Governance, gestione dei rischi e conformità sono tre capitoli portanti della gestione aziendale. I programmi GRC (Governance, Risk management e Compliance) aiutano l’organizzazione a raggiungere i propri obiettivi; essendo l’uno il completamento dell’altro, funzionano meglio quando sono integrati. Prima di capire come e perché non lo siano, gli esperti mettono a fuoco i punti di continuità e il valore delle informazioni gestite dalle varie unità funzionali.
Governance, Risk management e Compliance in una triade strategica
La Governance definisce tutti i processi di gestione che vengono utilizzati da un’organizzazione per raggiungere i propri scopi. La Gestione del rischio non solo identifica le situazioni che potrebbero avere un impatto negativo sulla capacità dell’azienda di raggiungere i propri obiettivi, ma aiuta anche a identificare la propensione al rischio dell’impresa o la quantità di rischio che l’organizzazione è disposta ad accettare. La Conformità a standard, pratiche, normative e direttive di controllo affini, aiuta a garantire che l’organizzazione raggiunga i propri scopi utilizzando i metodi più appropriati.
La premessa è che ognuna di queste attività dovrebbe funzionare insieme alle altre, attraverso un programma GRC completo. La triade, infatti, è strategica in quanto permette a un’azienda di disporre delle migliori informazioni disponibili per raggiungere i propri obiettivi.
La continuità operativa (BC – Business Continuity) è l’attività che permette a un’azienda di lavorare, garantendo che gli eventi che possono minacciare il funzionamento dell’organizzazione siano identificati e mitigati per tempo se non addirittura previsti prima ancora che questi si verifichino. Un’attività importante nel processo di BC è comprendere nel dettaglio come funziona l’organizzazione. È necessaria un’analisi che, attraverso un’accurata ricerca, metta a fuoco i processi aziendali mission-critical, le tecnologie che supportano questi processi, le persone necessarie per eseguirli e le strategie per ottenere il ripristino dell’attività in caso di emergenza. Due importanti strumenti per la raccolta di questi dati sono l’analisi dell’impatto aziendale (BIA – Business Impact Analysis) e la valutazione del rischio (RA – Risk Assessment).
L’importanza del Business Impact Analysis e del Risk Assessment
I dati acquisiti durante le attività di BIA e RA aiutano a definire il programma di Governance, Risk management e Compliance.
Nella BIA, infatti, si cercano informazioni su come funziona l’azienda, in particolare identificando i suoi processi più importanti. Per comprendere correttamente in che modo i processi mission-critical hanno un impatto sull’organizzazione, un’altra attività della BIA è capire come funziona l’organizzazione concentrandosi su tre domande chiave:
- Qual è l’impatto sull’organizzazione nel caso di una perdita di uno o più processi mission-critical?
- Quali sono le tecnologie che supportano i processi chiave e gli obiettivi aziendali generali?
- Quali sono le implicazioni finanziarie, operative, competitive e reputazionali per l’azienda in caso di un arresto della continuità operativa?
Ognuna di queste attività contribuisce alla Governance dell’organizzazione.
Nella valutazione del rischio (RA), l’analisi intercetta tutte le situazioni, interne ed esterne, che potrebbero avere un impatto negativo sulla capacità dell’organizzazione di svolgere le sue funzioni mission-critical. Una volta identificata la gamma di rischi e di vulnerabilità, si procede a quantificare le probabilità che queste si verifichino in un evento, calcolando anche la gravità potenziale dell’evento sull’organizzazione e gli impatti finanziari e operativi per l’azienda. I dati di RA provengono da molte fonti: alcune altamente empiriche (come, ad esempio, le tabelle di sottoscrizione) e altre più soggettive (come l’esperienza diretta dei dipendenti con rischi specifici). Questi valori vengono poi elaborati per ottenere un punteggio di valutazione del rischio, utilizzato per stabilire la priorità dei rischi, delle minacce e delle vulnerabilità aiutando a definire le strategie di prevenzione e di mitigazione più opportune.
Come e perché le squadre BC e GRC dovrebbero lavorare insieme
I professionisti di BC sono ben consapevoli dell’importanza della conformità: non a caso, negli ultimi 20 anni sono stati sviluppati diversi standard internazionali e nazionali per la business continuity e il disaster recovery. In vario modo standard, regolamenti e best practice contribuiscono a tutte le attività in un programma BC. La conformità a standard e normative, per altro, è sempre più importante per garantire un audit di successo. I potenziali partner commerciali così come i clienti spesso chiedono di vedere i risultati degli audit BC e DR come parte del processo decisionale.
Per questo, sottolineano gli esperti, la funzione BC svolge un ruolo importante per un programma GRC, in quanto fonte essenziale di dati importanti.
La sfida? Iniziare una collaborazione stretta tra i team, in modo che le informazioni sulla parte BC possano essere condivise, riviste e utilizzate da chi si occupa di GRC perché è sicuramente controproducente non utilizzare i dati delle attività di BC in un programma GRC.
