Grc: l’It diventa protagonista

Le problematiche di corporate governance, di risk management e di compliance (Grc) occupano nelle aziende odierne uno spazio sempre più ampio. Tali attività richiedono precisione ed ampio coinvolgimento delle risorse.  l’It avendo, come spesso accade, una visione d’insieme su processi, strumenti e funzioni, diventa riferimento prezioso nello sviluppo e nel successo, in termini di efficienza ed efficacia, di progetti Grc.

Pubblicato il 27 Ott 2009

Il perno operativo di Grc (Governance, Risk and Compliance) è sempre un Sistema di Controllo Interno (Sci) che Borsa Italiana (www.borsaitaliana.it) definisce come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”.
Come è facilmente intuibile, Sci impone linearità alle attività aziendali interessate e all’approccio nell’utilizzo dei sistemi informativi gestionali. Va osservato che Sci, data la vastità delle problematiche, nasce nell’azienda gradualmente e si evolve nel tempo. Ad esempio, oggi i temi di immediato interesse nelle aziende sono spesso la compliance alla Legge 262/05 e al D.Lgs 231/01, così come qualche anno fa nelle aziende legate al mercato finanziario statunitense “il tema del giorno” è stato Sarbanes-Oxley Act. Questi temi, anche se ampi e rilevanti, non esauriscono le potenziali esigenze di controllo ed è ragionevole pensare che gli Sci dell’impresa copriranno un perimetro sempre più ampio. Una continua interazione fra l’area It e quella Grc può quindi mettere in luce le sinergie fra le iniziative e dare reale beneficio a entrambi.
In estrema sintesi si può affermare che il concetto di Sci è un insieme di norme e di suggerimenti finalizzati a un buon governo dell’azienda guidati soprattutto dal “buon senso”; in quest’ottica si ritrova anche la mission dei servizi IT nell’affrontare le proprie attività di supporto al business.
A nostro avviso, esistono tre aree distinte di integrazione dell’It nel processo Grc:
Strumenti di Gestione: gli strumenti di gestione del processo Grc sono fondamentali in quanto facilitano a un insieme di utenti con mansioni e responsabilità diverse, quali ad esempio l’Internal Audit o Dirigente Preposto, l’acquisizione e la lettura dei dati risultanti dai controlli. Questi strumenti rendono inoltre possibile la programmazione delle attività di controllo e la gestione del workflow di informazione.
Strumenti di controllo: permettono di rendere automatiche le verifiche poiché integrati nei sistemi informativi aziendali esistenti con evidenti benefici sia sulla precisione dei controlli sia sui costi di esecuzione; l’area degli strumenti di controllo è indubbiamente quella dove il ritorno dell’investimento è più diretto e visibile anche se è necessario includervi le attività di mantenimento nel tempo della matrice di controllo sui sistemi relativamente alle evoluzioni delle norme e dell’azienda.
Disegno Sci: il supporto al disegno Sci è probabilmente l’attività sulla quale il ruolo dell’It fornisce maggiore valore, rendendolo protagonista. Il motivo principale è che, come spesso accade in processi trasversali all’azienda, l’IT ha la visione d’insieme sia sulle funzioni aziendali sia sugli strumenti utilizzati. È quindi in grado di valutare la fattibilità ed i costi/benefici dell’introduzione di un nuovo strumento o, meglio ancora, all’utilizzo di uno strumento già presente in azienda che possa essere utilizzato anche per il processo Grc. È necessario, infatti, tenere presente che molti degli strumenti operativi necessari ad automatizzare il processo Grc sono spesso già presenti in azienda e possono essere facilmente adattati allo scopo.
Un esempio calzante sull’importanza del ruolo dell’It relativamente al disegno Sci è il tema della Segregation of Duties dove l’It è indispensabile sia per il disegno del processo di definizione delle regole e della loro applicabilità sia sulle fasi di controllo e di mantenimento dello strumento adeguato e conforme alle variazioni delle normative, alla evoluzione dell’azienda e dei sistemi. Infatti, soprattutto nelle aziende articolate dotate di diversi sistemi più o meno integrati tra loro, solo le conoscenze dell’It possono rendere efficace la matrice di controllo dei ruoli aziendali che per definizione non può dipendere da un’unica applicazione ma dalla visione d’insieme di tutte le applicazioni utilizzate quali ad esempio un Erp e un Sistema di Consolidato.
Concludendo, la nostra esperienza ci incoraggia ad affermare che esistono ampi spazi di convergenza fra le esigenze funzionali Grc e la naturale propensione dell’area It per un utilizzo strutturato di tutti i sistemi informativi aziendali e delle relative competenze.

* Jacek Frysztacki e Nicola Angelina sono Partner Reply Consulting

Avendo una visione d'insiema delle funzioni aziendali e degli strumenti utilizzati, l'It è in grado di valutare se e quali strumenti utilizzare anche nel processo Grc
(Cliccare sull'immagine per ingrandirla)

I software Grc impattano su tutte le aree e le funzioni aziendali
(Cliccare sull'immagine per ingrandirla)

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2