Il perno operativo di Grc (Governance, Risk and Compliance) è sempre un Sistema di Controllo Interno (Sci) che Borsa Italiana (www.borsaitaliana.it) definisce come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”.
Come è facilmente intuibile, Sci impone linearità alle attività aziendali interessate e all’approccio nell’utilizzo dei sistemi informativi gestionali. Va osservato che Sci, data la vastità delle problematiche, nasce nell’azienda gradualmente e si evolve nel tempo. Ad esempio, oggi i temi di immediato interesse nelle aziende sono spesso la compliance alla Legge 262/05 e al D.Lgs 231/01, così come qualche anno fa nelle aziende legate al mercato finanziario statunitense “il tema del giorno” è stato Sarbanes-Oxley Act. Questi temi, anche se ampi e rilevanti, non esauriscono le potenziali esigenze di controllo ed è ragionevole pensare che gli Sci dell’impresa copriranno un perimetro sempre più ampio. Una continua interazione fra l’area It e quella Grc può quindi mettere in luce le sinergie fra le iniziative e dare reale beneficio a entrambi.
In estrema sintesi si può affermare che il concetto di Sci è un insieme di norme e di suggerimenti finalizzati a un buon governo dell’azienda guidati soprattutto dal “buon senso”; in quest’ottica si ritrova anche la mission dei servizi IT nell’affrontare le proprie attività di supporto al business.
A nostro avviso, esistono tre aree distinte di integrazione dell’It nel processo Grc:
– Strumenti di Gestione: gli strumenti di gestione del processo Grc sono fondamentali in quanto facilitano a un insieme di utenti con mansioni e responsabilità diverse, quali ad esempio l’Internal Audit o Dirigente Preposto, l’acquisizione e la lettura dei dati risultanti dai controlli. Questi strumenti rendono inoltre possibile la programmazione delle attività di controllo e la gestione del workflow di informazione.
– Strumenti di controllo: permettono di rendere automatiche le verifiche poiché integrati nei sistemi informativi aziendali esistenti con evidenti benefici sia sulla precisione dei controlli sia sui costi di esecuzione; l’area degli strumenti di controllo è indubbiamente quella dove il ritorno dell’investimento è più diretto e visibile anche se è necessario includervi le attività di mantenimento nel tempo della matrice di controllo sui sistemi relativamente alle evoluzioni delle norme e dell’azienda.
– Disegno Sci: il supporto al disegno Sci è probabilmente l’attività sulla quale il ruolo dell’It fornisce maggiore valore, rendendolo protagonista. Il motivo principale è che, come spesso accade in processi trasversali all’azienda, l’IT ha la visione d’insieme sia sulle funzioni aziendali sia sugli strumenti utilizzati. È quindi in grado di valutare la fattibilità ed i costi/benefici dell’introduzione di un nuovo strumento o, meglio ancora, all’utilizzo di uno strumento già presente in azienda che possa essere utilizzato anche per il processo Grc. È necessario, infatti, tenere presente che molti degli strumenti operativi necessari ad automatizzare il processo Grc sono spesso già presenti in azienda e possono essere facilmente adattati allo scopo.
Un esempio calzante sull’importanza del ruolo dell’It relativamente al disegno Sci è il tema della Segregation of Duties dove l’It è indispensabile sia per il disegno del processo di definizione delle regole e della loro applicabilità sia sulle fasi di controllo e di mantenimento dello strumento adeguato e conforme alle variazioni delle normative, alla evoluzione dell’azienda e dei sistemi. Infatti, soprattutto nelle aziende articolate dotate di diversi sistemi più o meno integrati tra loro, solo le conoscenze dell’It possono rendere efficace la matrice di controllo dei ruoli aziendali che per definizione non può dipendere da un’unica applicazione ma dalla visione d’insieme di tutte le applicazioni utilizzate quali ad esempio un Erp e un Sistema di Consolidato.
Concludendo, la nostra esperienza ci incoraggia ad affermare che esistono ampi spazi di convergenza fra le esigenze funzionali Grc e la naturale propensione dell’area It per un utilizzo strutturato di tutti i sistemi informativi aziendali e delle relative competenze.
* Jacek Frysztacki e Nicola Angelina sono Partner Reply Consulting
Avendo una visione d'insiema delle funzioni aziendali e degli strumenti utilizzati, l'It è in grado di valutare se e quali strumenti utilizzare anche nel processo Grc
(Cliccare sull'immagine per ingrandirla)
I software Grc impattano su tutte le aree e le funzioni aziendali
(Cliccare sull'immagine per ingrandirla)
