Una piattaforma di Grc, a dispetto delle sue capacità di generare grande valore per un’impresa, è un “prodotto difficile da vendere” per i Cio. Forrester ha elaborato un framework, basato su quattro elementi essenziali, che aiuta a costruire “business case” dettagliati e convincenti.
Secondo Forrester, i vendor di soluzioni per Governance, Risk e Compliance (Grc) valutano in un range fra i 200.000 e i 600.000 dollari il costo di una piattaforma Grc, includendo il software, l’hardware e i servizi di implementazione. I prezzi sono in genere calcolati sul numero di utenti e si va dalle poche centinaia di dollari per utenze che accedono saltuariamente o collaboratori, fino a diverse migliaia di dollari per quella dei cosiddetti power user o amministratori. Altri parametri che possono essere considerati nella determinazione dei costi sono le dimensioni aziendali, le funzionalità richieste e le normative alle quali si desidera essere compliant.
Rispetto ad altri progetti software di respiro analogo, quelli di sistemi Grc prevedono costi hardware relativamente contenuti. Le implementazioni tipiche necessitano infatti di poco più di un application server, un web server e un database. Queste spese possono ovviamente aumentare se si devono gestire volumi molto elevati di dati o l’utenza è molto distribuita.
I costi dei pacchetti di supporto standard sono generalmente inferiori al 20% di quelli delle licenze, e per Forrester questa voce è quella che cambia meno in base ai vendor. In relazione alla complessità della piattaforma, può essere invece richiesta la presenza di un supporto It interno. Gli analisti suggeriscono di prevedere almeno una risorsa full-time ogni 50-75 utenti attivi. In alcuni casi le iniziative di Grc possono richiedere una consulenza strategica e organizzativa. Spesso sono gli stessi vendor a suggerire ai clienti consulenti di questo tipo. Secondo Forrester, questi servizi non sono necessariamente essenziali ai fini di un’implementazione di successo dal punto di vista tecnologico e non dovrebbero essere considerati nel calcolo del Roi. Infine, sempre a proposito di costi, Forrester segnala che circa un terzo delle implementazioni di piattaforme Grc sono oggi in modalità software-as-a-service o in hosting. In questi casi, i costi per hardware, implementazione e supporto sono inclusi nei canoni di abbonamento.
Benefici, flessibilità e rischi
L'analista ritiene che la maggior parte dei Cio dovrà ricorrere ad argomenti pragmatici e riuscire a dimostrare i vantaggi a medio-lungo nel momento di proporre un progetto di Grc. Per quanto riguarda i benefici diretti di una piattaforma Grc al top management, questi si suddividono in tre categorie: efficienza, riduzione dei rischi e performance strategica (figura 1).
Figura 1: Elementi per calcolare i benefici derivanti dall’adozione di una piattaforma Grc
(fonte: Forrester)
Quasi tutti i clienti di una piattaforma di Grc puntano a un miglioramento dell’efficienza in attività quali policy and control management, risk management, audit management, compliance management e action management. Per dimostrare il contributo all’efficienza, quindi, è sufficiente calcolare le ore risparmiate dagli utenti, i risparmi nel costo del lavoro derivanti dalla possibilità di posporre o addirittura evitare l’ampliamento di staff, la riduzione dei costi connessi a audit o assessment svolti da personale esterno.
Un’iniziativa Grc produce valore anche grazie alla riduzione dei rischi. Una piattaforma di Governance, Risk e Compliance garantisce migliore compliance (riduzione di irregolarità riscontrate in fase di audit, sanzioni e cause legali), maggiore efficienza nel trattamento dei rischi (prioritizzazione e snellimento delle soluzioni) e raggiungimento di una posizione più tollerabile rispetto ai rischi (risparmi di capitale e di premi assicurativi). Per valorizzare in modo tangibile i risparmi si possono prendere in considerazione le diminuzioni dei costi di risposta agli incidenti, del numero e del valore delle multe e delle sanzioni, dei costi legati alle assicurazioni.
Più difficili da ottenere e da dimostrare sono invece i vantaggi in termini di performance strategica. Nel caso del Grc, spiega Forrester, consistono in un accresciuto controllo complessivo (con diminuzione di eventi negativi inattesi, una più accurata identificazione di rischi e valutazione del livello di compliance), in decisioni più “informate” (riguardo sviluppo, acquisti e investimenti) e in una migliore performance (più lanci di prodotto di successo, espansioni di mercato, apertura più rapida e semplice di filiali, implementazioni tecnologiche e realizzazioni di partnership). Sempre più spesso, quando si analizza un investimento, oggi si tende a valutare anche quanto potrebbe aiutare a cogliere nuove opportunità che dovessero sorgere in futuro. Lo stesso, secondo Forrester, vale per le piattaforme di Grc. La società suggerisce di considerare due elementi distinti della flessibilità: l’estendibilità dell’investimento e l’agilità nel supporto al business. Forrester sottolinea come un investimento in una piattaforma Grc, che di per sé può apparire elevato, permette di risparmiare nel momento in cui si desiderino introdurre nuove funzionalità. Gli analisi esemplificano sostenendo che una piattaforma Grc può offrire un modulo di business continuity con un sovrapprezzo di soli 40.000 dollari, mentre la stessa soluzione, a partire da zero, costerebbe in media 400.000 dollari. Per quanto riguarda il supporto alla business agility, una piattaforma Grc abbatte i costi legati alla definizione di requisiti, alle attività di due diligence, e al compliance training nel momento in cui un’azienda si espande in nuovi mercati, s’integra con nuovi partner, acquisisce aziende o forza lavoro (figura 2).
Figura 2: Come calcolare il valore di una piattaforma Grc in termini di flessibilità
(fonte: Forrester)
La costruzione di un “business case” di Grc, infine, non può non prendere in esame i rischi connessi a un progetto It di questo tipo, che coinvolge il top management, molti lavoratori e presenta costi non indifferenti. Questi riguardano, innanzitutto, l’implementazione, che potrebbe prevedere cambiamenti rilevanti nei processi e fare emergere requisiti non previsti dal vendor. Un’attenta pianificazione a priori permette di mitigare il rischio di spese non preventivate e spiacevoli ritardi nel rollout. Un secondo rischio è la resistenza all’adozione da parte degli utenti: l’unico modo per evitarlo è coinvolgere tutti nelle fasi di risk assessment, control test, policy attestation e altre attività critiche. Ecco quindi il rischio d’integrazione. Sempre più aziende cercano di integrare le piattaforme Grc con i processi e le infrastrutture It esistenti. Per Forrester è una scelta ragionevole, ma c’è anche il rischio che la piattaforma scelta non funzioni con le tecnologie preesistenti. Infine, è da valutare il rischio “vendor viability”. Infatti, gli analisti rilevano che il Governance, Risk e Compliance è un settore sicuramente forte e in crescita, ma anche caratterizzato da molti piccoli vendor.