GRC (che sta per governance, rischio e conformità) è una strategia organizzativa per gestire la governance, la gestione del rischio e la conformità ai regolamenti industriali e governativi. GRC si riferisce anche a una suite integrata di capacità software per implementare e gestire un programma GRC aziendale.
L'insieme di pratiche e processi di GRC fornisce un approccio strutturato per allineare l'IT agli obiettivi aziendali. GRC aiuta le aziende a gestire efficacemente i rischi legati all'IT e alla sicurezza, a ridurre i costi e a soddisfare i requisiti di conformità. Aiuta anche a migliorare il processo decisionale e le prestazioni attraverso una visione integrata di come un'organizzazione gestisce i suoi rischi.
IBM OpenPages with Watson
Al suo livello di base, la governance è l'insieme di regole, politiche e processi che assicurano che le attività aziendali siano allineate per raggiungere gli obiettivi di business. Essa abbraccia etica, gestione delle risorse, responsabilità e controlli di gestione.
La governance assicura anche che il top management possa gestire e controllare ciò che accade a tutti i livelli dell'azienda e che le unità di business siano allineate con le esigenze dei clienti e con gli obiettivi generali dell'azienda.
Una governance efficace crea un ambiente in cui i dipendenti si sentono responsabilizzati e i comportamenti e le risorse sono controllati e ben coordinati. Un obiettivo della governance è quello di bilanciare gli interessi dei diversi stakeholder aziendali (top management, dipendenti, fornitori, investitori, etc.).
Per mantenere questo equilibrio, la governance può aiutare a garantire, per esempio, che siano in essere dei contratti tra gli stakeholder interni ed esterni dell'azienda per un'equa distribuzione di responsabilità, diritti e ricompense. Questo include anche delle procedure per riconciliare gli interessi conflittuali tra le parti interessate e dei processi che assicurano che la supervisione, il controllo e i flussi di dati funzionino come un sistema di controlli ed equilibri.
La governance fornisce il controllo sulle strutture e le infrastrutture, come i data center, così come la supervisione delle applicazioni a livello di portfolio.
Soprattutto, la governance viene attuata per rendere conto di condotta e risultati. La condotta può essere gestita attraverso l'applicazione di pratiche commerciali etiche e regole di cittadinanza aziendale. Una buona governance definisce gli incarichi in base alle linee di business e valuta gli impiegati in base ai risultati raggiunti piuttosto che in base alle responsabilità.
La gestione del rischio è il processo di identificazione, valutazione e controllo dei rischi finanziari, legali, strategici e di sicurezza di un'organizzazione. Per ridurre il rischio, un'organizzazione ha bisogno di dedicare delle risorse per minimizzare, monitorare e controllare l'impatto degli eventi negativi e massimizzare gli eventi positivi.
A un livello più ampio, la gestione dei rischi è un sistema di persone, processi e tecnologia che consente all'organizzazione di fissare degli obiettivi in linea con i valori e i rischi.
L'obiettivo di un programma di gestione del rischio aziendale è quello di raggiungere gli obiettivi aziendali e al contempo assicurare il valore ed ottimizzare il profilo di rischio. Parte di questo compito è dare priorità alle aspettative degli stakeholder e fornire loro informazioni affidabili.
Un programma di gestione dei rischi si applica anche all'identificazione delle minacce e dei rischi di cybersecurity e di sicurezza delle informazioni - come le vulnerabilità del software e le cattive pratiche in materia di password dei dipendenti - e all'attuazione di piani per ridurli.
Il programma dovrebbe valutare le prestazioni e l'efficacia del sistema, valutare la tecnologia esistente, identificare i problemi operativi e tecnologici che potrebbero avere un impatto sul core business e monitorare i rischi legati alle infrastrutture e ai potenziali malfunzionamenti delle reti e delle risorse informatiche.
Un programma di valutazione dei rischi deve soddisfare obiettivi legali, contrattuali, interni, sociali ed etici, oltre a tenere sotto controllo i nuovi regolamenti legati alla tecnologia. Concentrando l'attenzione sui rischi e allocando le risorse necessarie per controllare e mitigare il rischio, un'azienda si proteggerà dall'incertezza, ridurrà i costi e aumenterà la probabilità di continuità e successo del business.
La conformità implica l'adesione a regole, politiche, standard e leggi stabilite da industrie e/o agenzie governative. Non farlo potrebbe comportare un costo per un'organizzazione in termini di scarso rendimento, errori significativi, multe, sanzioni e cause legali.
La conformità normativa riguarda le leggi esterne, i regolamenti e gli standard industriali che si applicano all'azienda. La conformità aziendale o interna si occupa di regole, regolamenti e controlli interni stabiliti da una singola azienda. È importante che il programma di gestione della conformità interna sia integrato con i requisiti di conformità esterna. Il programma integrato di conformità dovrebbe essere basato su un processo di creazione, aggiornamento, distribuzione e monitoraggio delle politiche di conformità e di formazione dei dipendenti su tali politiche.
Per creare un programma di conformità efficace, le organizzazioni devono capire quali aree comportano rischi maggiori e concentrare le risorse su quelle aree. In seguito dovrebbero essere sviluppate, implementate e comunicate ai dipendenti delle politiche per affrontare i rischi in tali aree. Dovrebbe essere sviluppata una guida per rendere più facile ai dipendenti e ai fornitori seguire le politiche di conformità.
Un framework GRC aiuta le organizzazioni a stabilire politiche e pratiche per minimizzare i rischi legati alla conformità. Le soluzioni GRC per l'IT e la sicurezza si concentrano sull'utilizzo di informazioni tempestive su dati, infrastrutture e applicazioni virtuali, mobili e cloud.
Inoltre, il programma GRC di un'organizzazione dovrebbe migliorare l'efficienza, ridurre i rischi e aumentare le prestazioni e il ritorno sugli investimenti (ROI - return on investment). Le aziende svilupperanno e utilizzeranno un quadro GRC per la leadership, l'organizzazione e il funzionamento delle aree IT per garantire che queste siano in linea con gli obiettivi strategici dell'organizzazione. Questo include la correlazione delle informazioni nel contesto dei processi aziendali, delle politiche e dei controlli, nonché delle attività svolte da IT, finanza, team HR e dirigenti della C-suite.
Efficienza
Valutazione del rischio, gestione della conformità, audit interni e altre attività GRC possono richiedere molto tempo e risorse se fatte senza una piattaforma software GRC. Una piattaforma GRC può aiutare le aziende a rompere i silos nei processi e nei dati, a rispettare i regolamenti e a monitorare, misurare e prevedere le perdite e gli eventi rischiosi.
Può anche aiutare le aziende a gestire il ciclo di vita dei modelli finanziari e basati sull' intelligenza artificiale (AI - artificial intelligence)e migliorare la conformità e i controlli IT. Le aziende possono persino misurare l'impatto di requisiti normativi e di business nell'ambito delle politiche e supportare la misurazione automatizzata e i controlli IT attraverso l'integrazione con prodotti di terze parti.
Valutazione e riduzione del rischio
GRC permette alle aziende di stabilire, automatizzare e gestire la valutazione e la riduzione dei rischi. E i dati di una piattaforma GRC permettono alle aziende di prendere decisioni più consapevoli e quindi allocare le risorse necessarie per mitigare i rischi.
Audit per la verifica della conformità a regolamenti come il Sarbanes-Oxley Act sono le pietre miliari in base alle quali opera il GRC e i dipartimenti devono mantenere e proteggere i dettagli sensibili - fatture, record delle risorse umane, rapporti finanziari - per essere preparati a questi audit.
Un programma GRC efficace può essere particolarmente utile per le aziende che hanno sperimentato un evento o un fallimento significativo in materia di conformità o di rischio. Inoltre, le aziende che non hanno fiducia nella loro conformità o nel reporting e nella visibilità del rischio finanziario interno ed esterno possono guardare a un modello GRC per aiutare a individuare e monitorare eventuali set di controllo ridondanti e quadri inefficaci per evitare problemi di rischio ripetibili.
Supporto strategico per la performance e il ROI
A volte le aziende possono avere difficoltà ad allocare le risorse, affrontare i conflitti d'interesse e valutare il successo. Questo può derivare dal dover affrontare costi crescenti per affrontare i rischi e i requisiti e al contempo la sfida di gestire la crescita esponenziale delle relazioni e dei rischi di terzi.
Tuttavia le aziende possono impostare e monitorare obiettivi chiari con metriche generate da una piattaforma GRC. Questo le aiuterà ad aumentare le loro prestazioni e a migliorare il loro ROI.
Gli strumenti GRC sono un modo per gestire le operazioni e garantire che un'azienda soddisfi gli standard di conformità e di rischio. Questi strumenti possono anche aiutare a determinare e mitigare i rischi associati all'uso, alla proprietà, al funzionamento, al coinvolgimento, all'influenza e all'adozione dell'IT all'interno di un'azienda. Gli strumenti GRC dovrebbero comprendere il rischio operativo, la politica e la conformità, la governance IT e l'auditing interno.
La maggior parte degli strumenti GRC ha alcune delle seguenti caratteristiche:
- Gestione di contenuti e documenti che aiuta le aziende a creare, tracciare e archiviare contenuti digitalizzati
- Gestione dei dati di rischio e analitica che aiutano a misurare, quantificare e prevedere i rischi e a determinare i provvedimenti da adottare per ridurli
- Gestione del flusso di lavoro per aiutare le aziende a stabilire, eseguire e monitorare i flussi di lavoro legati al GRC
- Gestione degli audit per organizzare le informazioni e semplificare i processi per condurre gli audit interni
- Un dashboard che fornisce un'interfaccia centrale dove è possibile monitorare in tempo reale i principali indicatori di performance rilevanti per i processi e gli obiettivi aziendali
Degli strumenti GRC efficaci creano e distribuiscono politiche e controlli e li associano ai regolamenti e ai requisiti di conformità. Aiutano a valutare se i controlli sono stati implementati, se funzionano correttamente e se stanno apportando dei miglioramenti alla valutazione e alla mitigazione dei rischi.
IBM OpenPages with Watson è una piattaforma di governance, di rischio e di conformità guidata dall'AI, creata per aiutare le organizzazioni a gestire i rischi e le sfide di conformità normativa.
IBM Watson Assistant fornisce ai clienti risposte veloci, coerenti e precise su qualsiasi applicazione, dispositivo o canale.
IBM Cloud Pak for Data è una piattaforma di dati aperta ed estensibile che fornisce una struttura per rendere tutti i dati disponibili per AI e analytics, su qualsiasi cloud.
Fornisci alla prima linea di difesa le funzionalità cognitive e un'esperienza dell'utente migliorata (UXD).
BM analizza come, nei mercati finanziari globali in rapida evoluzione, le soluzioni GRC di nuova generazione stiano consentendo a un numero sempre maggiore di organizzazioni e utenti aziendali di prendere decisioni consapevoli del rischio e di aumentare l'efficienza e l'efficacia dei processi.
I professionisti GRC del settore dei servizi finanziari stanno affrontando una nuova era di digitalizzazione. Le tecnologie avanzate, come l'AI, possono svolgere un ruolo importante nella gestione dei rischi emergenti in questo ambiente imprevedibile.