Quale supporto offrono gli strumenti GRC?
Per conto del Risk Management Network, la studentessa Nicole Greter ha esaminato gli strumenti che mappano le funzioni di governance, rischio e conformità (GRC) nella sua tesi di laurea alla Lucerne School of Business. Oltre a questo confronto di strumenti, ha utilizzato un sondaggio per analizzare quali requisiti il mondo degli affari pone effettivamente sugli strumenti.
Da alcuni anni, il modello delle "3 linee di difesa" è stato anche esplicitamente propagandato da una prospettiva normativa come un approccio per incorporare le funzioni di rischio e di controllo in un sistema olistico di governance. Diversi strumenti sono disponibili sul mercato per supportare l'implementazione operativa. Tuttavia, questi strumenti forniscono alle aziende un effettivo valore aggiunto? Quale approccio funziona e come, e quali punti devono essere considerati quando si implementa uno strumento GRC?
Approccio GRC
GRC descrive l'approccio interfunzionale composto da governance, rischio e conformità. Una definizione possibile, ma non generale, è: "Governance, Risk & Compliance si riferisce alla considerazione continua e olistica di tutte le funzioni di un'organizzazione per gestire in modo efficace ed efficiente i rischi legali, finanziari e di reputazione".
Un esempio di diagramma che mostra le relazioni tra le singole discipline è la "House of Governance". Qui, l'approccio GRC include il sistema di controllo interno e l'audit interno oltre alle aree che gli danno il titolo.
Il concetto è destinato a sfruttare le sinergie tra le divisioni e a conservare le risorse. L'integrazione può avvenire sia orizzontalmente che verticalmente. Nel caso dell'integrazione orizzontale, le aree di governance, rischio e conformità dovrebbero utilizzare sempre più sinergie tra loro. L'integrazione verticale, d'altra parte, ha lo scopo di integrare l'approccio GRC nei processi aziendali esistenti. Quale supporto può offrire uno strumento in questo caso?
Una soluzione software GRC può essere utilizzata per supportare questo, per esempio, per registrare i rapporti ed effettuare analisi e valutazioni dei rischi in modo (parzialmente) automatizzato. Così facendo, può aumentare l'efficienza e supportare il management nel comprendere meglio la relazione tra rischio e gestione della conformità. Può anche aiutare a ridurre la complessità esistente creando trasparenza e identificando ed eliminando le carenze nei processi esistenti.
Distribuzione e requisiti nelle aziende svizzere
Un'indagine su 60 aziende svizzere ha dimostrato che gli strumenti GRC sono ormai diffusi, soprattutto nelle aziende con più di 250 dipendenti. Così, il 51,7% dei partecipanti al sondaggio ha già una soluzione in atto e il 20% sta progettando di introdurne una. Va notato che a causa della pandemia di Corona, solo 60 aziende hanno partecipato al sondaggio e le cifre hanno quindi un significato limitato.
L'uso degli strumenti mostra una tendenza verso i fornitori locali di lingua tedesca, anche se i fornitori internazionali hanno un livello di consapevolezza più alto.
I requisiti pratici di uno strumento GRC sono principalmente le discipline di base del GRC: identificazione e valutazione dei rischi, il sistema di controllo interno (ICS) e la gestione della conformità. Altri criteri indispensabili sono la capacità di creare rapporti comprensibili e consolidati e l'alto livello di facilità d'uso dello strumento. Inoltre, il fornitore deve essere in grado di fornire un supporto efficiente e, se desiderato, implementare opzioni di personalizzazione. Altre funzioni supplementari come le simulazioni, la gestione dei contratti o la revisione contabile hanno avuto un peso piuttosto basso nel sondaggio.
Analisi degli attuali strumenti GRC
L'analisi dei nove strumenti selezionati ha mostrato che tutte le soluzioni analizzate soddisfano i criteri obbligatori sopra menzionati. Per esempio, ogni soluzione può essere usata per mappare il sistema di controllo interno e per identificare i rischi. Inoltre, è possibile assegnare autorizzazioni definite dall'utente. Tuttavia, ci sono grandi differenze nelle funzioni supplementari. Gli strumenti più piccoli spesso si concentrano sulle funzioni di base, mentre le soluzioni più grandi offrono ulteriori funzioni di approfondimento, che possono essere molto diverse e complete. Gli esempi includono le simulazioni Monte Carlo, la gestione dei contratti, o l'archiviazione di standard come ISO 9001. Anche i flussi di lavoro automatizzati e i collegamenti tra le singole funzioni sono offerti in misura molto diversa. Tuttavia, l'ambito ha un'influenza sulla complessità delle soluzioni.
Inoltre, le possibilità di regolazioni definite dall'utente sono molto diverse. Aggiunte e aggiustamenti più grandi di solito richiedono una conoscenza approfondita o un supporto informatico. Il supporto dei fornitori è descritto come buono sia in questo contesto che in generale, ed è stato un importante criterio di selezione per la maggior parte degli utenti. Il supporto regionale e in lingua tedesca era importante per la maggior parte delle aziende.
I rapporti standard sono spesso criticati, poiché sono descritti come inadeguati per la preparazione di rapporti per il consiglio di amministrazione o il comitato esecutivo. Tutti gli intervistati hanno dichiarato di aver fatto aggiustamenti manuali ai rapporti o di aver creato i propri modelli.
Suggerimenti per l'introduzione
L'introduzione di uno strumento GRC, come qualsiasi progetto, deve essere pianificato in dettaglio ed è meglio farlo passo dopo passo. Le funzioni desiderate e quelle che saranno necessarie in futuro devono essere chiaramente definite in anticipo. Così, si dovrebbe determinare se le funzioni aggiuntive sono necessarie o se si può fare a meno di esse in favore della semplicità. Una questione decisiva è anche se le risorse IT corrispondenti sono disponibili internamente o se è necessario ricorrere al supporto del fornitore. Questo a sua volta ha un'influenza sui costi. Gli strumenti più grandi richiedono anche più risorse nell'azienda a causa della loro complessità.
È importante rendere tutte le parti interessate coinvolte nel processo di selezione e implementazione per soddisfare tutte le esigenze e garantire il sostegno della linea. È stato anche dimostrato che è difficile introdurre una soluzione in tutti i dipartimenti se questi non sono combinati a livello organizzativo. Di conseguenza, l'approccio GRC deve essere implementato nell'organizzazione prima di introdurre lo strumento. Molte aziende usano comunque una soluzione GRC, che poi viene usata solo da un dipartimento (di solito la gestione del rischio). Quando si valuta, le soluzioni software in altri dipartimenti dovrebbero essere considerate per prime. Per esempio, molte soluzioni possono essere utilizzate anche nella gestione dei processi o della modellazione aziendale e sono particolarmente adatte al collegamento all'interno dell'azienda. In questo modo si possono risparmiare risorse e sfruttare le sinergie.
Lo strumento dovrebbe essere facile da mantenere per i dipendenti. Uno strumento GRC è spesso usato da molti proprietari di rischi e controlli, che devono essere tutti istruiti di conseguenza. I singoli moduli di registrazione non devono essere sovraccaricati. Pertanto, è necessario definire in anticipo quali informazioni devono essere memorizzate nello strumento e quali possono essere eliminate. Questo assicura anche che il reporting sia semplice e compatto e quindi garantisce trasparenza ed efficienza fino al livello di controllo.
