Risk & Compliance Management: verso sistemi unici e integrati
In questi anni molte aziende si sono strutturate per rispondere a requisiti sempre maggiori in termini di risk & compliance management e si sono trovate a dover scegliere, o sviluppare, sistemi informativi di supporto.
Data la priorità di rispondere in tempi ristretti a nuove normative o richieste degli organi di vigilanza, molte funzioni aziendali hanno optato per le soluzioni e modalità realizzative già “disponibili”, più rapide e facili da implementare, che potremmo classificare in due principali tipologie:
- soluzioni verticali specializzate, capaci di proporre specifici modelli e processi di risk management implementabili con ridotte personalizzazioni perché focalizzati su specifici ambiti;
- i fornitori di sistemi gestionali o soluzioni a supporto di processi già implementati, hanno proposto componenti e funzionalità aggiuntive per il risk e compliance management integrandole nei propri moduli.
Cambiano le esigenze
Entrambe le soluzioni precedenti hanno consentito di accelerare l’implementazione e facilitare l’avvio ed il consolidamento di nuovi processi di risk & compliance ma, nelle organizzazioni più articolate, hanno moltiplicato i modelli, i framework, le metriche e i processi di valutazione presenti in azienda.
Ora molte organizzazioni, soprattutto le più ampie e strutturate, si trovano in una fase diversa, i processi si sono consolidati ed evoluti, è cresciuta la consapevolezza e le competenze sui temi di risk & compliance management ai vari livelli dell’organizzazione e della governance aziendale, sono quindi diverse le esigenze che guidano le scelte delle soluzioni verso le quali si ripongono aspettative più evolute e orientate a:
- sviluppare visioni e valutazioni più integrate ed omogenee,
- incrementare l’efficienza e l’efficacia dei processi di risk & compliance management implementati,
- cogliere le opportunità di innovazione disponibili (es. AI applicata al risk & compliance management).
In questa nuova fase di integrazione, razionalizzazione ed evoluzione dei processi e delle soluzioni; l’aver implementato differenti applicativi costituisce una “complicazione” che forse si era inizialmente sottostimata.
Prerequisiti per il futuro
Nella sostituzione delle soluzioni esistenti o nell’introduzione di applicazioni mancanti, diventa quindi prioritario selezionare applicativi, che seppure inizialmente implementabili in poche aree aziendali, consentano di ampliare, in futuro, gli ambiti di applicazione potendo costituire potenzialmente una piattaforma unica e integrata per il risk & compliance management aziendale.
L’offerta di soluzioni di “GRC” (Governance Risk & Compliance) per grandi organizzazioni, denominate anche GARC da chi vuole enfatizzare la presenza della componente di Auditing come anello chiave dei processi ed indispensabile linea di difesa, si è sviluppata e concentrata in pochi player internazionali.
Certamente la flessibilità del sistema, che credo debba avere una logica di “piattaforma” in grado di supportare personalizzazioni significative, diventa un tema indispensabile per poter rispondere a requirements ampi e differenziati (il tema dell’importanza della “Flessibilità nelle applicazioni di risk & compliance” è già stato affrontato in due miei articoli apparsi nel dicembre 2021 su Risk & Compliance Platform Europe).
Spesso si vivono le difficoltà di implementazione di una soluzione integrata come un limite dell’applicazione, rischiando di nascondere, o non voler affrontare, il vero problema; cioè la presenza in azienda di modelli di valutazione dei rischi basati su framework, processi, metriche diverse e poco coerenti.
Ecco perché ritengo che avviare un progetto di GRC, al di là della specifica soluzione scelta, costituisca una opportunità importante per razionalizzare ed evolvere i propri processi di risk & compliance management; la complessità progettuale non è spesso tanto legata ad aspetti tecnico-funzionali ma al ridisegno di modelli, processi, metriche integrate ed omogenee.
Proviamo a descrivere opportunità e vantaggi con riferimento alle principali componenti impattate.
A. Modello concettuale integrato
Spesso le funzioni, magari in periodi diversi, hanno introdotto modelli concettuali di risk management disomogenei che rendono difficile una lettura unica ed integrata. Credo che pensare ad un framework unico di rischi e controlli disegnato con l’opportuna “granularità” in ottica aziendale e non prevalentemente funzionale, sia il prerequisito per poter effettuare corrette valutazioni con una visione integrata e completa, necessaria per definire le corrette priorità di intervento.
B. Metriche comuni
Abbiamo registrato la presenza di metriche di valutazione del rischio diverse (quantitative vs qualitative, mono criterio vs multi-criterio, diversi range/livelli di valutazione…) con evidente complicazione dei modelli interpretativi; ripensare il sistema di supporto diventa un’opportunità per omogeneizzare le metriche di valutazione in chiave aziendale/di gruppo.
C. Processi allineati
L’utilizzo di sistemi diversi e specializzati ha facilitato la generazione di processi funzionali di risk assessment differenziati e non sempre allineati in termini di tempistiche, priorità, deleghe di responsabilità. La crescita delle competenze e la diffusione di una cultura di gestione del rischio consentono spesso di ripensare i processi in ottica più aziendale e con un orientamento maggior al “continuous controlling” evolvendo dalla logica iniziale che ha dovuto spesso privilegiare l’adempimento formale ai requirements normativi/regolatori.
D. Efficienza nei controlli e azioni di mitigazione
Condividere attraverso un sistema integrato controlli attivati e logiche di mitigazione dei rischi è secondo me un valore enorme. Non solo in termini di efficienza, perché può evitare la duplicazione dei controlli e migliorarne l’efficacia predisponendoli con una visione integrata e meno parcellizzata, ma soprattutto consente anche uno sharing del know-how aziendale per progettare meglio le azioni di mitigazione “imparando” dalle risposte attuate in ambiti differenti.
E. Gestione integrate delle ISSUE
L’issue management è uno dei campi dove appare evidente come uno stesso problema possa avere effetti ampi e coinvolgere differenti aree e funzioni aziendali impattando su differenti rischi, senza un sistema integrato e diffuso diventa difficile consentire la corretta fruizione dell’informazioni sull’ISSUE e guidare una gestione “integrata” per la risoluzione.
F. Anagrafiche condivise
Può sembrare banale ma spesso differenti applicativi richiedono la moltiplicazione di anagrafiche che si potrebbe eliminare con un sistema integrato, ed ovviamente con queste, anche interfacce, transcodifiche e in generale processi più o meno complessi di aggiornamento e verifica.
G. Unica piattaforma
Una piattaforma unica rappresenta per IT interno una semplificazione: 1 unico vendor, 1 sola gestione come system administrator, 1 solo soluzione da aggiornare ed evolvere…
H. Crescita della cultura del risk management
Un sistema unico diventa anche una leva per consolidare e diffondere ai vari livelli l’approccio aziendale al risk & compliance management, per questo la flessibilità delle soluzioni è necessaria per recepire ed integrare gli specifici processi e modelli dei diversi ambiti aziendali di applicazione, ma potendoli inquadrare in un framework comune aziendale.
I. Visione complessiva
Poter integrare in un’unica soluzione, entità, processi, framework, metriche, issue consente la costruzione di una visione complessiva in tutte le fasi del risk management ed a tutti i livelli organizzativi con evidente valore aggiunto decisionale.
J. Sviluppo e miglioramento (innovazione)
Alla luce di requirements sempre più impegnativi che hanno imposto spesso modifiche e sviluppi a posteriori ma anche le evidenti possibilità di migliorare l’efficienza di processi di risk & compliance più a regime, abbiamo percepito una particolare attenzione al miglioramento e crediamo che l’introduzione di un nuovo sistema integrato possa rappresentare la leva per avviare il re-engineering.
Inoltre, sempre nuove opportunità nascono dall’innovazione tecnologica (es. AI) più facilmente implementabile con un unico sistema il cui sviluppo di prodotto sia garantito da un grande player in grado di integrare al meglio nuovi paradigmi e best practices. Per organizzazioni moderne e strutturate, mi sembra difficile selezionare partner tecnologici, in aree così delicate, senza una visione di lungo periodo e di potenzialità in termini di innovazione.
In conclusione, i punti appena descritti evidenziano, certamente le principali aree di potenziale miglioramento, ma anche le criticità e la complessità insiti in un progetto di implementazione di un sistema integrato che, spesso, richiede una importante attività progettuale e di disegno concettuale pre-implementazione.
Ci sembrano validi anche in queste tipologie di implementazioni i classici suggerimenti di “pensare in grande ma partire in piccolo” cioè avviare realizzazioni più ridotte e mirate per procedere, poi, con successive estensioni.
Tuttavia, mi sembra di poter affermare che le potenzialità della soluzione scelta, in termini di integrazione e scalabilità su diversi ambiti del risk & compliance management, diventino, in quest’ottica di sviluppo, sempre di più un pre-requisito.
di Gabriele MENEGUZZI – GRC Practice Leader c/o Stratos Analytics
Articolo originariamente pubblicato su Risk & Compliance Platform Europe: https://www.riskcompliance.it/news/la-scelta-di-un-sistema-aziendale-di-risk-compliance-management-unico-ed-integrato-come-opportunita-di-cambiamento/