POLITECNICO DI MILANO

Scuola di Ingegneria Industriale e dell’Informazione Corso di Laurea Magistrale in Ingegneria Gestionale

Sistemi di Governance, Risk e Compliance Management:

dallo studio dei potenziali benefici,

una nuova proposta di classificazione

Relatore: Ing. Guido Jacopo Luca Micheli

Correlatore: Prof. Enrico Cagno

Tesi di Laurea Magistrale di:

Andrea Brusa Perona 819802

Anno Accademico 2014/2015

I

INDICE

SOMMARIO

Un po’ di chiarezza sui sistemi di Governance, Risk e Compliance Management: cosa ci possiamo aspettare? .............................................................................................................................................................. I

Proposta concettuale di un nuovo sistema di valutazione e classificazione ......................................... IV

The Big Picture for Governance, Risk and Compliance Platforms: analisi del mercato attuale........................................................................................................................................................................................... X

EXECUTIVE SUMMARY

What can we really expect from Governance, Risk and Compliance Management systems? ......... I

Conceptual proposal of a new classification system: the Big Bicture for Governance, Risk and Compliance Platforms............................................................................................................................................... IV

The Big Picture for Governance, Risk and Compliance Platforms: market analysis ......................... IX

INTRODUZIONE AL PROBLEMA .............................................................................................................. 1

1. UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE, RISK E COMPLIANCE MANAGEMENT: COSA CI POSSIAMO ASPETTARE? ............................................................................. 4

1.1 Premessa ...................................................................................................................................................................... 4

1.2 Cos’è un GRC? ............................................................................................................................................................ 5

1.3 Che relazione esiste fra GRC e ERM? ............................................................................................................. 6

1.4 Come scegliere e/o implementare un GRC? .............................................................................................. 7

1.5 Governance, Risk Management e Compliance Management: benefici chiave......................... 9

1.5.1 Benefici della Governance ..................................................................................................................... 10

1.5.2 Benefici del Risk Management ............................................................................................................ 12

1.5.3 Benefici del Compliance Management ............................................................................................ 14

1.6 Spunti di riflessione da casi aziendali ........................................................................................................ 15

2. PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE .................................................................................................................................... 20

2.1 Introduzione ........................................................................................................................................................... 20

2.2 Punti di forza e di miglioramento degli attuali sistemi di valutazione e classificazione ....................................................................................................................................................................... 20

2.3 Un nuovo sistema di valutazione e classificazione ............................................................................. 25

2.3.1 Approccio al problema ............................................................................................................................ 25

II

2.3.2 Big Picture for Governance, Risk and Compliance Platforms ..............................................28

3. THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: ANALISI DEL MERCATO ATTUALE ....................................................................................................... 50

3.1 Obiettivo dello studio ..........................................................................................................................................50

3.2 Criteri di inclusione..............................................................................................................................................50

3.3 Metodologia di raccolta delle valutazioni.................................................................................................52

3.4 Le dimensioni di analisi .....................................................................................................................................54

3.5 Sistema di classificazione..................................................................................................................................56

3.6 Analisi di dettaglio ................................................................................................................................................60

3.7 Ulteriori considerazioni .....................................................................................................................................66

3.8 Allegati ........................................................................................................................................................................67

4. CONCLUSIONI ................................................................................................................................... 69

4.1 Sviluppi futuri .........................................................................................................................................................72

BIBLIOGRAFIA........................................................................................................................................... 73

III

INDICE DELLE FIGURE Figura 1 – Approccio al problema considerato. ................................................................................. VI Figura 2 – Schema complessivo degli elementi caratterizzanti il Big Picture................................... VII Figura 3 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance....................................................................................................................................... XII Figura 4 – Matrice di classificazione con dettaglio sul contenuto Risk Management. ...................... XII Figura 5 – Matrice di classificazione con dettaglio sul contenuto Compliance Management. ......... XIII Figura 6 – Matrice di classificazione con dettaglio dello scenario Balanced Contents. ................... XIII Figure 1 – Approch to the problem. ................................................................................................... VI Figure 2 – Scheme of the elements characterizing the Big Picture. .................................................. VII Figure 3 –Knowledge Management & Governance matrix. .............................................................. XII Figure 4 –Risk Management matrix. ................................................................................................ XII Figure 5 –Compliance Management matrix. ................................................................................... XIII Figure 6 –Balanced Contents matrix. .............................................................................................. XIII Figura 2.1 – Approccio al problema considerato. ............................................................................. 25 Figura 2.2 – Schema complessivo degli elementi caratterizzanti il Big Picture. ............................... 28 Figura 2.3 – Esempio di matrice di classificazione. .......................................................................... 48 Figura 2.4 – Esempio di grafico radar per un ipotetico sistema GRC. ............................................... 49

Figura 3.1 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance....................................................................................................................................... 58 Figura 3.2 – Matrice di classificazione con dettaglio sul contenuto Risk Management. ................... 58 Figura 3.3 – Matrice di classificazione con dettaglio sul contenuto Compliance Management. ....... 59 Figura 3.4 – Matrice di classificazione con dettaglio sullo scenario Balanced Contents. .................. 59

IV

INDICE DELLE TABELLE

Tabella 2.1 – Struttura dell’asse di valutazione Knowledga Management & Governance. ............... 39 Tabella 2.2 – Struttura dell’asse di valutazione Risk Management. ................................................. 40 Tabella 2.3 – Struttura dell’asse di valutazione Compliance Management. ..................................... 41 Tabella 2.4 – Struttura dell’asse di valutazione Software. ............................................................... 42 Tabella 2.5 – Struttura dell’asse di valutazione Fornitura. .............................................................. 42 Tabella 3.1 – Lista dei GRC vendor attivi sul territorio italiano........................................................ 52 Tabella 3.2 – Valutazione dell’asse Knowledge Management & Governance. ................................... 67 Tabella 3.3 – Valutazione dell’asseRisk Management. ..................................................................... 67 Tabella 3.4 – Valutazione dell’asse Compliance Management.......................................................... 68 Tabella 3.5 – Valutazione dell’asse Software. ................................................................................... 68 Tabella 3.6 – Valutazione dell’asse Fornitura. ................................................................................. 68

ABSTRACT

Il concetto di una gestione integrata di Governance, Risk e Compliance Management (GRC) è

oggetto di un sempre maggior interesse a livello globale, così come i relativi sistemi informatici

conosciuti con i nomi di “sistemi GRC” o “piattaforme GRC”. Ciononostante, in letteratura manca

ancora una completa visione delle piene potenzialità – in termini di benefici – che tali sistemi

possono avere.

Partendo dalla definizione di GRC, dalle sue principali differenze rispetto ai sistemi ERM e dal

perché è consigliabile l’acquisto (opzione “buy”) piuttosto che una sua realizzazione interna

all’azienda (opzione “make”), la prima sezione della presente ricerca ambisce a offrire una

descrizione dettagliata e sistematica dei benefici derivanti dall’adozione di una soluzione GRC,

riportando in seguito le evidenze che emergono da interviste a Risk Manager di importanti realtà

aziendali operanti in Italia.

Nella seconda sezione viene concepito un nuovo sistema di valutazione e classificazione per

piattaforme GRC che aspira a fornire un punto di vista più tecnico e completo di quanto ad oggi

disponibile e che si fonda sull’analisi dei tre seguenti criteri: i contenuti offerti da ciascun

sistema, la qualità intrinseca del software e l’affidabilità della fornitura offerta dal vendor. I

risultati delle classificazioni così ottenute sono esplicitati per mezzo di matrici aventi come assi

di analisi i tre criteri relativi ai contenuti (suddiviso a sua volta tra Knowledge Management &

Governance, Risk Management e Compliance Management), al software e alla fornitura.

La terza e ultima sezione è dedicata all’applicazione del nuovo sistema di valutazione e

classificazione a piattaforme GRC direttamente acquistabili sul territorio nazionale. Al fine di

mettere in luce i punti di forza di ciascun sistema e di fornirne una valutazione il più possibile

imparziale, sono stati intervistati gli “utilizzatori particolarmente soddisfatti” i cui nominativi

sono stati forniti direttamente dai GRC vendor.

Keywords: Governance, Risk, Compliance, GRC, definizione, benefici, valutazione, classificazione.

ABSTRACT The concept of an integrated management of Governance, Risk and Compliance (GRC) is being

paid more and more attention by companies worldwide, within several industries, as well as the

related IT systems, known as “GRC systems” or “GRC platforms”. Nonetheless, the state-of-the-art

still lacks a complete view on the whole potential - in terms of benefits – such systems can

provide.

Stemming from the definition of what a GRC is, from what the main differences with respect to

the ERM are, and from why it is usually advisable to “buy” such a software instead of “making” it,

the first section of the present document aims at providing the reader with detailed and

systematic information about the key benefits from the adoption of a GRC solution. Afterwards,

hints about the use (or not use) of GRC systems from a set of interviews with Risk Managers of

important Italian companies, are reported.

Within the second section, a new assessment and classification system for GRC software is

conceived. This system aspires to offer a more technical and complete support than current

classification standards; it is based on the analysis of the three following criteria: the contents

offered by GRC platforms, the intrinsic quality of each software and the reliability of the supply

offered by the vendors. The results of the classifications are showed by matrices that have as

axes of analysis the three criteria concerning the contents (split into the dimensions Knowledge

Management & Governance, Risk Management and Compliance Management), the software and

the supply.

The third and final section concerns the application of the new assessment and classification

system to GRC platforms that are directly acquirable in Italy. In order to highlight the strengths

of each platform and to perform an unbiased evaluation, the assessment has been done by “very

satisfied users” whose names were provided by each GRC vendor.

Keywords: Governance, Risk, Compliance, GRC, definition, benefits, assessment, classification.

I

SOMMARIO

UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE, RISK E COMPLIANCE MANAGEMENT: COSA CI POSSIAMO ASPETTARE?

Molto spesso i top manager delle aziende associano ad uno strumento/sistema di Governance,

Risk and Compliance Management (GRC) primariamente una sensazione di grande complessità.

In realtà, la complessità è insita nella situazione in cui le aziende operano, e non necessariamente

nello strumento/sistema; se è vero che è buona norma adottare strumenti semplici, è vero anche

che essi non devono “semplificare” i problemi al punto tale da renderli di fatto dei problemi

“diversi” – e, quindi, non rappresentativi – da quelli che le aziende devono realmente affrontare.

Questa complessità insita nel contesto in cui le aziende operano è ormai costantemente

crescente, e – di fronte a questo trend – per poter prendere decisioni bilanciate e sostenibili, è

evidente l’opportunità di uno strumento, quale il GRC, che fornisca in tempi molto rapidi

informazioni sul contesto esterno ed interno all’azienda, siano esse di elevato dettaglio o

aggregate, che supporti il lavoro di raccolta, gestione ed analisi di dette informazioni e che

capitalizzi la Knowledge aziendale per ottimizzare le decisioni future. Scopo del presente

documento è quello di fare chiarezza su che cosa sia effettivamente un sistema GRC e fornire un

supporto sul come e perché sceglierlo ed implementarlo.

Ma cosa si intende per GRC? Primariamente, il GRC è un1 “approccio integrato e olistico a livello

aziendale di Governance, gestione del rischio e conformità normativa, volto ad assicurare che

l’organizzazione operi eticamente e in accordo con la sua propensione al rischio, alle politiche

interne e alle norme esterne attraverso l’allineamento di strategia, processi, tecnologia e risorse

umane di cui dispone in modo tale da aumentare efficienza ed efficacia”. Partendo da tale

approccio sono stati sviluppati dei veri e propri software (anche detti “piattaforme” o “sistemi”)

GRC che permettono un’analisi integrata di questi tre temi.

Già da prima della nascita dei sistemi GRC, le tematiche di Risk Management erano state

ampiamente affrontate dall’approccio Enterprise Risk Management (ERM), da cui si sono

sviluppati sistemi atti all’identificazione di eventi o circostanze potenzialmente impattanti sugli

1 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117.

II

obiettivi aziendali, alla loro valutazione in termini di probabilità di accadimento e magnitudo, alla

determinazione di azioni correttive ed al monitoraggio dei progressi. Il GRC, nato principalmente

dalla richiesta di uno strumento di reale supporto alle problematiche di Compliance volontaria,

non si “limita” – come l’ERM – ad analizzare e proporre azioni correttive a situazioni di rischio

contingenti, ma, attraverso un controllo realmente continuativo di tutti gli eventi potenzialmente

impattanti sulle performance dell’azienda e grazie ad una visione sia aggregata che di dettaglio

dell’organizzazione (possibile grazie a veri e propri sistemi di gestione della conoscenza presenti

a sistema), permette una migliore gestione aziendale. La Governance è, dunque, l’elemento

cardine dei sistemi GRC.

La maggior parte delle imprese affronta il rischio e la Compliance normativa in maniera alquanto

destrutturata e, quasi sempre solo quando si presenta un aumento di complessità dovuto a un

progressivo percorso di crescita o di cambiamento, decide di implementare internamente un GRC

(scelta di tipo “make”) pensando in tal modo di contenere i costi e di poterlo plasmare sulle

proprie necessità. In realtà una scelta di questo tipo spesso risponde a necessità impellenti di una

singola funzione aziendale e non fa altro che aumentare la visione a “silos” dell’organizzazione, in

netto contrasto col paradigma di integrazione (con i rispettivi benefici) alla base del GRC; inoltre

esiste il concreto rischio di non rispettare gli obiettivi in termini di tempi e costi a causa delle

elevate competenze necessarie per lo sviluppo di un sistema così ampio e complesso. È evidente

che l’acquisto di una piattaforma da un fornitore specializzato (scelta di tipo “buy”) consente di

fare affidamento su uno strumento testato su diversi ambiti applicativi ed alleggerisce l’impresa

dall’onere degli aggiornamenti del software e delle normative; molti sistemi consentono inoltre

una gestione in conformità con gli standard ISO. Esistono in commercio due tipi di sistemi: quelli

verticali specializzati per industry o per singoli ambiti e quelli integrali che gestiscono in maniera

approfondita molteplici aree di interesse (aree tematiche). È evidente che la scelta di una

piattaforma verticale fa venir meno tutti i benefici legati all’integrazione, non permette al

management di avere una visione globale dell’impresa e, molto spesso, obbliga ad investire

ulteriori capitali per l’integrazione di singoli moduli. La scelta più appropriata è senz’altro quindi

quella di optare per l’acquisto di una piattaforma GRC integrata in origine, anche alla luce del

fatto che molti fornitori offrono la possibilità di effettuare un investimento modulare e scalabile

sulla propria realtà aziendale.

Partendo dall’assunto che l’efficienza di un sistema aziendale complesso non è solo legata a

rivoluzioni organizzative e/o tecniche ma anche al miglioramento del sistema di gestione, si

III

comincia ad intravedere l’utilità di un investimento in un sistema GRC. L’adozione di un tale

sistema porta benefici alle tre aree di Governance, Risk e Compliance Management. Di seguito si

riportano poche ma già significative evidenze di tali potenziali benefici. Nell’ambito della

Governance, l’integrazione dei processi aziendali sotto un unico sistema consente di evitare

inutili duplicazioni di processi e risorse e, grazie ad una visione olistica dell’organizzazione, di

superare l’approccio a “silos” tipico di molte grandi aziende. Inoltre, disponendo finalmente di

una vera e propria base di un sistema di Knowledge Management, si può cercare di capitalizzare

al massimo le conoscenze aziendali abilitando il management ad esercitare una Governance

efficace ed efficiente. Per quanto riguarda il Risk Management, i sistemi GRC possono consentire

di identificare tutti i rischi, anche quelli “nascosti”, di allineare le strategie aziendali alla soglia

massima di rischio che l’azienda è disposta ad accettare e di garantire la continuità di business

(evitando le conseguenti perdite finanziarie) grazie ad un’analisi di rischio realmente

continuativa nel tempo: tali benefici sono abilitati anche dal fatto che i sistemi più

all’avanguardia si basano sullo standard ISO 31000:2009. Un approccio integrato del Compliance

Management, infine, permette di garantire il rispetto sia delle norme (o standard) cogenti che di

quelle volontarie dell’azienda; inoltre, un controllo continuo ed automatico della conformità

dell’azienda alle normative vigenti la tutela da possibili sanzioni e conseguenti perdite

d’immagine. L’opportunità offerta dal GRC di automatizzare e centralizzare tutte queste attività

porta anche ad un abbattimento dei costi relativi, appunto, alla Compliance.

A corredo delle argomentazioni presentate, allo scopo di mettere in luce quanto praticamente

vissuto in importanti e complesse realtà aziendali e di fornire ulteriori spunti di riflessione, la

prima sezione del documento si chiude riportando i risultati più rilevanti emersi da alcune

interviste effettuate nel periodo Giugno-Luglio 2015 a profili executive nell’ambito di

Governance, Risk e Compliance Management di aziende di prodotto e di servizi. Quest’ultime

sono notevolmente differenziate tra di loro in termini di settore industriale e problematiche

trattate (internazionalizzazione, regolamentazione dei mercati, etc.), ma tutte accomunate da un

elevato grado di complessità e dinamicità del mercato. Innanzitutto, si può indubbiamente

affermare che la sensibilità verso i temi di Governance, Risk e Compliance Management è ancora

in fase di crescita e non sempre uniformemente sviluppata; a tale proposito è emblematico il

fatto che solo una minoranza degli intervistati abbia esplicitamente riconosciuto il Risk

Management in ottica proattiva.

Le interviste hanno confermato quali benefici derivanti dall’implementazione di un sistema GRC

la possibilità di “avere una visione più trasversale e chiara dell’azienda”, di garantire elevata

IV

sicurezza della gestione di informazioni sensibili e riservate (assicurando così la business

continuity) e di liberare risorse altrimenti destinate ad operazioni di office automation; è stato

riconosciuto, inoltre, il grosso vantaggio offerto dalla scalabilità delle piattaforme che consente la

“possibilità di far crescere lo strumento [GRC] secondo le necessità e la maturità aziendale”. Di

contro, le interviste hanno rilevato che il GRC talvolta non è riconosciuto come strumento atto ad

aumentare l’efficacia del processo decisionale e non sempre è utilizzato estensivamente a tutti i

livelli dell’azienda (limitandone il respiro a quelli superiori); più di un Risk Manager ha

dichiarato di volersi focalizzare esclusivamente su una quindicina di rischi strategici, mostrandosi

disinteressato al tenere traccia della conoscenza aziendale ad un livello di dettaglio “troppo”

elevato. Dalle interviste sono emersi due spunti per futuri sviluppi dei sistemi GRC: il CRO di

un’importante azienda di servizi italiana ha dichiarato che “il GRC non deve essere custom” (cioè

non costruito appositamente per la sua azienda), ma fondato su una piattaforma standard già

funzionante e altamente adattabile alla propria realtà aziendale, mentre la maggioranza degli

intervistati ha espresso interesse per un GRC in grado di fornire anche una funzione di analisi di

scenario.

Nonostante il grande sforzo necessario per implementare il GRC, le aziende intervistate si sono,

comunque, mostrate soddisfatte dell’investimento effettuato.

PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE

La nascita e lo sviluppo di un numero sempre maggiore di sistemi informatici di GRC ha creato un

mercato costituito da un’ampia gamma di piattaforme prodotte sia da grandi ed, ormai, affermati

software vendor che da realtà più piccole e focalizzate. Ne è nata, di conseguenza, la necessità da

parte delle aziende – potenziali acquirenti – di poter disporre di uno strumento che le indirizzi

verso la scelta del sistema più idoneo alle loro esigenze; a tale richiesta hanno risposto alcune tra

le più prestigiose aziende di consulenza direzionale a livello globale – quali Gartner Inc. e

Forrester Research Inc. – che pubblicano con cadenza annuale documenti di rating di alcune delle

piattaforme da loro ritenute tra le più performanti sul mercato.

Considerate le grandi potenzialità di questo mercato ancora giovane, ma in forte espansione,

assume notevole importanza per i GRC vendor comparire all’interno dei suddetti documenti di

valutazione. Il Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms – di

Gartner – e il The Forrester Wave: Governance, Risk, And Compliance Platforms – di Forrester –

V

propongono quale risultato finale della loro analisi comparativa una matrice di classificazione

dalla quale risulta intuitivo ricavarne un ranking relativo tra le piattaforme analizzate; a tali

matrici vengono affiancate le descrizioni di dettaglio (punti di forza, di debolezza, ambiti di

applicazione consigliati) di ciascun software, la definizione del mercato di riferimento ed un

accenno ai criteri di valutazione utilizzati. Se da un lato tali strumenti di valutazione e

classificazione risultano intuitivi e velocemente fruibili, permettono di identificare i GRC vendor

più solidi dal punto di vista finanziario e consentono di tener traccia dell’evoluzione delle

performance delle piattaforme analizzate (a patto di disporre di più annualità di tali documenti),

dall’altro si ha la percezione che essi soffrano di alcuni limiti di completezza: il loro panel di

sistemi GRC comprende solo i rivenditori più “grandi” – per esempio in termini di ampiezza della

customer base o di fatturato relativo alla vendita di tali sistemi – e l’analisi di alcuni parametri

tipici dei GRC – ad esempio quelli relativi ai contenuti offerti – rimane superficiale. I limiti degli

attuali sistemi di classificazione sono emersi anche dalle interviste effettuate a numerosi Risk

Manager di importanti aziende operanti sul territorio nazionale, i quali, avvalendosi solo di tali

documenti, hanno lamentato difficoltà nell’identificazione del sistema GRC più idoneo alle loro

esigenze ed hanno dovuto ricercare spesso ulteriori informazioni e punti di vista avvalendosi del

parere di società di consulenza e di esperti del settore.

Per tutte queste motivazioni si ritiene vi sia la necessità di sviluppare un nuovo

strumento di analisi e confronto tra piattaforme GRC che non abbia certo la presunzione

di sostituire quelli già presenti sul mercato, ma che sia ad essi complementare. Tale

nuovo strumento potrà risultare più articolato, ma sarà indubbiamente più tecnico e

sperabilmente più completo e in grado di evidenziare meglio le differenze tra ciascun

software.

Il sistema di assessment e benchmark frutto dei principi teorici discussi nella prima sezione del

documento, dei risultati delle interviste effettuate e dell’analisi critica delle classificazioni

attualmente esistenti è stato denominato Big Picture for Governance, Risk and Compliance

Platforms (chiamato anche semplicemente Big Picture). La sequenza di passi logici che hanno

condotto alla formulazione del Big Picture è schematicamente illustrata in figura 1.

VI

Figura 1– Approccio al problema considerato.

Si è partiti con il definire gli obiettivi della ricerca: la realizzazione di un nuovo sistema di

valutazione e classificazione per piattaforme GRC quale utile supporto alle aziende in fase di

selezione del sistema più idoneo, in grado di liberare parte delle risorse (umane e/o finanziarie)

altrimenti dedicate a questa scelta e di fornire un ulteriore punto di vista in aggiunta agli

strumenti di rating esistenti. Parallelamente, sono stati definiti i desiderata, cioè le

caratteristiche ricercate in un sistema di valutazione e classificazione da un ipotetico acquirente

di software GRC: tale sistema dovrà essere neutrale, completo rispetto al mercato di riferimento

analizzato, esaustivo riguardo all’analisi delle caratteristiche e funzionalità di ogni singola

piattaforma, di libera consultazione e che lasci massima visibilità su ogni assunzione e

valutazione effettuata. Successivamente, si sono esaminati i contenuti informativi delle

classificazioni esistenti: a fronte di tre punti di forza quali il classificare alcuni dei GRC vendor

più accreditati a livello mondiale, il basare le proprie valutazioni su una combinazione di dati

provenienti da molteplici fonti e l’offrire dei risultati di facile consultazione, sono stati rilevati

punti di debolezza quali il precludere preventivamente la possibilità a piattaforme realizzate da

GRC vendor di “taglia minore” di comparire all’interno del sistema di classificazione, la

superficiale analisi di alcune funzionalità dei GRC e la limitata visibilità della descrizione dei

criteri di valutazione considerati. Come logica conclusione ne è derivato uno strumento che

ambisce a soddisfare gli obiettivi generali della ricerca e i desiderata dalle aziende acquirenti e

che cerchi di integrare le caratterizzazioni positive degli attuali sistemi di benchmark

colmandone, ove possibile, le lacune.

Una visione schematica e integrale degli elementi fondamentali che costituiscono il Big Picture è

riportata in figura 2.

VII

Valutazione dei GRC Classificazione dei GRC

Figura 2 – Schema complessivo degli elementi caratterizzanti il Big Picture.

Nella fase di valutazione – vero cuore del Big Picture – vengono presi in considerazione i tre

criteri di scelta derivati dalle precedenti considerazioni: Contenuto, Software e Fornitura. Questa

distinzione porta in dote il grande vantaggio di “parlare”, almeno sulla carta, alle tre figure

aziendali che hanno in capo la decisione di acquisto di un sistema GRC: il criterio Contenuto

spetta al CRO, il Software al CIO e la Fornitura al CFO. L’ideale coinvolgimento di questi tre

manager, ciascuno col proprio criterio di competenza, aiuta a garantire una scelta del sistema

GRC il più possibile ponderata e globalmente soddisfacente.

Il criterio Contenuto, completamente concepito dagli autori in quanto ritenuto realmente

abilitante a definire le peculiarità e funzionalità che un “buon” GRC deve avere, è stato a sua volta

suddiviso in tre assi di analisi (Knowledge Management & Governance, Risk Management e

Compliance Management) descritti, ove possibile, da analoghe metriche di valutazione al fine di

proporre uno studio bilanciato e che presenti risultati facilmente comparabili, riducendo al

minimo l’ambiguità tra le descrizioni di dimensioni omologhe. Ciascun asse contiene al suo

interno tre macro-dimensioni: Adeguatezza del contenuto, Qualità degli output e Integrazione

delle informazioni.

VIII

L’Adeguatezza del contenuto comprende a sua volta il Grado di copertura della Knowledge

Base/dei rischi/delle normative (definito in termini di estensione e dettaglio massimo

raggiungibile), la Scalabilità (ovverosia la capacità di frazionamento dei contenuti), e

l’Aggiornamento – istantaneo – in seguito a cambiamenti.

La Qualità degli output è definita da più dimensioni d’analisi. La Fruibilità delle informazioni

contenute nel sistema GRC – valida per tutti i tre assi di valutazione – che, più nel dettaglio,

comprende: la Capacità di profilazione degli accessi, la Comunicabilità (intesa come possibilità

di disporre di un sistema di notifiche degli eventuali cambiamenti), una dimensione di

Tracking (che misura la capacità della piattaforma di tenere traccia delle versioni precedenti

dei documenti, di protocollarli e indicizzarli automaticamente), la Personalizzabilità degli

output e la capacità di generare automaticamente una reportistica di base completa. Per

quanto riguarda l’asse Knowledge Management & Governance viene analizzato l’Utilizzo di

modelli qualitativi e/o quantitativi riconosciuti per la descrizione della Knowledge Base; per

quanto riguarda l’asse Risk Management viene analizzata l’eventuale Strutturazione (del

sistema GRC) coerente con lo standard ISO 31000:2009, oltre che l’Utilizzo di modelli

qualitativi e/o quantitativi riconosciuti per la descrizione delle informazioni relative alla

gestione del rischio; per quanto riguarda, infine, l’asse Compliance Management vengono

analizzate l’eventuale Strutturazione coerente con gli standard ISO e l’Utilizzo di modelli

quantitativi (intrinsecamente più robusti dei soli modelli qualitativi) per la valutazione della

conformità normativa.

L’Integrazione delle informazioni comprende la Consistenza delle informazioni (cioè la

capacità del sistema GRC di avere informazioni riferite alla Knowledge Base/gestione del

rischio/gestione della compliance uniche, permettendo così di evitare l’aggiornamento a

momenti differenti) e la Sinergia fra le informazioni.

Il criterio Software, che corrisponde nella sua interezza ad un asse di valutazione, esprime un

giudizio sull’applicativo su cui si basano le piattaforme GRC analizzate, a prescindere dai

contenuti e dalle funzioni che esse possono offrire; le dimensioni d’analisi sono state fedelmente

riprese dallo standard ISO/IEC 25010:2011 e consistono in Idoneità funzionale, Efficienza,

Compatibilità, Usabilità, Affidabilità, Sicurezza, Manutenibilità e Portabilità.

Il criterio Fornitura, che corrisponde al quinto ed ultimo asse di valutazione, stima la probabilità

di successo e di soddisfazione legata all’iniziativa di investimento in uno specifico sistema GRC: è

quindi un asse puramente abilitante che non entra nel merito della qualità della piattaforma. La

sua valutazione è offerta dalle seguenti cinque macro-dimensioni: Stabilità finanziaria

dell’azienda fornitrice, Effort in innovazione del GRC, Diffusione geografica (sia in termini di

IX

presidio commerciale che di servizi di supporto diretto al cliente), qualità dei Servizi di supporto

offerti (quali implementazione, manutenzione e aggiornamento) e Costo d’acquisto.

La fase di classificazione parte dalla definizione dei principi di aggregazione delle valutazioni

ottenute allo step precedente per poi giungere alla rappresentazione grafica dei risultati

mediante specifiche matrici e grafici radar.

L’obiettivo del Big Picture è quello di fornire un’analisi di benchmark basata sulla valutazione di

molteplici scenari d’interesse ottenuti da specifici criteri di aggregazione; tali scenari si basano

sull’importanza relativa dei contenuti offerti da ciascuna piattaforma GRC e non sui loro possibili

ambiti di utilizzo, superando così quella che, a detta degli autori, è una limitazione (per tutti gli

utilizzatori non interessati a tali ambiti) insita nelle proposte di classificazione di Gartner e

Forrester. Partendo dall’assunzione che, per la valutazione complessiva del criterio Contenuto,

l’asse dedicato al Knowledge Management & Governance abbia sempre un peso non inferiore ai

pesi degli assi riguardanti il Risk Management e il Compliance Management, si è giunti ad

identificare due scenari “standard”: lo scenario Balanced Contents (ove ai tre assi del criterio

Contenuto viene assegnata pari importanza) e lo scenario Governance Based (ove l’asse

Knowledge Management & Governance ha un peso del 50%, mentre i restanti due assi pesano per

il 25% ciascuno). Per quanto riguarda i criteri di aggregazione delle dimensioni e delle sotto-

dimensioni interne agli assi di valutazione, è stato deciso di mantenere una pesatura uniforme

allo scopo di perseguire un maggiore grado di generalizzazione e una più facile interpretazione

dei risultati. Un’unica eccezione è stata fatta all’interno dell’asse Software dove, da quanto

emerso dalle interviste fatte a Risk Manager di importanti aziende operanti in Italia, meritano un

peso preponderante le dimensioni Compatibilità e Sicurezza.

Il Big Picture offre una rappresentazione grafica delle valutazioni dei due scenari Balanced

Contents e Governance Based e dei tre assi del criterio Contenuto (singolarmente presi) per

mezzo di cinque matrici che permettono un confronto facile e immediato dei GRC classificati.

Nello specifico, ogni matrice riporta sull’asse X la valutazione del criterio Software, sull’asse Y la

valutazione di una delle cinque letture appena definite e, tramite sotto-quadranti, la valutazione

del criterio Fornitura; in ogni matrice è stato deciso di operare una classificazione in fasce binarie

per ciascun asse al fine di ridurre l’errore che potrebbe derivare da un rating troppo puntuale:

così facendo in ogni sotto-quadrante è presentata una lista dei GRC che effettivamente ne fanno

parte e non un loro specifico posizionamento. A corredo di tali matrici, è stato infine deciso di

dare una rappresentazione dei risultati aggregati dei cinque assi per mezzo di grafici radar

redatti per ciascun sistema GRC analizzato.

X

THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: ANALISI DEL MERCATO ATTUALE

In questa terza e ultima sezione vengono definiti i criteri di inclusione per poter rientrare nella

presente ricerca, la metodologia di raccolta delle valutazioni e le dimensioni d’analisi

effettivamente considerate, così da pervenire alla rappresentazione grafica dei risultati seguita

dall’analisi puntuale di ciascuna piattaforma GRC esaminata. A chiusura della trattazione

vengono poi analizzati i risultati ottenuti e gli eventuali punti di contatto e di divergenza con

quanto riportato nei sistemi di classificazione di Gartner e Forrester.

Il Big Picture cerca di rispettare tutte le caratteristiche desiderate per un ipotetico sistema di

valutazione e classificazione di software GRC: in particolare, l’elemento che lo distingue da

quanto già presente sul mercato è la capacità di offrire una trattazione completa, cioè

potenzialmente in grado di includere qualsivoglia GRC vendor all’interno di uno specifico

mercato preso come riferimento. In pratica, a causa di una ridotta disponibilità di risorse da

dedicare alla ricerca, si è deciso di evitare di rincorrere inutilmente una completezza della

popolazione di studio su una scala maggiore di quella italiana; ci si è quindi focalizzati sulle sole

piattaforme GRC direttamente acquistabili sul mercato italiano volendo dare, così, visibilità

anche ai piccoli, specializzati ma validi produttori nazionali. In definitiva, sono state incluse nello

studio quelle piattaforme GRC i cui vendor, oltre a comparire all’interno del Magic Quadrant di

Gartner e della Forrester Wave, fossero attivi sul territorio nazionale (con la presenza di una sede

o filiale italiana o di un qualsiasi riferimento quale numero di telefono o indirizzo email italiano)

e i software GRC (o strumenti informatici aventi funzionalità affini) di quei produttori italiani

che, per dimensione e/o fatturato, non possono rientrare nelle suddette classificazioni. Questi

ultimi sono stati reperiti tramite indagine sul web.

Ai referenti commerciali delle case produttrici contattate sono state chieste informazioni

specifiche riguardanti l’azienda stessa, utili, principalmente, per la valutazione dell’asse

Fornitura. Le valutazioni più soggettive inerenti alle funzionalità dei software GRC sono state,

invece, poste ad un “cliente soddisfatto”, cioè un utilizzatore – il cui nome è stato fornito dal GRC

vendor – che abbia implementato il software estensivamente e che lo usi regolarmente,

possibilmente da almeno un anno da fine implementazione; questo allo scopo di poter eseguire

valutazioni che siano le più neutrali possibili, ma al contempo mettere in luce le caratterizzazioni

forti e positive di ciascun sistema (senza, però, escludere di segnalare eventuali debolezze).

XI

Per perseguire un obiettivo di sintesi, le valutazioni effettivamente richieste sono state in

numero leggermente inferiore alle dimensioni di analisi definite nella seconda sezione. Più nello

specifico, per la valutazione dei tre assi del criterio Contenuto ci si è, talvolta, fermati al

penultimo livello di dettaglio; per ciascuno di questi assi è stato, inoltre, richiesto il grado di

soddisfazione generale allo scopo di verificare la congruenza tra i singoli punteggi attribuiti e la

corrispondente valutazione complessiva. Ricapitolando, a ciascun cliente soddisfatto è stata

richiesta la valutazione in merito a 60 domande chiuse e 3 domande aperte, mentre alle aziende

vendor sono state poste direttamente 5 domande oggettive della propria realtà societaria.

Entrando nel dettaglio della strutturazione delle cinque matrici di classificazione, ciascuna di

esse è stata concepita con la seguente logica: nelle dimensioni degli assi (dove l’asse X è deputato

alla stima della qualità del software e l’asse Y a quella dei contenuti offerti dalle piattaforme) si

definiscono due intervalli di valutazione denominati “basso” e “alto”, mentre all’interno di

ciascun quadrante che ne deriva si opera un’ulteriore suddivisione in cui il settore superiore

destro indica una valutazione maggiore rispetto a quello inferiore sinistro relativamente al

criterio Fornitura; in tali sotto-quadranti i sistemi GRC vengono presentati in forma di lista per

appartenenza allo specifico settore. Nel caso in cui il numero totale di valutazioni ricevute per un

certo asse di una specifica piattaforma GRC non sia in numero sufficiente per ritenere la sua

valutazione pienamente attendibile, all’interno delle matrici di classificazione si è riportato a

fianco del nome di tale sistema un asterisco con annesse note di spiegazione.

Poiché la valutazione di ciascun software è stata effettuata dall’utilizzatore “più soddisfatto”,

nella maggior parte dei casi le risposte sono state molto positive; questo, però, non ha impedito

di evidenziare i relativi punti di forza. Essendo lo scopo del Big Picture quello di distinguere nella

maniera più neutrale possibile le caratteristiche e le funzionalità dei sistemi GRC, in relazione al

campione di piattaforme analizzato, è stato deciso di operare una ripartizione non in classi della

stessa ampiezza (intesa come lunghezza degli intervalli degli assi di valutazione), bensì della

stessa numerosità, più efficace in presenza di una distribuzione di valori marcatamente

asimmetrica come quella ottenuta; così operando, la scala di ciascun asse non è né lineare né

uguale tra una matrice e l’altra. L’eventuale futuro inserimento di altri software all’interno del

Big Picture – ossia delle matrici – potrebbe quindi comportare la rimappatura di una piattaforma

in un quadrante differente.

Si riportano di seguito le matrici di classificazione ottenute:

XII

Figura 3 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance.

Figura 4 – Matrice di classificazione con dettaglio sul contenuto Risk Management.

XIII

Figura 5 – Matrice di classificazione con dettaglio sul contenuto Compliance Management.

Figura 6 – Matrice di classificazione con dettaglio dello scenario Balanced Contents.

XIV

Innanzitutto, si fa notare che sono state presentate quattro matrici (e non cinque come definito

nella seconda sezione): le prime tre offrono ciascuna il dettaglio su uno degli assi di analisi

relativi alla qualità dei contenuti offerti, mentre la quarta è frutto del loro raggruppamento

secondo il principio di aggregazione Balanced Contents. Non è stata riportata la matrice relativa

allo scenario Governance Based poiché, nel caso in esame, avrebbe riportato un posizionamento

delle piattaforme uguale a quello ottenuto nello scenario Balanced Contents.

Per il criterio con cui sono state concepite, è evidente che in tutte le quattro matrici appena

presentate il posizionamento di ciascuna piattaforma GRC rispetto alle valutazioni del software e

della fornitura rimane invariato: ciò che può cambiare è il posizionamento rispetto alla qualità

dei contenuti offerti (stimata sull’asse Y). Questa modalità di rappresentazione dei risultati ha il

vantaggio di permettere di focalizzare la propria attenzione sullo scenario – ovvero sul contenuto

– d’interesse principale, non perdendo comunque visibilità sulle restanti funzionalità.

A titolo di esempio, si riporta di seguito il prospetto di dettaglio di una delle piattaforme valutate

(per imparzialità, è stata scelta la prima in ordine alfabetico):

XV

Aris Risk & Compliance Management – Software AG

SW Vendor

Software AG, storica azienda tedesca produttrice di

un’ampia gamma di software, è annoverata tra le

prime venticinque a livello globale ed opera in oltre

70 paesi direttamente coperti tramite una rete di

partner e servizi localizzati. Ricopre il ruolo di player

chiave anche nel mercato italiano per quanto

riguarda le soluzioni GRC.

Sito aziendale: http://www.softwareag.com/it/

Prodotto

La piattaforma Aris Risk & Compliance Management

è cross industry e personalizzabile per ogni cliente

sulla base delle sue specifiche necessità.

Punti di Forza

Sistema fortemente integrato con l'ambiente di modellazione dei processi e integrabile con

gli altri sistemi interni aziendali;

Schermate e processi di lavoro (“workflow”) chiari e ben definiti;

Solida metodologia sottostante.

Punti di debolezza e/o miglioramento

Sono richieste diverse personalizzazioni per migliorare il livello di efficienza del sistema.

Utente valutatore

Banco di Desio e della Brianza: è una delle più importanti realtà bancarie sul territorio nazionale,

che conta più di 270 filiali distribuite tra Nord e Centro Italia.

Sito aziendale: https://www.bancodesio.it

Un’analisi critica dei risultati esplicitati dalle quattro matrici di classificazione e dai prospetti di

dettaglio di ciascuna matrice porta alle seguenti considerazioni:

Essendo il posizionamento dei GRC all’interno delle matrici sempre il medesimo, si può

dedurre che in ciascun sistema analizzato il grado di completezza e dettaglio dei contenuti

offerti sia equilibrato.

RSA Archer GRC è globalmente il sistema più completo: esso, infatti, si colloca sempre nel

quadrante in alto a destra. Questo posizionamento va a conferma dei risultati presentati dai

XVI

sistemi di classificazione di Gartner e Forrester, i quali riconoscono RSA Archer GRC come

una delle migliori piattaforme sul mercato.

Il software KRC del “piccolo” produttore KeisData si è mostrato assolutamente competitivo

sia rispetto alla qualità dei contenuti che rispetto a quella del software. Tale risultato

conferma la valida scelta assunta nel Big Picture di non porre limiti di partecipazione (relativi

per esempio alla grandezza del GRC vendor), andando a coinvolgere anche produttori italiani

di “taglia minore”.

Gli spider diagrams riportati per ciascuna piattaforma analizzata rivelano che le differenze di

prestazione (relative soprattutto alla qualità dei contenuti, dove le valutazioni sono state

sempre in media maggiori di 3 su una scala da 1 a 4), seppur esistenti, sono ridotte.

In conclusione, dalla presente ricerca scaturiscono i seguenti spunti di studio degni di un futuro

approfondimento:

1. La relazione esistente tra i diversi tipi di organizzazione aziendale e la probabilità di successo

dell’iniziativa di implementazione di un sistema GRC.

2. L’inerzia dei sistemi GRC, ovverosia del tempo necessario all’utilizzatore per apprezzare le

reali potenzialità e i benefici che si possono trarre da tali sistemi.

3. L’impatto che una funzione di analisi di scenario integrata nel sistema GRC può avere sulla

percezione di utilità di tali sistemi da parte dei potenziali acquirenti.

I

EXECUTIVE SUMMARY

WHAT CAN WE REALLY EXPECT FROM GOVERNANCE, RISK AND COMPLIANCE MANAGEMENT SYSTEMS?

Very often top managers primarily perceive a Governance, Risk and Compliance Management

platform/system as something complex. In fact, the complexity lies in the situation in which the

companies operate: if on the one hand it is advisable to adopt simple systems, on the other hand

they do not have to "simplify" the problems up to making them "different" problems – so not

representative – from those that companies really have to face. This complexity, that is inherent

into the context where the firms operate, is now constantly increasing and, for the purpose of

making more balanced and sustainable decisions, it is evident the opportunity offered by IT

systems, such as the GRC systems, which provide very quickly information on the company's

internal and external environment, either highly detailed or aggregated, which support the

collection, management and analysis of such information and that capitalize the company's

Knowledge with the goal of optimizing future decisions. The purpose of this document is to

illustrate what basically a GRC platform is and to suggest how and why to choose and implement

it.

But what is the meaning of GRC? Primarily, the “GRC is an integrated, holistic approach to

organization-wide governance, risk and compliance ensuring that an organization acts ethically

correct and in accordance with its risk appetite, internal policies and external regulations through

the alignment of strategy, processes, technology and people, thereby improving efficiency and

effectiveness”2. Based on this approach, GRC software (also called "platforms" or "systems") have

been developed, allowing an integrated analysis of the three contents governance, risk and

compliance management.

Even before the birth of GRC systems, risk management has been an extensively researched topic

by the Enterprise Risk Management (ERM) approach, from which IT systems able to identify

potentially impacting events on business’s objectives, to evaluate these events’ occurrence and

magnitude probability, to determinate the corrective actions and to monitor progresses, have

2 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117

II

developed. Mainly created by the need for an tool to support voluntary compliance, the GRC does

not "limit" – as the ERM does – its scope to the analysis and the proposal of corrective actions to

risky situations, but, through a truly ongoing monitoring of all the potentially impacting events

on company’s performance and thanks to a both aggregate and detailed organization’s vision

(made possible by the Knowledge Management systems existing into the platform), allows a

better business management. Therefore, the Governance is the real cornerstone of GRC systems.

Most of the companies face the risk and the regulatory compliance with unstructured approaches

and frequently – just in response to an increase in business complexity due to a gradual process

of growth and change – decide to implement a GRC system by themselves ("make" decision)

thinking this way about limiting costs and tailoring it to their own requirements. In fact, this

choice often responds to urgent needs of an individual business unit and the result is the growth

of the organization’s “siloed” vision, completely in contrast with the paradigm of integration

(with related benefits) at the base of GRC; moreover, there is the evident risk of not meeting

targets in terms of time and costs due to the high skills needed to develop such a large and

complex system. Clearly, buying such a software from a specialized vendor ("buy" decision)

allows the companies to rely on a platform that is tested on multiple industries and lightens them

from the burden of software and regulations upgrades; furthermore, most of these systems also

allow managers to run the company in accordance with ISO standards. On the market it is

possible to choose between two different types of GRC platforms: those for specialized vertical

industries and the integral ones that allow companies to manage multiple areas of interest.

Clearly, the choice of a vertical platform impedes to reach all the benefits associated with

integration, does not allow management to have a global vision of the company and, very often,

obliges to invest additional money in integration of single modules. The best choice is surely the

purchasing of an originally integrated GRC platform, especially in light of the fact that many

vendors offer the possibility to make a highly modular and scalable investment.

Starting from the assumption that efficiency in a complex enterprise is not only achievable

through organizational and/or technical revolutions but also through improvement of the

management system, it is possible to perceive the value of an investment in a GRC platform. The

adoption of such a platform is beneficial to the three areas of Governance, Risk and Compliance

Management. Hereunder, few but already significant evidences of these potential benefits are

listed. Concerning the Governance, the integration of business processes within a unique IT

system let the company avoid unnecessary duplication of processes and resources and, thanks to

III

a holistic view of the organization, to overcome a “siloed” approach, very common in large firms.

Moreover, having a real Knowledge Management system allows companies capitalize the

business knowledge by enabling the management to exercise an effective and efficient

governance. About Risk Management, GRC systems help firms to identify all the potential risks,

even the "hidden" ones, in order to align business strategies to the risk threshold that the

company is willing to accept and to ensure the business continuity (avoiding consequent

financial losses) through a really continuous risk analysis: these benefits are enabled by the fact

that the most advanced GRC platforms are based on the ISO 31000:2009 standard. In the end, an

integrated approach to Compliance Management allows to ensure conformity both with

mandatory and voluntary rules and/or standards; additionally, a continuous and automatic

control of the company's compliance with regulations protect it against possible sanctions and

resulting loss of reputation. The opportunity offered by GRC to automate and centralize all these

activities also leads to reduction in costs related to regulatory compliance, too.

In support of the above-mentioned evidences, in order to highlight what practically important

and complex companies have to handle on a daily base and to provide further food for thought,

the first section of the document ends reporting the most relevant results that have come to light

from interviews done with Governance, Risk and Compliance Management executives of product

and service companies during the period of June and July 2015. These companies are

significantly different one from each other in terms of industry and set of problems

(internationalization, market regulation, etc.), but they share a high degree of complexity and

market dynamism. First of all, it can be undoubtedly stated that the awareness of subjects like

Governance, Risk and Compliance Management is even now in a growth phase and it is not

always homogeneously developed; for this reason, it is emblematic of the fact that just the

minority of interviewees have explicitly recognized Risk Management in proactive prospective.

The interviews confirmed most of the benefits the implementation of a GRC system can bring,

like, for example, the opportunity to "have a clearer and cross vision of the company", to ensure

high security of confidential information (thus safeguarding business continuity) and to free

human resources up from office automation processes; the interviewees also acknowledged that

the possibility of buying on a scalable platform gave them the "opportunity to grow the tool [GRC]

as needed, in accordance with the firm’s maturity". On the other hand, the interviews revealed

that, sometimes, GRC platforms are not recognized as systems to increase the effectiveness of

decision-making whereas, other times, these software are not extensively used at all the

IV

company’s levels (limiting them to the higher executive level): a number of risk managers have

declared that they intend to focus exclusively on around fifteen strategic risks, appearing totally

disinterested in keeping track of corporate knowledge with a "too high” level of detail. Finally,

two hints have emerged for future GRC systems’ development of: the CRO of an important Italian

service company stated that the GRC “must not be a custom product" (i.e. the GRC must not

specifically be built for the company), but based on a standard and functioning platform, that

have to be highly adaptable to each company’s situation; moreover, the majority of respondents

showed interest in GRCs that can provide a scenario analysis function.

In the end, despite the large effort required for the implementation, all the interviewees have

shown satisfaction from the use of their GRC platforms.

CONCEPTUAL PROPOSAL OF A NEW CLASSIFICATION SYSTEM: THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS

The birth of a number of GRC systems has created a market composed by a wide range of

platforms produced by both large and well-known software vendors and more small and focused

firms. Consequently, the result is the potential buyers’ need of for a framework that addresses

them to the choice of the platform that most suits their requirements; as a response to this

request, some of the most prestigious management consulting companies worldwide - such as

Gartner Inc. and Forrester Research Inc. - publish an annual document in which they present the

assessment and classification of (they say) some of the top GRC platforms.

Considering the great potential of this market, still young but rapidly expanding, appearing on

these documents can be considered fundamental for every GRC vendor. The Magic Quadrant for

Enterprise Governance, Risk and Compliance Platforms - Gartner - and The Forrester Wave:

Governance, Risk, And Compliance Platforms – Forrester – propose, as final outcome of their

comparative analysis, a classification matrix where it is intuitive to deduce a relative ranking

between the analyzed platforms; in addition to the matrices, the detail descriptions (with

strengths and weaknesses) of each software, the definition of the GRC market and few mentions

about the evaluation criteria are presented. If on the one hand these assessment and

classification documents are surely intuitive and quickly usable and allow to clearly identify the

most reliable GRC vendors from the financial point of view, on the other hand there is the

perception that they suffer from a certain lack of completeness: first of all, their sample of GRC

V

systems includes just “big” vendors (for example in terms of customer base size and amount of

annual turnover), whereas the analysis of some of the most typical parameters of the GRCs - such

as those related to the contents offered by each platform - remains superficial. The limits of the

current classification systems have, also, emerged from interviews with several risk managers

working for important companies operating in Italy who, using only these documents, reported

difficulties in identifying the GRC system that most suits their needs and so, often, they had to

seek additional information, for example paying for the advice of consulting companies or

experts.

For all these reasons, the authors believe the need for a new assessment and classification

system for GRC platforms exists; this system does not presume to replace the existing ones, but it

wants to be complementary to them. In fact, the new system will probably be more articulated,

but undoubtedly be more technical and hopefully more complete and able to better highlight the

differences between each GRC software.

The assessment and classification system derived from the theoretical principles discussed in the

first section of the document, the outcomes of the interviews and the analysis of the existing

classifications has been called Big Picture for Governance, Risk and Compliance Platforms (also

called simply Big Picture). The sequence of logical steps that led to its formulation is

schematically shown in Figure 1.

Figure 1 - Approach to the problem.

The starting point has been the definition of the research’s goals: the creation of a new

assessment and classification system for GRC platforms as useful support to the companies in the

process of selection of the most appropriate platform, able to free up a part of the human and/or

financial resources otherwise intended to this choice, and to provide an additional point of view

to the existing benchmark systems. At the same time, the desired features of the system have

Strengths Weaknesses

New system

Desired features

Goals

Existing

classifications

VI

been defined; the hypothetical buyer of GRC software would have an assessment and

classification system that is neutral, complete (referring to a particular reference market),

exhaustive (in terms of analysis of characteristics and functionalities of each platform), free and

that leaves visibility on every assumption and assessment made in it. After that, the existing

classifications’ contents have been examined. The strengths of these systems are basically three,

that are the possibility to classify some of the most accredited GRC software worldwide, to found

their ratings on a combination of data from multiple sources and to offer an easy-to-read

outcome; but there are also weaknesses, such as the decision to preemptively preclude the

possibility to “small” GRC vendors’ platforms to appear in the classification system, the

superficial analysis of some GRC’s features and the low visibility on the description of the

evaluation criteria. As a result, the new assessment and classification system aims to meet the

overall research’s goals and the desired features by the potential buyers of GRCs, to integrate the

strengths and (if feasible) to overcome the weaknesses of the current benchmark systems.

A schematic representation of the basic elements of the Big Picture is shown in Figure 2.

GRC assessment phase GRC classification phase

Figure 2 - Scheme of the elements characterizing the Big Picture.

VII

In the assessment phase three are the considered analysis’s criteria that derive from the

previous considerations: Content, Software and Supply. This distinction has the clear advantage to

“address” (at least, hypothetically) the three managers who are in charge of deciding about the

purchasing of a GRC platform: the criterion Content has to be considered by the CRO, the

Software by CIO and the Supply by CFO. The involvement of these three managers helps to

ensure an overall satisfactory choice of the GRC system.

The first criterion, Content, has been fully designed by the authors and it assesses all the features

and functionality that a "good" GRC system should have; it is subsequently divided into three

axes of analysis (called Knowledge Management & Governance, Risk Management and Compliance

Management) that are described, when possible, through similar metrics in order to present

clear and comparable results, minimizing the ambiguity between the descriptions of the axes.

Each axis is composed by three main dimensions: Adequacy of contents, Quality of outputs, and

Integration of information.

The Adequacy of contents includes the Degree of coverage of the Knowledge

Base/Risks/Regulations (defined in terms of breadth and maximum detail achievable by

each platform), the Scalability (i.e. the capability to split the above-mentioned contents),

and the capability to – immediately – Upgrade the contents following changes.

The Quality of outputs is defined by multiple dimensions of analysis. The Usability of

information within the GRC – dimension that is repeated in all three axes – that includes:

the capability to create different User profile for different types of users, the

Communicability (in terms of having a notification system able to inform every

interested user that changes in information have occurred), a dimension of Tracking

(which measures if the platform offers automatic documents indexing, the possibility of

keeping track of the previous versions of these documents and registering them), the

Customizability of outputs, and the ability to automatically generate complete basic

reports. Regarding the Knowledge Management & Governance axis, the Use of qualitative

and/or quantitative recognized models for the Knowledge Base description is analyzed

too; regarding the Risk Management axis, the possible Structuring (of the GRC system)

consistent with the ISO 31000:2009 standard and the Usage of qualitative and/or

quantitative recognized models for the description of information related to risk

management are analyzed; lastly, regarding the Compliance Management axis, the

possible Structuring consistent with ISO standards and the Use of quantitative models

(inherently more robust than just qualitative models) for the evaluation of regulatory

compliance are assessed.

VIII

The Integration of information includes the Consistency of information (i.e. the capability

of the GRC system to have unique information related to the Knowledge Base/risk

management/ compliance management avoiding, this way, to have information upgraded

at different moments) and the Synergy between the information.

The criterion Software, which – in its entirety – corresponds to the fourth axis of analysis and

offers an assessment of the inherent quality of the GRC platforms’ software, regardless of the

contents and the functions they can offer; it is characterized by dimensions that have been

accurately taken from the ISO/IEC 25010:2011 standard, which are: Functional suitability,

Performance efficiency, Compatibility, Usability, Reliability, Security, Maintainability and

Portability.

The criterion Supply, which is the fifth and final axis of analysis, estimates the probability of

success and satisfaction related to the investment in a particular GRC system: therefore, this is a

“purely enabler” axis that does not assess the quality of the platform. The evaluation is offered by

the following five dimensions: Financial stability of the GRC vendor, Effort in GRC innovation,

Geographical spread (both in terms of worldwide market presence and direct support services to

every customer), Quality of support services offered by the vendor (such as implementation,

maintenance and upgrading services) and Acquisition cost of the GRC.

The classification phase starts from the definition of the aggregation principles of the

evaluations got in the previous phase, and continues with the graphical representation of the

results through specific matrices and spider diagrams.

The Big Picture’s goal is to provide a benchmark analysis based on the evaluation of multiple

scenarios obtained from specific aggregation criteria; these scenarios are based on the relative

importance of the contents offered by each GRC platform so, they are not based on specific use

cases. That with the aim of overcoming what, according to the authors, is a limitation (for all

users who are not interested in those use cases) inherent in the classification systems of Gartner

and Forrester. Moving from the assumption that, in order to assess the criterion related to the

Content, the Knowledge Management & Governance axis always has a higher weighting than the

other two axes (Risk Management and Compliance Management), two "standard" scenarios have

been defined: Balanced Contents scenario (in which the axes of the Content have equal

weighting) and the Governance Based scenario (in which the Knowledge Management &

Governance axis weighs 50% of the overall evaluation, whereas the remaining two axes weigh

25% each). Concerning the aggregation criteria of the every dimension within each axes of

analysis, the weighing is uniform in order to achieve high generalization and easy interpretation

IX

of results; the only exception is in the Software axis where, as a result of evidences from

interviews with risk managers working for important companies operating in Italy, the

dimensions Compatibility and Security deserve higher weighting.

The Big Picture provides a graphical representation for the Balanced Contents and Governance

Based scenarios and for the three individual axes of the criterion Content through five matrices

that allow an easy and immediate comparison between the considered GRC platforms.

Specifically, each matrix reports on the x-axis the evaluation of the criterion Software, on the y-

axis the evaluation of one of the five possible interpretations of the criterion Content and,

through sub-quadrants, the assessment of the criterion Supply. Each axis is divided on a binary

scale in order to reduce the possible error due to a too specific mapping of the analyzed GRCs

inside the matrices: within each sub-quadrant the GRC platforms’ names are presented as a list,

not with a specific positioning into the sub-quadrant. After showing the matrices, the

representation of the five axes of analysis for each analyzed GRC is offered.

THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: MARKET ANALYSIS

The third and final section of the document is composed by the explanation of the inclusion

criteria that GRC platforms have to meet to be considered in the research, the description of the

methodology of the evaluations’ collection and the definition of the dimensions of analysis that

have been assessed; after that, the graphical representation of the classifications followed by the

specific analysis of each GRC platform are offered. At the end of the treatise, the outcomes are

summarized and their comparison with the results of Gartner and Forrester’s classification is

presented.

The Big Picture aspires to fulfill all the desired features for a hypothetical GRC and classification

system: in particular, the element that distinguishes it from existing classifications is the

possibility to offer a complete study, so, after having set a reference market, it is potentially able

to include any GRC vendors. In fact, due to the limited availability of resources to spend on the

research, it has been decided to focus the analysis on the Italian market; therefore, the attention

is on those GRC platforms that are directly purchasable in Italy, in order to give visibility to the

local specialized GRC vendors too. The GRC vendors which have been contacted for the study are

those that, besides appearing in the Magic Quadrant and in the Forrester Wave, operate directly

X

on the Italian territory (so, with Italian branches or subsidiaries, or, at least, with an Italian

phone number or email address), and those that offer GRC systems (or software having similar

functionality) but, because of their company’s size and/or turnover, can not appear in the above

mentioned classifications. The latter vendors have been found through investigation on the web.

Specific information about the company have been asked to the sales manager of every GRC

platform: these data are mostly useful for the evaluation of the Supply axis. All the other

evaluations, inherently more subjective, have been obtained by the opinions of a "satisfied

customer", i.e. a user - whose name was provided by the GRC vendor - who has extensively

implemented the GRC software and use it regularly (possibly, for at least one year since the end

of the implementation); this method of evaluations gathering allows to perform a neutral

assessment and, at the same time, highlight the strong points of each system (without, however,

omitting to report the weaknesses).

To pursue a goal of synthesis, the respondents are asked to assess a slightly lower number of

dimensions of analysis than the ones defined in the second section of the document. Specifically,

sometimes the evaluation of the three axes of the criterion Content has stopped at the

penultimate level of detail; for each of these axes, the overall degree of satisfaction has been

required too, in order to verify the congruence between the individual scores and the

corresponding overall evaluation. Finally, each customer is asked to answer around 60 multiple-

choice questions and three open questions, while each sales manager is in charge of answering

five questions about general information of the GRC vendor company he works for.

Delving more deeply into the structure of the five classification matrices, each of them has been

designed with the following logic: the axes (where the x-axis is about the evaluation of the

software’s quality and the y-axis about the content offered from the platforms) are divided into

two parts referred as "low" and "high", while within each resulting quadrant there is a further

subdivision in which the top right section indicates a better rating than the lower left with regard

to the criterion Supply; in these sub-quadrants the GRC platforms names are presented as in a

list (so, not with a specific positioning). In case the total number of evaluations received by an

axis of a specific GRC platform is insufficient to consider its assessment trustworthy, within the

classification matrices the name of that GRC will be written with an asterisk and related

explanatory information.

XI

Since the evaluation of each software has been performed by – theoretically – the "most satisfied

user”, in most of the cases the results are very positive; however, this does not impede to

highlight the strengths of every analyzed software. Given that the aim of the Big Picture is to

distinguish in a neutral manner the features and functionalities of GRC systems – relatively to the

sample of analyzed platforms –, the subdivision of each axis of analysis is not in two parts of the

same size (i.e. of the same length), but in two classes of the same numerousness, that is more

effective in case of asymmetric distribution of values as the one obtained; in this way the scale of

each axis is neither linear nor equal between every matrices. So, any further addition of

platforms into the Big Picture – i.e. into the matrices – can lead to the re-mapping of a GRC in a

different quadrant.

The next pages show the results of the classification:

XII

Figure 3 – Knowledge Management & Governance matrix.

Figure 4 – Risk Management matrix.

XIII

Figure 5 – Compliance Management matrix.

Figure 6 – Balanced Contents matrix.

XIV

First of all, it is possible to notice that four matrices have been presented (not five as defined in

the second section of the document): the first three display separately the axes of analysis for the

criterion Content, while the fourth is the result of the Balanced Contents scenario. The matrix

concerning the Governance Based scenario has not been showed since, in this case, it would have

reported the same positioning than the ones obtained in the Balanced Contents scenario.

Due to the way these matrices have been designed (in particular regarding the evaluation of the

Software and the Supply), it is clear that the positioning of each GRC platform remains the same

in all of them: what can change is the positioning along the y-axis concerning the Content. This

method of presenting results has the advantage of allowing the reader to immediately focus on

the scenario – that is the content – of main interest, without losing them the visibility on the

remaining functionality.

As an example, the detailed description of one of the evaluated platforms is shown below (for

fairness, it has been chosen the first platform in alphabetical order):

XV

Aris Risk & Compliance Management – Software AG

SW Vendor

Software AG, the well-known German company, is

ranked among the top twenty-five software

manufacturers and serves more than 70 countries

that are directly covered by branches and partners. It

plays the role of key player in the Italian market

concerning the GRC solutions.

Official website: http://www.softwareag.com

Product

Aris Risk & Compliance Management is a cross-

industry platform and it is highly customizable on

each user’s needs.

Strengths

Integration with other corporate IT systems;

Graphic interface and workflows are easily understandable;

Robust methodology.

Weaknesses

A number of customizations are required to improve the standard efficiency of the system.

User

Banco di Desio e della Brianza: one of the largest banking groups in Italy, which can count more

than 270 branches spread across northern and central Italy.

Sito aziendale: https://www.bancodesio.it

The analysis of the results obtained from the classification matrices and the detailed descriptions

of each GRC platform leads to the following considerations:

Since the positioning of the GRCs within the matrices are always the same, it is possible to

deduce that every analyzed system offers a comparable degree of completeness and

detail.

RSA Archer GRC is globally the most complete platform and it is always located in the top

right quadrant. This positioning confirms the results offered by Gartner and Forrester’s

classification systems that consider RSA Archer GRC as one of the best platforms on the

market.

XVI

The software KRC of the local GRC vendor KeisData has proved to be absolutely

competitive both in terms of quality of contents and software. This result confirms the

decision taken into the Big Picture to avoid setting particular participation limits (for

example about to the size of the GRC vendor) and, so, involving “small” Italian vendors

too.

The spider diagrams of each analyzed platform reveal that the differences in

performance, even though existing, are limited (mainly considering the performances

related to the quality of the Contents where the average score is higher than 3 on a 1 to 4

scale for every software).

Finally, the authors’ hope is that the findings of the present research can inspire future research

developments, such as the study of:

1. The current relationship between the type of organization and the probability of success

of a GRC platform implementation.

2. The inertia of the GRC systems, i.e. the time needed by the user to really appreciate the

benefits deriving by using these systems.

3. The impact that an integrated scenario analysis function into the GRC can have on the

potential GRC buyers’ perception.

1

INTRODUZIONE AL PROBLEMA

Con il termine “organizzazione” ci si riferisce solitamente a quelle “circostanze in cui un insieme di

individui condivide uno scopo comune che può essere perseguito tramite azioni collettive”3.

Partendo da questa definizione, si può indubbiamente affermare che i problemi fondamentali alla

base del pensiero organizzativo sono da sempre legati allo studio della specializzazione del

lavoro e del conseguente coordinamento tra individui necessario all’interno di ogni

organizzazione/azienda/impresa.

La crescita delle dimensioni delle imprese è oggigiorno un processo sempre più inevitabile per

affermarsi – o quantomeno “sopravvivere” – in un ambiente economico tanto competitivo

quanto, probabilmente, non lo era mai stato in precedenza. Come conseguenza di tale crescita, si

assiste alla tendenza a frammentare i processi interni in attività sempre più specializzate che

richiedono, inevitabilmente, di essere coordinate: logica conseguenza è il parallelo aumento della

complessità aziendale da gestire.

Più nello specifico, la numerosità degli elementi – siano essi risorse umane, asset o processi

aziendali – da governare, la disomogeneità di tali elementi, la loro variabilità e le interdipendenze

che li legano sono alcuni dei fattori che determinano suddetta complessità. All’atto pratico, tali

fattori si traducono in problematiche concrete che ogni giorno il management aziendale è

chiamato ad affrontare per raggiungere i tanto agognati obiettivi definiti in sede di budget:

dall’IT alle operations, dal controllo di gestione all’ufficio legale ogni funzione aziendale è ormai

caratterizzata da un’elevata complessità gestionale.

La complessità delle aziende moderne, però, non è solamente frutto di fattori interni alla loro

organizzazione; anche il contesto in cui sono chiamate ad operare è, nella maggior parte dei casi,

notevolmente complesso: si pensi, per esempio, alla sempre maggior attenzione posta sulla

gestione delle relazioni con i fornitori e i clienti, a fenomeni quali la spinta

all’internazionalizzazione o a possibili problematiche legate alla regolamentazione del settore in

cui si opera. Non da ultimo, un tasso d’innovazione sempre più elevato è anche indice di alta

dinamicità in qualsivoglia business.

3 Spina G. (2008), La gestione dell’impresa (Seconda edizione), Etas, pag.3.

2

Per quanto appena riportato è, quindi, evidente che l’attività di governance di un’azienda non

sempre risulta efficace ed efficiente come desiderato.

L’efficacia della governance aziendale decade nel momento in cui l’organizzazione non viene più

vista dal management come un unico ed integrato organismo atto al raggiungimento degli

obiettivi generali (legati, nella maggior parte dei casi, a finalità di redditività). A causa della

crescita di dimensione, l’organizzazione è portata a suddividere i propri obiettivi generali in

sotto-obiettivi, ciascuno dei quali sarà assegnato ad una specifica funzione aziendale;

procedendo in tale maniera, però, ogni funzione è (involontariamente) “spinta” a focalizzarsi sul

raggiungimento del suo specifico sotto-obiettivo. Una tale visione a “silos” dell’azienda, quindi,

rischierebbe di portare al raggiungimento dei soli obiettivi “locali”, spesso non sufficienti – se

non addirittura in conflitto – al raggiungimento dell’obiettivo ottimo globale.

L’efficienza della governance aziendale, invece, viene meno qualora, per poter raggiungere quegli

obiettivi di prestazione che, seppur locali, vengono accettati dal management, vi sia un

sovradimensionamento o addirittura una vera e propria duplicazione (dovuta, per esempio, a

richieste impellenti di determinate funzioni) delle risorse dedicate allo svolgimento di specifiche

attività.

Per ovviare a quanto appena sostenuto, l’efficacia e l’efficienza di un sistema aziendale complesso

possono da un lato essere incrementate tramite rivoluzioni organizzative e/o tecniche, dall’altro

tramite miglioramenti del sistema di gestione.

A tale scopo, una delle possibili strade che le aziende possono intraprendere è quella di

orientarsi verso uno strumento informatico di supporto: nel panorama dei sistemi attualmente

esistenti sul mercato, una scelta è rappresentata dai sistemi di Governance, Risk e Compliance

Management (GRC).

A questo punto è lecito porsi le seguenti domande:

Cos’è un sistema GRC e quali sono i benefici derivanti dalla sua implementazione?

Che cosa si aspettano i manager da tali sistemi?

Qual è, ad oggi, la considerazione di cui godono?

Com’è possibile valutarne le caratteristiche e funzionalità?

Lo scopo della presente ricerca è quello di rispondere a tali domande e, successivamente,

giungere alla stesura di un nuovo sistema di valutazione e classificazione che racchiuda in sé le

evidenze da esse emerse.

3

L’elaborato si articola in tre sezioni (report) principali: nel primo report viene fatto un

inquadramento teorico dei sistemi GRC, nel secondo viene sviluppato il nuovo strumento di

valutazione e classificazione che nel terzo sarà applicato a software esistenti sul mercato italiano.

4

1. UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE,

RISK E COMPLIANCE MANAGEMENT: COSA CI

POSSIAMO ASPETTARE?

1.1 PREMESSA

Prima di affrontare la questione dell’adozione di un sistema GRC da parte di un’azienda, poniamo

in evidenza alcune premesse che riteniamo fondamentali.

Prima premessa: qualunque idea abbiamo del GRC, è sicuramente ed indissolubilmente legata ad

una percezione di complessità. Ciò che spesso non è a tutti chiaro, tuttavia, è che tale complessità

rappresenta la situazione reale in cui l’azienda opera, e non necessariamente la complessità dello

strumento/sistema.

Seconda premessa: per quanto possibile, per affrontare un problema è sempre meglio adottare

strumenti semplici che strumenti complessi, a patto che tali strumenti non richiedano di

semplificare così il problema da renderlo di fatto un problema “diverso” – e, quindi, non

rappresentativo – da quello che l’azienda deve realmente affrontare.

Terza premessa: il numero di problemi da gestire in azienda aumenta sempre in un contesto

caratterizzato da elementi di complessità e di dinamicità: abbiamo sempre meno il controllo

dello stato della situazione, sempre meno tempo per prendere decisioni, e sempre meno certezza

che il risultato atteso sarà conseguito. Da qui ben si comprende come la quantificazione

scientifica degli effetti che l’adozione di un sistema di GRC può portare sia un compito senza

dubbio arduo. Evidente però, allo stesso modo, è la necessità vitale di un tale strumento per

l’azienda che sia in grado di poter indirizzare e gestire efficacemente il processo di “adattamento”

al contesto. In tal senso, alcune delle necessità aziendali che un sistema GRC dovrebbe essere in

grado di soddisfare possono essere elencate senza alcuna presunzione di esaustività:

- il bisogno di conoscere il contesto esterno e interno all’azienda in tempi molto rapidi;

- il bisogno di informazioni di elevato dettaglio, tipicamente per decisioni “locali”, ma anche di

informazioni aggregate per poter prendere decisioni bilanciate e sostenibili;

- il bisogno di strumenti per supportare un lavoro altrimenti insostenibile che va dalla raccolta

delle informazioni alla relativa gestione ed analisi;

- il bisogno di capitalizzare la conoscenza - Knowledge - già acquisita, per decidere al meglio per il

futuro.

5

Con riferimento a queste premesse, si cercherà in seguito di fare chiarezza su che cosa

effettivamente sia un sistema di GRC nel suo complesso (e che relazione esista col più noto ERM),

sul come sceglierlo e/o implementarlo, e sul perché implementarlo (in relazione alle sue

componenti fondamentali).

Scopo di questo documento è quello di dare al lettore uno spettro il più possibile completo di

elementi utili a valutare l’opportunità di implementare un sistema GRC con il supporto

evidentemente importante di sistemi di classificazione/confronto già esistenti.

1.2 COS’È UN GRC?

I concetti di Governance, Risk Management e Compliance Management sono da anni

preoccupazioni fondamentali per ogni azienda, a prescindere dalla sua dimensione e dal suo

mercato di riferimento. Più di recente, la percezione di tali temi sta cambiando, spostandosi

verso un approccio sempre più integrato e olistico: nella ricerca accademica di supporto al tema

– e sempre di più nella pratica aziendale – è unanimemente sostenuto che un approccio di questo

tipo consente all’impresa di prendere migliori decisioni e quindi, nel lungo periodo, di ottenere

vantaggi competitivi. Fattori esterni quali la globalizzazione, l’aumento continuo della pressione

della cogenza normativa, la diffusione di fenomeni “social” ed il progresso tecnologico,

unitamente a fattori come la massimizzazione della ricchezza degli Shareholder e la tutela degli

Stakeholder, sembrano essere le ragioni principali alla base di una visione sempre più

centralizzata di questi tre temi.

Il cosiddetto approccio GRC risponde puntualmente a questa nuova esigenza aziendale: esso

consiste in un sistema coordinato di persone, processi e tecnologie che contribuiscono a

migliorare le performance. Una definizione condivisibile ed esaustiva di approccio GRC è stata

proposta nel 20104: un approccio integrato e olistico a livello aziendale di Governance, gestione del

rischio e conformità normativa, volto ad assicurare che l’organizzazione operi eticamente e in

accordo con la sua propensione al rischio, alle politiche interne e alle norme esterne attraverso

l’allineamento di strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da

aumentare efficienza ed efficacia.

4 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117

6

Sulla base di questo approccio, negli ultimi anni sono state sviluppate le vere e proprie

piattaforme software (o “sistemi di supporto”, o semplicemente “sistemi”) GRC che stanno

abilitando sempre più numerose aziende a una trattazione integrata di questi tre temi, a partire,

come è naturale, dai gruppi internazionali.

Nel seguito si utilizzerà la dizione “GRC” riferendosi ai sistemi GRC, e non all’approccio, se non

espressamente specificato.

1.3 CHE RELAZIONE ESISTE FRA GRC E ERM?

Nell’ambito della ricerca scientifica, il tema del Risk Management è oggetto di numerosi studi

ormai da decenni. Il risultato di tale ricerca – in continua evoluzione – è stato di fatto reso fruibile

nella sua forma più estesa, ovvero quella – nata prima del GRC – dell’Enterprise Risk

Management (ERM), da strumenti software che prendono appunto il nome di sistemi ERM.

Provando a descriverlo possiamo dire che un sistema ERM è una struttura che si articola

nell’identificazione di eventi o circostanze potenzialmente impattanti sugli obiettivi aziendali,

nella loro valutazione in termini di probabilità di accadimento e magnitudo, nella determinazione

di azioni correttive e nel monitoraggio dei progressi. Il GRC, invece, si è affermato soltanto in

seguito, con tutta probabilità primariamente sulla spinta della richiesta sempre più pressante da

parte delle aziende di uno strumento di reale supporto alle problematiche di Compliance

volontarie.

Ma quali sono i principali punti di contatto e di divergenza tra sistemi GRC ed ERM?

Dall’analisi di documenti e riviste del settore, due sono le prospettive che emergono.

Secondo una prima prospettiva, l’ERM con tutte le sue componenti (quali risk identification, risk

assessment, risk monitoring, …) è visto semplicemente come una parte del GRC (evidentemente,

la sua componente di risk management).

Secondo una seconda prospettiva, supportata dagli autori, GRC e ERM riflettono una

sostanzialmente diversa concezione di base, pur potendosi considerare discipline interconnesse

e parzialmente sovrapposte (come inteso nella prima prospettiva, nell’ambito del risk

7

management) e condividendo alcuni processi e tecnologie comuni. Infatti, i sistemi ERM si

“limitano” ad analizzare i rischi, scattandone un’istantanea in un preciso momento e proponendo

le opportune azioni correttive nel caso siano necessarie. I sistemi GRC sono in realtà degli

strumenti molto più ampi: sono infatti in grado di mettere in luce i processi di maggiore

criticità/opportunità all’interno dell’azienda (disponendo di una visione aggregata tanto quanto

una visione di dettaglio), e – attraverso l’analisi di rischio – abilitano i decision maker a prendere

decisioni in maniera supportata e consapevole. Si può quindi affermare che l’elemento cardine di

questi sistemi sia la Governance, che consente all’azienda un’evoluzione costante e un

miglioramento continuo, abilitandola ad avere un controllo del rischio realmente continuo nel

tempo, e avendo sempre piena consapevolezza sul tema della Compliance normativa. In tal senso,

ad avviso degli autori, i sistemi GRC hanno un sostanziale vantaggio rispetto ai sistemi ERM in

quanto maggiormente in grado di poter indirizzare e gestire efficacemente il processo di

“adattamento” al contesto, proprio perché “indirizzato” dal concetto di Governance.

1.4 COME SCEGLIERE E/O IMPLEMENTARE UN GRC?

Sulla possibilità di sviluppo interno o acquisto di un software GRC esistono vantaggi e svantaggi

la cui rilevanza dipende evidentemente dalle specificità della singola azienda; proviamo, tuttavia,

a indentificare alcune linee di indirizzo generale.

In Italia così come all’estero, la maggior parte delle imprese affronta il rischio e la Compliance

normativa in maniera alquanto destrutturata, spesso solo attraverso strumenti di tipo Office

quali ad esempio “fogli” di calcolo. La necessità di implementare un sistema GRC deriva

solitamente dall’aumento di complessità che l’impresa riscontra nel progressivo percorso di

crescita o di cambiamento. Molte imprese si trovano così, senza un reale momento di analisi e

comprensione del contesto, a sviluppare ed implementare progressivamente soluzioni

applicative all’interno dei propri sistemi informativi (scelta di tipo “make”), spinte

principalmente da motivazioni quali: il contenimento dei costi legati all’investimento, la

possibilità di effettuare una perfetta personalizzazione per la propria peculiarità di business e,

infine, il non dover dipendere da un fornitore esterno. Tuttavia, cercando di osservare il

fenomeno in maniera distaccata e per quanto possibile oggettiva e pensando all’evoluzione

dell’implementazione del tempo per seguire i cambiamenti dell’impresa, ci si accorge che i

benefici del “make” appena descritti non sempre possono davvero giustificare tale scelta, il cui

fine ultimo è quello di rendere (ben) fattibile la gestione di una crescente complessità (e non di

8

introdurre ulteriori problemi all’interno delle dinamiche aziendali). La scelta “make, infatti, è

anche spesso motivata dall’esigenza di rispondere ad una necessità impellente, manifestata da

una singola funzione (che ha bisogno, ad esempio, di un’analisi di rischio più approfondita);

questa è quindi una soluzione locale, che non fa altro che aumentare la frammentazione delle

funzioni aziendali, aumentando la visione a “silos” dell’organizzazione (con tutti gli svantaggi che

questa comporta), in netto contrasto con un “paradigma integrato” che può davvero consentire la

gestione della complessità (e che sta alla base dei sistemi GRC). Oltre alla non-integrazione (o

raggiungibile solo parzialmente, con infinite problematiche di interfacce), esistono anche altri

motivi che possono rendere sconsigliabile uno sviluppo domestico di un sistema GRC, basta

pensare al rischio di non rispettare obiettivi in termini di tempi e costi di sviluppo (caratteristica

questa comune a tutti gli investimenti in piattaforme software, ma particolarmente accentuata in

un caso complesso come quello che stiamo analizzando), oltre che alla quantità e qualità di

risorse e competenze necessarie che l’impresa deve acquisire per lo sviluppo di un sistema così

complesso, capillare e ampio come il GRC .

Optando invece per l’acquisto (scelta di tipo “buy”) di una piattaforma da un provider

specializzato si sceglie di investire su uno strumento strutturalmente più robusto, perché testato

su diversi ambiti applicativi, e che garantisce un alleggerimento dal peso legato ad aggiornamenti

e miglioramenti del software e ad aggiornamenti legislativi o di standard. Forse ancora più

importante, molti software di importanti realtà aziendali nazionali ed internazionali sono pensati

in origine per consentire una gestione conforme agli standard ISO. Bisogna comunque

riconoscere che esistono anche per l’opzione “buy” rischi di non completa integrabilità, occorre

valutare sistema per sistema, insieme alle opzioni (e relativi costi più o meno rilevanti) fornite

dai vendor in termini di personalizzazione della piattaforma “standard” in base alle diverse

necessità. Alcuni di questi sistemi si dichiarano (o vengono percepiti dai clienti) specializzati per

industry o per singoli ambiti (ad esempio sulla conformità al D.Lgs.231 piuttosto che sulla salute

e sicurezza), cosa che comporta un’opzione “buy” più interessante per imprese particolarmente

indirizzate ad alcune aree tematiche; altri sistemi invece consentono una gestione approfondita

di moltissime aree di interesse (aree tematiche), nella stessa misura ed in modo integrato, cosa

che comporta un’opzione “buy” più interessante per imprese particolarmente indirizzate a

Governance, Risk & Compliance management il più possibile completi. A questo punto, l’impresa

può domandarsi se convenga investire in una soluzione progettata “integrale” in origine o in una

soluzione verticale su uno specifico ambito, eventualmente da integrare nel tempo con altre

soluzioni verticali (eventualmente di altri vendor). Se si optasse per una soluzione verticale,

9

verrebbero meno tutti i benefici legati all’integrazione, correndo il rischio di ragionare

nuovamente per “silos” funzionali e di trovarsi obbligati ad investire ulteriori capitali per

l’integrazione dei singoli moduli; un tale prodotto, quindi, non permetterebbe al management di

avere una visione globale dell’impresa e di raggiungere i benefici potenzialmente derivanti

dall’adozione di un GRC. Si consideri inoltre l’opportunità che i vendor di piattaforme “integrali”

in origine (in modi molto diversi) consentono ai propri clienti di effettuare un investimento

modulare e scalabile, abilitando quindi primariamente le funzionalità che il cliente ritiene

prioritarie. Inoltre, questi vendor offrono servizi (in misura differente) che permettono di

seguire passo dopo passo il percorso evolutivo di implementazione della piattaforma, aiutando il

cliente, nella fase di setup, a mappare ed inserire i dati relativi a processi, personale e assets, ma

non solo, nel software fornito, portando il sistema a lavorare efficacemente a pieno regime.

In seguito a tutte le evidenze sopra esposte, la scelta in generale più appropriata sembra dunque

quella di acquistare una soluzione GRC, in quanto tale integrata in origine (ossia con la garanzia

di efficacia ed efficienza, non escludendo la possibilità di essere integrata, via via, per moduli);

ecco perché – nel seguito – considereremo soltanto l’opzione “buy”.

1.5 GOVERNANCE, RISK MANAGEMENT E COMPLIANCE MANAGEMENT:

BENEFICI CHIAVE

La spinta concettuale all’investimento in un sistema GRC è legata all’assunzione che l’efficienza di

un sistema aziendale complesso non passi solo per rivoluzioni organizzative e/o tecniche, ma

anche per miglioramenti del sistema di gestione. Grazie alla possibilità di avere una visione

integrata e centralizzata (idealmente nella figura del CEO) dell’organizzazione, il sistema GRC

permette l’esercizio di una Governance più efficace ed efficiente, abilitata da una gestione

ottimale delle informazioni all’interno dell’azienda, unita ad un approccio strutturato di gestione

del rischio e delle conformità normative obbligatorie e volontarie.

In questa sezione si vogliono portare alla luce i benefici chiave – legati distintamente a

Governance, Risk Management e Compliance Management – derivanti dall’adozione di sistemi

GRC.

10

1.5.1 BENEFICI DELLA GOVERNANCE

Il punto di partenza per una corretta implementazione di sistema GRC risiede nel concetto di

Governance. Dentro la nozione di Governance ricadono tutti quei concetti di cultura aziendale,

mission, valori e policy che, una volta definiti dal Board, possono realmente diffondersi a tutti i

livelli dell’organizzazione. La Governance fa riferimento al sistema attraverso il quale il

management dirige e controlla attivamente l’azienda, specificando obiettivi di business e

supervisionandone il loro raggiungimento nel tempo e, come tale, costituisce di fatto l’elemento

abilitante per prendere decisioni utili al raggiungimento degli obiettivi da conseguire, in maniera

il più possibile sostenibile nel lungo periodo.

Per esercitare una buona Governance è necessaria la disponibilità di informazioni complete,

aggiornate e fruibili a livello di intera azienda (ad esempio in merito alla struttura organizzativa,

alle deleghe, processi aziendali, assets, ecc. ...); in definitiva è quindi necessario un vero e proprio

strumento di Knowledge Management. Tale conoscenza deve essere intesa nel senso più

dinamico del termine: finita una prima fase di raccolta e inserimento dati nel sistema GRC, essa

potrà essere gestita e aggiornata day-by-day, a prescindere dalle necessità impellenti, in modo

tale da aumentare la base di informazioni su cui i decisori potranno dirigere le future scelte

aziendali. Il Knowledge Management è quindi da vedersi oltre che come un prerequisito, anche

come un elemento di amplificazione di un fruttuoso svolgimento di attività correlate alla

Governance, oltre che al Risk Management e al Compliance Management.

In dettaglio, rispetto alla dimensione della Governance, l’implementazione di un sistema GRC

permette di raggiungere obiettivi di efficienza ed efficacia grazie a:

1. L’integrazione tra processi aziendali sotto un unico sistema che consente di avere una

visione olistica della propria organizzazione, mettendo in luce quelle che sono possibili

duplicazioni o ridondanze di processi o risorse. Potendo usufruire di una visione a “più

ampio raggio” sull’intera organizzazione, il top management è in grado di abbattere

l’approccio a silos tipico delle grandi aziende moderne. Il fatto che la complessità aziendale

stia aumentando sempre più nel corso degli anni costituisce ormai una realtà oggettiva: la

conseguenza cui le aziende sono giunte nel corso del tempo è stata la necessità di

suddividersi in unità e sotto-unità organizzative, più semplici, ognuna delle quali è

caratterizzata da risorse allocate e obiettivi specifici da raggiungere, oltre ad essere spesso

chiamate ad auto-descriversi e autogestirsi. Questo ha portato ad avere processi separati

11

l’uno dall’altro ed estremamente frammentati, limitando il coordinamento tra funzioni: il

risultato è stato l’avere processi ripetuti e non congruenti. La possibilità che offrono i sistemi

GRC di mappare e monitorare con continuità tutti i processi e le risorse all’interno

dell’impresa abbatte l’approccio a silos, ovvero la frammentazione dei processi, abilitando il

top management aziendale ad avere una visione d’insieme dell’organizzazione.

2. La possibilità offerta dai sistemi GRC più all’avanguardia di disporre di veri e propri sistemi

documentali (caratterizzati comunque da elevata compatibilità coi più comuni sistemi di

office automation) che consentono una gestione integrata dell’informazione all’interno

dell’azienda, ovvero abilitano al Knowledge Management, requisito necessario per

esercitare una (reale e) buona Governance. Troppo spesso le conoscenze sono disperse

nell’organizzazione: sui tavoli, negli uffici, nei computer, nei cassetti, nella mente delle

persone, nelle mail, ecc. Questo implica notevoli inefficienze in quanto il personale perde

molto tempo nella loro ricerca che non è detto giunga a buon fine; tali inefficienze possono

però essere superate dall’adozione di una piattaforma dedicata. Da un lato, potendo

raccogliere in modo ordinato tutte le informazioni utili (si pensi ad esempio a dati su

processi, asset, fornitori, clienti, prodotti, analisi di rischio, conformità normative, ecc.…) e

mantenendole aggiornate day-by-day, si abilitano realmente i decisori ad esercitare una

Governance efficiente, in virtù del fatto che potranno usufruire di tutte le informazioni di cui

necessitano semplicemente accedendo al sistema, senza dover interfacciarsi singolarmente

con ciascun responsabile funzionale, avendo inoltre la garanzia che queste siano le più

aggiornate disponibili. Dall’altro lato, l’implementazione di tale sistema documentale

consente una diffusione capillare della conoscenza su più livelli dell’organigramma: la

possibilità di diversa profilazione e di indicizzazione dei documenti, unitamente alla

disponibilità di includere veri e propri sistemi di notifiche, consente a ciascuna figura

aziendale di accedere nei modi e nei tempi corretti a tutta la conoscenza di cui necessita. Ecco

che i sistemi GRC consentono realmente di creare e utilizzare la conoscenza ed,

aumentandone la fruibilità, abbattono le difficoltà di comunicazione all’interno dell’azienda e

le inefficienze ad esse collegate: questi sistemi permettono quindi di capitalizzare al

massimo le conoscenze aziendali, diffondendole in maniera esplicita e sistematica in tutta

l’organizzazione.

3. La possibilità di poter bilanciare opportunamente le prestazioni locali delle singole

funzioni grazie ad una visione e gestione integrata dei processi; un approccio destrutturato

“concede” ai responsabili funzionali di poter lavorare per obiettivi individuali, non

conseguendo così la massimizzazione degli obiettivi aziendali. Invece, utilizzando un

12

approccio integrato ed effettivamente disponendo (per la già menzionata possibilità di

generare con sforzo minimo dei documenti fruibili e compatibili coi più comuni sistemi di

office automation) di un’ampia base di informazioni, i manager hanno visibilità sia

sull’andamento complessivo dell’azienda sia su quello delle singole funzioni, potendone così

bilanciare gli obiettivi individuali.

Per quanto appena detto, una buona Governance, supportata da un adeguato strumento di GRC,

può effettivamente permettere all’azienda di perseguire il miglioramento continuo,

consentendo di ottenere migliori risultati complessivi in termini di efficacia e di efficienza.

1.5.2 BENEFICI DEL RISK MANAGEMENT

Per essere efficaci nel loro business, ad oggi le aziende non possono più astenersi dal valutare

tutti quegli ostacoli e opportunità rispetto al raggiungimento di obiettivi di business cui

solitamente ci si riferisce col termine “rischio”.

La disciplina che si occupa di questa problematica è l’Enterprise Risk Management (ERM, si veda

il paragrafo 1.3 per i dettagli), che, a prescindere dalla prospettiva scelta, costituisce uno dei

pilastri principali dei sistemi GRC. Parafrasando una definizione del CoSO [Committee of

Sponsoring Organisations of the Treadway Commissions], l’ERM è “un processo attuato dagli

Amministratori e dal Management di ciascuna struttura aziendale nell’ambito della definizione

delle strategie e riguarda tutta l’organizzazione, al fine di identificare gli eventi potenziali che

possono influenzare l’organizzazione, e gestire i rischi entro il livello di rischio ritenuto

accettabile, al fine di fornire una ragionevole certezza del raggiungimento degli obiettivi”. Da

questa definizione emerge come l’attività Risk Management sia strettamente connessa a quella

precedente di Governance.

Per gestire le diverse tipologie di rischio, spaziando da quelle prettamente operative relative per

esempio alla qualità e alla sicurezza negli impianti fino a quelle strategico/finanziarie legate ad

esempio al mercato e al credito, è necessario un sistema di controllo univoco e integrato (come lo

è il GRC): lo standard ISO 31000:2009 costituisce la linea guida nello sviluppo di un framework

metodologico che permette di raggiungere tale traguardo. Basandosi su questo standard, grazie

alla maggiore consapevolezza nel processo decisionale dovuta alla conoscenza di tutti i rischi cui

l’azienda è sottoposta, i manager possono stabilire congiuntamente i piani d’azione e il livello di

rischio accettabile, trovandone un corretto allineamento (ovvero, identificando linee di azione

13

efficaci). Come diretta conseguenza, l’azienda dovrebbe considerare il rischio non in una mera

accezione negativa, ma come un’opportunità e fattore abilitante per meglio comprendere lo stato

attuale dei suoi processi per puntare da un lato a ridurre frequenza e magnitudo degli imprevisti

e i costi (ovvero perdite) a loro associati e, contemporaneamente, dall’altro ad aumentare

frequenza e magnitudo delle opportunità e i vantaggi, anch’essi, a loro volta, associati.

Unitamente al beneficio economico immediato di cui si è appena accennato, un sistema integrato

di Risk Management consente di aumentare la trasparenza verso il mercato e, allo stesso tempo,

di tutelare la reputazione dell’Impresa.

Il motivo per cui le aziende sono sempre più interessate ad avere strumenti di Risk Management

è dovuto alla crescente complessità di gestione dell’impresa, per esempio derivante da fenomeni

quali la globalizzazione e la sempre maggior importanza di tematiche quali la sostenibilità

ambientale. Le piattaforme GRC comprendono al loro interno il modulo di Risk Management

proprio per rispondere a queste necessità/problematiche. Ne elenchiamo dettagliatamente qui in

seguito i benefici:

1. L’integrazione delle attività di Risk Management consentita dall’utilizzo di sistemi GRC

permette da un lato di evitare inutili duplicazioni e ridondanze di tali attività, dall’altro di

individuare i rischi “nascosti” e le possibili interdipendenze tra di essi, proponendone

soluzioni univoche, in virtù anche del fatto che i sistemi più all’avanguardia si basano sullo

standard ISO 31000:2009 relativo, appunto, al Risk Management.

2. Potendo determinare la soglia massima di incertezza (dovuta al rischio intrinseco nell’attività

d’impresa) che l’azienda è disposta ad accettare, l’attività di Risk Management consente di

allineare le strategie aziendali a tale soglia. Il management può fissare gli obiettivi

strategici basandosi su una solida analisi del rischio, avendo così maggiore consapevolezza

nel processo decisionale: questo porta alla possibilità di prendere decisioni più efficaci,

interpretando così il rischio proattivamente, come un’opportunità, per migliorare ad esempio

l’impiego di capitale e/o le performance operative e minimizzando la volatilità dei risultati.

3. L’attività di Risk Management aiuta ad abbattere alcuni costi aziendali. Oltre alla riduzione

di costi “visibili”, come quelli assicurativi (si pensi per esempio alla possibilità da parte

dell’impresa di far leva sul fatto di avere un sistema di gestione del rischio - e quindi un

rischio controllato - per ottenere un premio assicurativo vantaggioso), l’approccio risk-based

consente alle imprese di ridurre anche quei costi più “nascosti” come – per citare un esempio

eclatante – quelli collegati alla non-sicurezza sul posto di lavoro.

14

4. Disponendo di informazioni strutturate e sempre aggiornate in virtù di sistemi documentali

efficaci e fruibili, grazie ad una analisi di rischio continuativa nel tempo, il modulo Risk

Management dei sistemi GRC permette di evitare l’interruzione di business e le

conseguenti perdite finanziarie, di fiducia, di immagine e di clientela.

5. Grazie ad un sistema di monitoraggio continuo delle prestazioni attuali (KPI – Key

Performance Indicators) e future (KRI – Key Risk Indicators), le piattaforme GRC possono

offrire un’ampia gamma di dati sui risultati dell’azienda, assicurando un’elevata

trasparenza a shareholder interni (ovvero gli azionisti) e stakeholder esterni (quali le

banche, i finanziatori, ecc.). Inoltre, l’adozione da parte delle aziende di sistemi GRC

certificati, tutela i portatori d’interesse che decidono di avviare rapporti con esse, o quanto

meno, in generale, comporta maggiore attrattività in termini di investimenti. Ecco che la

possibilità di valutare il rischio impatta positivamente anche sulla ricerca di finanziatori e

investitori.

1.5.3 BENEFICI DEL COMPLIANCE MANAGEMENT

Con il termine Compliance Management si intende l’insieme di attività che devono essere svolte

dall’organizzazione al fine di identificare e monitorare nel tempo l’adempimento a requisiti

esterni cogenti (quali leggi, norme, regolamenti e contratti) e interni volontari (quali policy

aziendali, norme di buona pratica e rispetto del codice etico). Considerata l’impronta sempre più

globale delle medie-grandi imprese e data la moltitudine di norme, nazionali e internazionali,

cogenti e volontarie, alle quali queste sono chiamate a rispondere oggigiorno, non è possibile

pensare di avere un approccio puntuale per ogni singolo adempimento. Ecco che i sistemi GRC,

comprendendo al loro interno un modulo dedicato al Compliance Management, consentono uno

svolgimento di tale attività su base volontaria e/o cogente.

Inoltre, un approccio disaggregato alla gestione della conformità normativa comporta un onere

economico che può essere notevolmente abbattuto attraverso l’utilizzo di sistemi GRC; si vanno

così ad annullare tutti quei costi relativi a inefficienze dovute a duplicazioni e ridondanze di

controlli, documenti e procedure che impegnano risorse umane altrimenti utilizzabili per attività

a maggior valore aggiunto. Oltre a ciò, la possibilità di identificare e analizzare tempestivamente

gli impatti determinati da norme e leggi sulle attività aziendali consente all’organizzazione di

avere sotto controllo il suo status-quo in merito agli adempimenti obbligatori per legge; questo,

grazie all’aiuto del modulo Compliance Management che permette di definire piani di azione

conformi sia alle leggi cogenti sia alle norme interne.

15

Come già evidenziato, i sistemi GRC completi e ben progettati comprendono al loro interno un

modulo di Compliance Management del quale vogliamo riassumerne di seguito i benefici.

1. Il beneficio principale apportato da ogni sistema di Compliance Management è la capacità di

garantire il rispetto di requisiti esterni cogenti (quali leggi, regolamenti e contratti) e

interni volontari (quali rispetto di ISO e policy aziendali). Ad esempio, un’azienda italiana

attenta al problema della sicurezza sul luogo di lavoro, dovrà obbligatoriamente adempiere al

Dlgs.81/08 e, se vuole, per sua politica interna, rispettare le prassi descritte nello standard

OHSAS 18001; l’utilizzo di un sistema GRC permette il controllo del rispetto di entrambe le

norme.

2. I sistemi di Compliance Management prevedono una funzione di controllo continuo e

automatico della conformità di tutta l’azienda a fronte di un aggiornamento normativo;

questo consente alle aziende di non correre il rischio di non accorgersi di possibili

cambiamenti nella legislazione vigente, oltre a garantirsi la conformità con l’ultima versione

delle normative. Questo tutela le aziende da possibili multe e sanzioni che, oltre ad impattare

direttamente sulle proprie finanze, avrebbero anche un impatto sulla loro immagine.

3. L’implementazione di un sistema di Compliance Management permette di ridurre i costi

della Compliance. L’automazione di queste attività consente di abbattere i costi per la

redazione di documenti obbligatori per legge: in Italia, per esempio, la redazione del DVR

(Documento di Valutazione dei Rischi) è obbligatoria per legge e, nella maggior parte dei casi,

viene vista come una notevole problematica dalle aziende. I moduli di Compliance

Management all’avanguardia hanno già al proprio interno il framework di tale documento e,

utilizzando le informazioni contenute nel sistema documentale del sistema GRC integrato,

permettono l’automatica compilazione del testo, assicurando l’azienda sulla correttezza dei

dati inseriti e liberando così risorse umane dedicabili ad altre attività a maggior valore

aggiunto. Inoltre, la centralizzazione della gestione della conformità normativa che si

ottiene dall’uso di sistemi GRC annulla eventuali problemi di duplicazione delle attività di

verifica dell’adempimento a norme e regolamenti che, in assenza di tale sistema, rischiano di

essere svolte da più funzioni.

1.6 SPUNTI DI RIFLESSIONE DA CASI AZIENDALI

La presente sezione riporta i risultati più rilevanti emersi da interviste fatte a profili executive,

nell’ambito di Governance, Risk e Compliance Management, di aziende notevolmente

16

differenziate tra di loro in termini di settore industriale e problematiche trattate

(internazionalizzazione, regolamentazione dei mercati, etc.), ma tutte accomunate da un elevato

grado di complessità e dinamicità del mercato. Più nello specifico, sono state selezionate per

campionamento sia aziende di prodotto che aziende di servizi per avere un panel di interviste

quanto più eterogeneo possibile.

Il primo elemento macroscopico che è emerso da diverse interviste è che la sensibilità verso i

temi di Governance, Risk e Compliance Management è ancora in una fase di crescita e non

sempre uniformemente sviluppata. Nell’ambito di una stessa azienda c’è chi non considera di

particolare importanza una buona gestione della conoscenza e chi (al limite) considera la

gestione del rischio e la conformità normativa un intralcio allo svolgimento delle mansioni

quotidiane. Emblematico è il fatto che una minoranza degli intervistati abbia esplicitamente

riconosciuto il Risk Management in ottica proattiva, quindi non solo come processo per evitare

l’accadimento di situazioni negative, ma anche come fattore abilitante per scoprire opportunità

di miglioramento.

Se è vero che la gestione del rischio è il driver principale che spinge verso l’adozione di un GRC, le

interviste hanno evidenziato come per alcune aziende vi fossero anche altre motivazioni:

“ottimizzare il processo di lavoro” e “tenere traccia di tutti i documenti in maniera

oggettiva”, ovvero problematiche direttamente riconducibili a temi di Governance e Knowledge

Management, sono le ragioni espresse dal Risk Manager di una storica azienda italiana di servizi.

Inoltre, motivazioni legate alla Compliance volontaria sono state espresse dai manager di altre

due aziende, i quali hanno sottolineato l’utilità di uno strumento, come il GRC, in grado di

gestire tutte le certificazioni volontarie come gli standard ISO che, in particolari contesti,

possono essere un agevolatore in sede di gare d’appalto o, addirittura, consentire

l’accesso al business.

Si riportano di seguito gli elementi principali emersi dalle interviste effettuate, a scopo di

arricchimento ed integrazione del resto del documento.

Da un’azienda è stato confermato il beneficio dell’adozione del sistema GRC al fine di abbattere i

“silos” funzionali riuscendo così ad “avere una visione più chiara e trasversale dell’azienda” [si

veda il paragrafo 1.5.1 – Benefici della Governance – per i dettagli]; alcuni degli intervistati hanno

evidenziato l’importanza della presenza nel GRC di un efficiente processo di comunicazione e

17

differente profilazione degli accessi per poter coinvolgere in real-time e in sicurezza tutte quelle

figure, ovvero manager, riconducibili ai temi di Governance, Risk e Compliance Management.

Altri aspetti fondamentali riconosciuti dagli intervistati, che avvalorano le tesi sostenute, sono i

seguenti: la possibilità offerta dal GRC di garantire elevata sicurezza, requisito fondamentale

per la gestione di informazioni di elevata sensibilità e riservatezza, assicurando così la business

continuity [si veda il paragrafo 1.5.1 – Benefici del Risk Management – per i dettagli]; la possibilità

di liberare risorse grazie alla capacità del GRC di accollarsi tutta la parte operativa di office

automation, permettendo ai decisori di dedicarsi in maniera più proattiva alle mansioni di

maggiore valore aggiunto [si veda il paragrafo 1.5 – Benefici della Governance e Benefici del

Compliance management – per i dettagli]; il vantaggio offerto da alcune piattaforme di essere

estremamente scalabili dando così la “possibilità di far crescere lo strumento [GRC] secondo le

necessità e la maturità aziendale” [si veda il paragrafo 1.4 per i dettagli].

D’altra parte, le interviste hanno evidenziato che, in taluni contesti, i benefici derivanti

dall’adozione di una piattaforma GRC non sono sempre pienamente percepiti ed inoltre l’idea di

implementare un sistema altamente integrato non rientra necessariamente nei desideri delle

aziende, contraddicendo così quella che è una conoscenza diffusa.

Il risk manager di un’importante azienda italiana di prodotto ha dichiarato che

l’implementazione del GRC nei sistemi informativi aziendali è dovuta principalmente alla ricerca

di efficienza nella gestione della conoscenza, limitando (almeno momentaneamente) il respiro

sui temi di Risk e Compliance Management: gestione delle transazioni e segregation of duties

sono i due obiettivi per cui il GRC è stato implementato. Si può dunque dedurre che, in questo

caso, il GRC non è ancora riconosciuto come uno strumento per aumentare l’efficacia del

processo decisionale [si veda il paragrafo 1.5.2 – Benefici del Risk Management – per i dettagli].

Il fatto più eclatante che emerge dalle interviste è che, quasi paradossalmente, un’azienda può

decidere di adottare un GRC mantenendo, però, una separazione tra contenuti di basso e di

alto livello, in netto contrasto con il paradigma olistico tipico del GRC [si veda il paragrafo 1.2 per

i dettagli]. Infatti, la dimensione, la complessità e la staticità dell’azienda possono talvolta essere

così elevate da rendere di fatto impossibile l’adozione di un sistema realmente integrato,

limitando l’utilizzo della piattaforma solo ai livelli superiori.

18

A quanto appena detto ci si può ricollegare per riportare una seconda evidenza manifestata dagli

intervistati: due risk manager di importanti imprese di servizi hanno dichiarato di essere

interessati solo ed esclusivamente a rischi di altissimo livello, ossia ad una quindicina di

rischi strategici, subordinando la gestione di quelli più operativi alle singole funzioni. Da questo

ne deriva che il GRC, per come è attualmente concepito e per come è stato definito nelle

precedenti sezioni del documento (ovvero come un sistema informativo che basa il proprio

corretto funzionamento sulla possibilità di descrivere nel dettaglio processi, asset e lavoratori),

non risponde alle loro esigenze relativamente all’attività di Enterprise Risk Manager che, invece,

prevede la sola gestione dei rischi che hanno un impatto diretto sul business plan aziendale. Per

differenti motivi, anche un altro intervistato (CRO di un’azienda di prodotto) ha espresso la

mancanza di particolare interesse nel tenere traccia della conoscenza aziendale ad un

livello di dettaglio “troppo” elevato: una possibile spiegazione potrebbe risiedere nel fatto che

l’azienda opera attraverso processi talmente standardizzati e consolidati da non reputare

prioritaria la suddetta conoscenza.

Si vogliono riportare infine alcune sopravvenienze, emerse dalle interviste, come ulteriori spunti

di riflessione.

Un CRO ha espressamente dichiarato che “il GRC non deve essere custom”: con questa

affermazione l’intervistato ha voluto intendere la necessità di fare affidamento su un sistema non

costruito appositamente per la sua azienda, ma che abbia origine da uno standard già

funzionante e testato. Partendo da un tale GRC, più aziende hanno inoltre sottolineato

l’importanza di poter disporre di uno strumento flessibile, altamente personalizzabile e

adattabile alla propria realtà aziendale (il tutto raggiungibile anche grazie ad accordi di

collaborazione con i GRC vendor per uno sviluppo congiunto e mirato verso le proprie esigenze),

ponendo soprattutto l’accento sulla fase di reporting.

Un desiderio che accomuna la maggioranza degli intervistati è quello di poter usufruire,

all’interno del GRC, di una funzione di analisi di scenario: costoro riconoscono che i GRC

presenti sul mercato consentono di tenere traccia in maniera completa della situazione presente,

ma lamentano la mancanza di una funzione che possa simulare l’andamento degli scenari futuri

allorché una o più variabili strategiche, scelte dai decisori, dovessero cambiare o essere aggiunte.

L’Enterprise Risk Manager di uno dei principali gruppi italiani di servizi ha affermato che

l’utilizzo di un sistema GRC è per loro diventato una prassi quotidiana, estesa sia alla funzione di

Risk Management che a tutti i process owner; grazie a tale sistema l’azienda ha potuto rafforzare

19

la propria cultura sui temi di Risk Management e Compliance Management.

È stato inoltre percepito che, spesso, le suite GRC dei grandi ERP vendor, pur presentando

l’innegabile vantaggio di disporre originariamente di tutti i dati, limitano i risultati a delle forme

di contenuto di livello molto basso; inoltre, proprio perché non sono stati concepiti come veri e

propri GRC, queste suite non facilitano l’attività integrata di Governance, Risk e Compliance

Management.

A conclusione di questa sezione, si ritiene opportuno sottolineare che le aziende che utilizzano (o

stanno sviluppando) un sistema GRC, benché ammettano che il percorso di implementazione

abbia richiesto un grande sforzo in termini di risorse umane dedicate, alla fine si sono mostrate

soddisfatte dell’investimento.

20

2. PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA

DI VALUTAZIONE E CLASSIFICAZIONE

2.1 INTRODUZIONE

Nell’ultima decade si è assistito alla nascita e allo sviluppo di un numero sempre maggiore di

sistemi informatici di Governance, Risk Management e Compliance Management (GRC), sia da

parte dei grandi ed, ormai, affermati software vendor che da parte di realtà più piccole, ma più

focalizzate. Oggigiorno, il mercato dei GRC offre un ampio ventaglio di piattaforme tra le quali

poter scegliere e che differiscono tra loro per diversi aspetti.

Muovendosi in un tale contesto, fortemente dinamico e, nella maggior parte dei casi, non ancora

ben conosciuto dai potenziali acquirenti, chi fosse interessato ad implementare un sistema GRC

nei propri sistemi IT potrebbe trovarsi in difficoltà di fronte alla scelta del sistema più idoneo,

ovvero del sistema GRC che meglio risponde ai suoi bisogni in termini di governance aziendale,

gestione del rischio e della conformità normativa. Allo scopo di aiutare a prendere

consapevolmente una decisione così importante e complessa, la possibilità di disporre di

strumenti che analizzino, confrontino e classifichino le funzionalità di svariate piattaforme GRC

può risultare di notevole utilità. Quanto appena sostenuto è avvalorato anche dal fatto che alcune

tra le più prestigiose aziende di consulenza direzionale pubblicano ogni anno un rating delle

aziende fornitrici (vendor) di tali sistemi, che vengono sottoposte ad attenta valutazione e

benchmark.

2.2 PUNTI DI FORZA E DI MIGLIORAMENTO DEGLI ATTUALI SISTEMI DI

VALUTAZIONE E CLASSIFICAZIONE

Il mercato dei sistemi GRC è un mercato giovane e dalle notevoli potenzialità; proprio per questi

motivi chi propone tali piattaforme sono aziende molto attive nel promuovere il proprio

prodotto e nel farsi conoscere da tutti i possibili clienti, ovvero, potenzialmente, da qualsiasi

azienda interessata a rendere più efficace ed efficiente la propria Governance, con un focus

particolare sulla gestione del rischio e della conformità normativa.

Una possibile via che ogni vendor GRC può intraprendere per mettersi in luce consiste nel

cercare di comparire all’interno degli attuali modelli di classificazione di sistemi GRC, dove, su

tutti, spiccano quelli proposti da Gartner Inc. e Forrester Research; ogni anno, le due società di

21

consulenza americane redigono ciascuna un documento (rispettivamente il “Magic Quadrant for

Enterprise Governance, Risk and Compliance Platforms” e il “The Forrester Wave: Governance, Risk,

And Compliance Platforms”) dove valutano, secondo loro stessa definizione, i sistemi GRC più

competitivi, proponendo come risultato finale una matrice di classificazione dalla quale si può

intuitivamente ricavare un ranking relativo tra i sistemi analizzati. Questi due modelli di

classificazione assumono una struttura sostanzialmente simile tra loro – pur differendo,

ovviamente, in termini di metriche di valutazione e di punteggi attribuiti -; nello specifico, dopo

aver definito il mercato di riferimento e i criteri di valutazione utilizzati, i modelli di Gartner e

Forrester riportano le matrici di classificazione corredate dei prospetti di dettaglio contenenti i

punti di forza, di debolezza e gli ambiti di applicazione consigliati di ciascuna piattaforma GRC.

Strumenti di valutazione e classificazione così concepiti possono vantare un’elevata capacità di

sintesi, risultare intuitivi e velocemente fruibili, permettere di identificare chiaramente i vendor

più solidi dal punto di vista finanziario, oltre che, potendo disporre di più annualità di tali

documenti, consentire il confronto delle performance di uno stesso sistema GRC rispetto alle

precedenti versioni (grazie, per esempio, ad un semplice confronto visivo del posizionamento di

tale sistema all’interno della matrice o a quanto riportato nei prospetti riassuntivi per annualità

differenti).

Per quanto si riconosca che i sistemi di classificazione offerti da Gartner e Forrester costituiscano

una valida base di partenza per il confronto di sistemi GRC, è altrettanto vero che, a detta degli

autori, essi soffrano di alcuni limiti di completezza che qui di seguito vengono discussi.

Innanzitutto, tali classificazioni considerano solamente i vendor GRC più “grandi”, per esempio in

termini di ampiezza della customer base e di fatturato correlato alla vendita di GRC; se da un lato

questo è assolutamente ragionevole al fine di proporne una graduatoria facilmente interpretabile

(sarebbe oltremodo irrealistico sperare di valutare tutti i vendor presenti sul mercato mondiale),

dall’altro questo preclude preventivamente la possibilità alla gran parte dei vendor di ridotte

dimensioni di potersi confrontare e, perché no, mettersi in evidenza.

In seconda battuta, si ritiene che i sistemi proposti da Gartner e Forrester possano non fornire

uno strumento di supporto completamente esaustivo e sufficientemente dettagliato per la

valutazione e il confronto di sistemi complessi come i GRC: rimangono talvolta superficiali

sull’analisi di alcuni parametri caratteristici dei sistemi GRC che potrebbero, invece, essere di

notevole interesse per i futuri utilizzatori; altre volte, invece, rischiano di mischiare tali

parametri aggregandoli sotto un’unica voce omnicomprensiva, rendendo così difficile capire

quali siano i reali punti di forza e di debolezza di ciascuna piattaforma. Inoltre, il fatto di

22

ricondurre la valutazione di sistemi così complessi ai due soli assi di una matrice che include e

aggrega tutti i parametri contemporaneamente (ad onor del vero, Forrester introduce anche un

terzo parametro che, però, non modifica la posizione del GRC nella matrice), se da un lato

costituisce un compito concettualmente assai arduo in fase di stesura, dall’altro può risultare, per

certi versi, limitativo: le uniche conclusioni che si possono trarre dalla sola osservazione di

queste matrici di classificazioni sono delle graduatorie relative tra i vari sistemi, dove risulta

evidente che le piattaforme collocate nel quadrante in alto a destra siano preferibili rispetto alle

altre. Soltanto una lettura dei commenti posti a fine documento riferiti a ciascun sistema GRC

permette di avere un maggiore dettaglio sui reali punti di forza e di debolezza di ognuno di essi e

di capire, quindi, come anche piattaforme collocate in posizioni non ottimali della matrice

possano risultare valide in specifici ambiti di utilizzo.

Per completezza d’informazione, nel 2014 si assiste ad un cambiamento di rotta nelle modalità

mediante le quali Gartner affronta lo studio e il benchmark delle piattaforme GRC, dopo che dal

2008 al 2013 queste erano fondamentalmente rimaste le stesse: invece di pubblicare un unico

documento avente come obiettivo la valutazione delle prestazioni globali offerte dalle

piattaforme GRC analizzate (proprio come ancora oggi fa Forrester), ora Gartner effettua il loro

studio rispetto a sei specifici casi d’uso esaminati in altrettanti paper, in particolare:

- IT risk management,

- Operational risk management,

- Vendor risk management,

- Business continuity management planning,

- Audit management,

- Corporate compliance and oversight.

Per ciascuno dei primi quattro casi d’uso Gartner propone ora uno specifico Magic Quadrant,

utilizzando sostanzialmente per ciascuno le stesse metriche di valutazione.

Questa radicale trasformazione è dovuta principalmente a due fattori. Da un lato la nuova

consapevolezza da parte di Gartner che il mercato dei sistemi GRC è in rapida espansione e

l’interesse nei suoi confronti procede di pari passo; dall’altro l’esplicita ammissione della stessa

società di consulenza del fatto che il precedente modello di assessment non era sufficientemente

adeguato per intercettare tutte le peculiarità di cui il potenziale acquirente di piattaforme GRC

avrebbe voluto avere dettaglio.

Malgrado questi cambiamenti, un esame più approfondito del nuovo approccio di Gartner

continua a far emergere qualche perplessità, soprattutto in relazione al concetto di sistema

23

integrato che si ha del GRC: qual è la ratio su cui si basa la scelta di dividere la valutazione delle

piattaforme GRC rispetto ai casi d’uso andando così ad offrire molteplici documenti?

La multinazionale americana giustifica questa scelta sostenendo che “the market for GRC

technologies has now matured beyond foundational solutions, such as enterprise and IT GRC

platforms, to focus more on purpose-built applications that can easily integrate with the GRC

systems of record”.

Un’altra chiave di lettura, certamente più critica, potrebbe interpretare questa scelta come una

resa da parte della stessa Gartner all’idea che i clienti siano, nella stragrande maggioranza dei

casi, restii rispetto l’acquisto di un sistema “universale” come il GRC, preferendogli di norma

sistemi più specializzati. Gartner definisce infatti quattro delle maggiori motivazioni che

spingono verso l’adozione di un sistema GRC, realizzando per ognuna altrettante matrici di

classificazione; così facendo, però, si rischia di negare uno dei principi fondanti dei sistemi GRC,

cioè l’idea di universalità di un sistema di gestione del rischio, potenzialmente in grado di gestire

autonomamente qualsiasi tematica di risk e compliance management e basato su un solido

sistema di gestione della conoscenza.

A detta degli autori, la gestione del rischio, così come quella della conformità normativa, non

dovrebbe essere preventivamente separata per ambiti applicativi; d’altro canto, Gartner sembra

proprio spingere verso questa direzione, spostando l’analisi verso le specifiche aree d’utilizzo,

verso cioè dei “silos” applicativi concettualmente in netto contrasto con l’accezione olistica di

GRC.

Ciò che emerge rispetto a quanto fin qui sostenuto è che, facendo affidamento sulle sole

classificazioni esistenti, le aziende interessate all’acquisto di una piattaforma GRC potrebbero

riscontrare difficoltà nella valutazione e nella scelta del sistema più rispondente alle loro

esigenze.

A sostegno di quanto appena dichiarato è possibile affermare che, dalle interviste fatte a profili

executive nell’ambito di Governance, Risk e Compliance Management di alcune delle maggiori

realtà aziendali italiane (cui è stato dedicato l’ultimo capitolo della precedente sezione), si è

evinto come, ad oggi, molte delle aziende che basano la loro scelta d’acquisto di una piattaforma

GRC sui sistemi di classificazioni offerti da Gartner e Forrester ricerchino spesso ulteriori

informazioni e diversi punti di vista, avvalendosi del parere di società di consulenza o di esperti

del settore al fine di avere un’ultima conferma sulla scelta da effettuare.

24

Sempre da queste interviste, si è evidenziato come le aziende siano riluttanti a dotarsi di un

sistema software GRC, specialmente se integrato e pervasivo, malgrado siano a conoscenza delle

sue enormi potenzialità.

A valle di quanto sostenuto, dal momento che le attuali proposte di valutazione e classificazione

per sistemi GRC possono soffrire di alcuni limiti (lasciando non particolarmente investigate

alcune aree di potenziale interesse), considerati i risultati ottenuti dalle interviste fatte ai Risk

Manager, e con lo scopo di indirizzare le aziende nella scelta di ciò che meglio risponde alle loro

aspettative ed esigenze, si ritiene vi sia la necessità di sviluppare un nuovo strumento di analisi e

confronto tra piattaforme GRC, che potrà risultare più complesso, ma più tecnico e sperabilmente

più completo ed in grado di evidenziare meglio le differenze tra ciascun software rispetto a

quanto ad oggi disponibile.

D’altro canto, si riconosce come i sistemi di Gartner e Forrester abbiano l’ambizione di valutare e

classificare le piattaforme GRC in base sia alle performance attualmente raggiungibili sia alla

strategia delle aziende che le producono, fornendo così una visione sia statica che dinamica di

quelli che potrebbero essere i trend per gli anni a venire. Diversamente, lo strumento di

confronto che verrà presentato nel seguito del documento ha volutamente l’obiettivo di valutare

le “sole” funzionalità e caratteristiche ad oggi offerte da ciascun software GRC presente sul

mercato, scattandone per ciascuno un’istantanea: questa scelta è stata presa sia a causa di

oggettivi limiti di tempo e di risorse dedicabili alla ricerca, sia per la volontà di focalizzarsi su

quelle che, al momento della redazione del paper, sono effettivamente le potenzialità

raggiungibili da ciascuna piattaforma.

Ricapitolando, l’obiettivo ultimo del presente studio è quello di realizzare un nuovo sistema di

valutazione e classificazione per sistemi GRC basato sulle assunzioni e definizioni dichiarate

nel documento5 “Un po’ di chiarezza sui sistemi di Governance, Risk e Compliance Management:

cosa ci possiamo aspettare?”, che sia complementare ai sistemi di benchmark esistenti senza la

presunzione di sostituirsi.

5 Scaricabile al link: http://goo.gl/forms/m55g0hfWec

25

2.3 UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE

La speranza degli autori è di riuscire a realizzare un valido strumento di valutazione e

classificazione per piattaforme GRC, in grado di evidenziarne per ciascuna i punti di forza ed

(eventualmente) di debolezza, ritenendo comunque difficile l’identificazione di un sistema

migliore in assoluto.

Nel seguito del capitolo verrà presentato il Big Picture for Governance, Risk and Compliance

Platforms (anche chiamato semplicemente Big Picture nel seguito del documento), il sistema di

assessment e benchmark per sistemi informatici integrati GRC ispirato ai principi teorici emersi

nella prima sezione di questo documento, ai risultati delle interviste fatte ai Risk Manager, agli

argomenti di vendita dei maggiori vendor GRC e, in parte, alle classificazioni attualmente

esistenti.

Si comincerà con la descrizione dello schema logico che ha portato alla concezione del Big Picture

per poi definirne i criteri di valutazione in esso contenuti; il capitolo si concluderà con la

descrizione dei principi di aggregazione e delle modalità di visualizzazione dei risultati.

2.3.1 APPROCCIO AL PROBLEMA

Il paragrafo 2.2 ha descritto i punti di forza e di miglioramento degli attuali sistemi di benchmark

per software GRC, riportando le motivazione per cui risulterebbe utile disporre anche di un

nuovo approccio. La figura 2.1 illustra la sequenza di passi logici che hanno condotto alla

formulazione del sistema in oggetto.

Figura 2.1 – Approccio al problema considerato.

26

Obiettivi. Il primo passo è stato andare a definire gli obiettivi che si propone di raggiungere la

presente ricerca.

L’obiettivo primario è stato identificato nella realizzazione di un nuovo sistema di valutazione e

classificazione per piattaforme GRC, che possa fornire un utile supporto alle aziende in fase di

selezione del sistema più idoneo alle proprie esigenze; si è voluto, quindi, fornire un ulteriore

punto di vista su quello che, al momento, è il mercato dei software GRC, considerate le sue

interessanti potenzialità di crescita e l’esiguo numero di sistemi di assessment e benchmark

attualmente esistenti.

A conseguenza di quanto appena dichiarato e in risposta alle evidenze affiorate da interviste fatte

a profili executive nell’ambito di GRC Management di alcune aziende italiane [si veda il paragrafo

1.6 della prima sezione per i dettagli], il nuovo sistema di valutazione e classificazione aspira a

svolgere parte del lavoro che solitamente le aziende sono tenute a svolgere in fase di raccolta di

ulteriori informazioni (spesso traducibile in costi dovuti al pagamento di ore di consulenza)

rispetto a quelle reperibili da Gartner e Forrester; ambisce quindi a liberare parte delle risorse

(siano esse personale dedicato o risorse finanziarie) che le aziende interessate all’acquisto di un

software GRC devono dedicare a questa scelta.

Desiderata. Parallelamente alla definizione degli obiettivi della ricerca, si sono andate a

determinare le principali caratteristiche che un ipotetico acquirente di un software GRC

richiederebbe ad un sistema di valutazione e classificazione. Il sistema in questione dovrà essere:

- Neutrale, cioè basato su una metrica di valutazione che non favorisca un vendor rispetto

ad un altro;

- Completo, cioè potenzialmente capace di includere qualsiasi sistema GRC rispetto ad uno

specifico mercato di riferimento;

- Esaustivo, cioè capace di analizzare tutte le caratteristiche e le funzionalità più

importanti di una piattaforma GRC;

- Complessivo, cioè in grado di fornire una panoramica globale sul mercato considerato in

un unico documento;

- Trasparente, che possa cioè lasciare massima visibilità su ogni assunzione e valutazione

effettuata;

- Di libera consultazione.

Classificazioni esistenti. Successivamente si è andati ad esaminare i contenuti informativi

(quali assunzioni, criteri di inclusione nel sistema, metriche di valutazione, risultati ottenuti)

27

offerti dalle classificazioni attualmente esistenti, dove spiccano quelle pubblicate da Gartner Inc.

e Forrester Research Inc.; l’analisi di tali sistemi di benchmark è stata finalizzata

all’individuazione dei loro punti di forza e di debolezza, qui di seguito riassunti:

Punti di forza:

o Valutare e classificare alcuni dei vendor GRC più accreditati a livello mondiale;

o Basare le proprie valutazioni su una combinazione di dati provenienti da molteplici

fonti, quali sondaggi alle aziende clienti, questionari alle aziende fornitrici,

presentazioni delle funzionalità dei prodotti offerte dai fornitori [demo], ecc.;

o Offrire una rappresentazione bidimensionale tramite matrice, che permette

un’elevata fruibilità consultiva dei risultati ottenuti;

o Fornire dei prospetti riassuntivi posti a corollario delle matrici che consentono di

avere un utile dettaglio sulle caratteristiche e sugli ambiti di utilizzo consigliati per

ciascuna piattaforma GRC.

Punti di debolezza:

o Precludere preventivamente la possibilità alle piattaforme realizzate da vendor di

“taglia minore” di comparire all’interno del sistema di classificazione;

o Non descrivere in maniera equamente approfondita tutte le dimensioni

potenzialmente interessanti per valutare un sistema GRC;

o Non dare completa visibilità alle descrizioni dei criteri di valutazione analizzati;

o Non dare completa visibilità alle valutazioni dei software analizzati.

Nuovo sistema. Come logica conclusione, si è deciso di realizzare un nuovo strumento di

valutazione e classificazione per sistemi GRC che abiliti a descrivere i benefìci risultanti

dall’utilizzo di dette piattaforme [si faccia riferimento il paragrafo 1.5 della prima sezione per la

descrizione dei benefici chiave di un sistema GRC], che ambisca a soddisfare gli obiettivi generali

della ricerca e i desiderata dalle aziende acquirenti e che cerchi di integrare le caratterizzazioni

positive degli attuali sistemi di benchmark colmandone, ove possibile, le lacune. Questo

strumento è stato concepito in modo tale da permettere un’agevole interpretazione delle

dimensioni analizzate, cercando di evitare aggregazioni non congruenti e mettendo chiaramente

in luce il modo in cui ciascun criterio di valutazione viene definito e misurato.

28

2.3.2 BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS

La figura 2.2 mostra una visione schematica e integrale degli elementi fondamentali che

costituiscono il Big Picture for Governance, Risk and Compliance Management:

Valutazione dei GRC Classificazione dei GRC

Figura 2.2 – Schema complessivo degli elementi caratterizzanti il Big Picture.

Come già dichiarato all’interno del documento e com’è possibile dedurre dalla figura sopra

riportata, il Big Picture è composto da due parti principali: la valutazione delle piattaforme

analizzate (1) e la loro successiva classificazione (2).

Il processo di valutazione prevede la stima delle performance raggiungibili da ciascun software

GRC esaminato; questa prima fase è svolta rispetto alla valutazione delle dimensioni di analisi

definite dagli autori in fase di ideazione del sistema, quest’ultimo simbolicamente riportato nella

parte sinistra della figura 2 e descritto nel dettaglio all’interno del prossimo paragrafo. Questo

stadio rappresenta a tutti gli effetti il cuore del Big Picture, e da esso ne dipenderanno le

successive fasi di classificazione.

In base alle valutazioni ottenute, il Big Picture propone una classificazione dei software

considerati (parte destra della figura 2.2); ciascuno di essi viene collocato all’interno di specifiche

matrici – ottenute dall’intersezione di differenti assi di analisi – che consentono di avere una

29

visione molteplice e differenziata delle caratterizzazioni relative delle varie piattaforme. A

corredo di queste matrici, il Big Picture offre un’ultima sezione descrittiva di dettaglio per i

sistemi GRC esaminati all’interno della quale sono offerte rappresentazioni mediante diagrammi

radar delle valutazioni aggregate dei cinque assi di analisi di ciascun software [vedasi paragrafo

2.3.2.2.2 per i dettagli].

Nel seguito del documento si esplicita più nel dettaglio ognuno degli elementi caratterizzanti il

Big Picture.

2.3.2.1 FASE DI VALUTAZIONE

A seguito di quanto affermato nel paragrafo 2.3.1, è emerso che i criteri principali per valutare la

scelta di acquisto di un sistema GRC riguardano la qualità dei contenuti offerti dalla piattaforma

stessa e la qualità intrinseca del software applicativo (a prescindere da suddetti contenuti), senza

comunque trascurare la componente di affidabilità della fornitura offerta dall’azienda venditrice.

Date queste premesse, si è deciso di creare uno strumento che prendesse in considerazione

proprio questi tre criteri di scelta:

- Contenuto, a sua volta suddiviso nei tre assi Knowledge Management & Governance, Risk

Management e Compliance Management,

- Software,

- Fornitura,

per un totale di cinque assi di valutazione. Il primo criterio di scelta, indubbiamente il più

caratterizzante e interessante dal lato operativo, è stato completamente concepito dagli autori, il

secondo è strutturato in accordo con lo standard ISO/IEC 25010:2011 e il terzo è una

rivisitazione di molti dei criteri già approfonditamente analizzati nelle proposte di Gartner e

Forrester.

Ciascuno dei cinque assi di analisi del Big Picture è a sua volta articolato in macro-dimensioni e

dimensioni (a diversi livelli di profondità) per l’analisi di dettaglio; la loro scelta è stata compiuta

al fine di caratterizzare l’intero spettro di contenuti che concorrono all’ottenimento di tutti i

benefici derivanti dall’adozione di un sistema integrato GRC di cui si è largamente discusso nella

prima sezione del presente documento [si veda il paragrafo 1.5 della prima sezione per i dettagli].

La possibilità di distinguere l’analisi dei criteri di scelta tra Contenuto, Software e Fornitura porta

in dote il grande vantaggio di “parlare”, almeno sulla carta, alle tre figure aziendali che hanno in

capo la decisione di acquisto di un sistema GRC: il criterio Contenuto (definito in termini di

30

Knowledge Management & Governance, Risk Management e Compliance Management) si riferisce

al CRO, il Software al CIO e la Fornitura al CFO. L’ideale coinvolgimento di questi tre manager,

ciascuno col proprio criterio di competenza, aiuta a garantire una scelta del sistema GRC il più

possibile ponderata e globalmente soddisfacente.

Nei prossimi paragrafi si analizzano nel dettaglio quelli che, a detta degli autori, sono i cinque

assi di valutazione che un’azienda dovrebbe esaminare all’atto d’acquisto di un sistema GRC:

Knowledge Management & Governance, Risk Management, Compliance Management (descritti

parallelamente, poiché relativi allo stesso criterio Contenuto), Software e Fornitura.

La decisione di lasciare visibilità su ben cinque assi di valutazione è motivata dal fatto che un

sistema GRC è descrivibile e differenziabile per un numero certamente superiore ai due soli assi

cui i sistemi di Gartner e Forrester riconducono le loro classificazioni. La scelta di tenere separati

cinque assi rende effettivamente meno immediato il confronto tra le piattaforme GRC, ma porta

indubbiamente ad un’analisi concettualmente più chiara e rigorosa. Questa scelta avrà

implicazioni anche sulla forma grafica in cui saranno presentati i risultati dell’analisi.

2.3.2.1.1 Contenuto

Il primo criterio di valutazione concerne la qualità dei contenuti che un sistema GRC è in grado di

offrire; in esso si valutano le peculiarità che un buon GRC deve avere e, proprio per tale motivo,

questo è il criterio che realmente abilita a determinare se un GRC permette di svolgere tutte le

funzioni richieste dai futuri utilizzatori.

Allontanandosi dalle posizioni prese da Gartner e Forrester, che mirano ad offrire visioni

d’insieme facilmente intelligibili a scapito di una descrizione completa ed adeguata delle

tematiche relative ai contenuti, si vogliono dedicare ben tre assi di analisi a questo criterio

poiché, in potenza, è quello più interessante dal punto di vista dell’utilizzatore finale; ecco perché

all’interno del Big Picture i tre assi Knowledge Management & Governance6, Risk Management

e Compliance Management sono quelli caratterizzati dal più elevato grado di dettaglio.

E’ stato scelto di replicare, almeno dove possibile, le metriche di valutazione per i tre assi di

analisi; questa simmetria è stata ricercata al fine di poter eseguire uno studio dei sistemi GRC che

fosse il più bilanciato possibile. Operando in questa maniera, infatti, è possibile presentare dei

risultati facilmente comparabili, facendo ricorso (per quanto fattibile) anche all’utilizzo degli

6 Si è scelto di definire questa voce con la dizione “Knowledge Management & Governance” per gli assunti teorici descritti nel primo capitolo [si veda il paragrafo 1.5.1 – Benefici della Governance – per i dettagli].

31

stessi termini e notazioni, allo scopo di ridurre al minimo l’ambiguità tra le descrizioni di

dimensioni omologhe. La logica che sta alla base di tale scelta è semplice: partendo dall’ipotesi

che è alquanto improbabile che un’azienda coinvolta nella decisione d’acquisto di un sistema GRC

sia equamente interessata alle tre tematiche di Governance, Risk Management e Compliance

Management, un siffatto strumento di benchmark consente di individuare immediatamente qual

è la piattaforma più performante nella direzione di maggiore interesse, pur non perdendo di vista

le altre caratterizzazioni fondamentali.

È giusto precisare che, dall’edizione 2014, anche Gartner ha riconosciuto la necessità di una

distinzione basata sui contenuti offerti dai sistemi GRC, andando a definire sei possibili casi d’uso

con altrettanti documenti valutativi. Discostandosi da questo approccio, il Big Picture offre una

singola lettura complessiva, che non valuta ogni sistema GRC rispetto ai possibili ambiti di

utilizzo, ma analizza i tre moduli di Governance, Risk e Compliance Management alla base

dell’idea di GRC. Questa scelta è motivata dal convincimento che un sistema GRC permette di

esprimere le sue massime potenzialità solo nel momento in cui i tre temi di Governance, Risk e

Compliance Management sono affrontati simultaneamente, pur riconoscendo che l’attenzione

possa essere maggiormente focalizzata su un aspetto piuttosto che su un altro; diversamente

dall’approccio di Gartner, questo modus operandi permette di evitare di cadere in una visione “a

silos” di utilizzo dello stesso sistema GRC.

Con riferimento alle Tabelle 2.1, 2.2 e 2.3 [vedasi pagine 39- 41], il primo livello di analisi dei tre

assi Knowledge Management & Governance, Risk Management e Compliance Management è

caratterizzato da una metrica assolutamente speculare: adeguatezza del contenuto, qualità degli

output, integrazione delle informazioni costituiscono le tre macro-dimensioni esaminate per

ciascun asse.

Procedendo con ordine, l’Adeguatezza del contenuto descrive la capacità del sistema GRC di

fornire efficacemente le informazioni relative alle caratteristiche dell’azienda (Knowledge

Management & Governance), alla gestione del rischio (Risk Management) e alla conformità

normativa aziendale (Compliance Management); in altri termini, questa macro-dimensione

misura il grado di conformità delle informazioni potenzialmente offerte dal GRC rispetto a quelle

che potrebbero essere richieste dai futuri utilizzatori.

Con il termine Qualità degli output si intende invece la capacità del sistema GRC di fornire

informazioni affidabili e facilmente utilizzabili e interpretabili relativamente all’organizzazione

(Knowledge Management & Governance), ai risultati delle analisi di rischio (Risk Management) e

di conformità normativa (Compliance Management).

32

Ad ultimo, si analizza l’Integrazione delle informazioni, ovvero la capacità del sistema GRC di

gestire efficientemente le informazioni relative alla Knowledge Base aziendale (Knowledge

Management & Governance), alla gestione del rischio (Risk Management) e alla conformità

normativa (Compliance Management).

A partire dal secondo livello di analisi, le dimensioni valutate per Knowledge Management &

Governance, Risk Management e Compliance Management differiscono leggermente in base

all’asse considerato, per meglio adattarsi alle peculiarità di ciascuno. Si riportano di seguito le

descrizioni dettagliate di ciascuna sotto-dimensione per ognuno dei tre assi.

Knowledge Management & Governance

La Tabella 2.1 – pag.39 illustra la struttura dell’asse Knowledge Management & Governance.

La valutazione della macro-dimensione Adeguatezza del contenuto è ottenuta dalla

combinazione di tre dimensioni:

Grado di copertura della Knowledge Base offerto dal sistema GRC. Questa dimensione permette di

definire la capacità del GRC di descrivere le informazioni relative alla conoscenza aziendale in

maniera estesa, ossia la capacità di rappresentare tutti i contenuti richiesti, e con un elevato

grado di dettaglio. Partendo dall’assunto che la base per una rappresentazione esauriente di una

qualsivoglia azienda deve passare per la definizione delle tre componenti organizzazione

(ovverosia lavoratori), asset (immobili, impianti e macchinari) e processi aziendali, collettivamente

indicate nel seguito del documento dal termine “Knowledge Base”, si è deciso di suddividere

ulteriormente la valutazione di questa dimensione proprio rispetto a questi tre elementi,

valutandone, appunto, la possibilità di poterne fornire una descrizione estesa e dettagliata [si

veda la Tabella 2.1 per le definizioni di dettaglio]. Si vuole sottolineare l’assoluta importanza

ricoperta dalla dimensione Grado di copertura della Knowledge Base in quanto da essa deriva la

capacità di rappresentare la conoscenza aziendale che è elemento cardine sia delle analisi di

gestione del rischio che di quelle di gestione della conformità normativa. D’altro canto, i moduli

di Risk Management e di Compliance Management interni al sistema GRC non sono

necessariamente collegati con quello di gestione della conoscenza; si potrebbe teoricamente

mantenere tutta la Knowledge Base su un sistema dedicato esterno al GRC, col rischio, però, di

lamentare gravi problemi legati, ad esempio, alla non simultaneità di aggiornamento delle

informazioni.

Scalabilità offerta della piattaforma GRC dei contenuti riferiti alla Knowledge Base. La scalabilità

è qui definita come la capacità di frazionamento dei contenuti relativi all’organizzazione, agli

33

asset e ai processi aziendali in base alle specifiche richieste del cliente: in sede di assessment,

questa dimensione deve essere valutata sia con una logica “orizzontale” (ovvero in base

all’estensione, cioè al numero e alla tipologia di contenuti rappresentabili) sia con una logica

“verticale” (ovvero in base al grado di dettaglio desiderato per ciascun contenuto effettivamente

rappresentato). Una valutazione positiva di questa dimensione implica inoltre che, qualora si

voglia andare a dettagliare maggiormente un modulo già implementato nella piattaforma, tale

operazione richieda uno sforzo, di fatto, assai modesto.

Aggiornamento in seguito a cambiamenti: tale dimensione definisce se il GRC è in grado, o meno,

di aggiornare istantaneamente tutta la conoscenza collegata ad un’informazione (riguardante

l’organizzazione, gli asset e/o i processi aziendali) ogni qual volta questa viene modificata.

Questa dimensione valuta, di fatto, la capacità della piattaforma di lavorare sempre con

informazioni aggiornate all’ultima versione disponibile.

La macro-dimensione Qualità degli output viene definita in termini di Utilizzo di modelli

qualitativi e/o quantitativi riconosciuti e Fruibilità delle informazioni relative alla Knowledge

Base.

Utilizzo di modelli qualitativi e/o quantitativi riconosciuti, ovvero la proprietà (o meno) del

sistema GRC di strutturare la Knowledge Base in conformità, appunto, con modelli qualitativi e/o

quantitativi riconosciuti; questo consente di fare affidamento su una rappresentazione della

conoscenza aziendale solida e non soltanto accreditata dai produttori della piattaforma GRC in

questione. Un esempio può essere una rappresentazione dell’azienda mediante la Matrice RACI.

Fruibilità delle informazioni relative alla Knowledge Base. Considerata la notevole importanza di

tale dimensione (poiché realmente abilitante ad un uso estensivo del sistema GRC in azienda), si

è ritenuto necessario analizzarla da più punti di vista, definendola attraverso cinque ulteriori

sotto-dimensioni:

- Capacità di profilazione degli accessi: indica se il sistema GRC consente di creare profili

differenti per diverse tipologie di utente cosicché ciascuno di essi abbia il corretto grado di

accesso alle informazioni riferite alla Knowledge Base. Ci si aspetta che tutti i sistemi GRC

dispongano di una funzione di profilazione infinita; l’assenza di un tale requisito, ritenuto

fondamentale, costituirebbe certamente un grande limite per il sistema analizzato.

- Comunicabilità: serve a determinare se la piattaforma GRC è dotata di un sistema di notifiche

che consente di avvertire tutti gli utenti di competenza dell’avvenuto cambiamento di

informazioni in merito alla Knowledge Base, eventualmente in tempo reale.

34

- Tracking: valuta la capacità della piattaforma GRC di incorporare al suo interno un valido

sistema documentale (riferito, come sempre per quanto riguarda quest’asse di analisi, alla

descrizione della Knowledge Base); questa dimensione viene analizzata rispetto alla possibilità

di tenere traccia delle Versioni precedenti dei documenti, alla loro Protocollazione ed

Indicizzazione automatica [si veda la Tabella 2.1 per le definizioni di dettaglio].

- Personalizzabilità: esprime un giudizio sulla capacità del sistema GRC di poter creare output

(come, ad esempio, Key Performance Indicators – KPIs) personalizzati relativi a organizzazione,

asset e processi aziendali. Si determina in primis la possibilità del GRC di creare nuovi output

rispetto a quelli offerti di default dalla piattaforma, per poi andare a valutare la possibilità di

modificarne la forma in base alle specifiche richieste del cliente utilizzatore [si veda la Tabella 2.1

per le definizioni di dettaglio].

- Reportistica di base: stima la capacità del sistema GRC di effettuare una Generazione automatica

della reportistica di base della Knowledge Base e l’eventuale Completezza della stessa [si veda la

Tabella 2.1 per le definizioni di dettaglio].

L’ultima, ma non meno importante, macro-dimensione Integrazione delle informazioni deriva

dalla combinazione di due dimensioni:

Consistenza delle informazioni: determina la capacità del sistema GRC di avere informazioni

riguardanti la Knowledge Base uniche, vale a dire non ripetute. Un sistema che soddisfa questo

requisito evita che ci sia inconsistenza tra informazioni, cioè evita che una stessa informazione

sia aggiornata in due momenti differenti.

Sinergia fra le informazioni: studia la capacità della piattaforma GRC di combinare informazioni

relative alla Knowledge Base preesistenti a sistema con nuove informazioni e generare

automaticamente ulteriore conoscenza; un aspetto importante risiede nel fatto che tale

conoscenza può essere generata unicamente grazie all’utilizzo congiunto di suddette

informazioni.

Risk Management

Come specificato ad inizio paragrafo, l’asse Risk Management [vedasi Tabella 2.2 a pagina 40]

riprende fedelmente la struttura dell’asse Knowledge Management & Governance [si faccia

riferimento alla Tabella 2.1 per i dettagli], variando da questo solo per alcune voci peculiari.

La macro-dimensione Adeguatezza del contenuto è ancora ottenuta dall’esame di tre

dimensioni principali:

35

Grado di copertura dei rischi: come suggerito dal nome, essa analizza la capacità del sistema GRC

di descrivere gli ambiti di rischio in maniera estesa, ossia la possibilità di rappresentare tutte le

possibili classi di rischi cui è soggetta l’azienda, e con elevato grado di dettaglio.

Volendosi ricollegare agli elementi fondanti la Knowledge Base e con lo scopo di rendere la

trattazione il più coerente e lineare possibile, è stato deciso di dettagliare questa dimensione in

base all’oggetto cui il rischio si riferisce (ovvero organizzazione, asset e/o processo aziendale) e

non in base alla natura del rischio (cioè, per esempio, rispetto a rischi operativi, finanziari,

reputazionali, ecc.).

Scalabilità e Aggiornamento in seguito a cambiamenti: sono definite analogamente a quanto

accaduto nel precedente asse, con la sola differenza di riferirsi ai contenuti relativi alla gestione

del rischio e non alla Knowledge Base.

Per quanto riguarda la macro-dimensione Qualità degli output, sono ora tre le dimensioni in cui

è suddivisa:

Strutturazione (del sistema GRC) coerente con lo standard ISO 31000:2009: si è voluto offrire una

dimensione dedicata alla proprietà (o meno) del sistema GRC di basarsi sulle linee guida della

ISO 31000:2009 per sottolineare (come già avvenuto nella prima sezione del documento)

l’importanza che ricopre questo standard nelle pratiche di gestione del rischio.

Utilizzo di modelli qualitativi e/o quantitativi riconosciuti: definita analogamente all’omologa

dimensione dell’asse Knowledge Management & Governance, ma relativa alle tematiche di

gestione del rischio (ISO 31000:2009 esclusa).

Fruibilità: ricalca esattamente l’omologa dimensione definita per l’asse Knowledge Management

& Governance.

Infine, la descrizione dell’Integrazione delle informazione rimane analoga a quanto sviluppato

nell’asse Knowledge Management & Governance a meno del riferirsi ai contenuti relativi alla

gestione del rischio e non alla Knowledge Base.

Compliance Management

Analogamente a quanto riportato per l’asse Risk Management, anche la struttura complessiva

dell’asse Compliance Management [vedasi Tabella 2.3 a pagina 41] è assimilabile a quella

proposta per il Knowledge Management & Governance.

La macro-dimensione Adeguatezza del contenuto è definita rispetto a:

36

Grado di copertura delle normative offerto dal sistema GRC, ovvero la capacità di rappresentare

un elevato numero di normative sia cogenti, come ad esempio leggi o regolamenti, che volontarie,

come standard riconosciuti.

Scalabilità: in tale ambito, la scalabilità viene limitata alla possibilità di decidere di quante e quali

normative volontarie tenere traccia (si assume che ogni azienda abbia interesse a tenere traccia

di tutte le normative cogenti cui deve adempire); è quindi una scalabilità in termini solo di

numero di normative volontarie trattate e non di livello di dettaglio (quest’ultimo non avrebbe

senso poiché si presume che ogni azienda voglia essere integralmente conforme alla specifica

normativa).

Aggiornamento in seguito a cambiamenti: rispecchia l’omologa definizione dell’asse Knowledge

Management.

La seconda macro-dimensione, Qualità degli output, è ottenuta mediante la combinazione di tre

dimensioni.

Utilizzo di modelli quantitativi indicati dalle normative cogenti e/o volontarie per la valutazione

della conformità normativa: questo garantisce che tale valutazione non sia supportata solamente

da modelli o criteri qualitativi intrinsecamente poco robusti.

Strutturazione coerente con gli standard ISO: una strutturazione coerente con gli standard redatti

dall’ISO – International Organization for Standardization – significa che all’interno della

piattaforma GRC esiste tutta una tipologia di processi che, se correttamente implementati

dall’azienda cliente, non soltanto permette di arrivare ai risultati richiesti da suddette normative,

ma di perseguire tali risultati esattamente nelle modalità da esse richieste; questa dimensione è

quindi un affinamento del Grado di copertura delle normative (volontarie) definito all’interno

della macro-dimensione Adeguatezza del contenuto.

Fruibilità: è costruita in perfetta analogia con l’omologa voce presentata nell’asse Knowledge

Management & Compliance.

La trattazione dell’asse dedicato al Compliance Management termina con la valutazione della

macro-dimensione integrazione delle informazioni, definita in maniera completamente

speculare a quanto fatto per i due precedenti assi.

37

2.3.2.1.2 Software

Il secondo criterio di scelta, “Software”, si propone di esprimere una valutazione dell’applicativo

su cui si basano i sistemi GRC analizzati, a prescindere dai contenuti e dalle funzioni che essi

possono offrire; in altri termini, si vanno a valutare quelle che sono le caratteristiche che un buon

software dovrebbe avere in senso lato.

La metrica di valutazione offerta all’interno del Big Picture [si veda la Tabella 2.4 a pagina 42]

riprende fedelmente la normativa ISO/IEC 25010:2011, uno standard preposto a descrivere la

qualità dei software. Della suddetta normativa è stato considerato il modello riguardante la

“product quality”; tale modello è composto da otto dimensioni, a loro volta ulteriormente

suddivise in sotto-dimensioni. Per la presente indagine è stato ritenuto sufficiente limitare la

valutazione al primo livello di dettaglio, decidendo di non analizzare le sotto-dimensioni per non

esasperare uno studio che sarebbe stato tanto oneroso quanto di scarso valore aggiunto per la

presentazione dei risultati finali.

A chiusura del paragrafo si vuole porre l’accento su come, a fianco dei tre assi d’analisi

precedentemente definiti, il criterio software completi un’esauriente valutazione per piattaforme

GRC.

Per la definizione delle otto dimensioni dell’asse software si rimanda alla consultazione della

Tabella 2.4; vengono riportati sia il testo originale tratto dallo standard ISO/IEC 25010:2011 che

la corrispondente traduzione in lingua italiana per ogni dimensione.

2.3.2.1.3 Fornitura

L’ultimo criterio di scelta analizzato all’interno del Big Picture, denominato “Fornitura”, valuta il

vantaggio per l’ipotetico cliente di acquistare un sistema GRC da un determinato fornitore

relativamente alla sicurezza dell’investimento ed alla qualità dei servizi accessori; in altri

termini, rappresenta una stima della probabilità di successo e soddisfazione legata all’iniziativa

di investimento in uno specifico sistema GRC. E’ importante osservare che questo è un asse

puramente abilitante, che non entra nel merito della qualità della piattaforma GRC analizzata, ma

che aiuta a valutare ciò che al sistema è corollario.

Al contrario di quanto accaduto per i precedenti criteri di scelta, il tema della fornitura è stato

esaminato approfonditamente all’interno degli strumenti di classificazioni esistenti, motivo per il

quale si è deciso di riprendere e riadattare alcune delle dimensioni da loro proposte,

riconoscendone la validità argomentativa.

38

Nello specifico, l’asse fornitura offre una valutazione rispetto alle seguenti cinque macro-

dimensioni:

- stabilità finanziaria dell’azienda fornitrice, valutata in termini di ricavi complessivi e di ricavi

ottenuti dalla vendita di piattaforme (e relativi servizi) GRC (se differenti dal precedente

valore);

- effort in innovazione del GRC;

- diffusione geografica, valutata in termini sia di presidio commerciale sia di servizi di

supporto diretto offerti dall’azienda vendor. Rispettivamente, verrà valutato positivamente

un vendor GRC avente installazioni in molteplici paesi e in grado di fornire supporto diretto

in tutti quei paesi;

- servizi di supporto offerti, valutati in termini di qualità del supporto all’implementazione

della piattaforma nei sistemi IT dell’azienda cliente e di qualità dei servizi di manutenzione e

aggiornamento;

- costo d’acquisto del sistema GRC, stimato attraverso l’opinione di un utilizzatore dello

specifico software GRC rispetto ad altre piattaforme comparabili (in termini di contenuti e

livello di fornitura) che questi aveva valutato in fase d’acquisto.

Per la descrizione di dettaglio delle sotto-dimensioni si faccia rifermento alla Tabella 2.5.

Nelle pagine che seguono, si riportano in forma tabellare e sinottica le definizioni delle

prestazioni e delle caratteristiche valutate all’interno del Big Picture per ogni sistema GRC.

In base all’evidenza discussa nel documento7 “Un po’ di chiarezza sui sistemi di Governance, Risk e

Compliance Management: cosa ci possiamo aspettare?”, le dimensioni contraddistinte dal simbolo

“*” sono da considerarsi come requisisti minimi, nel senso che una loro valutazione negativa

dovrebbe essere interpretata come una grave mancanza del sistema GRC in questione.

Per come concepita, ogni dimensione richiede di essere valutata su una scala (metrica di

prestazione) da 1 a 4, dove:

- 1 corrisponde sempre ad una valutazione fortemente negativa;

- 2 corrisponde ad una valutazione negativa in parte;

- 3 corrisponde ad una valutazione positiva in parte;

- 4 corrisponde sempre ad una valutazione pienamente positiva.

7 Scaricabile al link: http://goo.gl/forms/m55g0hfWec

39

ASSE DI ANALISI DIMENSIONI DESCRIZIONE

Knowledge Management & Governance

Adeguatezza del contenuto

Grado di copertura della knowledge base

Rappresentabilità dell'organizzazione *

Capacità di descrivere i lavoratori in maniera estesa e dettagliata.

Rappresentabilità degli asset * Capacità di descrivere gli asset (immobili, impianti, macchinari) in maniera estesa e dettagliata.

Rappresentabilità dei processi * Capacità di descrivere i processi aziendali in maniera estesa e dettagliata.

Scalabilità * Capacità di frazionamento dei contenuti relativi all’organizzazione, agli asset e ai processi in base alle richieste del cliente.

Aggiornamento in seguito a cambiamenti

Capacità di aggiornare istantaneamente la conoscenza riguardante l’organizzazione, gli asset e i processi (e le informazioni collegate a tale conoscenza) ogni qual volta questa viene modificata.

Qualità degli output

Utilizzo di modelli qualitativi/quantitativi riconosciuti Proprietà del sistema di utilizzare modelli quantitativi e/o qualitativi riconosciuti per strutturare la Knowledge Base.

Fruibilità

Capacità di profilazione degli accessi *

Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla Knowledge Base.

Comunicabilità *

Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento di informazioni riferite a organizzazione, asset o processi.

Tracking

Indicizzazione automatica

Possibilità di indicizzare automaticamente i documenti relativi alla Knowledge Base.

Versioni precedenti

Possibilità di disporre di uno storico dei documenti relativi alla Knowledge Base, che consente di tenere traccia delle versioni precedenti di tali documenti.

Protocollazione Possibilità di protocollare i documenti relativi alla Knowledge Base.

Personalizzabilità

Quantità degli output Possibilità di creare nuovi output relativi alla Knowledge Base.

Forma degli output Possibilità di presentare gli output relativi alla Knowledge base in base alle specifiche richieste del cliente.

Reportistica di base

Generazione automatica Capacità di generare automaticamente la reportistica di base relativa alla Knowledge Base.

Completezza Capacità di generare una reportistica di base relativa alla Knowledge Base completa.

Integrazione delle informazioni

Consistenza delle informazioni Capacità del sistema di lavorare con informazioni relative alla Knowledge Base uniche, ovvero non ripetute.

Sinergia fra le informazioni

Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla Knowledge Base.

Tabella 2.1 – Struttura dell’asse di valutazione Knowledge Management & Governance.

40

ASSE DI ANALISI DIMENSIONI DESCRIZIONE

Risk Management

Adeguatezza del contenuto

Grado di copertura dei rischi

Rischi relativi all'organizzazione * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio cui i lavoratori sono potenzialmente soggetti.

Rischi relativi agli asset * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio relative agli asset.

Rischi relativi ai processi * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio relative ai processi aziendali.

Scalabilità * Capacità di frazionamento dei contenuti di rischio in base alle richieste del cliente.

Aggiornamento in seguito a cambiamenti

Capacità di aggiornare istantaneamente la conoscenza relativa alla gestione del rischio, così come le informazioni ad essa collegate, ogni qual volta questa viene modificata.

Qualità degli output

Strutturazione coerente con lo standard ISO 31000:2009 *

Proprietà dal sistema di strutturare le informazioni relative al rischio coerentemente con lo standard ISO 31000:2009.

Utilizzo di modelli qualitativi/quantitativi riconosciuti

Proprietà del sistema di strutturare le informazioni relative al rischio sulla base di modelli quantitativi e/o qualitativi riconosciuti (ISO31000 esclusa).

Fruibilità

Capacità di profilazione degli accessi *

Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla gestione del rischio.

Comunicabilità * Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento nei contenuti di rischio.

Tracking

Indicizzazione automatica

Possibilità di indicizzare automaticamente i documenti relativi alla gestione del rischio.

Versioni precedenti

Possibilità di disporre di uno storico dei documenti relativi alla gestione del rischio, che consente di tenere traccia delle versioni precedenti di tali documenti.

Protocollazione Possibilità di protocollare i documenti relativi alla gestione del rischio.

Personalizzabilità

Quantità degli output Possibilità di creare nuovi output relativi alla gestione del rischio.

Forma degli output Possibilità di presentare gli output relativi alla gestione del rischio in base alle specifiche richieste del cliente.

Reportistica di base

Generazione automatica Capacità di generare automaticamente la reportistica di base relativa al Risk Management.

Completezza Capacità di generare una reportistica di base relativa alla gestione del rischio completa.

Integrazione delle informazioni

Consistenza delle informazioni Capacità di avere informazioni relative alla gestione del rischio uniche, ovvero non ripetute.

Sinergia fra le informazioni

Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla gestione del rischio.

Tabella 2.2 – Struttura dell’asse di valutazione Risk Management.

41

ASSE DI ANALISI DIMENSIONI DESCRIZIONE

Compliance Management

Adeguatezza del contenuto

Grado di copertura delle normative

Normative cogenti * Capacità di disporre di un elevato grado di copertura delle normative cogenti.

Normative volontarie * Capacità di disporre di un elevato grado di copertura delle normative volontarie.

Scalabilità * Possibilità di scegliere su quante e quali normative volontarie (ovvero standard) tenere traccia.

Aggiornamento in seguito a cambiamenti

Capacità di aggiornare istantaneamente la conoscenza relativa alla conformità normativa, così come le informazioni ad essa collegate, ogni qual volta questa viene modificata.

Qualità degli output

Strutturazione coerente con gli standard ISO *

Proprietà delle piattaforma di poter strutturare tutti gli ambiti di Compliance richiesti dall’utilizzatore secondo i processi dettagliati nel rispettivo standard ISO.

Utilizzo di modelli quantitativi

Proprietà della piattaforma di utilizzare i modelli quantitativi indicati dalle normative cogenti e/o volontarie per valutarne la conformità.

Fruibilità

Capacità di profilazione degli accessi *

Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla gestione della conformità normativa.

Comunicabilità * Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento riguardo la conformità normativa.

Tracking

Indicizzazione automatica

Possibilità di indicizzare automaticamente i documenti relativi alla conformità normativa.

Versioni precedenti

Possibilità di disporre di uno storico dei documenti relativi alla conformità normativa, che consente di tenere traccia delle versioni precedenti di tali documenti.

Protocollazione Possibilità di protocollare i documenti relativi alla conformità normativa.

Personalizzabilità

Quantità degli output Possibilità di creare nuovi output relativi alla gestione della conformità normativa.

Forma degli output Possibilità di presentare gli output relativi alla gestione della conformità normativa in base alle specifiche richieste del cliente.

Reportistica di base

Generazione automatica Capacità di generare automaticamente la reportistica di base relativa alla conformità normativa.

Completezza Capacità di generare una reportistica di base relativa alla conformità normativa completa.

Integrazione delle informazioni

Consistenza delle informazioni Capacità di avere informazioni relative alla conformità normativa uniche, ovvero non ripetute.

Sinergia fra le informazioni

Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla conformità normativa.

Tabella 2.3 - Struttura dell’asse di valutazione Compliance Management.

42

ASSE DI ANALISI DIMENSIONI DESCRIZIONE

SOFTWARE (Asse ripreso

dallo standard ISO/IEC

25010:2011 – Product Quality

Model)

Idoneità funzionale (Functional suitability)

Grado in cui il sistema GRC riesce a fornire funzioni che soddisfano bisogni dichiarati o impliciti quando usato sotto specifiche condizioni. (degree to which a product or system provides functions that meet stated and implied needs when used under specific conditions).

Efficienza (Performance efficiency) Prestazione relativa alla quantità di risorse usate dal sistema GRC sotto condizioni dichiarate. (performance relative to the amount of resources used under stated conditions).

Compatibilità (Compatibility) *

Grado in cui il sistema GRC può scambiare informazioni con altri prodotti, sistemi o componenti, e/o svolgere le funzioni ad esso richieste quando, con questi, condivide lo stesso ambiente hardware o software. (degree to which a product, system or component can exchange information with other products, systems or components, and/or perform its required functions, while sharing the same hardware or software environment).

Usabilità (Usability)

Grado in cui il sistema GRC può essere usato da specifici utenti per raggiungere specifici obiettivi con efficacia, efficienza e soddisfazione in un determinato contesto d’uso. (degree to which a product or system can be used by specified users to achieve specified goals with effectiveness, efficiency and satisfaction in a specified context of use).

Affidabilità (Reliability)

Grado in cui il sistema GRC svolge specifiche funzioni sotto specifiche condizioni per uno specifico periodo di tempo. (degree to which a system, product or component performs specified functions under specified conditions for a specified period of time).

Sicurezza (Security) *

Grado in cui il sistema GRC protegge le informazioni e i dati cosicché persone o altri prodotti o sistemi abbiamo il corretto grado di accesso ai dati in funzione del loro tipo e livello di autorizzazione. (degree to which a product or system protects information and data so that persons or other products or systems have the degree of data access appropriate to their types and level of authorization).

Manutenibilità (Maintainability) Grado di efficacia ed efficienza con cui il sistema GRC può essere modificato dai manutentori. (degree of effectiveness and efficiency with which a product or system can be modified by the intended maintainers).

Portabilità (Portability)

Grado di efficacia ed efficienza con cui il sistema GRC può essere trasferito da un hardware, software o altro ambiente operativo o d’uso ad un altro. (degree of effectiveness and efficiency with which a system, product or component can be transferred from one hardware, software or other operational or usage environment to another).

Tabella 2.4 - Struttura dell’asse di valutazione Software.

ASSE DI ANALISI DIMENSIONI DESCRIZIONE

FORNITURA

Stabilità finanziaria

Ricavi complessivi

Classificazione in quattro fasce: <2mln€ (micro impresa) 2< <10mln€ (piccola impresa) 10< <50mln€ (media impresa) >50mln€ (grande impresa)

Ricavi dalla vendita di piattaforme GRC Auto-esplicativo.

Effort in innovazione del GRC

Valutazione in merito all’esistenza di risorse (budget e personale) esplicitamente e continuativamente destinate a ricerca e sviluppo delle piattaforme GRC.

Diffusione geografica

Presidio commerciale in più paesi Auto-esplicativo.

Presenza di servizi di supporto in più paesi Capacità dell’azienda venditrice di fornire supporto diretto in tutti i paesi nei quali sono presenti installazioni del prodotto.

Servizi di supporto

Servizi di supporto all’implementazione Valutazione della qualità dei servizi di supporto all’implementazione offerti dall’azienda fornitrice.

Servizi di manutenzione e aggiornamento

Valutazione della qualità dei servizi di manutenzione e aggiornamento (periodico del produttore o in base a richieste specifiche del cliente) del sistema offerti dall’azienda fornitrice.

Costo * Apprezzamento del costo del sistema GRC.

Tabella 2.5 - Struttura dell’asse di valutazione Fornitura.

43

A corredo di quanto appena presentato, si vuole richiamare l’attenzione sulla valutazione di

un’importante dimensione presente in entrambi i sistemi di Gartner e Forrester che, invece, non

compare esplicitamente all’interno del Big Picture: l’eventuale specializzazione per industry delle

piattaforme GRC analizzate. Esistono delle spiegazioni in tal senso. Innanzitutto, l’eventuale

specificità per industry è una dimensione intrinsecamente difficile da oggettivare e valutare su

una scala di valori poiché la sua analisi dipende fortemente dall’eventuale molteplicità di

business di cui si occupa l’azienda acquirente. Secondariamente, questa è una dimensione la cui

valutazione è potenzialmente soggetta a continue modifiche: i vendor GRC, infatti, sono in

costante fase di crescita che procede parallelamente all’implementazione dei loro prodotti in

nuove aziende, ovverosia industry, e che quindi li porta a specializzarsi, step by step, in rapporto

alle nuove installazioni del loro prodotto.

Per completezza d’informazione, verrà comunque riportata l’eventuale specificità per industry

all’interno delle descrizioni puntuali di ciascun GRC analizzato.

A completamento dell’analisi, si sarebbe voluta offrire una tabella di confronto tra i criteri trattati

all’interno del Big Picture e quelli trattati nella Forrester Wave e nei Magic Quadrants; purtroppo,

a causa della difficoltà interpretativa di alcune delle loro dimensioni di analisi (dovuta alla

mancanza di definizioni rigorose per ciascuna di esse), tale confronto sarebbe stato

approssimativo, motivo per il quale si è deciso di evitarlo.

2.3.2.2 FASE DI CLASSIFICAZIONE

La fase di classificazione si articola in due passi successivi: la definizione dei principi di

aggregazione delle valutazioni ottenute dalla precedente fase e la successiva presentazione

grafica dei risultati, mediante la mappatura dei GRC analizzati all’interno di specifiche matrici e

mediante l’impiego di grafici radar.

2.3.2.2.1 Principi di aggregazione delle valutazioni

La ricerca e la selezione del software GRC più idoneo passa indiscutibilmente dalla definizione

dalle esigenze che esso manifesta; i tre driver di acquisto sono comunque sempre la possibilità di

migliorare la gestione della conoscenza, la gestione del rischio e della conformità normativa

aziendale. Con l’obiettivo di soddisfare tali necessità, il Big Picture cerca di adattarsi a tali

esigenze fornendo un’analisi di benchmark basata sulla valutazione di molteplici scenari

d’interesse; ecco perché versatilità e flessibilità sono senza dubbio due dei suoi maggiori punti

di forza.

44

Poiché lo scopo ultimo è quello di presentare dei risultati significativi e facilmente consultabili,

nel seguito verranno offerte due casistiche “standard” che mirano a soddisfare le esigenze

informative più comuni e diffuse, ottenute in concordanza con le evidenze teoriche esposte nella

prima sezione del documento. È, infatti, impensabile riportare all’interno di un unico documento

uno scenario (con relativa rappresentazione grafica) per ogni possibile combinazione degli assi

precedentemente definiti.

Ad onor del vero, analogamente a quanto appena descritto, l’idea di offrire differenti scenari di

valutazione si trova anche all’interno del sistema di benchmark di Forrester Research. In esso,

infatti, è presente una sola matrice di classificazione di sistemi GRC, lasciando però la possibilità

di ottenerne ulteriori configurazioni relativamente a quelli che, secondo quanto riportato nella

Forrester Wave, sono alcuni degli ambiti di implementazione più comuni dei sistemi GRC, ovvero:

– Corporate compliance, environmental compliance, and social responsibility – IT GRC and third-

party risk management – Financial controls and operational risk. D’altro canto, questa possibilità

è accessibile soltanto attraverso un servizio a pagamento, non lasciandone alcuna diretta

visibilità all’interno della Forrester Wave.

Similmente, dal 2014 anche Gartner Inc. offre un’analisi di diversi scenari di valutazione

(chiamati “casi d’uso”) dislocati, però, su altrettanti paper, anch’essi a pagamento.

Discostandosi da quanto proposto da Forrester e Gartner, gli scenari offerti dal Big Picture non

si basano sui possibili ambiti di utilizzo del GRC (che, di fatto, costituiscono una limitazione per

tutti quegli utilizzatori non interessati a tali ambiti), bensì sull’importanza relativa dei

contenuti offerti da ciascuna piattaforma.

Pur non prendendo deliberatamente alcuna posizione in merito a quali assi di valutazione

debbano avere maggior importanza (lasciando questa scelta a discrezione del futuro

utilizzatore), è stato comunque necessario effettuare un’assunzione al fine di presentare

risultati coerenti con quanto riportato nella prima sezione del documento, ricercando comunque

sempre la massima neutralità. Tale assunzione prevede che, per la valutazione complessiva del

criterio Contenuto, l’asse dedicato al Knowledge Management & Governance abbia sempre

peso non inferiore ai pesi degli assi riguardanti il Risk Management e il Compliance

Management. Con riferimento alla definizione fornita nella prima sezione, una Governance

(ovverosia una gestione della conoscenza) efficiente ed efficace:

45

- ha, in assoluto, un notevole valore intrinseco poiché permette di prevenire l’accadimento di

fenomeni negativi grazie all’identificazione di eventi che quotidianamente accadono sia dentro

che fuori i confini aziendali;

- è imprescindibile per un sistema GRC realmente integrato, che fonda le sue analisi di rischio e di

conformità normativa su una solida base di dati contenuta proprio all’interno del modulo di

Knowledge Management del sistema stesso. Le attività di risk e compliance management

supportate dal sistema GRC, infatti, sono fondamentalmente GIGO (Garbage In, Garbage Out) cioè

inattendibili nel caso in cui non siano fondate su dati corretti e adeguatamente dettagliati ed

aggiornati.

Ecco alcune delle principali motivazioni dell’assunzione precedentemente definita.

È anche vero, però, che per gestire il rischio e la conformità normativa tramite piattaforme GRC si

potrebbe, potenzialmente, attingere ad informazioni presenti su sistemi documentali esterni,

andando così ad utilizzare solamente i moduli di Risk e Compliance Management della

piattaforma. Questo modo di operare, però, è in netto contrasto con il paradigma integrato ed

olistico tipico dei sistemi GRC [si veda la prima sezione del documento – Cap.1 per i dettagli] sul

quale si basa il Big Picture; l’ipotesi fondante è infatti quella che l’insieme dei tre contenuti

Knowledge Management e Governance, Risk Management e Compliance Management abbia

un valore aggiunto nettamente superiore alla somma delle gestioni di ciascun contenuto

singolarmente preso.

I due scenari “standard” identificati sono i seguenti:

Scenario “Balanced Contents”, utile nel caso in cui un’azienda attribuisca pari importanza ai

tre assi di valutazione:

o Knowledge Management & Governance = 33.3%;

o Risk Management = 33.3%;

o Compliance Management = 33.3%.

Scenario “Governance based”, caratterizzato da un valore preponderante dell’asse di gestione

della conoscenza:

o Knowledge Management & Governance = 50%;

o Risk Management = 25%;

o Compliance Management = 25%.

Questi scenari saranno fondamentali in fase di rappresentazione grafica dei risultati finali [si

veda il paragrafo successivo per i dettagli] poiché permetteranno di evidenziare da diverse

prospettive i punti di forza dei software considerati.

46

Per quanto riguarda i criteri di aggregazione delle dimensioni e delle sotto-dimensioni interne

agli assi di valutazione, è stato deciso di mantenere una pesatura uniforme allo scopo di

perseguire un maggiore grado di generalità e una più facile interpretazione dei risultati.

Un’unica eccezione è stata fatta all’interno dell’asse Software. Malgrado quanto sostenuto

fermamente in letteratura in merito all’unicità e alla completa integrazione del sistema GRC, ad

oggi appare inevitabile che le imprese utilizzino (a livello complessivo di business) più di un

software: anche nel caso ipotetico di integrazione delle tre componenti Governance, Risk

Management e Compliance Management, in azienda esistono altre tematiche che sono gestite

tramite altri software. Per questo motivo la dimensione Compatibilità è assolutamente

fondamentale per la scelta del sistema GRC. Parimenti, da quanto emerso dalle interviste fatte a

Risk Manager di importanti aziende operanti in Italia, anche la sicurezza dei dati e delle

informazioni garantita dal GRC riveste un ruolo determinante.

Per quanto appena sostenuto, la valutazione finale dell’asse Software è così ripartita:

- la somma delle dimensioni Compatibilità e Sicurezza pesa complessivamente per il 50% della

valutazione ed è equamente suddivisa. In altri termini, nel caso in cui il valutatore fornirà una

stima di entrambe le dimensioni, il peso loro è di 25% ciascuna; in alternativa, la sola dimensione

effettivamente stimata peserà per il 50%;

- le altre sei dimensioni (Idoneità funzionale, Efficienza, Usabilità, Affidabilità, Manutenibilità,

Portabilità) pesano in proporzione uguale sul restante 50% della valutazione

Grazie all’elevato livello di dettaglio con cui è stata descritta ciascuna dimensione d’analisi [si

veda il paragrafo 2.3.2.1], si vuole sottolineare come il Big Picture si presti ad essere facilmente

riconfigurato nel tempo tramite la semplice ridefinizione dei principi di aggregazione per

ciascuna classe, in base alle necessità dello specifico utilizzatore.

2.3.2.2.2 Rappresentazione grafica dei risultati

Gli attuali strumenti di classificazione per sistemi GRC riconducono la presentazione dei risultati

delle valutazioni di ciascun software all’interno di matrici bidimensionali; questo ne garantisce

l’evidente vantaggio di una facile ed intuitiva lettura. Oltre a visualizzazioni matriciali, però,

esistono anche altri metodi di rappresentazione grafica adatti a mostrare le valutazioni di ogni

sistema.

Per fornire indicazioni visuali sia specifiche per il singolo GRC sia complessive dell’intero

campione di software analizzati, il Big Picture offre due diverse modalità di rappresentazione

47

grafica: i risultati sono, infatti, presentati sia attraverso le “tradizionali” matrici bidimensionali

sia mediante grafici radar; se ne riportano di seguito le descrizioni.

Rappresentazione matriciale

Considerata la naturale semplicità e immediatezza consultiva della soluzione, con il Big Picture

non ci si è potuto astenere dal presentare i risultati delle proprie valutazioni anche attraverso

matrici bidimensionali.

In realtà, benché le matrici proposte siano organizzate secondo due assi principali, in ognuna di

esse i criteri effettivamente valutati sono tre e la loro combinazione dipende dallo scenario

d’interesse considerato [si veda il paragrafo 2.3.2.2.1 per le descrizioni degli scenari]. Più nel

dettaglio:

- Sull’asse X è sempre riportata la valutazione del Software, espressa su scala binaria dai

valori basso/alto.

- Sull’asse Y è riportata la valutazione del Contenuto, anch’esso espresso su scala binaria con

valori basso/alto, in relazione all’importanza attribuita a ciascuno dei tre assi che lo

caratterizzano. Ne derivano cinque differenti letture che saranno la base del confronto tra

piattaforme presentato nel prossimo capitolo:

o Una di valutazione del solo asse Knowledge Management & Governance;

o Una di valutazione del solo asse Risk Management;

o Una di valutazione del solo asse Compliance Management;

o Una relativa allo scenario Balanced Contents, definito nel paragrafo 3.4;

o Una relativa allo scenario Governance Based, definito nel paragrafo 3.4.

- All’interno dei quattro quadranti ottenuti dall’incrocio dell’asse X con l’asse Y, si valuta la

qualità della Fornitura attraverso sotto-quadranti; anche questa è una valutazione binaria

definita su scala di valori basso/alto.

In funzione delle cinque possibili letture dell’asse Y si ottengono cinque differenti matrici.

Le prime tre letture si focalizzano ciascuna su uno degli assi di analisi del criterio Contenuto, e

perciò si rivelano utili nel momento in cui l’interesse del lettore sia completamente rivolto su uno

di essi. Le due successive letture, invece, sono il frutto dell’applicazione dei principi di

aggregazione definiti nel precedente paragrafo [si veda il paragrafo 3.4 per i dettagli] e sono

rappresentative dell’intero criterio Contenuto; infatti, a seconda della “pesatura” dei tre assi

costituenti tale criterio, la matrice modifica il posizionamento dei software al suo interno. Queste

48

letture risultano utili ogni qual volta esiste un bisogno distribuito, più o meno uniformemente, in

termini di Governance, Risk Management e Compliance Management.

Con questo metodo è quindi possibile fornire una rappresentazione grafica complessiva dei tre

criteri presi in considerazione dalle figure che, almeno ipoteticamente, sono responsabili della

decisione di acquisto di un sistema GRC (ovvero CRO, CIO e CEO), potendo mappare in essa tutti i

software, consentendone così un agevole confronto simultaneo.

Operare una classificazione in fasce binarie senza dare diretta visibilità della valutazione

numerica complessiva per ciascun criterio impedisce, di fatto, la possibilità di ricavare una

classifica relativa tra le piattaforme GRC presenti nello stesso quadrante: questa “limitazione” è

stata intenzionalmente introdotta dagli autori al fine di ridurre l’errore cui potrebbe essere

soggetto un ranking troppo puntuale, risultando potenzialmente fuorviante. Così operando,

all’interno di ciascun sotto-quadrante è presentata una lista dei sistemi GRC che effettivamente

ne fanno parte, quindi non uno specifico posizionamento.

La figura 2.3 illustra la struttura della matrice avente, come esempio, per asse Y la valutazione

dell’asse Risk Management. Vengono in essa riportati quattro ipotetici sistemi GRC.

Figura 2.3 – Esempio di matrice di classificazione.

49

Ricollegandosi a quanto riportato a conclusione del paragrafo 2.3.2.2.1, oltre alle cinque letture

esplicitamente definite in questo documento è possibile ottenere differenti versioni della matrice

andando a ridefinire i criteri di aggregazione delle classi, per meglio adattarne i risultati alle

esigenze del diretto interessato.

Grafici radar

I grafici radar (anche conosciuti come diagrammi a ragnatela o, dall’inglese, spider diagram)

sono costituiti da un reticolo nel quale i raggi principali corrispondono agli attributi analizzati.

Ogni singolo radar permette di rappresentare un certo numero – relativamente ridotto – di

entità; per ogni entità è riportata la posizione su ciascun raggio in base al valore del

corrispondente attributo.

Questo metodo grafico consente di visualizzare entità multivariate attraverso una

rappresentazione bidimensionale, evidenziando in modo intuitivo le differenze di valore dei vari

attributi.

Nel Big Picture si è deciso di utilizzare un singolo grafico radar per rappresentare ciascuna entità;

nello specifico le entità corrispondono ai vari sistemi GRC analizzati ed i raggi, in numero di

cinque, corrispondono esattamente ai cinque assi di valutazione definiti nel paragrafo 2.3.2.1.

La figura 2.4 mostra un esempio di grafico radar per

un ipotetico sistema GRC; come si può notare,

questo metodo di rappresentazione fornisce un

chiaro dettaglio per tutti e cinque gli assi analizzati

ed è quindi estremamente utile nel caso in cui il

potenziale acquirente abbia un bisogno asimmetrico

e focalizzato su uno specifico asse.

In seguito, sarà riportato un grafico radar per

ciascuna piattaforma GRC analizzata nella prossima

sezione.

Figura 2.4 – Esempio di grafico radar per un ipotetico sistema GRC.

50

3. THE BIG PICTURE FOR GOVERNANCE, RISK AND

COMPLIANCE PLATFORMS: ANALISI DEL MERCATO

ATTUALE

3.1 OBIETTIVO DELLO STUDIO

L’obiettivo del presente documento è quello di presentare un nuovo sistema di valutazione e

classificazione per piattaforme GRC denominato Big Picture for Governance, Risk and Compliance

Platforms; esso si propone di fornire un ulteriore punto di vista sull’attuale mercato delle

piattaforme di GRC. Tale nuovo sistema è frutto dello studio teorico di cosa effettivamente siano

l’approccio GRC ed i sistemi informatici ad esso relativi, dei potenziali benefici che questi

possono portare in una qualsiasi realtà aziendale, della percezione che, ad oggi, i Risk Manager di

importanti aziende operanti in Italia hanno sull’argomento e dall’esame dei due più importanti

strumenti di assessment e confronto di sistemi GRC esistenti (redatti da Gartner Inc. e Forrester

Research Inc.).

Dopo aver definito i criteri di inclusione che le piattaforme (o meglio i GRC vendor) devono

rispettare per poter rientrare nella presente ricerca, la metodologia di raccolta delle valutazioni e

le dimensioni d’analisi effettivamente considerate, si perverrà alla rappresentazione grafica dei

risultati seguita dall’analisi puntuale di ciascuna piattaforma GRC esaminata. A chiusura della

trattazione si analizzeranno i risultati ottenuti e gli eventuali punti di contatto e di divergenza

con quanto riportato dalle analisi di Gartner e Forrester.

3.2 CRITERI DI INCLUSIONE

Il Big Picture si propone di rispettare tutte le caratteristiche desiderate per un ipotetico sistema

di valutazione e classificazione di software GRC8. In particolare, la completezza aspira ad essere

un elemento distintivo del Big Picture rispetto a quanto offerto dagli attuali sistemi di

assessment: potenzialmente, infatti, nella presente trattazione può essere incluso qualsivoglia

8 Per la definizione di tali caratteristiche si veda il documento: Micheli G.J.L., Cagno E., Brusa Perona A.

(2015), “Proposta concettuale di un nuovo sistema di valutazione e classificazione per sistemi GRC”,

scaricabile alla pagina web http://goo.gl/6It6qz.

51

venditore di sistema GRC. Proprio per questo motivo, è stato deciso di non applicare alcun

vincolo di partecipazione per il coinvolgimento dei software vendor e delle relative piattaforme;

in altri termini, per esempio, non è stata fatta alcuna limitazione in merito al numero di clienti o

al fatturato annuo dei vendor.

All’atto pratico, con l’intento di circoscrivere il campo di studio, almeno per il momento il Big

Picture focalizza la propria analisi alle sole piattaforme GRC direttamente acquistabili sul

territorio italiano.

La motivazione fondamentale che ha portato questa ricerca a concentrarsi sul mercato nazionale

è, però, scaturita dalla considerazione che, dati gli interessi e i bisogni di molte medie e grandi

aziende operanti sul territorio italiano, è certamente di grande utilità avere la possibilità di

disporre di uno strumento di valutazione e confronto che dia visibilità anche a piccoli,

specializzati, ma validi produttori di sistemi GRC.

La ricerca delle piattaforme GRC direttamente acquistabili in Italia si è articolata in due fasi

principali. Innanzitutto, si è andati a prendere in considerazione i rivenditori GRC presenti negli

attuali sistemi di classificazione (si è fatto riferimento ai documenti “Magic Quadrant for

Enterprise Governance, Risk and Compliance Platforms” aggiornato al 26 settembre 2013 e “The

Forrester Wave: Governance, Risk, And Compliance Platforms, Q1 2014”) per i quali si è verificata

la loro presenza diretta sul territorio nazionale. Questo passaggio è stato eseguito tramite la

ricerca dell’esistenza (o meno) di una sede o filiale sul territorio italiano o di un qualsiasi

riferimento – quale numero di telefono o indirizzo email – italiano. In seconda battuta, per cerare

di offrire un’analisi veramente completa e rappresentativa del mercato considerato, si sono

andati a ricercare i produttori di software GRC (o strumenti informatici non apertamente definiti

con la dizione GRC, ma aventi funzionalità affini) italiani tramite investigazione sul web.

Al momento della stesura del presente documento si è giunti ad una lista di quattordici

produttori GRC aventi riferimenti italiani, dei quali si riportano in Tabella 3.1 i nomi in ordine

alfabetico (seguiti dal nome della relativa piattaforma GRC):

52

Tabella 3.1 – Lista dei GRC vendor attivi sul territorio italiano.

In considerazione del fatto che questa è la prima edizione del Big Picture, si è quindi deciso di

evitare di rincorrere inutilmente una completezza della popolazione di studio su una scala

maggiore di quella italiana (che cambierebbe significativamente, peraltro, la caratterizzazione di

una delle dimensioni della classificazione). L’obiettivo degli autori resta comunque quello di

proporre aggiornamenti periodici del presente documento; non si esclude in ogni caso che, dalle

prossime versioni, il respiro del Big Picture si possa ampliare oltre i confini nazionali.

3.3 METODOLOGIA DI RACCOLTA DELLE VALUTAZIONI

Il primo passo fatto per raccogliere le valutazioni delle piattaforme è stato quello di mettersi in

contatto con i referenti commerciali esperti nelle soluzioni GRC delle rispettive aziende vendor;

sono state loro richieste due tipologie di informazioni.

In primo luogo è stato richiesto il nome dell’azienda e relativo riferimento preferenziale con

indirizzo email di un cliente soddisfatto (nome che verrà dichiarato nel seguito del presente

documento per garantire trasparenza dei risultati). Nello specifico si prendono in considerazione

i soli clienti che abbiano implementato il GRC estensivamente nei propri sistemi informativi e che

53

lo usino regolarmente (possibilmente da almeno un anno da fine implementazione); questo allo

scopo di far loro compilare la valutazione del GRC in uso – tramite intervista o, a scelta,

compilazione di un equivalente questionario eventualmente supportato per via telefonica dagli

autori – e di poter, quindi, eseguire una valutazione di ciascuna piattaforma che sia la più

neutrale possibile9. Precisando che è obiettivo primario del Big Picture fornire una valutazione

delle caratterizzazioni forti e positive di ciascun sistema GRC (pur portandone alla luce le

eventuali debolezze), l’idea che sta alla base di questa metodologia di raccolta delle valutazioni è

che il cliente soddisfatto sia colui che meglio può esprimere le reali potenzialità della piattaforma

utilizzata; questo modo di operare, inoltre, tutela da possibili sovrastime che si potrebbero

avere nel caso in cui la valutazione fosse direttamente richiesta al produttore.

La seconda tipologia di informazioni fa, invece, riferimento a specifiche peculiarità dell’azienda

fornitrice, utili per lo più per una valutazione legata all’affidabilità della Fornitura offerta dal

GRC vendor: considerata l’oggettività di tali dati, la loro richiesta viene fatta direttamente a

ciascun referente commerciale.

Rispetto ai quattordicidici GRC vendor contatti ed elencati in Tabella 3.1, al momento della

redazione del documento hanno accettato di collaborare alla ricerca i seguenti (riportati in

ordine alfabetico):

1. EMC RSA – RSA Archer GRC;

2. KeisData – KRC;

3. Mega International – Mega GRC Solutions;

4. Software AG – Aris Risk & Compliance Management;

5. Zucchetti – Safety Solution;

ove il primo dato è il nome della società mentre il secondo dato è il nome del relativo software

GRC.

Si riportano di seguito le argomentazioni dai GRC vendor che, pur rispondendo in tempi utili per

la redazione di tale documento10, hanno ritenuto di non poter collaborare alla ricerca:

1. Lema Informatica definisce il suo prodotto (Alfagest) non un GRC, ma un software

dedicato prettamente alla gestione operativa della salute e sicurezza (es. gestione della

legge 81, gestione dell’ergonomia, ecc.);

9 La valutazione di ogni dimensione d’analisi è, perciò, funzione dell’uso che l’utente ne fa e della sua conoscenza sul tema: esiste quindi la possibilità che si verifichino leggere discrepanze fra l’ipotetico valore “oggettivo” e quello effettivamente assegnato dall’utente. 10 La raccolta delle valutazioni si è chiusa in data 30/11/2015.

54

2. SAI Global ritiene, per ora, di non essere in grado di fornire risposte esaustive

relativamente al mercato italiano in quanto “come linea di pensieri e mentalità, la tematica

della Compliance non prende piede (in Italia) così come, quasi naturalmente, è accaduto nel

Regno Unito o in altri paesi anglo-sassoni”;

3. SAP ha fornito i dati societari, ma, per questioni di burocrazia interna all’azienda, non è

riuscita a comunicare in tempo il nome del valutatore;

4. SAS ha deciso temporaneamente di non collaborare, dichiarando però di poter essere

eventualmente interessata alla ricerca negli anni a venire;

5. Thomson Reuters ha preferito non far valutare il suo nuovo GRC poiché è attualmente in

fase di lancio sul mercato.

La copertura di risposte ottenute è stata superiore al 35% e quindi può essere ritenuta

significativa.

3.4 LE DIMENSIONI DI ANALISI

Per le valutazioni dei cinque GRC che hanno collaborato alla ricerca, ci si è basati sulle

dimensioni d’analisi dettagliatamente definite nel paper11 “Proposta concettuale di un nuovo

sistema di valutazione e classificazione per sistemi GRC”, preso come documento di riferimento

d’ora in avanti per la presente trattazione.

Al fine di perseguire un obiettivo di sintesi e non voler entrare in un dettaglio troppo elevato che,

con tutta probabilità, sarebbe stato difficilmente apprezzato dai rispondenti, le valutazioni

effettivamente loro richieste sono in numero leggermente inferiore rispetto alle dimensioni

d’analisi definite nel suddetto documento di riferimento. In particolare, gli assi di valutazione

relativi alla qualità del Software e all’affidabilità della Fornitura sono considerati nella loro

interezza, mentre i tre assi Knowledge Management & Governance, Risk Management e

Compliance Management, atti a valutare la qualità dei contenuti offerti da ciascun GRC, hanno

talvolta subito una “potatura”, fermandone la valutazione al penultimo livello di dettaglio. A

chiusura della valutazione di ciascuno dei tre assi concernenti i contenuti offerti, viene inoltre

richiesto il grado di soddisfazione generale; ciò allo scopo di verificare la congruenza dei

11 Micheli G.J.L., Cagno E., Brusa Perona A. (2015), Proposta concettuale di un nuovo sistema di valutazione e classificazione per sistemi GRC, scaricabile alla pagina web http://goo.gl/6It6qz.

55

punteggi attribuiti alle dimensioni interne a ciascun asse con la sua corrispondente valutazione

complessiva.

Si vuole ora porre l’attenzione sulla valutazione di due specifiche dimensioni d’analisi trattate nel

Big Picture: Grado di copertura delle normative (presente nell’asse Compliance Management) e

Manutenibilità (presente nell’asse Software). Queste necessitano di una spiegazione aggiuntiva

rispetto alle altre dimensioni poiché la loro descrizione, in sede di valutazione, ha richiesto di

essere leggermente ridefinita rispetto a quanto riportato nel paragrafo 2.3.2.1 del documento di

riferimento, allo scopo di essere più agevolmente quantificata dai rispondenti, ovverosia dai

clienti soddisfatti.

Il Grado di copertura delle normative, che da definizione misura la capacità del sistema GRC di

disporre di un elevato grado di copertura delle normative cogenti e volontarie, viene

specificatamente valutato rispetto al solo settore di utilizzo del rispondente. Ciò garantisce di non

generalizzare troppo i risultati di questa valutazione che, altrimenti, potrebbero essere

fuorvianti; d’altro canto, se il GRC vendor dichiara che l’ambito applicativo del suo prodotto non

si focalizza su specifiche industry, bensì è potenzialmente implementabile con successo in

qualsiasi i settore, la valutazione di questa dimensione può essere considerata (per una prima

stima) indicativa anche del grado di copertura delle normative in ambiti diversi rispetto a quello

valutato dal rispondente.

La Manutenibilità, definita secondo standard ISO 25010 come il grado di efficacia ed efficienza

con cui il sistema GRC può essere modificato, viene valutata in riferimento alla percezione che di

questa ha l’utilizzatore (cioè il rispondente), in considerazione del fatto che non sarà

direttamente quest’ultimo deputato alla modifica della piattaforma, bensì i manutentori

dell’azienda fornitrice.

Per tutte le altre dimensioni analizzate, la domanda fatta al cliente ricalca fedelmente la

definizione fornita all’interno del documento di riferimento.

Ricapitolando, a ciascun cliente soddisfatto si richiede la valutazione in merito a 60 domande

chiuse e 3 domande aperte, mentre alle aziende vendor vengono direttamente poste 5 domande

oggettive della propria realtà societaria.

Si ricorda, inoltre, che è possibile avere il dettaglio di tutte le valutazioni all’interno degli allegati

posti a fine sezione.

56

3.5 SISTEMA DI CLASSIFICAZIONE

I risultati delle classificazioni vengono di seguito presentati mediante rappresentazione

matriciale. Ogni matrice è concepita con la seguente logica: nelle dimensioni degli assi (dove

l’asse X è deputato alla stima della qualità intrinseca del software e l’asse Y a quella dei contenuti

offerti dalle piattaforme) si definiscono due intervalli di valutazione denominati “basso” e “alto”,

mentre all’interno di ciascun quadrante che ne deriva si opera una ulteriore suddivisione in cui la

parte superiore destra indica una valutazione maggiore rispetto a quella inferiore sinistra

relativamente all’affidabilità della fornitura offerta dal vendor; in tali sotto-quadranti i sistemi

GRC vengono presentati in forma di lista per appartenenza allo specifico settore.

Nello specifico, si ottengono quattro matrici, dove le prime tre offrono ciascuna il dettaglio su

uno degli assi di analisi relativi alla qualità dei contenuti offerti, mentre la quarta è frutto del loro

raggruppamento.

Le tre matrici di dettaglio sono le più oggettive in quanto, per esse, non è stata assunta alcuna

posizione nella loro stesura.

La quarta matrice, invece, deriva dall’aggregazione dei tre contenuti Knowledge Management &

Governance, Risk Management e Compliance Management mediante l’assegnazione di pesature

uguali (scenario Balanced Contents). In sede di definizione dei principi di aggregazione (vedasi

paragrafo 3.2.2 del documento di riferimento), era stato concepito anche uno scenario,

denominato Governance Based, nel quale il primo asse è preponderante rispetto agli altri due

(Knowledge Management & Governance = 50%, Risk Management = 25%, Compliance

Management = 25%); tale scenario era motivato dal fatto che poter disporre di una solida base di

conoscenza – contenuta proprio all’interno del modulo di Knowledge Management del sistema

GRC – è requisito imprescindibile di ogni piattaforma GRC integrata che fonda, su tale

conoscenza, tutte le analisi di rischio e di conformità normativa. Poiché, però, nel caso in esame

le due modalità di aggregazione dei contenuti portano allo stesso posizionamento all’interno

delle rispettive matrici, nel presente documento si è optato per rappresentare solo lo scenario

Balanced Contents, certamente più intuitivo.

Poiché per valutare ciascuna piattaforma GRC è stato intervistato il cliente più soddisfatto, le

valutazioni sono risultate nella maggior parte dei casi molto positive; questo, però, non ha

impedito di evidenziare i relativi punti di forza. Infatti, proprio a causa delle valutazioni piuttosto

elevate ottenute da tutti i software, all’interno di ogni matrice si è deciso di operare una

ripartizione non in classi della stessa ampiezza (intesa come lunghezza degli intervalli degli assi

57

di valutazione), bensì della stessa numerosità: questo risulta molto più efficace in presenza di

una distribuzione di valori marcatamente asimmetrica come quella effettivamente ottenuta. Una

ripartizione in classi della stessa ampiezza, infatti, considerata la scala di valori da 1 a 4 utilizzata

per valutare le funzionalità dei vari software, avrebbe portato alla creazione di due intervalli di

lunghezza 1.5 divisi in corrispondenza del valore 2.5, con la conseguente classificazione della

quasi totalità dei GRC nel quadrante in alto a destra.

L’assunzione di una discretizzazione in classi contenenti lo stesso numero di piattaforme

significa che, per ogni matrice, la scala di ciascun asse non è né lineare né uguale tra una matrice

e l’altra: questo, comunque, non è da intendersi come un limite poiché lo scopo del presente

sistema di classificazione è quello di distinguere nella maniera più neutrale possibile le

caratteristiche e le funzionalità dei sistemi GRC, in relazione al campione di piattaforme

analizzato. L’eventuale futuro inserimento di altri software all’interno del Big Picture – ossia

delle matrici – potrebbe quindi comportare la rimappatura di una piattaforma in un quadrante

differente.

Nel caso in cui il numero totale di valutazioni ricevute dall’asse di una specifica piattaforma GRC

non sia in numero sufficiente per ritenere la sua valutazione pienamente attendibile, all’interno

delle matrici sarà riportato a fianco del nome di tale GRC un asterisco con annesse note di

spiegazione.

Si riportano di seguito le matrici di classificazione ottenute:

58

Figura 3.1 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management &

Governance.

Figura 3.2 – Matrice di classificazione con dettaglio sul contenuto Risk Management.

59

Figura 3.3 – Matrice di classificazione con dettaglio sul contenuto Compliance Management.

Figura 3.4 – Matrice di classificazione con dettaglio sullo scenario Balanced Contents.

60

Per il criterio con cui sono state concepite, è evidente che in tutte le quattro matrici appena

presentate il posizionamento di ciascuna piattaforma GRC rispetto alle valutazioni del software e

della fornitura rimane invariato: ciò che può cambiare è il posizionamento rispetto alla qualità

dei contenuti offerti (stimata sull’asse Y). Questa modalità di rappresentazione dei risultati ha il

vantaggio di permettere di focalizzare la propria attenzione sullo scenario – ovvero sul contenuto

– d’interesse principale, non perdendo comunque visibilità sulle restanti funzionalità.

Per una valutazione assoluta delle specifiche funzionalità di ogni piattaforma, è consigliata la

consultazione del capitolo successivo e degli allegati posti a fine sezione contenenti i risultati

puntuali ottenuti da ciascun GRC analizzato.

3.6 ANALISI DI DETTAGLIO

Si riportano di seguito – in ordine alfabetico – i prospetti di dettaglio dei software (e relativi GRC

vendor) valutati nel Big Picture. Tali prospetti sono così strutturati:

breve descrizione del fornitore;

breve descrizione del sistema GRC;

grafico radar, con l’evidenza dei risultati aggregati dei cinque assi di valutazione;

punti di forza e di debolezza del GRC (evidenziati dal cliente soddisfatto, relativamente al suo

ambito di utilizzo). Ad ogni valutatore è stato richiesto di indicare almeno tre punti di forza e,

se esistono, i punti di debolezza e/o potenziale miglioramento del sistema in uso;

breve descrizione del cliente soddisfatto (incaricato della valutazione del GRC);

eventuali note di spiegazione.

61

Aris Risk & Compliance Management – Software AG

SW Vendor

Software AG è una storica azienda tedesca

produttrice di un’ampia gamma di software ed è

annoverata tra le prime venticinque a livello globale:

opera in oltre 70 paesi direttamente coperti tramite

una rete di partner e servizi localizzati. Ricopre il

ruolo di player chiave anche nel mercato italiano per

quanto riguarda le soluzioni GRC.

Sito aziendale: http://www.softwareag.com/it/

Prodotto

La piattaforma Aris Risk & Compliance Management

è cross industry e personalizzabile per ogni cliente

sulla base delle sue specifiche necessità.

Punti di Forza

Sistema fortemente integrato con l'ambiente di modellazione dei processi e integrabile con

gli altri sistemi interni aziendali;

Schermate e processi di lavoro (“workflow”) chiari e ben definiti;

Solida metodologia sottostante.

Punti di debolezza e/o miglioramento

Sono richieste diverse personalizzazioni per migliorare il livello di efficienza del sistema.

Utente valutatore

Banco di Desio e della Brianza: è una delle più importanti realtà bancarie sul territorio nazionale,

che conta oltre 270 filiali distribuite tra Nord e Centro Italia.

Sito aziendale: https://www.bancodesio.it

62

KRC – KeisData

SW Vendor

KeisData, piccola azienda dell’Alto Milanese con sede

a Legnano, è una società specializzata negli ambiti di

risk management e knowledge engineering. Oltre ad

essere un produttore di software GRC, offre

molteplici servizi tra i quali audit di conformità e

misurazione delle performance aziendali e di

efficienza energetica; annovera più di 40 clienti

sparsi sul territorio nazionale.

Sito aziendale: http://www.keisdata.it/

Prodotto

KRC si propone come un prodotto altamente

modulare ed implementabile in ogni tipo di industry.

Punti di Forza

Adattabilità del software alle richieste del cliente;

Elevata capacità d’integrazione ed interazione di dati ed informazioni;

Solida organizzazione sistematica a flussi;

Efficace gestione delle anagrafiche e delle informazioni associate;

Completezza dei contenuti offerti.

Punti di debolezza e/o miglioramento

Usabilità del software;

Gestione delle operazioni di protocollazione e relativi trasferimenti di informazioni da

migliorare;

Personalizzabilità degli output;

Necessità di set-up iniziale spinto da parte dell'utente.

Utente valutatore

Menarini Manufacturing Logistics and Services S.r.l.: è un’azienda del Gruppo Menarini, storico

gruppo farmaceutico italiano che disloca la sua produzione in quattordici stabilimenti produttivi

e conta più di 16.000 dipendenti.

Sito aziendale: http://www.menarini.it/

Note

* La valutazione dell’asse Compliance Management non è stata riportata poiché l’utente

valutatore, attualmente, non sta utilizzando il sistema KRC come supporto alla gestione della

conformità normativa.

*

63

Mega GRC Solutions – Mega International

SW Vendor

Mega International, azienda francese con

headquarter a Parigi, può contare su una rete di

oltre 2700 clienti attivi di tutti i settori industriali,

sia nel pubblico che nel privato, in più di 40 paesi

nel mondo. Offre i suoi servizi direttamente

mediante le otto sedi principali (localizzate in

Francia, Italia, Germania, Regno Unito, USA,

Singapore, Marocco e Messico) o tramite una fitta

rete di partner distributori (25 in tutto il mondo).

Sito aziendale: http://www.mega.com/it

Prodotto

Sebbene la maggiore parte dei clienti provenga

dall’ambito Finance (bancario/assicurativo), Mega

GRC Solutions può essere utilizzato per qualsiasi

industry.

Punti di Forza

Possibilità di gestire efficacemente organizzazioni complesse, composte da numerose legal

entities;

Qualità dei servizi offerti dal fornitore per l'impostazione e gli sviluppi richiesti dal cliente;

Capacità nel proporre soluzioni per aderire alle normative cogenti.

Punti di debolezza e/o miglioramento

Usabilità del software;

Necessità di una maggiore articolazione tra le interfacce disponibili;

Compatibilità del software con piattaforme diverse da quelle strettamente proprietarie.

Utente valutatore

UniCredit Business Integrated Solutions (UBIS): è tra le prime società di servizi a livello europeo

e ha l’obiettivo di consolidare e riorganizzare le attività operative necessarie al funzionamento

del business del Gruppo Unicredit; conta circa 13.000 persone e coordina le attività in undici

paesi.

Sito aziendale: https://www.unicreditgroup.eu/en/microsites/ubis.html

64

RSA Archer GRC - EMC RSA

SW Vendor

EMC, azienda statunitense che occupa la posizione

152 nella classifica Fortune 500, supporta i clienti

nella gestione, archiviazione, protezione e analisi dei

dati; conta attualmente circa 60.000 dipendenti ed è

presente con cinque sedi sul territorio italiano. RSA

è la divisione di sicurezza di EMC.

Sito aziendale: http://italy.emc.com

Prodotto

La soluzione RSA Archer GRC è implementabile in

qualsiasi settore.

Punti di Forza

Non ridondanza delle informazioni contenute a sistema;

Disponibilità di moduli verticali per specifiche esigenze di gestione rischio o compliance che

condividono la stessa base di informazioni;

Elevata granularità della profilazione degli utenti.

Punti di debolezza e/o miglioramento

Interfaccia utente migliorabile.

Utente valutatore

Generali Business Solutions: è la società del Gruppo Generali che eroga servizi IT, amministrativi

e liquidativi. Il Gruppo Generali è al momento alla posizione 48 nella classifica Fortune 500.

Sito aziendale: https://www.generali.it

65

Safety Solution – Zucchetti

SW Vendor

Zucchetti, uno dei più importanti protagonisti

italiani nel settore dell'Information Technology, è

presente in tutta Italia con una rete che supera i

1.100 partner sull'intero territorio nazionale e con

più di 200 collaboratori dislocati in 40 paesi del

mondo.

Sito aziendale: http://www.zucchetti.it

Prodotto

Per completezza e flessibilità, la piattaforma Safety

Solution si adatta potenzialmente a qualsiasi

industry.

Punti di Forza

Solida gestione degli adempimenti formativi, informativi e sanitari;

Facilità di definizione delle classi di rischio;

Capacità di raccolta dati.

Punti di debolezza e/o miglioramento

Nel caso di aziende di servizio (e non di processo), la determinazione dei rischi può essere

migliorata;

Scarsa capacità di analisi dei soggetti di rischio.

Utente valutatore

Fagioli S.p.A.: è leader a livello mondiale nella progettazione e realizzazione di movimentazioni e

sollevamenti ad alto contenuto d’ingegneria e nella spedizione di impianti con complessità

tecniche e logistiche di trasporto.

Sito aziendale: http://www.fagioli.it/

66

3.7 ULTERIORI CONSIDERAZIONI

La panoramica delle prestazioni delle piattaforme GRC, offerta mediante le quattro matrici

precedentemente riportate, permette di distinguere chiaramente quale software, in relazione al

campione analizzato, eccella rispetto all’una o all’altra dimensione d’analisi. Nel caso specifico,

essendo il posizionamento dei GRC all’interno delle matrici sempre il medesimo, si può dedurre

che in ciascun sistema analizzato il grado di completezza e dettaglio dei contenuti offerti sia

equilibrato.

Appare evidente che RSA Archer GRC sia globalmente il sistema più completo, avendo ricevuto

ottime valutazioni per tutti i tre criteri di contenuto, software e fornitura, collocandosi sempre

nel quadrante in alto a destra; questo posizionamento va dunque a conferma dei risultati

presentati dai sistemi di classificazione di Gartner e Forrester, i quali riconoscono RSA Archer

GRC come una delle migliori piattaforme sul mercato.

D’altro canto, le scelte assunte nel Big Picture di non porre limiti di partecipazione – relativi per

esempio alla grandezza del GRC vendor – e di coinvolgere anche produttori italiani di “taglia

minore” hanno evidenziato la presenza sul mercato di vendor comunque degni di confrontarsi

con quelli solitamente accreditati come best in class: il software KRC del “piccolo” produttore

KeisData ne è la prova tangibile, avendo ottenuto punteggi molto positivi sia rispetto alla qualità

dei contenuti che rispetto al software.

Si osservi che lo studio più approfondito dei risultati ottenuti da ciascuna piattaforma, possibile

grazie al dettaglio offerto dagli spider diagrams riportati nel paragrafo precedente, rivela che le

differenze di prestazione (relative soprattutto alla qualità dei contenuti, dove sono state sempre

in media maggiori di 3 su una scala da 1 a 4), seppur esistenti, sono comunque ridotte.

In conclusione, un’analisi critica dei risultati (che, si ricorda, derivano da interviste fatte a clienti

soddisfatti) mostra che a tutt’oggi esistono ampi margini di miglioramento: d’altra parte, il

mercato delle piattaforme GRC è ancora in una fase di crescita, fatto questo dimostrato

dall’ingente ammontare di risorse che, tutt’oggi, i vendor stanziano per la ricerca e lo sviluppo

dei loro prodotti.

67

3.8 ALLEGATI ASSE DI ANALISI

DIMENSIONI Aris KRC Mega RSA

Archer Safety

Solution

Knowledge Management & Governance

Adeguatezza del contenuto

Grado di copertura della knowledge base

Rappresentabilità dell'organizzazione / ★★★★ ★★ ★★★★ ★★★★

Rappresentabilità degli asset / ★★★★ ★★ ★★★★ ★★★★

Rappresentabilità dei processi ★★★ ★★★★ ★★★★ ★★★★ ★★

Scalabilità / ★★★★ ★★★★ ★★★★ ★★★

Aggiornamento in seguito a cambiamenti / ★★★★ ★★★ ★★★★ ★★★★

Qualità degli output

Utilizzo di modelli qualitativi/quantitativi riconosciuti / / ★★★ ★★★ /

Fruibilità

Capacità di profilazione degli accessi ★★★★ ★★★★ ★★★★ ★★★ ★★★★

Comunicabilità ★★★★ ★★★★ ★★★★ ★★★★ ★★★

Tracking

Indicizzazione automatica ★★★★ ★★★★ ★★★ ★★★★ ★★★★

Versioni precedenti ★★★ ★★★★ ★★★★ ★★★★ ★★★★

Protocollazione ★ ★★★★ ★★★★ ★★★★ ★★★★

Personalizzabilità ★★★ ★★★ ★★★★ ★★★★ ★★★

Reportistica di base ★★ ★★★★ ★★★★ ★★★★ ★★

Integrazione delle informazioni

Consistenza delle informazioni ★★ ★★★★ ★★★ ★★★★ ★★★★

Sinergia fra le informazioni ★★★★ ★★★★ ★★★★ ★★★★ ★★★

Tabella 3.2 – Valutazioni dell’asse Knowledge Management & Governance.

ASSE DI ANALISI

DIMENSIONI Aris KRC Mega RSA

Archer Safety

Solution

Risk Management

Adeguatezza del contenuto

Grado di copertura dei rischi

Rischi relativi all'organizzazione ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Rischi relativi agli asset ★★★★ ★★ ★★★★ ★★★★ ★★

Rischi relativi ai processi ★★★★ ★★★★ ★★★★ ★★★★ /

Scalabilità ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Aggiornamento in seguito a cambiamenti ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Qualità degli output

Strutturazione coerente con lo standard ISO 31000:2009 / ★★★★ ★★★★ ★★★ /

Utilizzo di modelli qualitativi/quantitativi riconosciuti / ★★★★ ★★★★ ★★★★ /

Fruibilità

Capacità di profilazione degli accessi ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Comunicabilità ★★★★ ★★★★ ★★★★ ★★★ ★★★★

Tracking

Indicizzazione automatica ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Versioni precedenti ★★★★ ★★★★ ★★★★ ★★★★ ★★★★

Protocollazione ★★ ★★★★ ★★★★ ★★★★ ★★★★

Personalizzabilità ★★★★ ★★★ ★★★★ ★★★★ ★★

Reportistica di base ★★★★ ★★★★ ★★★★ ★★★★ ★★

Integrazione delle informazioni

Consistenza delle informazioni ★★ ★★★★ ★★★★ ★★★★ ★★★★

Sinergia fra le informazioni ★★★★ ★★★★ ★★★★ ★★★★ ★★★

Tabella 3.3 – Valutazioni dell’asse Risk Management.

68

ASSE DI ANALISI

DIMENSIONI Aris KRC Mega RSA

Archer Safety

Solution

Compliance Management

Adeguatezza del contenuto

Grado di copertura delle normative

Normative cogenti ★★★★ / ★★★★ ★★★ ★★★★

Normative volontarie ★★★★ / ★★★★ ★★★ ★★

Scalabilità ★★★★ / ★★★★ ★★★★ ★★★

Aggiornamento in seguito a cambiamenti ★★★ / ★★★★ ★★★★ ★★★

Qualità degli output

Utilizzo di modelli quantitativi ★★★ / ★★★★ ★★★★ ★★★

Strutturazione coerente con gli standard ISO ★★★ / ★★★★ ★★★★ ★★

Fruibilità

Capacità di profilazione degli accessi ★★★★ / ★★★★ ★★★★ ★★★★

Comunicabilità ★★★★ / ★★★★ ★★★ ★★★

Tracking

Indicizzazione automatica ★★★★ / ★★★★ ★★★★ ★★★★

Versioni precedenti ★★★★ / ★★★★ ★★★★ ★★★

Protocollazione ★★ / ★★★★ ★★★★ ★★★★

Personalizzabilità ★★★★ / ★★★★ ★★★★ ★★★

Reportistica di base ★★★ / ★★★★ ★★★★ ★★

Integrazione delle informazioni

Consistenza delle informazioni ★★★ / ★★★★ ★★★★ ★★★★

Sinergia fra le informazioni ★★★ / ★★★★ ★★★★ ★★★

Tabella 3.4 - Valutazioni dell’asse Compliance Management.

ASSE DI ANALISI

DIMENSIONI Aris KRC Mega RSA

Archer Safety

Solution

Software

Idoneità funzionale (Functional suitability) ★★★ ★★★★ ★★★ ★★★★ ★★★

Efficienza (Performance efficiency) ★★★★ ★★★★ ★★★ ★★★★ ★★★

Compatibilità (Compatibility) * ★★★★ ★★★★ ★★ ★★★ ★★

Usabilità (Usability) ★★★★ ★★ ★★ ★★★ ★★★

Affidabilità (Reliability) ★★★★ ★★★ ★★★ ★★★★ ★★

Sicurezza (Security) * ★★★★ ★★★★ ★★★★ ★★★★ ★★★

Manutenibilità (Maintainability) ★★★★ ★★★ ★★★ ★★★★ ★★

Portabilità (Portability) / ★★★★ ★★ ★★★★ /

Tabella 3.5 – Valutazioni dell’asse Software.

ASSE DI ANALISI

DIMENSIONI Aris KRC Mega RSA

Archer Safety

Solution

Fornitura

Stabilità finanziaria Ricavi complessivi ★★★★ ★ ★★★ ★★★★ ★★★★

Effort in innovazione del GRC ★★★★ ★★★★ ★ ★★★★ /

Diffusione geografica Presidio commerciale in più paesi ★★★★ ★ ★★★★ ★★★★ ★★★★

Presenza di servizi di supporto in più paesi

★★★★ / ★★★★ ★★★★ ★★★★

Servizi di supporto Servizi di supporto all’implementazione ★★★★ ★★★★ ★★★ ★★★★ ★★★

Servizi di manutenzione e aggiornamento ★★★★ ★★★★ ★★★ ★★★★ ★★

Costo ★★★ ★★ ★★ ★★★ /

Tabella 3.6 - Valutazioni dell’asse Fornitura.

69

4. CONCLUSIONI La presente ricerca ha avuto come scopo quello di fornire un nuovo punto di vista sulle tematiche

di Governance, Risk Management e Compliance Management non ancora adeguatamente studiate

in letteratura.

Lo studio è stato sviluppato attraverso tre sezioni principali, trattate in maniera sequenziale

l’una con l’altra; partendo da un inquadramento teorico del GRC, si è poi proseguito proponendo

un nuovo strumento di valutazione e classificazione per le relative piattaforme informatiche che

è stato infine applicato a software esistenti sul mercato italiano.

Nella prima sezione è stata data la definizione di GRC: in senso lato, questo è da vedersi come un

“approccio integrato e olistico a livello aziendale di governance, gestione del rischio e conformità

normativa volto ad assicurare che l’organizzazione operi eticamente e in accordo con la sua

propensione al rischio, alle politiche interne e alle norme esterne attraverso l’allineamento di

strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da aumentare efficienza

ed efficacia”12; da tale approccio derivano le piattaforme (o sistemi) software GRC. Esse si

differenziano dai software ERM poiché, potendo disporre di veri e propri sistemi documentali

che permettono di avere una conoscenza aziendale sempre aggiornata, non si limitano alla sola

analisi dei rischi di uno specifico momento, ma consentono un controllo realmente continuativo

di tutti gli eventi potenzialmente impattanti sulle performance dell’azienda, permettendo così di

intraprendere le opportune azione correttive nei tempi necessari.

La scelta più appropriata per l’implementazione di un sistema GRC, per definizione integrato e

olistico, è stata individuata nell’opzione “buy” a scapito della sua realizzazione interna all’azienda

(opzione “make”): decidendo di acquistare una piattaforma da un provider specializzato si evita

di sviluppare soluzioni locali che aumenterebbero la visione a “silos” dell’organizzazione.

L’opzione “buy” assume un interesse ancora maggiore nel momento in cui il GRC consente di

gestire potenzialmente tutti gli ambiti di rischio e conformità e non sia quindi specifico per un

solo settore.

Molti sono i benefici potenzialmente derivanti dall’adozione di un sistema GRC di cui si è

ampiamente discusso all’interno della ricerca; si riportano di seguito quelli ritenuti più

12 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pagg. 106-117.

70

significativi. Per quanto concerne la Governance, un sistema GRC permette di evitare possibili

duplicazioni o ridondanze di processi o risorse grazie all’abbattimento dell’approccio a “silos”

tipico di molte grandi aziende moderne, abilita al Knowledge Management (requisito necessario

per esercitare una Governance efficace ed efficiente) grazie alla possibilità di disporre di veri e

propri sistemi documentali e consente di bilanciare opportunamente le prestazioni locali di ogni

business unit grazie alla visione integrata di tutti i processi aziendali. Nell’ambito del Risk

Management l’uso di un sistema GRC facilita l’identificazione dei rischi “nascosti” (derivanti cioè

da interdipendenze tra eventi intrinsecamente non dannosi), permette di allineare le strategie

aziendali alla soglia massima d’incertezza tollerata, aiuta ad abbattere alcuni costi aziendali

(come ad esempio quelli assicurativi o legati alla non sicurezza sul posto di lavoro) e permette di

garantire la business continuity. Il Compliance Management beneficia dall’utilizzo del GRC in

termini di garanzia del rispetto dei requisiti esterni cogenti e interni volontari, controllo

continuo e aggiornamento automatico della conformità alle norme vigenti e, ad ultimo, riduzione

dei costi della Compliance grazie all’automazione e centralizzazione di tale attività.

Le interviste effettuate a Risk Manager di importanti realtà aziendali italiane hanno in gran parte

confermato, ma talvolta anche negato, quanto emerso dallo studio della letteratura; si ha avuta,

quindi, la percezione che la sensibilità verso i temi di Governance, Risk e Compliance

Management, benché crescente, non sia ancora completamente e uniformemente sviluppata.

Nella seconda sezione si è concepita una nuova proposta di valutazione e classificazione per

piattaforme GRC avente come obiettivo quello di analizzare in maniera più “tecnica”, rispetto alle

due principali classificazioni esistenti (pubblicate da Gartner Inc. e Forrester Research Inc.), le

caratteristiche e le prestazioni dei singoli sistemi. Alla base di tale nuovo sistema di valutazione e

classificazione (denominato Big Picture for Governance, Risk and Compliance Platforms) sono stati

considerati i principi teorici fondanti l’approccio GRC, i risultati delle interviste a Risk Manager di

importanti aziende operanti in Italia, gli argomenti di vendita dei principali GRC vendor e le due

classificazioni sopra citate. Al fine di fornire un’interpretazione agevole dei risultati, il Big Picture

è stato strutturato in due parti fondamentali: la valutazione delle performance di ciascun

software analizzato e la loro successiva classificazione.

Partendo dall’assunto che i tre criteri alla base della scelta di un sistema GRC sono la qualità dei

contenuti, la qualità intrinseca del software e l’affidabilità della fornitura offerta dal vendor, il

processo di valutazione è stato organizzato nei cinque assi di analisi Knowledge Management &

Governance, Risk Management, Compliance Management (questi primi tre interni al criterio

Contenuto), Software e Fornitura. Il vantaggio di aver ripartito la valutazione rispetto ai tre criteri

71

Contenuto, Software e Fornitura consiste nel permettere così di coinvolgere, almeno

ipoteticamente, le tre figure aziendali che hanno in capo la decisione di acquisto del GRC e cioè,

rispettivamente, il CRO, il CIO e il CFO.

La fase di classificazione è stata sviluppata a partire dalla definizione dei principi di aggregazione

delle classi interne agli assi di analisi; la scelta può essere fatta tra lo scenario Balanced Contents

(ove ai tre assi del criterio Contenuto viene assegnata pari importanza) e lo scenario Governance

Based (ove l’asse Knowledge Management & Governance ha un valore preponderante). Il Big

Picture mostra i risultati delle valutazioni di tali scenari e dei tre assi del criterio Contenuto

(singolarmente presi) per mezzo di cinque matrici che permettono un confronto facile e

immediato dei GRC classificati. Nello specifico, ogni matrice riporta sull’asse X la valutazione del

criterio Software, sull’asse Y la valutazione di una delle cinque letture appena definite e, tramite

sotto-quadranti, la valutazione del criterio Fornitura. A corredo di tali matrici, è stato infine

deciso di dare una rappresentazione dei risultati aggregati dei cinque assi per mezzo di grafici

radar redatti per ciascun sistema GRC analizzato.

Nella terza ed ultima sezione è stato applicato il sistema di valutazione e classificazione Big

Picture alle piattaforme GRC i cui produttori hanno aderito alla nostra richiesta di collaborazione.

L’unico criterio di inclusione dei sistemi GRC nella presente ricerca è stato quello di richiedere la

presenza diretta del fornitore nel mercato italiano senza, però, fare alcuna selezione legata a

fatturato annuo, numero di clienti, molteplicità di settori coperti o altra limitazione. Con l’intento

di eseguire una valutazione imparziale e di mettere in luce soprattutto gli aspetti positivi, sono

stati intervistati utilizzatori particolarmente soddisfatti di ogni piattaforma GRC, i quali sono stati

sottoposti ad un questionario contenente domande relative ai criteri di analisi di cui alla seconda

sezione; le valutazioni legate specificatamente alla realtà aziendale del fornitore sono

ovviamente state poste al rispettivo referente commerciale.

Posto che il presente sistema di classificazione ha come scopo quello di distinguere nella maniera

più neutrale possibile le caratteristiche e le funzionalità dei sistemi GRC in relazione al campione

di piattaforme analizzato, all’interno delle matrici riportate è stata assunta una discretizzazione

in classi contenenti lo stesso numero di piattaforme; tale criterio è, infatti, particolarmente

efficace in presenza di una distribuzione di valori marcatamente asimmetrica come quella

effettivamente ottenuta.

L’analisi critica dei risultati ottenuti da un lato ha confermato la bontà e completezza di una

piattaforma che anche nei sistemi di classificazione di Gartner e Forrester risultava essere tra le

migliori sul mercato globale, dall’altro ha permesso ad un “piccolo” fornitore italiano di mettersi

72

in evidenza grazie ad un software competitivo sia sul piano dei contenuti offerti che della qualità

intrinseca del software.

4.1 SVILUPPI FUTURI

A causa dell’ancora limitato approfondimento in letteratura di tale argomento, la presente

ricerca ha cercato di fornire un inquadramento teorico completo del GRC e un nuovo strumento

di valutazione e classificazione per le relative piattaforme informatiche.

Data la vastità e complessità delle tematiche trattate, si è però consapevoli che molti sono ancora

i passi da percorrere al fine di averne una visione esaustiva. A tale proposito, l’impegno degli

autori è di aggiornare con cadenza annuale il sistema di valutazione e classificazione descritto

nella seconda e terza sezione del documento e ampliare il mercato di analisi anche alle

piattaforme non direttamente reperibili sul territorio nazionale.

Dalla presente ricerca scaturiscono i seguenti spunti degni di un futuro approfondimento:

4. Lo studio della relazione esistente tra i diversi tipi di organizzazione aziendale e la

probabilità di successo dell’iniziativa di implementazione di un sistema GRC.

5. Lo studio dell’inerzia dei sistemi GRC, ovverosia del tempo necessario all’utilizzatore per

apprezzare le reali potenzialità e i benefici che si possono trarre da tali sistemi.

6. Lo studio dell’impatto che una funzione di analisi di scenario integrata nel sistema GRC può

avere sulla percezione di utilità di tali sistemi da parte dei potenziali acquirenti.

73

BIBLIOGRAFIA

Airoldi G. (2011), La crescita delle imprese e la gestione della complessità, Accessibile da:

http://www.infotn.it/portal/server.pt/gateway/PTARGS_0_56374_2865_0_0_43/cms-

01.00/articolo.asp?IDcms=9132&s=194&l=it

Banham R. (2007), Is ERM GRC? Or Vice Versa?, Treasury & Risk, vol. 2:6, pp. 48-50.

Boldrini N. (2009), GRC, I vendor oltre la tecnologia, Accessibile da:

http://www.zerounoweb.it/osservatori/securityjournal/grc_con_vendor_oltre_tecnologia.html

Boultwood B. (2013), The GRC Value Proposition, Global Association of Risk Professionals (GARP).

Cervelli R. (2012), Governance, Risk e Compliance: un framework per calcolarne il Roi, Accessibile da:

http://www.zerounoweb.it/osservatori/securityjournal/governance-risk-e-compliance-un-

framework-per-calcolarne-il-roi.html

Colonnese E.F. (2006), La qualità del software secondo il modello ISO/IEC 9126.

Forrester Research Inc. (2014), The Forrester wave: Governance, Risk, and Compliance Platforms, Q1 2014

Scaricabile da:

https://www.forrester.com/The+Forrester+Wave+Governance+Risk+And+Compliance+Platforms+Q

1+2014/fulltext/-/E-RES106501

Gartner Inc. (2013), Magic Quadrant for Enterprise Governance, risk and Compliance Platforms, Scaricabile

da: https://www.gartner.com/doc/2595717/magic-quadrant-enterprise-governance-risk

Hardy C., Leonard J. (2011), Governance, risk and compliance (GRC): conceptual muddle and technological

tangle, Paper presented at the 22nd Australasian Conference on Information Systems (ACIS).

Hoyt R.E., Liebenberg A.P. (2011), The value of enterprise risk management, The Journal of Risk and

Insurance, Vol. 78, No. 4, 795-822.

Hunt R. (2014), Why governance, risk and compliance projects fail - and how to prevent it, Computer Fraud

& Security 06/2014, pp. 5-7.

ISO/IEC 25010:2011, Systems and Software engineering – Systems and software Quality Requirements and

Evaluation (SQuaRE) – Sysm and software quality models.

KPMG (2010), L’Enterprise Risk Management in Italia, Accessibile da:

https://www.kpmg.com/IT/it/IssuesAndInsights/ArticlesPublications/Documents/L-Enterprise-

Risk-Management.PDF

Liebenberg A.P., Hoyt R.E. (2003), The determinants of enterprise risk management: evidence from the

appointment of chief risk officers, Risk Management and Insurance Review, 2003, Vol. 6, No. 1, 37-52.

Monda B. (2014), The effects of Enterprise Risk Management adoption on firms' value and performances: an

empirical analysis using structural equation modelling.

Niessen V., Marekfia W. (2013), Toward a research agenda for strategic governance, risk and compliance

(GRC) management , Conference: Proceedings of the 15th IEEE International Conference on Business

Informatics (CBI 2013).

74

Nocco B.W., Stulz R.M. (2006), Enterprise Risk Management: Theory and Practice, Journal of Applied

Corporate Finance, Morgan Stanley Publication, Volume 18, Number 4, Fall 2006.

Open Compliance & Ethics Group – OCEG – (2009), GRC Capability Model "Red Book" 2.0.

Protiviti Inc. (2009), Key Questions Regarding Integrated GRC, Accessibile da:

http://www.protiviti.com/en-US/Documents/White-Papers/Risk-Solutions/Integrated_GRC.pdf

Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and

Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp.

106-117.

Racz N., Panitz J., Amberg M., Weippl E., Seufert A. (2010), Governance, Risk & Compliance (GRC) Status Quo

and Software Use: Results from A Survey Among Large Enterprises, ACIS 2010 Proceedings. Paper 21.

Racz N., Weippl E., Seufert A. (2011), Governance, Risk & Compliance (GRC) Software – An Exploratory Study

of Software Vendor and Market Research Perspectives, In: Proceedings of the 44th Hawaii International

Conference on System Sciences, HICSS 2011. IEEE.

Shahim A., Batenburg R., Vermunt G. (2012), Governance, risk and compliance: a strategic alignment

perspective applied to two case studies, In ICT Critical Infrastructures and Society, 10th IFIP TC 9

International Conference on Human Choice and Computers, HCC10 2012, Amsterdam, The

Netherlands, IFIP AICT 386, pp. 202-212.

Spina G. (2008), La gestione dell’impresa (Seconda edizione), Etas.

Switzer C.S., Suri A., Kapoor G., Nazemoff V. (2013), Governance, risk, management, and compliance:

creating the right GRC strategy for your company, Book24x7.

Vercellis C. (2006), Business Intelligence. Modelli matematici e sistemi per le decisioni, McGraw-Hill.

Vicente P., Mira da Silva M. (2011), A conceptual model for integrated governance, risk and compliance, H.

Mouratidis and C. Rolland (Eds.): CAiSE 2011, LNCS 6741, pp. 199-213.