Premessa
Nel precedente contributo sullo stesso argomento pubblicato su questa piattaforma(1) abbiamo messo in evidenza le origini dell’acronimo GRC e presentato due approcci, Red Book (OCEG) e Frame of Reference (Racz, Weippl, & Seufert), che in modo diverso hanno declinato il termine che stiamo analizzando.
Proviamo a delineare cosa accomuna questi due approcci e cosa li differenzia.
Certamente la comunanza di vedute attiene ad una visione integrata dei componenti, Governance, Risk e Compliance, già preconizzata da Rasmussen. Nell’intendere cioè che le tre aree non possono essere trattate come silos separati ma come ambiti strettamente interconnessi. Delineando, quindi, la necessità di avere una visione olistica e integrata, per garantire che l’organizzazione possa raggiungere i propri obiettivi (governance), affrontare incertezze (risk management) e agire nel rispetto di leggi, regolamenti e valori interni (compliance).
Cosa invece differenzia i due approcci?
Possiamo sostanzialmente distinguere 2 visioni diverse dalle quali hanno preso spunto anche i successivi contributi che si sono manifestati, come illustrato nella seguente rappresentazione:
In sintesi:
- Approccio teorico-→ spiega cosa è GRC e perché integrarlo.
- Approccio pratico- industriale → spiega come farlo funzionare in azienda.
Dei due approcci evidenziati certamente quello che definiamo come pratico-industriale e’ quello che ha avuto maggiori sviluppi. Ad esso possiamo ricondurre le applicazioni aziendali relative a:
- Uso di piattaforme GRC software (es. RSA Archer, SAP GRC, ServiceNow GRC).
- Integrazione dei processi di audit, gestione rischi e compliance in un unico flusso.
- Reporting unificato ai livelli C-level (es. CIO, CISO, CRO).
Volendo quindi approfondirne i contenuti anche ai fini di una visione integrata, che presenteremo nelle conclusioni, e’ opportuno effettuare una riflessione sulle modalità nelle quali queste applicazioni si rapportano con i principali framework e modelli utilizzati ai fini del governo e controllo dei rischi. Ci riferiamo ovviamente a quelli riconducibili al Committee of Sponsoring Organizations of the Treadway Commission (COSO) ed alle ISO, sui quali ci siamo soffermati in precedenti contributi pubblicati su questa piattaforma (nota 1) in tema di Enterprise Risk Management (ERM) ai quali rinviamo per maggiori approfondimenti.
I collegamenti tra framenwork COSO e GRC: focus su ERM
Il termine GRC (Governance, Risk & Compliance) è più recente rispetto ai primi lavori COSO, come abbiamo avuto già modo di evidenziare nel precedente contributo citato. Tuttavia, i framework COSO hanno contribuito in modo determinante a dare contenuto metodologico e strumenti pratici al GRC, anche se non usano esplicitamente questo termine nei loro documenti originari.
Come COSO ha “approfondito” il concetto di GRC?
✔Governance → COSO ERM (nella versione 2017) dedica grande spazio al ruolo degli organi di governance nella definizione di risk appetite, cultura aziendale e allineamento tra rischio e strategia.
✔ Risk → sia COSO IC-IF (Internal Control- Integrated Framework) sia COSO ERM (in ambedue le versioni: 2004-2017) forniscono processi strutturati per identificare, valutare, rispondere e monitorare i rischi. ERM, in particolare, integra il rischio nella pianificazione strategica e nella misurazione delle performance.
✔ Compliance → sia COSO IC-IF (Internal Control- Integrated Framework) sia COSO ERM (nella versione 2004) includono la conformità normativa tra gli obiettivi dei sistemi di controllo interno e gestione dei e descrivono principi e controlli utili per mitigare i rischi di compliance.
In sintesi:
- COSO ERM → imposta il risk management come supporto alla strategia aziendale. Aiuta a capire come i rischi possono impattare sul raggiungimento degli obiettivi di business.
- GRC → si preoccupa di allineare governance, risk e compliance agli stessi obiettivi strategici. Le soluzioni GRC spesso collegano rischi e controlli agli obiettivi aziendali.
In pratica, COSO ERM è la “spina dorsale” teorica di moltissimi sistemi GRC, che lo usano come base metodologica. Dove ERM definisce cosa fare, GRC aiuta a stabilire come farlo in modo integrato, tracciabile e scalabile, come di seguito sintetizzato:
| COSO ERM | GRC |
| Framework metodologico | Approccio operativo e tecnologico |
| Si concentra su risk management integrato alla strategia | Integra governance, risk e compliance in un unico processo |
| Non è uno strumento informatico | Spesso implementato tramite software |
| Fornisce principi, processi e componenti per gestire il rischio | Traduce questi principi in pratiche, policy e strumenti |
I collegamenti tra standard ISO e GRC: focus su ISO 37001 e ISO 37301
Anche tra ISO e GRC esistono importanti collegamenti in quanto puntano entrambi a gestire i rischi, migliorare la governance e assicurare la conformità a normative e standard e promuovono approcci strutturati e documentati, basati su processi ripetibili. In particolare:
– molti standard ISO adottano principi di risk-based thinking, tipici anche delle piattaforme GRC;
– le piattaforme GRC spesso integrano controlli, policy e processi richiesti dagli standard ISO per mappare requisiti normativi e standard (es. ISO, GDPR, SOX) in un unico sistema, tracciare evidenze per audit ISO e certificazioni e automatizzare la gestione del rischio secondo framework ISO 31000;
-gli standard ISO forniscono linee guida e requisiti specifici (es. sicurezza, qualità, ambiente).Il GRC rappresenta l’approccio olistico per governare, monitorare e integrare tali standard con altre normative (es. NIST, COBIT, leggi locali).
Nell’ambito della compliance, di particolare interesse sono gli standard ISO 37001 finalizzato alla prevenzione della corruzione attiva e passiva ed ISO 37301 mirato alla gestione della Compliance Integrata. A seguire una tabella di sintesi che evidenzia per ciascuna di questi standard i collegamenti con gli elementi GRC.
| Area / Elemento | ISO 37001 (Anticorruzione) | ISO 37301 (Compliance integrata) | GRC |
| Finalità | Prevenzione e gestione della corruzione | Gestione della conformità a leggi, regolamenti, norme | Integrazione strategica tra governance, rischio, compliance |
| Contesto organizzativo | Obbligatorio | Obbligatorio | Fondamentale per governance e risk management |
| Leadership e governance | Leadership impegnata nella lotta alla corruzione | Leadership promotrice della cultura di conformità | Leadership guida strategica e integrata |
| Gestione dei rischi | Rischi legati alla corruzione | Rischi di non conformità | Enterprise Risk Management (ERM) |
| Politiche | Politica anticorruzione | Politica di conformità | Politiche di GRC allineate agli obiettivi strategici |
| Obiettivi | Prevenire corruzione interna ed esterna | Garantire conformità normativa | Allineamento tra strategia, rischio e conformità |
| Due diligence | Terze parti, progetti, transazioni | In caso di obblighi rilevanti | Inclusa nel risk management |
| Controlli interni | Specifici per anticorruzione | Per la conformità normativa | Controlli a supporto di governance e audit |
| Segnalazioni / Whistleblowing | Canali obbligatori, gestione dei reclami | Sistema documentato previsto | Parte di un sistema di controllo interno efficace |
| Formazione e consapevolezza | Specifica sull’anticorruzione | Generale sulla conformità | Cultura del rischio e dell’etica aziendale |
| Monitoraggio e audit | Audit su rischi di corruzione | Audit sulla conformità | Audit integrato e continuo |
| Miglioramento continuo | Analisi incidenti e non conformità | Ciclo PDCA | Feedback e ottimizzazione di processo |
| Ruoli e responsabilità | Funzione compliance anticorruzione | Funzione compliance | Modello delle “Three Lines” (3 linee di difesa) |
| Integrazione con altri sistemi | Compatibile con ISO 37301 e ISO 9001 | Compatibile con ISO 37001, ISO 31000 | GRC include e collega tutti i sistemi ISO |
Considerazioni conclusive: una visione integrata
In premessa abbiamo delineato i due approcci che si sono configurati nella genesi dell’ acronimo GRC, uno di tipo teorico – metodologico ed uno che abbiamo definito pratico- industriale. Nel mio testo sul Governo e Controllo dei Rischi edito da Franco Angeli (2) ho cercato di operare una sintesi ideando una matrice che fornisca una base metodologica ma che sia anche di concreta applicazione, di seguito presentata:
La matrice incrocia la prevalenza degli interessi perseguiti dall’organizzazione (stakeholder esterni / interni) con quella relativa al tipo di approccio alla compliance, schematicamente distinguendo un approccio “conservativo“ ad uno “proattivo”. Approccio proattivo si intende mirato ad identificare, valutare e mitigare i rischi di compliance. Diversamente un approccio “conservativo” è mirato alla conservazione dello “status quo“ attendendo le conseguenze degli eventi anziché anticiparle.
Questa matrice sviluppata avendo a riferimento il settore delle imprese di costruzioni e’ stata testata con riferimento a casi concreti di imprese di successo operanti in diversi settori che sono stati riportati come focus tematici nei casi aziendali annessi al testo (tra essi: Aeroporti di Roma – AdR, Autostrade per l’Italia, Webuild, Hitachi). Abbiamo dato evidenza relativa all’applicazione della matrice nel suo complesso, come nel caso di AdR, o a singoli ambiti specifici che attestano l’elevato livello di maturità raggiunto da queste organizzazione in ambito GRC.
Alla luce dei successivi approfondimenti svolti ho maturato la convinzione che le coordinate di riferimento della matrice dovrebbero essere aggiornate. Relativamente alla prima dimensione( interessi perseguiti) va considerato il grado di perseguimento dell’ interesse primario cosi come definito da Emiliano Di Carlo anche con riferimento approfondimenti svolti insieme ed illustrati su questa piattaforma (3). Sarebbe, infatti, da considerare la capacità di concepire l’organizzazione come soggetto portatore di un proprio interesse autonomo da quello dei singoli portatori di interesse. Per quanto attiene alla compliance nelle future edizioni del testo amplierò il termine includendo anche le dimensioni Governance e Risk, in pratica GRC. Nei prossimi contributi cercheremo di approfondire questi sviluppi.
2/2
Intervento di Fabio ACCARDI | Autore per Risk & Compliance Platform Europe – Docente per le aree GRC e Internal Audit, RUC e componente OdV
(1) LEGGI QUI l’articolo precedente 1/2, Governance, Risk & Compliance – Cosa si intende per GRC? Una breve storia dell’acronimo dalle origini ad oggi
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) I contributi citati, dello stesso autore di questo articolo, sono i seguenti, tutti pubblicati in Risk and Compliance Platform Europe (www.riskcompliance.it)
Fabio ACCARDI (2025) “Considerazioni Finali su Modelli e Standard COSO ed ISO in ambito Risk Management”
Fabio ACCARDI (2025) “Risk Management secondo lo standard ISO 31000:2018”
Fabio ACCARDI (2025) “ERM 2017: Integrare ERM con Strategia e Performance”
Fabio ACCARDI (2025) “Modelli e Standard Internazionali per il Risk Management – Come orientarsi e quali utilizzare? Focus su ERM 2004”
(2) Fabio ACCARDI (2024)”Governo e Controllo dei Rischi. Manuale per scelte consapevoli e sostenibili. Metodologia, casi, esemplificazioni“ – 2 edizione 2024. Editore Franco Angeli
(3) Accardi F., Di Carlo E. (2024) “Interesse Primario dell’Azienda (IPA) e Governo e Controllo dei Rischi. Un Approccio Innovativo “ in Risk and Compliance Platform Europe (www.riskcompliance.it)
