VALORE D'IMPRESA

Governance, valutazione del rischio e compliance: come tenere al sicuro i processi aziendali

È essenziale che gli imprenditori abbiano un “progetto” che debba poi tradursi in una “mission” declinabile attraverso la gestione integrata di risorse umane, processi e tecnologia da allineare agli obiettivi di business. A tal fine può risultare molto utile l’applicazione di un programma che prevede l’esercizio combinato e simbiotico delle funzioni aziendali di governance, valutazione del rischio e conformità normativa

04 Mar 2022
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Per essere competitivi, per creare e proteggere valore, è necessario gestire in modo integrato risorse umane, processi e tecnologia, allineandoli agli obiettivi di business. A tal fine può risultare molto utile l’applicazione di un programma noto con l’acronimo “GRC” che prevede l’esercizio combinato e simbiotico di tre fondamentali funzioni aziendali: la governance, la valutazione del rischio (risk assessment) e la conformità normativa (compliance).

In tal senso, la frase di Seneca “Non esiste vento favorevole per il marinaio che non sa dove andare” suona molto attuale e dà il senso di quanto sia importante che gli imprenditori abbiano una “vision” i.e. un “progetto” che debba poi tradursi in una “mission”. La “vision” indica la rotta da seguire e lo scopo è l’approdo da raggiungere.

Lo scopo è quindi la ragione per cui esiste l’organizzazione e guida i suoi obiettivi di business.

Ecco perché, quando manca una visione e una rotta da seguire, le organizzazioni diventano autoreferenzali e confondono i mezzi con i fini, limitandosi ad applicare procedure senza preoccuparsi di realizzare gli obiettivi.

Sono come navi che restano ormeggiate al porto e funzionano solo per “restare a galla”.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Il programma GRC

La prima ricerca scientifica sul GRC fu pubblicata nel 2007[1] da Scott Mitchell, Presidente e CEO di un think tank senza scopo di lucro chiamato Open Compliance & Ethics Group. La ricerca definì formalmente il GRC come la “raccolta di capacità” che consente di raggiungere in modo affidabile gli obiettivi, nonché di affrontare incertezze e rischi e di evitare che qualche linea di business operi in modo indipendente e senza coordinamento.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Vediamo di seguito una possibile combinazione delle 3 importanti funzioni aziendali per aumentare la competitività delle aziende sul mercato.

La governance

La governance è l’insieme delle politiche, delle procedure e i dei processi disegnati dal “C-Level” per gestire e monitorare i requisiti dell’organizzazione (organizzativi, legali, relativi al rischio e ambientali) al fine di realizzare gli obiettivi di business. Recentemente è stata rilasciata una “Best Practice” che fornisce utilissime indicazioni sulla governance delle organizzazioni: si tratta della ISO 37000:2021[2], una “guidance” che:

  • è applicabile a tutte le organizzazioni indipendentemente dal tipo, dimensione, ubicazione, struttura o scopo;
  • fornisce principi e aspetti chiave delle pratiche per guidare gli organi di governo su come adempiere le proprie responsabilità, in modo che le organizzazioni a loro affidate possano raggiungere il loro scopo;
  • segmenta le raccomandazioni in undici temi “mission-critical”, tra i quali è interessante evidenziare:
  1. lo scopo: i.e. la ragione per cui esiste l’organizzazione;
  2. la strategia: che consiste nell’indirizzare le politiche ed i processi aziendali per la generazione del valore;
  3. la supervisione : i.e. un sistematico controllo (audit) sui processi aziendali che possa garantire che l’organizzazione soddisfi tutte le aspettative.

Tali “items” ricordano molto lo schema del mondo militare occidentale, mutuato dal sistema produttivo, noto con la sigla C2: Comando e Controllo, i.e. “l’insieme di attributi e processi organizzativi e tecnici che impiega risorse umane, fisiche e informative per risolvere problemi e compiere missioni”, al fine di raggiungere gli obiettivi di un’organizzazione o di un’impresa[3]

Questi spunti di riflessione valgono a porre degli utili riferimenti per delineare i caratteri di una governance efficace che è volta a costruire organizzazioni responsabili, ben gestite ed orientate al valore.

Così, la strategia (o il “Comando” dello schema militare) consiste nel tradurre la “Vision” del leader in politiche che devono essere sviluppate e seguite da audits continui (i “Controlli” dell’ecosistema militare) nonché da aggiornamenti rilevanti in occasione dei cambiamenti sia nell’ambiente interno che in quello esterno. Proprio nella fase di revisione ed aggiornamento per adattarsi ai cambiamenti, la governance si combina perfettamente con la valutazione dei rischi e la compliance.

Le citate politiche, che delineano ed assegnano anche funzioni, ruoli e responsabilità, devono essere definite con linguaggio semplice e chiaro per essere facilmente accessibili a tutti i dipendenti all’interno dell’organizzazione, i quali dovrebbero essere chiamati a confermare per iscritto di avere ben compreso le politiche stesse. Infatti, chiarezza di responsabilità, responsabilità e autorità delegata sono buone pratiche di governance, che aumentano la velocità del processo decisionale, dell’azione e dei risultati dell’organizzazione.

Va precisato che una buona governance fa bene non solo alla singola azienda ma al sistema economico nel suo complesso, poiché promuove la costruzione ed il mantenimento di un ambiente caratterizzato da fiducia e responsabilità e contestualmente aiuta anche ad allineare lo scopo di una singola organizzazione con gli interessi della società e del mercato.

La valutazione del rischio e la conformità normativa

La valutazione del rischio e la conformità normativa, combinandosi con la governance, mettono in sicurezza i processi aziendali e quindi proteggono il valore creato dall’impresa.

Oggi la gestione della compliance è diventata essenzialmente valutazione e controllo dei rischi: da quelli inerenti all’attività lavorativa (safety) e alla privacy, a quelli connessi alle attività finanziarie e al sistema di gestione per la responsabilità amministrativa (D.lgs. 231/2001).

Ognuno di questi rischi ha un impatto diretto sul rischio di governance.

Infatti, non è raro constatare che un evento dannoso, derivante da una cattiva gestione del rischio inerente ad una funzione aziendale, determini un’interruzione completa dell’attività produttiva o almeno di una linea di business, con significative ricadute sul fatturato.

Valutazione del rischio e compliance sono oggi, di fatto, talmente integrate ed amalgamate tra loro, da essere diventate quasi un’unica funzione aziendale, cosicché un’attenta ed accurata gestione del rischio garantisce anche, nel contempo, una rassicurante conformità normativa.

Gestendo bene i rischi si potrà creare valore nel rispetto delle regole.

Per gestire in modo efficace tutti i rischi in azienda è consigliabile far ricorso allo standard internazionale, la famosa norma tecnica ISO 31000:2018[4] che:

  1. fornisce linee guida sulla gestione dei rischi affrontati dalle organizzazioni;
  2. può essere personalizzata per qualsiasi organizzazione e il suo contesto;
  3. offre un approccio comune alla gestione di qualsiasi tipo di rischio e non è specifico per settori determinati;
  4. può essere utilizzata per tutto il ciclo di vita dell’organizzazione e può essere applicata a qualsiasi attività, compreso il processo decisionale a tutti i livelli.

In estrema sintesi, la ISO 31000 delinea un processo sistematico, strutturato e tempestivo, che si sviluppa attraverso le seguenti fasi standardizzate:

  • la definizione del contesto finalizzato a comprendere l’organizzazione e, in particolare:
  1. il contesto esterno: i.e. l’ambiente in cui l’azienda opera, culturale, politico, giuridico, normativo, finanziario, tecnologico, economico, naturale e competitivo, sia internazionale, nazionale, regionale o locale;
  2. il contesto interno: i.e. le capacità, intese in termini di risorse e conoscenze (es. capitale, tempo, persone, processi, sistemi e tecnologie) nonché i sistemi di informazione, flussi informativi, ed i processi decisionali (sia formali che informali);
  • la valutazione del rischio declinata attraverso:
  1. l’identificazione dei rischi esterni, interni e di settore; i.e. le fonti di rischio, le aree di impatto, gli eventi e le loro cause e le loro potenziali conseguenze. L’obiettivo di questa fase è quello di generare un elenco completo di rischi sulla base di quegli eventi che potrebbero migliorare, prevenire, degradare o ritardare il raggiungimento degli obiettivi;
  2. l’analisi del rischio che comporta la considerazione delle cause e delle fonti di rischio, le loro conseguenze positive e negative, e la probabilità che tali conseguenze si possono verificare. I fattori che influenzano le conseguenze e le probabilità dovrebbero essere identificate. Il rischio è analizzato per determinare le conseguenze e la loro probabilità;
  3. la ponderazione del rischio che consiste nel confrontare il livello di rischio rilevato durante il processo di analisi dei rischi (il c.d. rischio inerente) con i criteri stabiliti quando il contesto è stato considerato (il c.d. rischio accettabile). Se il rischio inerente risulta superiore al rischio accettabile, il rischio dovrebbe essere trattato;
  • il trattamento del rischio: che comporta l’applicazione di misure per mitigare il rischio e verificare se il rischio residuo (i.e. quello che deriva dall’applicazione delle misure di mitigazione) è uguale o minore al rischio accettabile.

Il trattamento prevede anche le seguenti opzioni:

  • evitare il rischio, decidendo di non iniziare o continuare con l’attività che dà origine al rischio;
  • rimuovere la fonte del rischio;
  • cambiare la natura e l’entità del rischio;
  • condividere il rischio con un altro soggetto;
  • mantenere il rischio per scelta.

Tutto il complesso processo di gestione del rischio va analiticamente documentato anche per soddisfare le esigenze di compliance che viene garantita integrando tali risultati con i principi fissati dai framework normativi di riferimento (D.lgs. 81/2008, D.lgs. 231/2001, GDPR ecc.).

GDPR, analisi dei rischi dal punto di vista del titolare del trattamento: come effettuarla

La raccolta di capacità

L’attività di “vulnerability assessment” dimostra che i punti ove si incrociano le funzioni aziendali, in genere, determinano vulnerabilità nelle architetture.

Diversamente da questo dato di esperienza, l’attuazione del programma GRC, invece, produce la creazione di veri e propri “punti di forza”.

È pur vero che, più che un incrocio di funzioni aziendali, il GRC prevede la raccolta delle 3 capacità (Governance- Risk Assessment e Compliance) che, aggregate tra loro, diventano di fatto un’unica funzione aziendale.

Tale aggregazione avviene attraverso l’esecuzione di attività in comune che si sviluppano in modo trasversale e fungono da “collante organizzativo”.

Per ottenere i benefici del programma GRC, quindi il “C-Level, con un approccio “olistico” dovrebbe contestualmente:

  • disegnare e gestire politiche, procedure e processi di governance, valutazione del rischio e compliance, seguendo il c.d. “Ciclo di Deming” i.e. il processo di miglioramento continuo che prevede l’iterazione di 4 fasi consistenti:
  1. nella pianificazione delle misure tecniche e organizzative (PLAN),
  2. nella loro attuazione (DO),
  3. nel riesame e nell’aggiornamento delle stesse (CHECK),
  4. nella loro “messa a terra (ACT);
  • documentare in modo analitico tutta la predetta attività in modo da ottenere un vero e proprio asset che ademingbbia la duplice funzione di meccanismo regolatorio e strumento di accountability;
  • definire ed assegnare, in modo chiaro ed evidente, ruoli e responsabilità a tutti i membri dell’organizzazione, i quali devono avere piena consapevolezza dei compiti assegnati, delle relative responsabilità e dei rischi;
  • gestire con la massima cura ed attenzione la comunicazione interna ed esterna nonché la consultazione degli stakeholders;
  • elaborare le informazioni a livello centrale in modo da creare trasparenza dei processi aziendali e contestualmente impedire la duplicazione del lavoro. La raccolta standardizzata e centralizzata dei dati relativi a governance, rischio e conformità semplifica la valutazione e il controllo e previene gli errori.

 

NOTE

  1. Scott L. Mitchell, “GRC360: Un framework per aiutare le organizzazioni a guidare le prestazioni di principio”, International Journal of Disclosure and Governance .

  2. ISO 37000:2021 “Governance delle organizzazioni — Linee guida”.

  3. Vassiliou, Marius, David S. Alberts e Jonathan R. Agre. “C2 Re-Envisioned: the Future of the Enterprise”. by CRC Press, 2015.

  4. ISO 31000:2018 “Gestione del rischio. Linee Guida”.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 2