Grc
26
Antefatti... Basilea II, Sarbanes-Oxley Act (SOX), 8th direttiva UE, Low 262 (compilazione fogli bilancio), Low 231 (estensione giuridica per responsabilità di crimini aziendali), Solvency II, MaRisk (Risk management), Corporate Governance, e ISO Standards sono i concetti e soprattutto le norme con cui hanno a che fare le compagnie oggi. La SOX è un legge ideata dagli omonimi senatori americani, e approvata nel 2002 in U.S.Congress. Il suo scopo, era quello guidare le compagnie nel miglioramento del loro sistema di controllo interno e metterne in luce i punti deboli e le significative inadempienze. Essa ha giocato un ruolo fondamentale nella progettazione e nello sviluppo dei sistemi di concrollo aziendali.
-
Upload
giacomo-migliorini -
Category
Documents
-
view
274 -
download
0
Transcript of Grc
Antefatti...
Basilea II, Sarbanes-Oxley Act (SOX), 8th direttiva UE, Low 262 (compilazione fogli bilancio), Low 231 (estensione giuridica per responsabilità di crimini aziendali), Solvency II, MaRisk (Risk management), Corporate Governance, e ISO Standards sono i concetti e soprattutto le norme con cui hanno a che fare le compagnie oggi.
La SOX è un legge ideata dagli omonimi senatori americani, e approvata nel 2002 in U.S.Congress. Il suo scopo, era quello guidare le compagnie nel miglioramento del loro sistema di controllo interno e metterne in luce i punti deboli e le significative inadempienze.
Essa ha giocato un ruolo fondamentale nella progettazione e nello sviluppo dei sistemi di concrollo aziendali.
Complessità del business in continua evoluzione...
Gli ingredienti del GRC :
• Corporate Governance
• Risk Management
• Compliance Management
Corporate Governance
Questo termine designa la cultura, le politiche, i processi, le leggi, I regolamenti e le istituzioni che disciplinano la gestione dell'impresa stessa, definendone gli obiettivi e le modalità di raggiungimento di taluni.
La Governance, comporta una serie di complessi rapporti interni (e non solo) tra i vari attori coinvolti quali il consiglio di amministrazione, il management, gli azionisti (shareholders) e gli altri soggetti interessati al benessere dell'azienda (stakeholders) quali dipendenti, fornitori, clienti, banche e altri
creditori, controllori, l'ambiente e la società in generale. Un sistema di controllo di Corporate Governance è utile e necessario per
allineare le motivazioni del management a quelle degli azionisti, con l'obiettivo di limitare gli obiettivi personali dei managers.
Risk Management (1)
E' il processo attraverso il quale, un'organizzazione definisce la tolleranza al rischio, individua i rischi potenziali e le priorità in vista degli obiettivi di business.
Il risk management si concentra sulla prevenzione del rischio e sulla protezione dell' asset aziendale esistente, creando opportunità di business e prospettive di crescita per l'azienda stessa.
“Risk comes from not knowing what you're doing.”
Warren Buffet
Risk Management (2)
• Sfortunatamente però, molte aziende conducono un comportamento reattivo (after the fact) e non proattivo nei confronti del rischio e ne conservano la visione funzionale e organizzativa: approccio a silos vede il rischio in ottica separatista; in pratica ogni area dell'organizzazione individua (si spera) e gestisce i propri rischi senza adottare un approccio proattivo in stile GRC che considera il rischio in un ottica globale di integrazione di tutti i processi e i sistemi aziendali.
• Le imprese dovrebbero identificare, analizzare, valutare, mitigare (informando i manager delle lines of business) e gestire i rischi commerciali e di informazione nei loro processi aziendali, assumendo cosi un comportamento proattivo nei confronti del rischio.
Risk Management (3)
Un approccio proattivo in ottica integrata GRC al risk management :
1. Plan
2. Identify and analyze
3. Respond
4. Monitor
Compliance Management
La figura seguente ci da un'idea della complessità degli intrecci regolamentari e legislativi tra le aziende che si affacciano sul panorama economico mondiale, dove le normative nazionali ed internazionali sono diventate negli ultimi anni sempre più stringenti in termini di trasparenza e di rigore.
Che cos'è il GRC ?
E' un approccio integrato alle questioni di governance, rischio e compliance che permette all'organizzazione di agire in conformità ai regolamenti interni e alle leggi imposte dall'esterno, di gestire e mitigare il rischio correlato alle strategie e alle politiche decise dal top management.
Che cos'è il GRC (2)
Una straordinaria sinergia di processi e tecnologia che riduce la complessità del sistema di controllo, ottimizza le risorse e abbassa i costi della compliance.
ARIS Solution for GRC
• Il conseguimento degli obiettivi chiave del business, con una minore complessità e una maggiore efficienza, richiede l'introduzione di una piattaforma centrale che supporti un sistema di controllo interno, dove i processi aziendali costituiscono la base comune per tutti i controlli necessari per la compliance di tutte le varie leggi e regolamenti.
• Per ridurre al minimo i costi, la piattaforma GRC deve seguire delle strategie di ottimizzazione, tutte strettamente connesse alla gestione dei processi:
-Right-sizing: ridurre il numero di controlli, aumentando nel contempo l'efficienza ottenuta da una equilibrata distribuzione dei controlli in tutta la società, IT, e i livelli di controllo di processo.
-Integrazione della gestione dei rischi e Compliance Management
-Fornire supporto per l'autovalutazione
-Standardizzazione dei processi
-Centralizzare i controlli
-Riposizionamento e automatizzazione dei controlli
-L'introduzione di modello di maturità del controllo interno
Soluzione ARIS for GRC-seamless and integrated
Copre l'intero ciclo di vita dei processi: dalla definizione dei processi che sono rilevanti per i rischi e gli elementi interessati per la definizione dei rischi, la progettazione di controlli e test e la loro attuazione e documentazione, fino al monitoraggio e alla ripetizione delle analisi di misurazione del miglioramento.
ARIS ICS (Internal Control System)
• Il primo passo importante è quello di definire e documentare un sistema di controllo interno. Ciò include l'identificazione di norme, regolamenti e leggi a cui la società dovrebbe attenersi, non che la definizione di specifici requisiti ,di cui la compagnia deve essere a conoscenza, e di corrispondenti linee guida all'interno della corporazione.
• Le norme interne ed esterne, i requisiti da esse derivanti e i rischi che sono incastonati nei processi di business, usano strumenti di modellazione ARIS, i quali generano documenti di vitale importanza come strutture ad albero per esaminare il rischio, report per la supervisione e tanto altro.
ARIS Business Architect
• Una caratteristica fondamentale di un sistema GRC efficace è la capacità di collegare processi, rischi e controlli. Ciò consente di usare un approccio al processo che sia orientato al rischio e al controllo, che può essere utilizzato in tutte le aree organizzative all'interno di una società.
• ARIS Business Architect è usato per documentare sia i processi che i rischi e l'intero set dei dati del sistema GRC (controlli, risorse, test, ecc), che faranno da base per il monitoraggio continuo dell'idoneità e dell'efficacia dei controlli interni nel modulo Aris Risk & Compliance Manager.
ARIS Risk & Compliance Manager
• E' il workflow system di monitoraggio operativo di tutti i controlli interni. Un componente della piattaforma che aiuta le aziende a creare un ambiente di controllo di tipo audit-ready. Fornisce infatti, il workflow specifico per l'audit in modo da monitorare e ottimizzare continuamente in sistema di controllo interno basato sul rischio.
• Una volta che ARIS Risk & Compliance Manager ha automaticamente sincronizzato rischi, controlli e test dati forniti da ARIS Business Architect, esegue un test con un workflow che si avvia automaticamente e interpella le persone responsabili per il test, dopo di che esegue il sign-off e la prepara i dati. per gli audits esterni.
ARIS Repository
• Modellare le meta-informazioni rilevanti di un sistema di controllo interno in ARIS e collegarle con le norme aziendali interne ed altri documenti, richiede un repository centrale dei dati, che può essere usato anche per tutte le altre funzionalità che fanno uso del sistema GRC.
Compliance Process Dashboard
E' l'interfaccia di supporto per la executive management, compliance, gestione del rischio e dei test con informazioni aggiornate sullo stato attuale delle attività del sistema GRC, nonché lo stato dei processi e delle unità organizzative interessate ai test ed ai controlli, fornendo una panoramica alle figure di riferimento appropriate all'interno della società. Per far ciò, l'interfaccia fa uso delle KPIs (key performance indicators) , veloci estrazioni di
dati e presentazioni in formato semplice da comprendere.
Compliance Process Performance Manager
• Un'altro importante componente dell'interfaccia è il Compliance Process Performance Manager, che può essere utilizzato per analisi approfondita dei risultati aggregati, analisi multidimensionale dei risultati (ad esempio, di serie temporali, confronti regionali / nazionali ) e per effettuare il drill-down sul singolo processo o su un'istanza di test.
• Rende facilmente visibili complesse e macchinose correlazioni grazie all'uso di un database centrale e dei modelli di rischio e di controllo adottati per gestire i processi di business.
SAP BusinessObjects GRC Solutions
Quali sono i problemi che la GRC Suite di Sap risolve ?
1. Eccessivo spreco di tempo, sforzi e denaro per la compliance.
2. Scarsa certezza e visibilità.
3. Gestione non scalabile del controllo.
4. Tardiva attenzione su frodi e crescita di rischio.
5. Regolamenti, politiche e controlli dei rischi.
SAP BusinessObjects Risk Management
• Quattro task ben definiti:
-Plan: guida gli appetiti societari e gli accordi definiti sulla soglia del rischio maggiore.
-Idenfify & analize: identifica e valuta i rischi chiave intrecciati nell'azienda.
-Respond: crea soluzioni strategiche risolutive adeguate al rischio maggiore massimizzando il ritorno di capitale.
-Monitor: effettua un monitoraggio pro-attivodei processi e delle strategie di business.
• Benefici: protezione del valore esistente, prevenzione contro incidenti e perdite tramite il monitoraggio automatico del rischio, performance migliori grazie a pianificazioni e previsioni ponderate del rischio.
SAP BusinessObjecs Access Control
• E' il modulo che si occupa della gestione delle autorizzazioni e del controllo degli accessi al sistema aziendale:
1. Protezione delle informazioni e prevenzione da frodi: elimina automaticamente il rischio di accesso e autorizzazioni non previste con norme apposite (out-of-the-box); adempie alla Segregation of Duties (SoD), che implementa una sorta di bilanciamento e controllo dei ruoli ricoperti e delle attività svolte dal singolo individuo.
2. Ottimizzazioni: automatizza la gestione della SoD. Automatizza la gestione degli accessi; Stimola la collabolazione tra le Line of Business (LoB) e IT; adempimento alle responsabilità con processi di revisione e approvazione; evita autorizzazioni pericolose e consente la compliance senza alcuna difficoltà.
3. Minimizza tempo e costi della compliance finanziaria: fornisce prove e affidabilità dei controlli sulla SoD servendosi di test e audit; revisiona i KPIs del sistema di accesso.
SAP BusinessObjects Process Control
• Gestione end-to-end del controllo dei processi di business aziendali.
• Cosa fa nel dettaglio:
1. Mitigare il rischio tramite controlli efficaci: incrementando la prevenzioni da frodi, servendosi di un monitoraggio opportuno del controllo delle attività, possibile grazie all'uso di specifiche interfacce; ponendo rimedio, previa identificazione tramite workflow specifici, alle eventuali situazioni di eccezione che si potrebbero
2. Abbassare i costi della compliance: tramite monitoraggio e test automatizzati delle norme out-of-the-box (preconfezionate e pronte all'uso) con sistemi Sap e non. Le attività di compliance vengono ottimizzate tramite piccoli cicli di audit. Identificazione di problemi, rimedi e valutazioni specifiche vengono notificati automaticamente da modulo applicativo.
3. Migliorare le interazioni dell'esecutivo nel controllo di grandi compagnie, disponendo di: visibilità in tempo reale dell'efficacia dei controlli, uniformità del sistema di controllo. Osservenza delle responsabilità tramite revisioni, certificazioni e sign-off dei processi aziendali.
SAP BusinessObjects Global Trade Services
• Modulo applicativo che assicura compliance totale nel contesto del commercio globale promuovendo l'uso di standard per quanto concerne la compliance nelle transazioni tra le grandi compagnie. Gestisce e razionalizza le transazioni internazionali, le relative licenze di import/export e i controlli di embargo.
• Benefici:
1. Permette di dare un forte impulso alle transazioni internazionali tramite integrazioni con i processi logistici e specifiche autorizzazioni doganali.
2. Migliora il profitto tramite accordi commerciali preferenziali che determinano l'ammissibilità dei prodotti.
3. Attenua il rischio finanziario del commercio internazionale gestendo le Letters of Credit, ovvero una promessa di pagamento emessa dalle banche verso i venditori, a patto che questi rispettino gli accordi di vendita.
SAP Environment, Health & Safety Compliance Management
L'applicazione garantisce:
1. Compliance assoluta:
-Monitorando le mutevoli richieste degli stakeholder e i regolamenti locali, regionali, nazionali ed internazionali.
-Creazione e validazione automatica di report sulle questioni di EH&S.
2. Allineamento delle operazioni con gli standard sostenibili:
-Report e monitoraggio di emissioni e prodotti chimici usati.
-Gestione responsabile delle operazioni e progettare prodotti in accordo alle aspettative dei clienti.
3. Monitoraggio della sicurezza sul posto di lavoro:
-Evidenzia faccende di salute e sicurezza non appena vengono oltrepassate le soglie di regolamentazione.
-Previene pro-attivamente gli incidenti riducendo cosi i costi assicurativi.
Best practice
Da un'indagine, condotta dalla Forrester Research, emerge che per una corretta implementazione del Grc(inteso come piattaforma tecnologica ma anche come progetto strategico nel suo insieme) è necessario:
-Integrare i dati provenienti dai sistemi preesistenti (Erp, HR mangement, Crm, ecc.) con i tools di gestione del rischio e della compliance per elevare il livello di conoscenza e attuare tutti gli interventi necessari.
-Tracciare metriche per la gestione del rischio e delle performance applicabili sia a livello generale sia per specifiche operations o applicabili a singole business unit in modo da ridurre i rischi di perdite (economiche ma anche in termini di efficienza produttiva e/o organizzativa) e migliorare l’efficienza aziendale su più livelli.
Grazie per la vostra attenzione !
“Even a correct decision is wrong when it was taken too late.”
Lee Iacocca1924 – American businessman
Antonino Formuso Pisa, 2009
