La corretta e tempestiva gestione di tutti i possibili inconvenienti che possono influire negativamente su attività e processi di controllo, così come sulla valutazione dei rischi e sulle relative azioni di mitigazione degli stessi, è una condizione necessaria affinché i controlli siano efficaci e le stime corrette.
Nella “pillola” di oggi, vediamo come IBM OpenPages consenta di gestire ciascuna problematica (“issue”) presidiando l’intero processo.
IBM OpenPages è integrato con Cognos Analytics e questo comporta che ogni oggetto creato e gestito nel primo sia automaticamente disponibile nel secondo.
La soluzione, dunque, non solo offre un numero elevato di report su tutti i domini del GRC, ma i suoi utenti chiave possono anche condurre analisi “spot”, non comprese fra i report standard, accedendo alle necessarie informazioni in un modo semplificato e integrando al bisogno anche dati provenienti da fonti esterne.
Vediamo come in questa pillola video:
In questi anni molte aziende si sono strutturate per rispondere a requisiti sempre maggiori in termini di risk & compliance management e si sono trovate a dover scegliere, o sviluppare, sistemi informativi di supporto.
Data la priorità di rispondere in tempi ristretti a nuove normative o richieste degli organi di vigilanza, molte funzioni aziendali hanno optato per le soluzioni e modalità realizzative già “disponibili”, più rapide e facili da implementare, che potremmo classificare in due principali tipologie:
Entrambe le soluzioni precedenti hanno consentito di accelerare l’implementazione e facilitare l’avvio ed il consolidamento di nuovi processi di risk & compliance ma, nelle organizzazioni più articolate, hanno moltiplicato i modelli, i framework, le metriche e i processi di valutazione presenti in azienda.
Ora molte organizzazioni, soprattutto le più ampie e strutturate, si trovano in una fase diversa, i processi si sono consolidati ed evoluti, è cresciuta la consapevolezza e le competenze sui temi di risk & compliance management ai vari livelli dell’organizzazione e della governance aziendale, sono quindi diverse le esigenze che guidano le scelte delle soluzioni verso le quali si ripongono aspettative più evolute e orientate a:
In questa nuova fase di integrazione, razionalizzazione ed evoluzione dei processi e delle soluzioni; l’aver implementato differenti applicativi costituisce una “complicazione” che forse si era inizialmente sottostimata.
Nella sostituzione delle soluzioni esistenti o nell’introduzione di applicazioni mancanti, diventa quindi prioritario selezionare applicativi, che seppure inizialmente implementabili in poche aree aziendali, consentano di ampliare, in futuro, gli ambiti di applicazione potendo costituire potenzialmente una piattaforma unica ed integrata per il risk & compliance management aziendale.
L’offerta di soluzioni di “GRC” (Governance Risk & Compliance) per grandi organizzazioni, denominate anche GARC da chi vuole enfatizzare la presenza della componente di Auditing come anello chiave dei processi ed indispensabile linea di difesa, si è sviluppata e concentrata in pochi player internazionali.
Certamente la flessibilità del sistema, che credo debba avere una logica di “piattaforma” in grado di supportare personalizzazioni significative, diventa un tema indispensabile per poter rispondere a requirements ampi e differenziati (il tema dell’importanza della “Flessibilità nelle applicazioni di risk & compliance” è già stato affrontato in due miei articoli apparsi nel dicembre 2021 su Risk & Compliance Platform Europe)(1).
Spesso si vivono le difficoltà di implementazione di una soluzione integrata come un limite dell’applicazione, rischiando di nascondere, o non voler affrontare, il vero problema; cioè la presenza in azienda di modelli di valutazione dei rischi basati su framework, processi, metriche diverse e poco coerenti.
Ecco perché ritengo che avviare un progetto di GRC, al di là della specifica soluzione scelta, costituisca una opportunità importante per razionalizzare ed evolvere i propri processi di risk & compliance management; la complessità progettuale non è spesso tanto legata ad aspetti tecnico-funzionali ma al ridisegno di modelli, processi, metriche integrate ed omogenee.
Proviamo a descrivere opportunità e vantaggi con riferimento alle principali componenti impattate.
A. Modello concettuale integrato
Spesso le funzioni, magari in periodi diversi, hanno introdotto modelli concettuali di risk management disomogenei che rendono difficile una lettura unica ed integrata. Credo che pensare ad un framework unico di rischi e controlli disegnato con l’opportuna “granularità” in ottica aziendale e non prevalentemente funzionale, sia il prerequisito per poter effettuare corrette valutazioni con una visione integrata e completa, necessaria per definire le corrette priorità di intervento.
B. Metriche comuni
Abbiamo registrato la presenza di metriche di valutazione del rischio diverse (quantitative vs qualitative, mono criterio vs multi-criterio, diversi range/livelli di valutazione…) con evidente complicazione dei modelli interpretativi; ripensare il sistema di supporto diventa un’opportunità per omogeneizzare le metriche di valutazione in chiave aziendale/di gruppo.
C. Processi allineati
L’utilizzo di sistemi diversi e specializzati ha facilitato la generazione di processi funzionali di risk assessment differenziati e non sempre allineati in termini di tempistiche, priorità, deleghe di responsabilità. La crescita delle competenze e la diffusione di una cultura di gestione del rischio consentono spesso di ripensare i processi in ottica più aziendale e con un orientamento maggior al “continuous controlling” evolvendo dalla logica iniziale che ha dovuto spesso privilegiare l’adempimento formale ai requirements normativi/regolatori.
D. Efficienza nei controlli ed azioni di mitigazione
Condividere attraverso un sistema integrato controlli attivati e logiche di mitigazione dei rischi è secondo me un valore enorme. Non solo in termini di efficienza, perché può evitare la duplicazione dei controlli e migliorarne l’efficacia predisponendoli con una visione integrata e meno parcellizzata, ma soprattutto consente anche uno sharing del know-how aziendale per progettare meglio le azioni di mitigazione “imparando” dalle risposte attuate in ambiti differenti.
E. Gestione integrate delle ISSUE
L’issue management è uno dei campi dove appare evidente come uno stesso problema possa avere effetti ampi e coinvolgere differenti aree e funzioni aziendali impattando su differenti rischi, senza un sistema integrato e diffuso diventa difficile consentire la corretta fruizione dell’informazioni sull’ ISSUE e guidare una gestione “integrata” per la risoluzione.
F. Anagrafiche condivise
Può sembrare banale ma spesso differenti applicativi richiedono la moltiplicazione di anagrafiche che si potrebbe eliminare con un sistema integrato, ed ovviamente con queste, anche interfacce, transcodifiche ed in generale processi più o meno complessi di aggiornamento e verifica.
G. Unica piattaforma
Una piattaforma unica rappresenta per IT interno una semplificazione: 1 unico vendor, 1 sola gestione come system administrator, 1 solo soluzione da aggiornare ed evolvere…
H. Crescita della cultura del risk management
Un sistema unico diventa anche una leva per consolidare e diffondere ai vari livelli l’approccio aziendale al risk & compliance management, per questo la flessibilità delle soluzioni è necessaria per recepire ed integrare gli specifici processi e modelli dei diversi ambiti aziendali di applicazione, ma potendoli inquadrare in un framework comune aziendale.
I. Visione complessiva
Poter integrare in un’unica soluzione, entità, processi, framework, metriche, issue consente la costruzione di una visione complessiva in tutte le fasi del risk management ed a tutti i livelli organizzativi con evidente valore aggiunto decisionale.
J. Sviluppo e miglioramento (innovazione)
Alla luce di requirements sempre più impegnativi che hanno imposto spesso modifiche e sviluppi a posteriori ma anche le evidenti possibilità di migliorare l’efficienza di processi di risk & compliance più a regime, abbiamo percepito una particolare attenzione al miglioramento e crediamo che l’introduzione di un nuovo sistema integrato possa rappresentare la leva per avviare il re-engineering.
Inoltre, sempre nuove opportunità nascono dall’innovazione tecnologica (es. AI) più facilmente implementabile con un unico sistema il cui sviluppo di prodotto sia garantito da un grande player in grado di integrare al meglio nuovi paradigmi e best practices. Per organizzazioni moderne e strutturate, mi sembra difficile selezionare partner tecnologici, in aree così delicate, senza una visione di lungo periodo e di potenzialità in termini di innovazione.
In conclusione, i punti appena descritti evidenziano, certamente le principali aree di potenziale miglioramento, ma anche le criticità e la complessità insiti in un progetto di implementazione di un sistema integrato che, spesso, richiede una importante attività progettuale e di disegno concettuale pre-implementazione.
Ci sembrano validi anche in queste tipologie di implementazioni i classici suggerimenti di “pensare in grande ma partire in piccolo” cioè avviare realizzazioni più ridotte e mirate per procedere, poi, con successive estensioni.
Tuttavia, mi sembra di poter affermare che le potenzialità della soluzione scelta, in termini di integrazione e scalabilità su diversi ambiti del risk & compliance management, diventino, in quest’ottica di sviluppo, sempre di più un pre-requisito.
di Gabriele MENEGUZZI – GRC Practice Leader c/o Stratos Analytics
Come ottenerla? Quali componenti e funzionalità si rilevano preziose?
Ho già parlato in precedenti articoli dell’importanza crescente della flessibilità per le soluzioni di Risk & Compliance Management ed introdotto quelle che, concettualizzando le richieste ricevute, mi sembrano le dimensioni “indispensabili” per supportare la flessibilità di una soluzione di risk & compliance:
Dimensioni della Flessibilità
A. Flessibilità nella modellazione
B. Flessibilità di processo/workflow
C. Flessibilità nei dati associati agli oggetti
D. Flessibilità per import/export dati semi-strutturati
E. Flessibilità del front-end utente
F. Flessibilità nell’analisi e reporting
Ho maturato infatti la convinzione che le demo di prodotto tendano a mostrare la “facciata” della soluzione privilegiando gli aspetti più scenografici e, volendo spesso sottolineare la semplicità di utilizzo, nascondano il back-side delle soluzioni dove si possono celare complicazioni in termini di manutenzione ed evoluzione del sistema o, dal verso opposto, funzionalità facilitanti e preziose in ottica di flessibilità futura della soluzione.
È quindi interessante declinare meglio il significato di queste dimensioni di flessibilità e per ciascuna evidenziare, a scopo esemplificativo, come un primario vendor che si è trovato negli anni ad implementare soluzioni di risk & compliance in diversi ambiti e settori, ha “risolto” i bisogni più diffusi “integrando le risposte sviluppate” nella propria soluzione.
A. Flessibilità nella modellazione
Nella fase di impostazione del framework di rischi e controlli, ma anche nelle successive evoluzioni, è spesso richiesta flessibilità nell’associazione dei rischi alle diverse entità o a diversi livelli delle entità (ad esempio associare un rischio al livello di processo o livello di sotto-processo), nelle relazioni tra i singoli rischi e i controlli/azioni di mitigazione… inoltre è indispensabile completare il modello poiché la declinazione dei rischi dai processi, tipica del Operation Risk Management, non è sufficiente per supportare i restanti ambiti di risk & compliance.
La risposta del vendor integra due aspetti, un contributo più di “modello” ed un altro più informatico riferito alle relazioni tra gli oggetti:
La scelta per rispondere alle esigenze è stata di introdurre una logica comune e condivisa tra tutti gli ambiti, che come primo step, ha la modellizzazione dell’azienda/business per declinare da questa il framework di rischi ed associare a questi controlli/azioni di mitigazione ed infine prevedere eventuali test e piani di test per supportare il monitoraggio.
Esempio: Modello logico ri-organizzato dei dati della soluzione GRC di IBM
Il primo step è poi differenziato per ambiti di applicazione quindi ai processi-sotto processi tipici del rischio operativo, si aggiungono altre entità, come Sistemi, HW, SW, Progetti, competenze critiche…. se pensiamo ad ambiti più ICT, oppure conti-sottoconti contabili se pensiamo ai rischi nelle rendicontazioni finanziarie, oppure fornitori/impegni/contratti se pensiamo al rischio fornitori/terze parti ed ovviamente requisiti (o obbligazioni) derivanti da procedure interne (policy) e da mandati/sotto mandati di normative e regolamenti se pensiamo alle aree di compliance…. Ed altri oggetti possono essere integrati con sviluppi custom facilitati.
Ulteriore supporto alla modellazione è costituito dalla possibilità di creare relazioni n:n tra i diversi oggetti, quindi in grado di supportare sia relazioni 1:1 (ad esempio, 1 processo associato a 1 rischio, a cui è associato 1 controllo), ma anche 1:n (un processo sono associati più rischi, ad 1 rischio più controlli di mitigazione) oppure n:1 (un rischio è associato a più processi, una azione di controllo è in grado di mitigare più rischi). Tale scelta si contrappone a logiche di sistemi che tendono a vincolare le relazioni tra le diverse entità del modello secondo logiche prestabilite.
B. Flessibilità di processo/workflow
L’esigenza di variare i processi/workflow di sistema deriva da cambiamenti organizzativi (siano essi di natura ordinaria o straordinaria) oppure necessità di evolvere i processi inizialmente implementati crescendo la maturità e le competenze aziendali.
Allargando i confini della soluzione crescono le esigenze di differenziare i processi per entità del fenomeno (logica tipo “gate”) in modo da focalizzare le attività dove si presentano più criticità, mentre in grandi gruppi esiste anche la necessità di differenziare i processi per entità organizzative diverse (strutture principali complesse vs aziende semplici/residuali).
La soluzione “tecnica”, come già avvenuto in altri ambiti, è stata quella di integrare nella soluzione un motore di workflow che consente con modalità grafica di costruire e modificare flussi operativi e relativa generazione delle attività, notifica, verifiche e convalide, ed eventuali cambi di viste in fasi diverse del processo.
Esempio: Rappresentazione grafica workflow embedded nella soluzione GRC di IBM
Ovviamente le interfacce utente sono progettate affinché le variazioni dei processi non impattino sul front-end, a differenza di soluzione dove work-flow e front-end utente sono strettamente vincolati rendendo complessa ogni modifica /differenziazione.
C. Flessibilità nei dati associati agli oggetti
Aggiungere informazioni prima non previste è un’esigenza frequente, oppure inserire nuove categorie/attributi per la classificazione ai fini del reporting, poterle integrare facilmente nella soluzione evita gestioni extra-sistema fuori controllo.
La soluzione è stata quella di consentire inserimento di nuovi campi negli «Object Model» con facilità attraverso percorso intuitivo e senza dover scrivere codice, ma soprattutto fornire funzionalità “visuali” tipo drag&drop per aggiornare le viste degli oggetti (schede) selezionando i campi da aggiungere e rendere visibili agli utenti. Il passo successivo è garantire, con procedura automatizzata, la disponibilità delle nuove classificazioni/informazioni nel reporting.
D. Flessibilità per import/export dati semi-strutturati
Non solo nella fase di inizializzazione della soluzione ma anche “a regime” nasce di frequente la necessità di importare un numero significativo di dati o per caricamenti una-tamtum oppure in attesa di realizzare interfacce automatizzate. Viceversa, è risultata spesso indispensabile la possibilità di esportare dati elementari per importarli in altri sistemi o effettuare verifiche massive.
Per rispondere a questa esigenza IBM ha integrato nella soluzione un tool denominato FastMap che consente l’import/export dai dati attraverso excel, attivabile ovviamente solo per utenti autorizzati, ma applicabile a tutti gli oggetti che consente sia il caricamento di nuovi dati sia modifiche (o popolamento) di singoli campi su più record, tutto con massimo controllo e tracciatura delle modifiche effettuate.
E. Flessibilità del front-end utente
Sovente utenti con identico ruolo ma operanti in ambiti diversi, hanno priorità di monitoraggio orientato a differenti fenomeni e numeriche, inoltre in diversi momenti della vita aziendale e/o in fasi differenti della maturità nei processi di Risk & Compliance Management cambia il focus e le priorità dei controlli, front-end standardizzati per ruolo non sono in grado di rispondere a queste esigenze di personalizzazione e modifica nel tempo.
La soluzione offerta consiste nel rendere autonomo e libero l’utente nella personalizzazione del Dashboard che rappresenta non solo una modalità di visualizzazione delle informazioni chiave ma, essendo «attivo» supporta l’utente nella navigazione consentendogli di raggiungere le informazioni critiche con un solo click direttamente dai grafici.
F. Flessibilità nell’analisi e reporting
Sono ormai numerosi gli ambiti e le applicazioni che hanno evidenziato lo stesso fenomeno: per quanto sia ampio il set di report standard predisposto, nascono sempre necessità di nuovi report, oltre a varie viste/aggregazioni degli stessi report per i diversi livelli organizzativi, a questo si aggiunge la necessità frequente di arricchire/rielaborare il report con calcoli aggiuntivi e colonne personalizzate…
La soluzione, come spesso avviene in questi casi, è stata quella di integrare nella soluzione un tool di business intelligence con tutte le funzionalità tipiche dei sistemi di B.I. e Reporting come l’analisi libera multidimensionale, reporting std e self-service, realizzazione di dashboard evoluti e “stories”.
Risulta evidente come le funzionalità evidenziate costituiscono una leva di flessibilità importante per rispondere a nuove esigenze, senza di queste si è obbligati a costosi sviluppi custom (con i relativi problemi di aggiornamento e manutenzione) o ad improvvisare integrazioni con tool che compensino le funzionalità mancanti.
La mia percezione è che tool verticalizzati, nati in ambiti e contesti limitati, abbiano investito molto per rispondere al meglio ad esigenze mirate guidando i clienti attraverso specifici “modelli di funzionamento”, mentre applicazioni che prima hanno iniziato ad ampliare le funzionalità in ottica GRC abbiano investito di più in flessibilità per rispondere ad esigenze e processi dei diversi ambiti del Risk & Compliance Management e per sviluppare elementi logici ed informazioni comuni e condivisibili.
di Gabriele MENEGUZZI – GRC Practice Leader c/o Stratos Analytics
Tratto da https://www.riskcompliance.it/news/flessibilita-nelle-soluzioni-software-di-risk-e-compliance/
