Thinking Robot

GRC (Governance, Risk, Compliance): perché serve l’approccio integrato

09 November 2020

Redazione

In anni recenti, le aziende hanno sviluppato attività e progetti per migliorare la collaborazione o addirittura per l’integrazione di uffici e dipartimenti che si occupano di risk management, controllo interno, compliance e audit.

Questi progetti nascono dalla necessità di organizzare in modo più efficiente e con maggiore trasparenza le attività legate alla governance, al rischio e alla compliance.

C’è un altro fattore fondamentale ossia l’aumento della legislazione e della pressione normativa. Le aziende cercano di rispondere nel modo più efficace ed efficiente possibile ai requisiti di leggi, regolamenti ma anche a tutti gli altri standard / principi di controllo e norme volontarie che decidono di adottare (i.e. norme ISO, principi contabili, normative di qualità, etc).


Tuttavia, non tutte le aziende riescono a instaurare una collaborazione efficace ed efficiente fra i diversi reparti e dipartimenti. La soluzione è, sempre più spesso, un approccio integrato di Governance, Rischio e Compliance (GRC).

Un esempio pratico può aiutare. Nel caso della sicurezza delle informazioni, l’azienda può trovarsi ad applicare un mix di norme diverse per le varie aree di utilizzo (human resource security, asset management, selezione fornitori, controllo degli accessi, etc.). Spesso l’ISMS (Information Security Management System o Sistema di gestione della sicurezza delle informazioni) da solo è insufficiente per coprire tutti i requisiti normativi a cui l’azienda deve adeguarsi. La ricerca dell’azienda si indirizza allora verso soluzioni che sono in grado di offrire un ombrello ossia un processo globale che copra tutte le normative di riferimento. Anche in questo contesto un approccio integrato GRC può essere la soluzione.

COSA SI INTENDE PER GRC?

GRC (Governance, Risk and Compliance) è l’ambito più ampio e comprende fra gli altri:

  • l’ISMS (Information Security Management System),
  • il QMS (Quality Management System o Sistema di gestione della qualità),
  • il PMS (Privacy Management System o Sistema di gestione della privacy) e,
  • l’EMS (Environment Management System o Sistema di gestione ambientale).

Inoltre, il sistema di gestione (Management System) è di solito metodo di lavoro per la gestione di una moltitudine di standard ISO; ma ci sono anche standard (principi) normativi che hanno un approccio completamente diverso, spesso, nel formato di un elenco di controllo tipo una check-list (ad esempio, quando è necessario conformarsi ad un elenco di requisiti specifici).

Se un’organizzazione deve soddisfare un mix di standard normativi, soltanto l’utilizzo di un ISMS non è sufficiente. C’è quindi bisogno di qualcosa che possa supportare un intero insieme di principi, norme e standard attraverso un processo globale. Questo processo è il GRC (Governance, Risk and Compliance).

Non si tratta soltanto di standard normativi ma anche le leggi che l’organizzazione deve rispettare ad esempio il GDPR oppure leggi specifiche del settore sanitario, pubblica amministrazione, industriale, etc.

GRC-IT

LEGGI E NORMATIVE

Il GRC non solo è necessario per il rispetto di mix di innumerevoli standard normativi e leggi ma ha un doppio legame con la responsabilità finanziaria dell’impresa. Nel caso di grandi aziende, l’amministrazione e la contabilità nonché il bilancio annuale – soggetti alla revisione degli auditor esterni – devono rispettare i principi contabili. E il rispetto dei principi contabili vale anche per le PMI.

Si può affermare che il sistema GRC viene adottato in seguito alla pressione della legislazione (internazionale) ed è sempre di più anche un requisito richiesto dai clienti/opinione pubblica. Per cui diventa un qualcosa che l’organizzazione DEVE adottare se vuole avere una gestione d’impresa efficiente e trasparente.

COSA SIGNIFICA GRC

GRC sta per:

  • Governance è sinonimo di direzione/politica aziendale e gestione complessiva di tutte le questioni che devono essere essere conformi agli standard normativi e alle leggi;
  • Rischio è il modo di pensare basato sulla gestione del rischio e costituisce il filo conduttore in tutte le situazioni organizzative e, quindi, ha un ruolo di primo piano. Il modo di pensare basato sulla gestione del rischio determina l’individuazione e l’identificazione di tutte le tipologie di rischio nelle diverse aree aziendali e la predisposizione un piano con specifiche misure di gestione;
  • Compliance sono i requisiti a cui l’attività aziendale deve conformarsi. Per questo da una parte occorre applicare gli standard normativi e tradurli in policy e provvedimenti dall’altra controllare che siano effettivamente applicate. Solo così si ha la certezza di avere un’organizzazione compliant.

APPROCCIO INTEGRATO

Similmente a quanto avviene nella Sicurezza delle Informazioni (ISMS) e nel Controllo Qualità (QSM) anche per il GRC c’è bisogno di un approccio integrato con l’intervento in quasi tutti i processi organizzativi. Per questo anche la Gestione del Rischio è “Integrale” ossia non concentrata su specifiche aree ad esempio la Sicurezza delle Informazioni ma complessiva includendo ad esempio anche:

  • area politica/governance d’impresa;
  • area finanza/economica;
  • area legale/legislativa;
  • area geografica/spaziale;
  • area sociale.

Accanto alla gestione di standard normativi e legislazioni diverse è da notare che anche le persone partecipanti ai programmi di GRC hanno background diversi e sono presenti: specialisti di varie discipline, giuristi (contratti e legislazione), management e direttori, personale operativo.

LE SFIDE DEL GRC

Per adottare con successo uno strumento GRC sono necessari:

  • Pianificazione: molte attività sono periodiche e con sviluppi a lungo termine che devono essere implementati;
  • Comunicazione e Collaborazione: facilitare la cooperazione e lo scambio di informazioni; da ricordare che le email e l’agenda sono importanti ma non tutte le informazioni si scambiano in questo modo anche altri canali sono necessari;
  • Gestione del Rischio: facilitare l’Analisi del Rischio e le successive attività di follow-up con una programmazione delle attività e relativi provvedimenti;
  • Gestione degli Incidenti: gli incidenti durante il percorso devono essere rilevati, analizzati e seguiti nella soluzione;
  • Audit: registrare, guidare e seguire i controlli (audit) interni ed esterni;
  • Registrazione, Responsabilità e Dimostrabiità: annotare le informazioni e le responsabilità delle attività e dei controlli effettuati. Questo per dimostrare durante l’Audit di essere compliant sia ai requisiti richiesti sia alle norme e legislazione di riferimento;
  • Quadro Normativo: facile disponibilità dei vari quadri normativi e legislativi in modo che sia possibile ottenere rapidamente informazioni sullo stato, i progressi e la compliance a tali normative;
  • Panoramica, Dashboard e Report: a causa dell’ampiezza della gestione, tutto deve essere trattato in modo ordinato. Dashboard e Report sono fondamentali per chiarire rapidamente a cosa è necessario prestare attenzione. Preferibilmente  realizzati in maniera automatizzata.

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *