e gestisce rischi di varia natura (strategici, operativi, finanziari, normativi, reputazionali).
• Compliance → riguarda la conformità alle leggi, ai regolamenti esterni e alle policy interne, riducendo il rischio di sanzioni o danni reputazionali.

Ne consegue che  l’acronimo nasce dall’esigenza di integrare governance, gestione dei rischi e compliance in un modello unificato, sviluppandosi a partire dai primi anni 2000 grazie all’attività di analisti, società di consulenza e organizzazioni.

Diverse fonti attribuiscono la paternità dell’acronimo a  Michael Rasmussen,   ricercatore  per Forrester Research, una società di ricerca e consulenza focalizzata proprio su questi temi,  che intorno al 2002-2003, cominciò a parlare di GRC non come tre silos separati (Governance, Risk, Compliance), ma come una disciplina integrata⁽¹⁾.  Rasmussen è  quindi  chiamato “padre del GRC” perché ha contribuito a formalizzare la visione secondo cui

governance, rischio e compliance devono essere gestiti in modo coordinato per ridurre duplicazioni, inefficienze e rischi.

La sua definizione di GRC punta sulla necessità di avere una visione olistica e integrata, per garantire che l’organizzazione possa:

1. raggiungere i propri obiettivi (governance),
2. affrontare incertezze (risk management) e,
3. agire nel rispetto di leggi, regolamenti e valori interni (compliance).

Il Red Book OCEG (Open Compliance and Ethics Group)

Una successiva  importante milestone è stata nel 2007 la pubblicazione del   GRC Capability Model,  noto anche come “Red Book”⁽²⁾ pubblicato dall’OCEG (Open Compliance and Ethics Group).  Questo documento può essere considerato uno dei riferimenti fondamentali per comprendere e implementare un approccio strutturato al GRC.

Il GRC Capability Model è un framework che fornisce una guida dettagliata su come integrare in modo efficace e coerente le attività di governance, gestione del rischio e conformità all’interno delle organizzazioni.

Il modello è strutturato in 4 componenti fondamentali, ciascuna rappresentata da un verbo chiave (i cosiddetti “Components of GRC”):

1. LEARN (Apprendere):

• Comprendere il contesto interno ed esterno.
• Identificare ruoli, obblighi e valori.
• Raccogliere informazioni su rischi, leggi, regolamenti, standard e aspettative degli stakeholder.

2. ALIGN (Allineare):

• Stabilire obiettivi, strategie, processi e strutture.
• Integrare governance, rischio e conformità nelle decisioni e nelle attività aziendali.

3. PERFORM (Eseguire):

• Attuare controlli e processi operativi.
• Monitorare e gestire i rischi.
• Promuovere comportamenti etici e conformi.

4. REVIEW (Rivedere):

• Valutare l’efficacia delle attività di GRC.
• Migliorare continuamente grazie al feedback e all’apprendimento organizzativo.

L’OCEG promuove un approccio  in cui il GRC non è una funzione separata, ma un modo di operare integrato, che permette alle organizzazioni di:

• prendere decisioni informate,
• agire con integrità,
• raggiungere obiettivi strategici nel rispetto delle normative e dei valori etici.

Il Quadro di Riferimento  (Frame of reference) di  Racz, Weippl, & Seufert

Opinione  condivisa è che la  definitiva modellizzazione di GRC come disciplina integrata,   rigorosa  anche secondo un approccio  accademico – metodologico, sia attribuibile a Rácz, Weippl,  Seufert  che in un noto articolo pubblicato nel 2010⁽³⁾ propongono un modello di riferimento per analizzare, classificare e condurre ricerca sull’GRC integrato.

Secondo questi autori,  “GRC è un approccio integrato e olistico alla governance, al rischio e alla conformità a livello organizzativo, che garantisce che un’organizzazione agisca in modo eticamente corretto e in linea con la propria propensione al rischio, con le politiche interne e con le normative esterne, attraverso l’allineamento di strategia, processi, tecnologia e persone, migliorando così efficienza ed efficacia.“
Questa definizione è inserita in un quadro di riferimento ad alto livello che evidenzia le parti essenziali da esaminare quando si studia il concetto integrato di GRC. 

Secondo tale approccio  ciascun ambito GRC  comprende quattro componenti fondamentali (vedi fig1):

1. strategia,
2. processi,
3. tecnologia e
4. persone.

Le regole – che includono la propensione al rischio dell’organizzazione, le politiche interne e le normative esterne – devono essere integrate in modo completo e a livello organizzativo (le tre caratteristiche fondamentali della GRC), collegate alle attività aziendali e supportate dalla GRC. Le organizzazioni che adottano questo approccio mirano a raggiungere gli obiettivi della GRC: un comportamento moralmente accettabile, oltre a un aumento di efficienza ed efficacia in tutti gli aspetti coinvolti.

La GRC non è l’unico ambito che coinvolge strategia, procedure, persone e tecnologia: questi elementi costituiscono la base di tutte le operazioni organizzative.
Per esempio, nel ciclo procure-to-pay (acquisto-pagamento), esiste un metodo per definire e controllare gli obiettivi, ci sono passaggi procedurali dall’acquisto al pagamento, personale addetto agli approvvigionamenti e tecnologie informatiche e transazionali che rendono possibile il ciclo. La GRC aiuta a gestire ed eseguire questi processi, ad esempio attraverso requisiti di governance per la gestione delle merci, la divisione dei ruoli nel ciclo procure-to-pay o tecnologie di monitoraggio dei rischi nella catena di fornitura.

Appare evidente come la digitalizzazione dei processi costituisce un elemento fondamentale del  quadro di riferimento tanto da meritare un focus specifico da parte degli autori  (vedi fig 2).  In tal senso  IT GRC si concentra sulla sicurezza delle informazioni, la conformità, la governance dei dati, la gestione dei rischi e la modifica dei sistemi informatici. È in linea con le attività complessive di GRC, le operazioni IT e, indirettamente, con le operazioni (business) dell’organizzazione.

Secondo gli autori, un esame completo del GRC dovrebbe prendere in considerazione tutti i componenti mostrati nel diagramma.  L’analisi, ossia la suddivisione di un insieme nelle sue parti costitutive, consente a un analista di concentrarsi su determinati aspetti. Ad esempio, un tema di studio potrebbe focalizzarsi sulle tecnologie di IT GRC, come i software per la sicurezza informatica e gli strumenti di monitoraggio dei sistemi. Un progetto più ampio potrebbe coprire l’intero processo di IT GRC e la sua connessione con altri componenti IT. Un ricercatore che non desidera addentrarsi nei dettagli tecnologici potrebbe invece concentrarsi sull’integrazione delle procedure GRC con un singolo processo aziendale.

Talvolta è difficile tracciare una linea netta tra le quattro aree e vi sono anche sovrapposizioni intenzionali. Nella maggior parte dei casi, la tecnologia GRC coincide con la tecnologia informatica. Le classificazioni possono essere effettuate in base alla prospettiva del ricercatore e a ciò che risulta più adeguato per lo scopo dello studio. Ai fini della definizione del campo di indagine, è sufficiente che non vengano trascurati i componenti rilevanti.

Una volta determinati i componenti inclusi nel campo di indagine, lo stesso discorso vale per le regole che saranno esaminate. Le regole del GRC sono stabilite principalmente dai requisiti di conformità, dal processo di gestione dei rischi e dai codici di governance dell’organizzazione. Siano esse menzionate in normative, regolamenti interni o accordi obiettivo, si tratta tutte di istruzioni normative o restrittive che possono essere rappresentate e applicate in modo coordinato.

Maggiore è il numero di regole, più è probabile che un ricercatore si concentri su alcune regole specifiche, trascurandone altre. In ogni caso, occorrerebbe indagare fino a che punto le caratteristiche del GRC (integrazione, visione olistica e dimensione organizzativa) siano presenti nell’oggetto di studio.
Infine, la ricerca sul GRC dovrebbe esaminare gli effetti dell’integrazione del GRC nel modello o negli oggetti di studio:

• vi è un miglioramento negli obiettivi di comportamento eticamente accettabile, efficienza ed efficacia?

Gli effetti possono manifestarsi in uno qualsiasi degli ambiti del GRC, in tutte le attività, nell’IT, nei sottocomponenti di GRC e IT-GRC, nonché nell’amministrazione delle regole GRC.

In conclusione   questo modello per quanto abbia un “taglio accademico” e  non fornisca modelli pratici o implementazioni dettagliate  ha rappresentato una tappa importante nella definizione dell’acronimo  in quanto: 

• Fornisce una base concettuale e strutturata per studiare GRC.
• Permette di confrontare soluzioni GRC diverse (es. software vendor, framework industriali).
• Ha influenzato ricerche successive su:
  • Sistemi informativi GRC
  • Architetture enterprise per il GRC
  • Valutazione dell’efficacia dei programmi GRC

In un successivo contributo  potremo approfondire questi  ulteriori sviluppi anche  riesaminando il tema alla luce dei principali framework e standard  (CoSO,  ISO)  della nostra professione.

Intervento di Fabio ACCARDI, Autore per Risk & Compliance Platform Europe. Docente per le aree GRC e Internal Audit, RUC e componente OdV

---

Per approfondimenti, consultare i seguenti link e/o riferimenti:

⁽¹⁾ Rasmussen  M. (2002) “Enterprise Compliance Management” – Forrester Research

⁽²⁾ Red Book OCEG (2007) – la versione aggiornata è  scaricabile dal  sito https://www.oceg.org/grc-capability-model-red-book/reward/

⁽³⁾ Rácz, N. L., Weippl, E., & Seufert, A. (2010) ”A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC)” – Proceedings of the 43rd International Conference on System Sciences.