Governance, Risk and Compliance rivestono un’importanza sempre maggiore nelle aziende. E la gestione non è facile, perché riguardano diverse aree dell’azienda, che ragionano spesso a silos.
Cosa si intende esattamente per GRC?
GRC è l’acronimo di Governance, Risk and Compliance. La GRC riguarda tutte le attività in azienda che hanno a che fare con la gestione dei rischi nell’organizzazione e con la definizione e implementazione di un opportuno framework per soddisfare i requisiti di governance.
In genere i processi GRC riguardano non solo l’IT, ma anche le divisioni operations, finanza e legale.
- IT GRC. Queste attività riguardano l’area informatica. Vi rientrano ad esempio firewall, sistemi di gestione della sicurezza IT, controllo degli accessi, tool per la gestione delle vulnerabilità, sistemi di identity e access management (IAM), piani di disaster recovery (DR).
- Operations GRC. Comprendono la gestione delle attività core dell’organizzazione. Tipici esempi sono la definizione e aggiornamento dei processi fra diverse aree (produzione, risorse umane, procurement, acquisti e via dicendo).
- GRC finanziaria. Riguarda tutti i controlli finanziari. Tipico esempio sono le autorizzazioni per le spese e gli investimenti
- GRC legale. Riguarda tutta la parte contrattuale, legale, privacy, affari societari sia interna che esterna all’organizzaziaone.
Il fatto che molteplici aree siano coinvolte nelle attività di GRC crea non pochi problemi a livello organizzativo. Spesso la collaborazione e la cooperazione fra le varie divisioni è insufficiente e gli esperti dicono che i silos sono il nemico principale di un programma GRC efficiente.
Un esempio tipico è la protezione della privacy e dei dati. Oggi, le responsabilità di gestione della privacy sono tipicamente divise tra funzioni IT e legali. Mentre il dipartimento legale gioca complessivamente un ruolo dominante sulla privacy, l’IT detiene ancora la responsabilità dell’implementazione dei controlli, delle soluzioni, delle tecnologie per indirizzare le normative della privacy.
E’ facile quindi capire perché i team IT e quelli legali abbiano bisogno di parlare la stessa lingua e collaborare per ridurre i rischi aziendali
Recentemente Ponemon Institute ha pubblicato uno studio, sponsorizzato da RSA, sul ruolo della Governance, Risk Management & Compliance nelle organizzazioni che illustra bene le problematiche in gioco.