Il software e le strategie di governance, rischio e conformità abbracciano diversi ambiti del rischio che sono cresciuti e si sono specializzati con l’evoluzione delle aziende.
La gestione del rischio fornitori è diventata un rischio enterprise strategico. Le organizzazioni hanno decentralizzato le operazioni per ottimizzare la loro supply chain e investire in una varietà di strumenti per migliorare le prestazioni e la produttività.
Mentre le discipline del rischio si sono specializzate, le pratiche di gestione del rischio complessivo continuano a rimanere confinate alla seconda e alla terza linea di protezione (gestori del rischio e professionisti della revisione contabile).
Trasmettere il rischio al di fuori della seconda e della terza linea in modo da far comprendere:
- sia il potenziale impatto commerciale
- che le implicazioni personali,
è una sfida continua. Poiché le aziende stanno operando più velocemente che mai, questo modello non è sostenibile in larga scala.
Negli ultimi cinque anni, la privacy è emersa per rivestire un ruolo critico nelle operazioni e nel rischio enterprise. La trasformazione digitale ha cambiato il modo in cui le aziende operano, influenzando il modo in cui le organizzazioni si relazionano con i clienti e operano internamente. Le violazioni dei dati e le leggi sulla conformità, come il GDPR e il CCPA, hanno aumentato la consapevolezza pubblica del valore e del rischio associato dei dati personali condivisi tra le aziende. Con le normative globali in vigore e altre che stanno per entrare in vigore man mano che le pratiche sulla privacy maturano, le aziende hanno cambiato il loro modo di operare. Le organizzazioni devono effettuare una verifica attenta:
- dei dati che raccolgono e
- del modo in cui i dati vengono trattati
tra i vari dipartimenti per conformarsi alle normative emergenti in materia di privacy.
Sebbene la privacy sia un dominio di rischio più recente, le pratiche sulla privacy hanno dato ottimi risultati nell’esecuzione della tradizionale gestione del rischio. Ecco alcune delle best practice implementate nelle pratiche di successo in materia di privacy.
1. Tradurre il rischio per l’impatto culturale
La conformità alla privacy ha avuto un impatto sulle organizzazioni a livello culturale. Un fattore chiave che contribuisce a questo è che gli individui, indipendentemente dalla loro posizione, comprendono il rischio.
Rispondendo alla domanda: perché la privacy è importante?
I responsabili della gestione della privacy o del rischio possono spesso comunicare l’impatto attraverso alcuni scenari o riferimenti episodici a violazioni significative dei dati. Gli stakeholder aziendali, indipendentemente dal ruolo, comprendono l’impatto a livello personale perché ogni singolo individuo è in grado di capire il rischio a cui si è esposti se non si ha il controllo sulle proprie informazioni personali.
La prima linea di utenti aziendali deve assumere un livello di proprietà nell’esecuzione delle attività di gestione del rischio. Per motivare adeguatamente questo tipo di azione, è necessario che le aziende comprendano il contesto del rischio nel loro ambito aziendale; è qui che le organizzazioni devono elaborarlo al fine di promuovere una cultura di sensibilizzazione al rischio in tutte le tre tradizionali linee di difesa.
Le aziende che possono fornire con successo informazioni significative sul rischio aiutano a promuovere il coinvolgimento in attività proattive di gestione del rischio al di fuori della seconda linea, perché il valore è chiaramente compreso. Il livello personale di contesto e di applicabilità può essere un forte fattore motivante per il coinvolgimento degli stakeholder. L’accesso personalizzato basato sui ruoli e l’esperienza possono aiutare a supportare questo aspetto nella piattaforma software per la governance, il rischio e la conformità.
2. Responsabilità prescrittiva
Le pratiche sulla privacy si concentrano su un set di dati specifico (qualsiasi dato che sia personalmente identificabile per un individuo). Regolamenti come il GDPR sono molto accurati e delineano chiaramente i ruoli e le responsabilità del titolare e del responsabile del trattamento. I parametri relativi alle corrette operazioni commerciali, in particolare la raccolta e il trattamento, sono ben definiti e dettagliati su ciò che è accettabile per un legittimo interesse nella raccolta di informazioni personali. È definitivamente necessario l’impiego di un titolare e responsabile del trattamento, di un DPO, e della designazione di responsabilità all’interno di ogni ruolo.
In concomitanza con la necessità di un adeguato contesto di impatto del rischio, gli stakeholder hanno bisogno di ruoli e doveri per quanto riguarda l’esecuzione e l’assunzione di responsabilità delle azioni e delle opportunità di mitigazione. In tutta l’azienda, diverse funzioni sono in grado di supportare le attività in diverse fasi.
- I risk manager comprendono il rischio e devono comunicarlo.
- La rete di stakeholder aziendali è in grado di eseguire tempestivamente le attività di mitigazione.
- La leadership ha il controllo del budget e l’autorità generale del programma nel suo complesso.
Queste interdipendenze devono essere riconosciute e definite in linea con gli obiettivi aziendali. Il flusso di lavoro strutturato e i trigger possono aiutare a coinvolgere gli appropriati stakeholder ad agire, dall’approvazione della policy alla mitigazione del rischio all’interno della piattaforma software di governance, rischio e conformità.
3. Processi integrati
Per implementare le pratiche, la Privacy by Design prevede una significativa considerazione tra i vari dipartimenti, in quanto l’attenzione è rivolta al trattamento e all’accesso ai dati sia all’interno che all’esterno. Molte organizzazioni si sono avvalse di una nuova figura professionale, i Responsabile della privacy. Questi professionisti devono lavorare a stretto contatto con le attività di marketing, le attività relative agli incidenti e alla sicurezza, l’IT e anche il team di gestione degli acquisti o dei fornitori, per citarne alcuni. La normativa sulla privacy richiede un’iniziativa orizzontale tra le varie discipline.
Seguendo alcune di queste best practice nella gestione della privacy, nel rischio di governance e nella gestione della conformità, è possibile supportare un programma GRC strategico e resiliente. Con una strategia ben guidata e una piattaforma agile per il rischio di governance e la conformità, le organizzazioni possono trasformare le operazioni di gestione del rischio informatico, dei fornitori, operativo e aziendale.
Potete trovare ulteriori informazioni su OneTrust GRC e sulle nostre soluzioni per la gestione della privacy. OneTrust GRC adotta un approccio completamente integrato al software di governance, rischio e conformità, per estendere il rischio alla linea di utenti aziendali e personalizzare in maniera ottimale i processi di progettazione aziendale e sicurezza con supportate funzionalità di flussi di lavoro.
Vuoi sapere come OneTrust può supportare il tuo programma GRC? Richiedi oggi una demo gratuita.
