Valutazione e governo dei rischi aziendali

405

CBR Italy approfondisce con alcuni player di mercato la gestione delle problematiche associate alla governance, al risk management e alla compliance

Per un’azienda è sempre più importante essere abili nel gestire le problematiche di rischio e di compliance correlate con le iniziative strategiche che impattano sugli obiettivi di business, sia legate all’ambiente fisico, sia virtuale o cloud.
Approfondiamo con alcuni vendor di mercato queste tematiche, iniziando ad analizzare come sta evolvendo il mercato nazionale sul tema della Governance Risk Compliance (GRC) e quali sono i mercati più interessati ad affrontarlo. Il tradizionale approccio per silos, quindi frammentato e gestito caso per caso, appare ormai superato.
“Le aziende – esordisce Mario Imparato, Business Developer di SAS Italia – si stanno orientando su piattaforme integrate allo scopo di migliorare la vigilanza della Corporate Governance (correttezza del reporting finanziario, conformità alla normativa, sistema dei controlli e Enterprise Risk Management – ndr). L’evoluzione di mercato sul tema GRC è stata determinata da fattori interni ed esterni che hanno contribuito al cambiamento dell’approccio al tema e quindi dell’aumento della domanda di sistemi a supporto. Per citarne alcuni: la crisi economica, l’aumento della complessità degli affari e della relativa normativa a garanzia del corretto svolgimento del business (sistema dei controlli), l’evoluzione della normativa. E ancora, il cambiamento di strategia nel business verso la globalizzazione, il cambiamento della tecnologia e dei processi a supporto delle nuove strategie, necessità di una visione integrata di tutte le componenti del business”. Tutti i mercati sono interessati a questa evoluzione, anche se il settore Finance è quello più pronto, grazie all’adeguamento alla normativa dettata da Basilea 2 e accelerata dalla crisi mondiale del 2008 che ha spinto le aziende da una parte e le autorità dall’altra a modificare le strategie per poter far fronte alla situazione.
“Attualmente – sostiene Massimo Vulpiani, Country Manager RSA Security (la divisione sicurezza di EMC) – in Italia la spinta principale all’adozione di strumenti per il GRC arriva certamente dalla necessità di ridurre i costi di compliance alle varie normative locali quali la legge 231, 262 e la normativa sulla privacy 196 (in particolare per il DPS), ma anche le tematiche relative al risk management sono affrontate con maggior frequenza. I mercati più maturi che hanno e stanno affrontando queste iniziative o le hanno già avviate sono certamente i mercati finanziari, assicurativi e delle telecomunicazioni”.
Per SAP il tema Governance, Risk and Compliance sul mercato nazionale sta avendo un’evoluzione probabilmente più lenta rispetto ad altri Paesi Europei (gli Stati Uniti sono già allo stadio di maturità da tempo), ma al contempo sempre più importante e significativa. “I mercati – illustra Roberto Rizzi, Sales Consultant di SAP Italia – che per primi hanno affrontato il tema sono sicuramente quelli più sottoposti a normative di controllo (per esempio Utility, Financial Service). Questi settori hanno giocato un ruolo da apripista in un contesto che sta progressivamente ampliandosi trasversalmente a tutti i settori industriali, ovviamente con maggiore forza e pervasione laddove le società sono quotate in borsa”.
Fornire una visione olistica del rischio e della conformità normativa è indispensabile per qualsiasi azienda di qualsiasi settore. “Essere conformi – sottolinea Fredi Agolli, Country Manager di Informatica Software Italia – significa essere in grado di adeguarsi a leggi, normative, policy, obblighi contrattuali e standard di mercato. È l’abilità di un’azienda a gestire le problematiche associate al rischio e alla compliance in correlazione con le iniziative strategiche che impattano sugli obiettivi di business. La Governance richiede una definizione chiara degli obiettivi di business e delle regole, delle policy, delle procedure e degli standard dell’azienda. Norme e linee guida spesso vengono adottate per affrontare potenziali rischi. Per esempio, il mercato finanziario è guidato da indicazioni in merito a diverse norme e leggi nazionali nel settore bancario che hanno l’obiettivo di prevenire e ridurre l’esposizione ai rischi al credito e al bisogno di mantenere sufficientemente liquide le attività delle aziende, in modo tale da assicurare che le organizzazioni restino profittevoli e in grado di mantenere gli impegni presi”. Tali regolamentazioni, come gli Accordi di Basilea (per il settore bancario) o i regolamenti Solvency per l’Unione Europea, sono necessariamente connessi e guidati dall’accesso a un’elevata quantità di dati di cui bisogna salvaguardarne l’affidabilità.

Strumenti e strutture
In questo contesto occorre definire quali strumenti e strutture vengono offerte ai clienti per venire incontro alle specifiche esigenze. SAP ha ritenuto il settore GRC strategico sin da quando negli Stati Uniti sono comparse normative come la SOX (Sarbanes-Oxely Act). “Per questo – enfatizza Rizzi – SAP ha fortemente investito nel tempo per sviluppare soluzioni dedicate specificatamente al tema GRC (Access Control a supporto delle logiche di Segregazione dei Ruoli, Process Control a supporto dei processi di attestazione della compliance aziendale, Risk Management a supporto delle tematiche di analisi e pianificazione dei rischi operativi – ndr)”. La sempre più forte richiesta da parte del mercato di soluzioni integrate per indirizzare questi temi ha visto proprio recentemente SAP dedicarsi allo sviluppo e al rilascio della piattaforma GRC 10, che integra sia da un punto di vista tecnico che funzionale tutte le soluzioni GRC presenti già da tempo sul mercato.
“SAS – sottolinea invece Imparato – ha una soluzione integrata per standardizzare e gestire tutti i rischi aziendali e consolidare tutte le informazioni derivanti da specifici sistemi di Risk Management, sia finanziari sia non finanziari, al fine di ottenere una visione dei rischi Enterprise Wide. La soluzione facilita la collaborazione tra i vari soggetti interessati alla gestione dei rischi, quali Enterprise Risk Manager, Operational Risk Manager, Compliance Officer, IT Risk Manager, Information Security Manager, Internal Auditors; permette il monitoraggio continuo dei rischi e dei controlli; fornisce un panorama a 360° dei rischi; si integra con la parte analitica per prevenire i rischi e quindi tenerne sotto controllo l’esposizione”.
Su questo tema, attraverso la piattaforma Archer eGRC Suite RSA può offrire ai propri clienti una suite estremamente completa di soluzioni in grado di automatizzare i processi di GRC che si estendono non solo al dominio IT (IT-GRC), ma anche agli altri domini enterprise quali Finance, Operations a Legal (E-GRC). “Queste soluzioni – evidenzia Vulpiani – sfruttano i servizi della piattaforma di base ‘Archer eGRC Core Platform’ che a sua volta permette non solo di realizzare nuove applicazioni GRC attraverso una modalità ‘point-and-click’, ovvero senza richiedere specifiche competenze di programmazione, ma anche di modificare le soluzioni esistenti in modo tale da adattarne il comportamento agli specifici processi del cliente. La stessa core platform offre anche degli strumenti di integrazione che permettono di realizzare flussi bidirezionali di informazioni tra l’ecosistema aziendale e la piattaforma Archer, con l’obiettivo finale di realizzare un repository centralizzato di informazioni di interesse al GRC e di relazioni fra le informazioni stesse (per esempio dal nome di un server è possibile risalire alle applicazioni che girano in esso e dalle applicazioni i processi che esse supportano – ndr)”. La suite Archer include attualmente otto soluzioni (Policy Management, Risk Management, Compliance Management, Audit Management, Business Continuity Management, Incident Management, Threat Management, Vendor Management), ma altre sono disponibili attraverso il sito di “GRC Social Network” Archer Community e il marketplace Archer Exchange. Per supportare i propri clienti nella realizzazione efficace dei propri programmi di GRC, RSA ha stabilito delle collaborazioni con i principali integratori e società di consulenza nazionali e internazionali.
“Informatica – espone Angolli – offre soluzioni specifiche che consentono alle aziende di prendere decisioni consapevoli basandosi su dati tempestivi, affidabili e sicuri. In particolare, siamo in grado, attraverso la soluzione Informatica Data Quality, di fornire strumenti per profilare i dati aziendali e impostare regole per la bonifica automatica. Inoltre, con Informatica Data Masking è possibile automatizzare il processo di mascheramento dei dati sensibili che circolano sia all’interno sia all’esterno dell’azienda per garantire conformità alle leggi in materia di privacy. Infine, Informatica permette di ridurre il costo per il mantenimento dei dati dismessi che in questo modo possono essere conservati più a lungo”.

Approcci al GRC
In chiusura sondiamo quali sono gli approcci corretti che un’azienda può intraprendere per saper gestire al meglio il rischio, e come realizzare una sinergia tra le funzioni di Governance, Risk Management e Compliance. Dal punto organizzativo SAS ritiene sia utile, per esempio, costruire una libreria unica e condividere rischi e controlli in modo da poter verificare l’esistenza di un rischio e la sua ‘pericolosità’ da diversi punti di vista, per poter definire il Risk Appetite e di conseguenza il sistema dei controlli a presidio dei rischi aziendali. “L’utilizzo della libreria dei rischi – sostanzia Imparato – ha finalità diverse a seconda delle funzioni aziendali e può essere applicata alle aree aziendali interessate, quali linee of business, prodotti, aree, tecnologie, ecc. Ogni funzione esprimerà un giudizio sull’elemento rischiosità che sarà poi valutato in maniera aggregata e confrontato con il Risk Appetite che predisporrà le misure di mitigazione opportune, qualora fossero necessarie. Tutto questo può avvenire con l’adozione di uno strumento unico che con l’opportuna profilazione permette la gestione/visione dei rischi da parte dei diversi attori aziendali coinvolti e fornisce una sintesi dei Rischi Enterprise Wide.
L’approccio suggerito da RSA è quello di passare da una gestione dei rischi tipicamente effettuata in modo manuale e con strumenti generici quali i fogli di calcolo o con applicazioni proprietarie e verticali, a una gestione effettuata con una piattaforma esplicitamente progettata per il supporto dei processi GRC quale Archer eGRC Suite. “Solo in questo modo – conferma Vulpiani – è possibile realizzare un repository integrato delle informazioni associate al GRC in grado di abilitare una efficace automazione dei processi di Governance Risk e Compliance e contemporaneamente supportare efficacemente la collaborazione e la comunicazione attraverso la condivisione e la correlazione di tali informazioni”.
Gli approcci più corretti per SAP sono sicuramente approcci evolutivi, partendo da logiche prettamente di compliance (gestione della SOD, creazione di efficienza nell’attestazione dei controlli di processo) e creando in questo modo la cultura aziendale necessaria per poter successivamente gestire tutti i rischi operativi, di cui la compliance rappresenta solo una parte.
L’approccio più corretto per Angolli “è quello che prevede l’istituzione di figure e processi aziendali che prendano in carico la gestione della Governance, del Risk Management e della Compliance in modo integrato. Informatica risponde a questa esigenza con soluzioni software che consentono di gestire a 360 gradi e in maniera integrata le diverse esigenze aziendali in termini di Governance, Risk Management e Compliance. Questo paradigma si traduce in un’unica piattaforma integrata, Informatica 9, che permette di gestire univocamente i dati aziendali e garantire il rispetto delle norme di compliance”.
Enfatizza Rizzi: “La sinergia tra le funzioni di Governance, Risk Management e Compliance si può realizzare solo abbandonando la classica e rischiosa logica a silos e adottando modelli condivisi e non ripetuti, supportati da piattaforme applicative integrate, gestendo tutte le informazioni all’interno di un unico sistema ma garantendo al contempo a ogni attore dei processi di GRC di mantenere la vista di business che gli compete”.
In conclusione possiamo dire che il tema assume sempre più un ruolo cardine rispetto ai processi ed evolve, specialmente nelle grandi corporate, da obbligo di compliance normativa a strumento strategico per l’evoluzione del business.

 

Il parere di un operatore di mercato: Reply Consulting

 

Jacek Frysztacki, Partner di Reply Consulting, sostiene che un sempre crescente interesse degli addetti ai controlli interni per gli strumenti informatici di supporto, in particolare quelli chiamati dai Software Vendor sistemi GRC, sia indubbio. “Non sempre però a tale interesse corrisponde un’effettiva richiesta di questi strumenti. Oggi si può notare un’evidente ripresa delle iniziative intorno all’introduzione dei sistemi GRC. Le stesse si trasformano in progetti implementativi con maggiore tempestività laddove i supporti informatici migliorano in modo tangibile l’efficienza organizzativa, la controllabilità dei processi critici o qualunque altro aspetto ritenuto rilevante”.
I settori tradizionalmente attivi nell’informatizzazione dei processi di risk managmenet e di controllo interno sono quelli bancario e assicurativo. In altri settori il principale driver, che rende le aziende più attive nell’introduzione dei sistemi GRC, sembra sia dato dal rilievo e dalla complessità delle problematiche di compliance che l’organizzazione è tenuta ad affrontare. Altri driver significativi sono quelli relativi all’adozione di meccanismi maggiormente strutturati nella gestione dei rischi di business, nonché al ruolo rilevante nell’azienda ricoperto dalle strutture responsabili per il controllo interno. In tali contesti il valore aggiunto dei processi GRC è riconosciuto e si accompagna quindi a una maggiore propensione in investimenti informatici. “Reply Consulting – sottolinea Frysztacki – ha sviluppato un approccio integrato sull’intera catena del valore per lo sviluppo di un sistema GRC e che prevede studi di fattibilità e pianificazione dei sistemi GRC, individuazione delle migliori soluzioni tecnologiche e il conseguente disegno dettagliato, implementazione dei sistemi GRC e servizi di gestione e manutenzione applicativa. Nell’offerta dei nostri servizi ci avvaliamo di consolidate relazioni con i maggiori software vendor, unitamente alla nostra capacità di svolgere un ruolo di interfaccia tra l’anima funzionale e quella tecnologica del cliente”. Sulla base delle esperienze effettuate, Reply Consulting individua tra i fattori di successo per l’implementazione di un sistema informativo GCR quattro punti. La definizione iniziale, attraverso un’opportuna pianificazione integrata, di un adeguato business case che individui una corretta roadmap implementativa del sistema completo GRC; adeguate scelte tecnologiche sottostanti, applicative e infrastrutturali, che valorizzino al meglio gli asset ICT aziendali esistenti; l’eccellenza implementativa data dalla piena integrazione nel progetto dlle forti competenze applicative e quelle funzionali GRC; l’effettiva misurazione dei vantaggi di ogni fase della costruzione del sistema GRC, cosi come previsto all’interno nella roadmap implementativa definita inizialmente.