Post on 13-Aug-2015
SOLUZIONI DI GOVERNACE, RISK
e COMPLIANCEUna proposta semplice e concreta creata da
auditor operativi
Mercoledì 17 Giugno 2015
Dr. Luca Moroni – l.moroni@viavirtuosa.it
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance … da wikipedia (1/2)
GRC is a discipline that aims to synchronize information and activity across governance, risk management and compliance in order to operate more efficiently, enable effective information sharing, more effectively report activities and avoid wastefuloverlaps. Although interpreted differently in variousorganizations, GRC typically encompasses activities such ascorporate governance, enterprise risk management (ERM) and corporate compliance with applicable laws and regulations.
Organizations reach a size where coordinated control over GRC activities is required to operate effectively. Each of these threedisciplines in an organization create information of value to the other two and impacts the same technologies, people, processesand information.
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance … da wikipedia (2/”)
Substantial duplication of tasks evolve when governance, riskmanagement and compliance are managed independently fromeach other. Overlapping and duplicated GRC activitiesnegatively impact both
(i) operational costs and
(ii) GRC metrics.
For example, each internal service might be audited and assessedby multiple groups on an annual basis, creating enormous costand disconnected results.
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Duplicazione delle attività (1/2)
A quanti organismi/ funzioni diverse sono assegnate le attivitàconnesse ai seguenti adempimenti?
� Certificazione di qualità;
� Organismo di vigilanza ai fini D.Lgs. 231/2001;� Internal Audit;� Compliance;� Dirigente preposto (ex 262);� Organizzazione;� Delegato alla sicurezza;� ...
Esiste uno strumento di coordinamento di tutti questi soggetti? Esistono dei criteri di analisi condivisi?
Il reporting delle attività è discorsivo o numerico/quantitativo?
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Duplicazione delle attività (2/2)
Quanti soggetti/ funzioni diverse gestiscono le seguenti attività? �Mappatura dei processi aziendali;�Mappatura dei rischi;�Attività di verifica;�Gestione delle segnalazioni e azioni correttive;�Costruzioni di KPI dell'attività di verifica, dei rischi aziendali, delle
azioni correttive.
Esiste un repository unico di tutte queste attività? I relativi risultati sono:a) misurabili, b) storicizzati, c) rielaborabili?
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Governance, risk & compliance
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Efficiente gestione dei rischiClassificazione dei rischi in termini di probabilità e di intensità
Valutazione complessiva dei rischi come valutazione complessivo
Gestione dei rischi
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
Gestione follow-up ed esiti attività di verifica
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (1/3)
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (2/3)
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it
KPI ad “approfondimento successivo” (3/3)
Dr. Luca Moroni – Certified Information System Auditor – l.moroni@viavirtuosa.it