Da qualche anno le imprese stanno prendendo familiarità con la sigla GRC e con i temi che questa sottende. L’idea di fondo è che oggi le aziende di qualsiasi dimensione e ambito abbiano il bisogno (o l’opportunità) di definire una strategia complessiva per la gestione del rischio (dalla sicurezza IT alla compliance) correlata alla strategia più ampia che riguarda invece gli obiettivi di business. In passato queste tematiche interessavano solo le grandi multinazionali, sulla spinta degli scandali alla Enron, oggi si pensa che i vantaggi siano molto più estesi.
L’IT aziendale rientra in pieno in questa visione. Le tecnologie IT sono alla base di una grossa parte della gestione del rischio e sempre più lo sono anche delle attività collegate alla gestione del business. Avere una strategia trasversale ad entrambi gli ambiti dovrebbe, nelle intenzioni, semplificare anche il lavoro dell’IT. Ma non tutto è sempre chiaro o scontato quando si tratta di GRC, per cui è meglio approfondire. E partire dall’inizio.
Cosa significa GRC?
Ci sono due interpretazioni della sigla GRC. Quella più universalmente accreditata – diciamo quella ufficiale – è Governance, Risk and Compliance. Molti però intendono la sigla come Governance, Risk and Control e dal punto di vista strettamente IT la differenza non è significativa.
Il termine Governance rimanda al fatto che la gestione dell’IT deve essere anch’essa allineata con gli obiettivi di business d’impresa. Il termine Risk in generale ricorda che qualsiasi rischio collegato alle attività dell’azienda deve essere identificato e gestito, quindi nel contesto IT vanno gestiti i rischi legati all’infrastruttura IT.
Ovviamente il termine Compliance ricorda che le attività d’impresa devono essere portate avanti nel rispetto delle norme che in qualche modo le riguardano. Questo vale anche per la gestione e l’operatività della infrastruttura IT (sistemi e dati) ed è naturale che ciò comporti una intensa attività di controllo (monitoraggio e auditing).
Ma di cosa è fatta la GRC?
In linea generale “fare GRC” significa definire un insieme di procedure e strumenti che indichi quanto le varie attività dell’azienda, da quelle più operative a quelle del management, siano allineate con i requisiti strategici, di gestione del rischio e di osservanza delle norme. Questo avviene attraverso la definizione di parametri misurabili di rischio associati ai processi aziendali, che poi vengono costantemente valutati.
Tradurre questa descrizione di alto livello nelle singole attività di dettaglio non è banale perché GRC significa molte cose, toccando ambiti che vanno dall’IT al finance passando per la parte legale. Ciascuno di questi ambiti può essere poi scomposto in attività mirate. Ad esempio per la parte IT si possono contare la gestione degli asset, il reporting, la raccolta dati, la protezione delle informazioni, il risk assessment e molto altro.
Di solito, per semplicità, le aziende preferiscono non sviluppare un proprio framework GRC da zero ma basarsi sui framework di gestione che sono già noti (in ambito IT possono essere ITIL o COBIT), rivedendoli poi in ottica GRC.
Ci sono tool specifici per la GRC?
Sì, ma nel considerarli bisogna prima avere chiaro che cosa si sta cercando. Le soluzioni vere e proprie di GRC si concentrano sui processi aziendali e vi collegano da un lato gli indicatori di rischio e dall’altro i controlli in atto per mitigare tale rischio. Parallelamente sono definite policy e procedure che collegano i processi e i loro tassi di rischio con i requisiti di business e compliance della singola impresa. Lo scopo è valutare in ogni momento quali processi stanno “deviando” dal profilo di rischio e compliance atteso.
Si tratta evidentemente di soluzioni complesse e costose, che oltretutto richiedono un lavoro preventivo di mappatura dei propri processi, controlli e fattori di rischio. E anche la definizione di un proprio framework, dato che quelli generici non possono evidentemente adattarsi a qualsiasi azienda così come sono.
Ci sono poi soluzioni più semplici, che guardano alla GRC focalizzandosi solo su un ambito (ad esempio l’IT o il finance). Oppure tool ancora più mirati che gestiscono solo una funzione specifica utile alla GRC. Diversi brand attivi in questo campo (ACL, IBM OpenPages, MetricStream, ServiceNow…) offrono soluzioni software a vari livelli di complessità.
Esiste la figura del “responsabile GRC”?
Non nel senso di un ruolo precostituito con funzioni chiare, come può essere quello del CIO o del CFO. Spesso si cita la figura del GRC Officer e ci sono anche programmi di certificazione che mirano a una qualifica del genere. Scendendo però nel dettaglio si nota che l’ambito è più quello del risk management o della compliance.
Il punto è che gli ambiti coperti dalla GRC sono talmente estesi da rendere difficile identificare un unico ruolo per comprenderli tutti. Meglio invece distribuire le competenze legate alla GRC all’interno dell’organizzazione, dal management sino a chi ha compiti più operativi.
In quest’ottica ci sono programmi di certificazione portati avanti da organizzazioni indipendenti, come ad esempio ISACA o il Project Management Institute, che possono “ratificare” gli skill delle persone IT. Si tratta quasi sempre di programmi mirati a persone già esperte, con esperienza pluriennale in campi come il risk management o l’auditing.