Risk & Compliance Management: una valutazione rapida della vostra soluzione applicativa
Per evolvere i processi di Risk & Compliance Management è necessario identificare le aree di miglioramento, le soluzioni applicative costituiscono un prezioso acceleratore o un freno, se non adeguate. Sulla base delle nostre esperienze, possiamo guidarvi per un rapido Assessment.
Negli ultimi anni le aziende, seppure con velocità e modalità differenziate per settore, sono state costrette a costruire ed evolvere rapidamente i loro processi di Risk & Compliance.
Da un lato, normative ed enti di controllo hanno imposto framework sempre più articolati; dall’altro, il contesto sempre più dinamico e globalmente integrato è diventato più “rischioso”; così le organizzazioni si sono dovute strutturare per gestire questa complessità crescente.
Un percorso evolutivo
È apparso subito evidente che per le aziende disegnare e implementare nuovi modelli, processi, metriche, competenze, responsabilità, eccetera significhi avviare un percorso – di certo non immediato – di “evoluzione” del modo di gestire i propri Rischi e la Compliance alle normative.
Negli standard ISO 31000 è stato formalizzato una valutazione della “Maturità” raggiunta attraverso un modello semplificato basato su 5 fasi di sviluppo:
Dalle fasi embrionali, basate su una gestione accentrata dei rischi e poche informative di sintesi, il processo di crescita della “Risk Management Maturity” prevede l’estensione di processi e modelli a diverse figure aziendali, modelli e metodologie più articolate, informazioni più strutturate e diffuse, report e analisi strutturate, “cultura” e competenze nuove… In questo scenario evolutivo, in realtà strutturate ed efficienti il ruolo delle applicazioni informative a supporto non può essere trascurato.
La matrice Stratos di Quick Assessment
Interrogarsi sulla soddisfazione delle soluzioni applicative in uso, confrontandosi con esperti del settore come i consulenti di Stratos Analytics, diventa quindi importante in almeno due diversi contesti:
- qualora l’azienda abbia maturato la consapevolezza della necessità di “digitalizzare” i propri processi di Risk & Compliance Management, e desideri dunque investire in soluzioni applicative evolute per strutturare e consolidare modelli e processi;
- oppure nel caso abbia già investito in soluzioni di supporto e si trovi di fronte alla possibilità di estendere i domini e/le funzionalità della soluzione realizzata, o stia pensando di rivedere il disegno iniziale alla luce delle esperienze maturate e di nuove esigenze indotte dal contesto interno/esterno.
Per rispondere a questa esigenza, in Stratos abbiamo messo a punto una matrice semplice: non si tratta di un complicato assessment, ma piuttosto di una sorta di guida per un confronto strutturato tra i nostri consulenti e gli esperti in azienda.
Partendo dalle criticità evidenziate dalle aziende di diversi settori che abbiamo incontrato, nonché dai diversi ambiti supportati dalle principali soluzioni sul mercato, abbiamo sviluppato tale matrice basandoci su due dimensioni:
A. Principali componenti del modello
Si parte analizzando le componenti “base” – che non sono per questo meno importanti – come il Modello Organizzativo e dei Processi e il “catalogo” Rischi e Controlli, oltre ovviamente al modello di Valutazione del Rischio (Risk Assessment), per passare poi ad approfondire i componenti aggiuntivi, come i Loss Event/Incident, i Key Performance Indicator (KPI) / Key Risk Indicator (KRI) e i Piani di Test applicabili ai controlli/azioni di mitigazione, che possono supportare le valutazioni del rischio rendendole meno soggettive e costituiscono i passi indispensabili per evolvere verso una logica di “Continuous Monitoring”.
Ovviamente l’Issue Management, inteso come processo volto a gestire Problemi e Azioni di Rimedio, costituisce la base di un Risk Management solido.
Come ultimo step, di soito affrontiamo il tema di approcci più quantitativi, che richiedono spesso approfondimenti dedicati e rischiano di essere prematuri se tutti gli altri componenti non sono ancora sviluppati e consolidati.
B. Soddisfazione della soluzione applicativa
Valutiamo con le aziende come la soluzione applicativa supporta o abilità la gestione del modello /framework, come supporta i processi sia in temini di aggiornamento / evoluzione sia in termini di “gestione” dei processi “core” di Analisi, Assessment e Mitigazione. Proviamo ad esplorare, se esistono potenzialità di miglioramento delle soluzioni in temini di Data Management, pensando all’intero processo dalla raccolta ed arricchimento sino alla analisi e fruizione da parte degli utenti di vari livelli. Crediamo inoltre che, soluzioni evolute aiutino ad agire i processi con i ruoli e le responsabilità disegnate, ma possano anche costituire un acceleratore per diffondere metriche, modelli, metodologie ma soprattutto per renderle concretamente applicabili ed integrate nei processi aziendali.
Proponiamo una modalità di valutazione “facile”, che stimoli il miglioramento e aiuti a delineare, anche visivamente, le priorità di intervento:
Integrare i diversi ambiti
Aziende più avanzate e strutturate, che si sono da tempo dotate di processi e sistemi a supporto del Risk & Compliance Management partendo da specifici ambiti aziendali, ora si stanno ponendo il problema di integrare non solo le diverse soluzioni, ma spesso anche metriche, modelli e processi diversi all’interno della stessa azienda o di aziende diverse del gruppo.
Identificare le aree di integrazione carenti e di maggior valore per l’azienda diventa quindi un passaggio opportuno, prima di delineare le possibili soluzioni.
Se infatti i sistemi GRC leader di mercato facilitano la logica di integrazioni tra i diversi componenti, sono tuttavia poche le realtà che hanno intrapreso sviluppi di soluzioni applicative in queste aree con una visione da subito così chiara e con un’architettura “GRC based”.
Partendo dei componenti principali evidenziati nella precedente matrice, proviamo perciò con i nostri clienti a ragionare sulle possibili integrazioni tra i diversi ambiti, per identificare delle priorità di analisi/approfondimento o di possibile intervento.
di Gabriele Meneguzzi, GRC Practice Leader di Stratos Analytics