POLITECNICO DI MILANO
Scuola di Ingegneria Industriale e dell’Informazione Corso di Laurea Magistrale in Ingegneria Gestionale
Sistemi di Governance, Risk e Compliance Management:
dallo studio dei potenziali benefici,
una nuova proposta di classificazione
Relatore: Ing. Guido Jacopo Luca Micheli
Correlatore: Prof. Enrico Cagno
Tesi di Laurea Magistrale di:
Andrea Brusa Perona 819802
Anno Accademico 2014/2015
I
INDICE
SOMMARIO
Un po’ di chiarezza sui sistemi di Governance, Risk e Compliance Management: cosa ci possiamo aspettare? .............................................................................................................................................................. I
Proposta concettuale di un nuovo sistema di valutazione e classificazione ......................................... IV
The Big Picture for Governance, Risk and Compliance Platforms: analisi del mercato attuale........................................................................................................................................................................................... X
EXECUTIVE SUMMARY
What can we really expect from Governance, Risk and Compliance Management systems? ......... I
Conceptual proposal of a new classification system: the Big Bicture for Governance, Risk and Compliance Platforms............................................................................................................................................... IV
The Big Picture for Governance, Risk and Compliance Platforms: market analysis ......................... IX
INTRODUZIONE AL PROBLEMA .............................................................................................................. 1
1. UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE, RISK E COMPLIANCE MANAGEMENT: COSA CI POSSIAMO ASPETTARE? ............................................................................. 4
1.1 Premessa ...................................................................................................................................................................... 4
1.2 Cos’è un GRC? ............................................................................................................................................................ 5
1.3 Che relazione esiste fra GRC e ERM? ............................................................................................................. 6
1.4 Come scegliere e/o implementare un GRC? .............................................................................................. 7
1.5 Governance, Risk Management e Compliance Management: benefici chiave......................... 9
1.5.1 Benefici della Governance ..................................................................................................................... 10
1.5.2 Benefici del Risk Management ............................................................................................................ 12
1.5.3 Benefici del Compliance Management ............................................................................................ 14
1.6 Spunti di riflessione da casi aziendali ........................................................................................................ 15
2. PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE .................................................................................................................................... 20
2.1 Introduzione ........................................................................................................................................................... 20
2.2 Punti di forza e di miglioramento degli attuali sistemi di valutazione e classificazione ....................................................................................................................................................................... 20
2.3 Un nuovo sistema di valutazione e classificazione ............................................................................. 25
2.3.1 Approccio al problema ............................................................................................................................ 25
II
2.3.2 Big Picture for Governance, Risk and Compliance Platforms ..............................................28
3. THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: ANALISI DEL MERCATO ATTUALE ....................................................................................................... 50
3.1 Obiettivo dello studio ..........................................................................................................................................50
3.2 Criteri di inclusione..............................................................................................................................................50
3.3 Metodologia di raccolta delle valutazioni.................................................................................................52
3.4 Le dimensioni di analisi .....................................................................................................................................54
3.5 Sistema di classificazione..................................................................................................................................56
3.6 Analisi di dettaglio ................................................................................................................................................60
3.7 Ulteriori considerazioni .....................................................................................................................................66
3.8 Allegati ........................................................................................................................................................................67
4. CONCLUSIONI ................................................................................................................................... 69
4.1 Sviluppi futuri .........................................................................................................................................................72
BIBLIOGRAFIA........................................................................................................................................... 73
III
INDICE DELLE FIGURE Figura 1 – Approccio al problema considerato. ................................................................................. VI Figura 2 – Schema complessivo degli elementi caratterizzanti il Big Picture................................... VII Figura 3 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance....................................................................................................................................... XII Figura 4 – Matrice di classificazione con dettaglio sul contenuto Risk Management. ...................... XII Figura 5 – Matrice di classificazione con dettaglio sul contenuto Compliance Management. ......... XIII Figura 6 – Matrice di classificazione con dettaglio dello scenario Balanced Contents. ................... XIII Figure 1 – Approch to the problem. ................................................................................................... VI Figure 2 – Scheme of the elements characterizing the Big Picture. .................................................. VII Figure 3 –Knowledge Management & Governance matrix. .............................................................. XII Figure 4 –Risk Management matrix. ................................................................................................ XII Figure 5 –Compliance Management matrix. ................................................................................... XIII Figure 6 –Balanced Contents matrix. .............................................................................................. XIII Figura 2.1 – Approccio al problema considerato. ............................................................................. 25 Figura 2.2 – Schema complessivo degli elementi caratterizzanti il Big Picture. ............................... 28 Figura 2.3 – Esempio di matrice di classificazione. .......................................................................... 48 Figura 2.4 – Esempio di grafico radar per un ipotetico sistema GRC. ............................................... 49
Figura 3.1 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance....................................................................................................................................... 58 Figura 3.2 – Matrice di classificazione con dettaglio sul contenuto Risk Management. ................... 58 Figura 3.3 – Matrice di classificazione con dettaglio sul contenuto Compliance Management. ....... 59 Figura 3.4 – Matrice di classificazione con dettaglio sullo scenario Balanced Contents. .................. 59
IV
INDICE DELLE TABELLE
Tabella 2.1 – Struttura dell’asse di valutazione Knowledga Management & Governance. ............... 39 Tabella 2.2 – Struttura dell’asse di valutazione Risk Management. ................................................. 40 Tabella 2.3 – Struttura dell’asse di valutazione Compliance Management. ..................................... 41 Tabella 2.4 – Struttura dell’asse di valutazione Software. ............................................................... 42 Tabella 2.5 – Struttura dell’asse di valutazione Fornitura. .............................................................. 42 Tabella 3.1 – Lista dei GRC vendor attivi sul territorio italiano........................................................ 52 Tabella 3.2 – Valutazione dell’asse Knowledge Management & Governance. ................................... 67 Tabella 3.3 – Valutazione dell’asseRisk Management. ..................................................................... 67 Tabella 3.4 – Valutazione dell’asse Compliance Management.......................................................... 68 Tabella 3.5 – Valutazione dell’asse Software. ................................................................................... 68 Tabella 3.6 – Valutazione dell’asse Fornitura. ................................................................................. 68
ABSTRACT
Il concetto di una gestione integrata di Governance, Risk e Compliance Management (GRC) è
oggetto di un sempre maggior interesse a livello globale, così come i relativi sistemi informatici
conosciuti con i nomi di “sistemi GRC” o “piattaforme GRC”. Ciononostante, in letteratura manca
ancora una completa visione delle piene potenzialità – in termini di benefici – che tali sistemi
possono avere.
Partendo dalla definizione di GRC, dalle sue principali differenze rispetto ai sistemi ERM e dal
perché è consigliabile l’acquisto (opzione “buy”) piuttosto che una sua realizzazione interna
all’azienda (opzione “make”), la prima sezione della presente ricerca ambisce a offrire una
descrizione dettagliata e sistematica dei benefici derivanti dall’adozione di una soluzione GRC,
riportando in seguito le evidenze che emergono da interviste a Risk Manager di importanti realtà
aziendali operanti in Italia.
Nella seconda sezione viene concepito un nuovo sistema di valutazione e classificazione per
piattaforme GRC che aspira a fornire un punto di vista più tecnico e completo di quanto ad oggi
disponibile e che si fonda sull’analisi dei tre seguenti criteri: i contenuti offerti da ciascun
sistema, la qualità intrinseca del software e l’affidabilità della fornitura offerta dal vendor. I
risultati delle classificazioni così ottenute sono esplicitati per mezzo di matrici aventi come assi
di analisi i tre criteri relativi ai contenuti (suddiviso a sua volta tra Knowledge Management &
Governance, Risk Management e Compliance Management), al software e alla fornitura.
La terza e ultima sezione è dedicata all’applicazione del nuovo sistema di valutazione e
classificazione a piattaforme GRC direttamente acquistabili sul territorio nazionale. Al fine di
mettere in luce i punti di forza di ciascun sistema e di fornirne una valutazione il più possibile
imparziale, sono stati intervistati gli “utilizzatori particolarmente soddisfatti” i cui nominativi
sono stati forniti direttamente dai GRC vendor.
Keywords: Governance, Risk, Compliance, GRC, definizione, benefici, valutazione, classificazione.
ABSTRACT The concept of an integrated management of Governance, Risk and Compliance (GRC) is being
paid more and more attention by companies worldwide, within several industries, as well as the
related IT systems, known as “GRC systems” or “GRC platforms”. Nonetheless, the state-of-the-art
still lacks a complete view on the whole potential - in terms of benefits – such systems can
provide.
Stemming from the definition of what a GRC is, from what the main differences with respect to
the ERM are, and from why it is usually advisable to “buy” such a software instead of “making” it,
the first section of the present document aims at providing the reader with detailed and
systematic information about the key benefits from the adoption of a GRC solution. Afterwards,
hints about the use (or not use) of GRC systems from a set of interviews with Risk Managers of
important Italian companies, are reported.
Within the second section, a new assessment and classification system for GRC software is
conceived. This system aspires to offer a more technical and complete support than current
classification standards; it is based on the analysis of the three following criteria: the contents
offered by GRC platforms, the intrinsic quality of each software and the reliability of the supply
offered by the vendors. The results of the classifications are showed by matrices that have as
axes of analysis the three criteria concerning the contents (split into the dimensions Knowledge
Management & Governance, Risk Management and Compliance Management), the software and
the supply.
The third and final section concerns the application of the new assessment and classification
system to GRC platforms that are directly acquirable in Italy. In order to highlight the strengths
of each platform and to perform an unbiased evaluation, the assessment has been done by “very
satisfied users” whose names were provided by each GRC vendor.
Keywords: Governance, Risk, Compliance, GRC, definition, benefits, assessment, classification.
I
SOMMARIO
UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE, RISK E COMPLIANCE MANAGEMENT: COSA CI POSSIAMO ASPETTARE?
Molto spesso i top manager delle aziende associano ad uno strumento/sistema di Governance,
Risk and Compliance Management (GRC) primariamente una sensazione di grande complessità.
In realtà, la complessità è insita nella situazione in cui le aziende operano, e non necessariamente
nello strumento/sistema; se è vero che è buona norma adottare strumenti semplici, è vero anche
che essi non devono “semplificare” i problemi al punto tale da renderli di fatto dei problemi
“diversi” – e, quindi, non rappresentativi – da quelli che le aziende devono realmente affrontare.
Questa complessità insita nel contesto in cui le aziende operano è ormai costantemente
crescente, e – di fronte a questo trend – per poter prendere decisioni bilanciate e sostenibili, è
evidente l’opportunità di uno strumento, quale il GRC, che fornisca in tempi molto rapidi
informazioni sul contesto esterno ed interno all’azienda, siano esse di elevato dettaglio o
aggregate, che supporti il lavoro di raccolta, gestione ed analisi di dette informazioni e che
capitalizzi la Knowledge aziendale per ottimizzare le decisioni future. Scopo del presente
documento è quello di fare chiarezza su che cosa sia effettivamente un sistema GRC e fornire un
supporto sul come e perché sceglierlo ed implementarlo.
Ma cosa si intende per GRC? Primariamente, il GRC è un1 “approccio integrato e olistico a livello
aziendale di Governance, gestione del rischio e conformità normativa, volto ad assicurare che
l’organizzazione operi eticamente e in accordo con la sua propensione al rischio, alle politiche
interne e alle norme esterne attraverso l’allineamento di strategia, processi, tecnologia e risorse
umane di cui dispone in modo tale da aumentare efficienza ed efficacia”. Partendo da tale
approccio sono stati sviluppati dei veri e propri software (anche detti “piattaforme” o “sistemi”)
GRC che permettono un’analisi integrata di questi tre temi.
Già da prima della nascita dei sistemi GRC, le tematiche di Risk Management erano state
ampiamente affrontate dall’approccio Enterprise Risk Management (ERM), da cui si sono
sviluppati sistemi atti all’identificazione di eventi o circostanze potenzialmente impattanti sugli
1 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117.
II
obiettivi aziendali, alla loro valutazione in termini di probabilità di accadimento e magnitudo, alla
determinazione di azioni correttive ed al monitoraggio dei progressi. Il GRC, nato principalmente
dalla richiesta di uno strumento di reale supporto alle problematiche di Compliance volontaria,
non si “limita” – come l’ERM – ad analizzare e proporre azioni correttive a situazioni di rischio
contingenti, ma, attraverso un controllo realmente continuativo di tutti gli eventi potenzialmente
impattanti sulle performance dell’azienda e grazie ad una visione sia aggregata che di dettaglio
dell’organizzazione (possibile grazie a veri e propri sistemi di gestione della conoscenza presenti
a sistema), permette una migliore gestione aziendale. La Governance è, dunque, l’elemento
cardine dei sistemi GRC.
La maggior parte delle imprese affronta il rischio e la Compliance normativa in maniera alquanto
destrutturata e, quasi sempre solo quando si presenta un aumento di complessità dovuto a un
progressivo percorso di crescita o di cambiamento, decide di implementare internamente un GRC
(scelta di tipo “make”) pensando in tal modo di contenere i costi e di poterlo plasmare sulle
proprie necessità. In realtà una scelta di questo tipo spesso risponde a necessità impellenti di una
singola funzione aziendale e non fa altro che aumentare la visione a “silos” dell’organizzazione, in
netto contrasto col paradigma di integrazione (con i rispettivi benefici) alla base del GRC; inoltre
esiste il concreto rischio di non rispettare gli obiettivi in termini di tempi e costi a causa delle
elevate competenze necessarie per lo sviluppo di un sistema così ampio e complesso. È evidente
che l’acquisto di una piattaforma da un fornitore specializzato (scelta di tipo “buy”) consente di
fare affidamento su uno strumento testato su diversi ambiti applicativi ed alleggerisce l’impresa
dall’onere degli aggiornamenti del software e delle normative; molti sistemi consentono inoltre
una gestione in conformità con gli standard ISO. Esistono in commercio due tipi di sistemi: quelli
verticali specializzati per industry o per singoli ambiti e quelli integrali che gestiscono in maniera
approfondita molteplici aree di interesse (aree tematiche). È evidente che la scelta di una
piattaforma verticale fa venir meno tutti i benefici legati all’integrazione, non permette al
management di avere una visione globale dell’impresa e, molto spesso, obbliga ad investire
ulteriori capitali per l’integrazione di singoli moduli. La scelta più appropriata è senz’altro quindi
quella di optare per l’acquisto di una piattaforma GRC integrata in origine, anche alla luce del
fatto che molti fornitori offrono la possibilità di effettuare un investimento modulare e scalabile
sulla propria realtà aziendale.
Partendo dall’assunto che l’efficienza di un sistema aziendale complesso non è solo legata a
rivoluzioni organizzative e/o tecniche ma anche al miglioramento del sistema di gestione, si
III
comincia ad intravedere l’utilità di un investimento in un sistema GRC. L’adozione di un tale
sistema porta benefici alle tre aree di Governance, Risk e Compliance Management. Di seguito si
riportano poche ma già significative evidenze di tali potenziali benefici. Nell’ambito della
Governance, l’integrazione dei processi aziendali sotto un unico sistema consente di evitare
inutili duplicazioni di processi e risorse e, grazie ad una visione olistica dell’organizzazione, di
superare l’approccio a “silos” tipico di molte grandi aziende. Inoltre, disponendo finalmente di
una vera e propria base di un sistema di Knowledge Management, si può cercare di capitalizzare
al massimo le conoscenze aziendali abilitando il management ad esercitare una Governance
efficace ed efficiente. Per quanto riguarda il Risk Management, i sistemi GRC possono consentire
di identificare tutti i rischi, anche quelli “nascosti”, di allineare le strategie aziendali alla soglia
massima di rischio che l’azienda è disposta ad accettare e di garantire la continuità di business
(evitando le conseguenti perdite finanziarie) grazie ad un’analisi di rischio realmente
continuativa nel tempo: tali benefici sono abilitati anche dal fatto che i sistemi più
all’avanguardia si basano sullo standard ISO 31000:2009. Un approccio integrato del Compliance
Management, infine, permette di garantire il rispetto sia delle norme (o standard) cogenti che di
quelle volontarie dell’azienda; inoltre, un controllo continuo ed automatico della conformità
dell’azienda alle normative vigenti la tutela da possibili sanzioni e conseguenti perdite
d’immagine. L’opportunità offerta dal GRC di automatizzare e centralizzare tutte queste attività
porta anche ad un abbattimento dei costi relativi, appunto, alla Compliance.
A corredo delle argomentazioni presentate, allo scopo di mettere in luce quanto praticamente
vissuto in importanti e complesse realtà aziendali e di fornire ulteriori spunti di riflessione, la
prima sezione del documento si chiude riportando i risultati più rilevanti emersi da alcune
interviste effettuate nel periodo Giugno-Luglio 2015 a profili executive nell’ambito di
Governance, Risk e Compliance Management di aziende di prodotto e di servizi. Quest’ultime
sono notevolmente differenziate tra di loro in termini di settore industriale e problematiche
trattate (internazionalizzazione, regolamentazione dei mercati, etc.), ma tutte accomunate da un
elevato grado di complessità e dinamicità del mercato. Innanzitutto, si può indubbiamente
affermare che la sensibilità verso i temi di Governance, Risk e Compliance Management è ancora
in fase di crescita e non sempre uniformemente sviluppata; a tale proposito è emblematico il
fatto che solo una minoranza degli intervistati abbia esplicitamente riconosciuto il Risk
Management in ottica proattiva.
Le interviste hanno confermato quali benefici derivanti dall’implementazione di un sistema GRC
la possibilità di “avere una visione più trasversale e chiara dell’azienda”, di garantire elevata
IV
sicurezza della gestione di informazioni sensibili e riservate (assicurando così la business
continuity) e di liberare risorse altrimenti destinate ad operazioni di office automation; è stato
riconosciuto, inoltre, il grosso vantaggio offerto dalla scalabilità delle piattaforme che consente la
“possibilità di far crescere lo strumento [GRC] secondo le necessità e la maturità aziendale”. Di
contro, le interviste hanno rilevato che il GRC talvolta non è riconosciuto come strumento atto ad
aumentare l’efficacia del processo decisionale e non sempre è utilizzato estensivamente a tutti i
livelli dell’azienda (limitandone il respiro a quelli superiori); più di un Risk Manager ha
dichiarato di volersi focalizzare esclusivamente su una quindicina di rischi strategici, mostrandosi
disinteressato al tenere traccia della conoscenza aziendale ad un livello di dettaglio “troppo”
elevato. Dalle interviste sono emersi due spunti per futuri sviluppi dei sistemi GRC: il CRO di
un’importante azienda di servizi italiana ha dichiarato che “il GRC non deve essere custom” (cioè
non costruito appositamente per la sua azienda), ma fondato su una piattaforma standard già
funzionante e altamente adattabile alla propria realtà aziendale, mentre la maggioranza degli
intervistati ha espresso interesse per un GRC in grado di fornire anche una funzione di analisi di
scenario.
Nonostante il grande sforzo necessario per implementare il GRC, le aziende intervistate si sono,
comunque, mostrate soddisfatte dell’investimento effettuato.
PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE
La nascita e lo sviluppo di un numero sempre maggiore di sistemi informatici di GRC ha creato un
mercato costituito da un’ampia gamma di piattaforme prodotte sia da grandi ed, ormai, affermati
software vendor che da realtà più piccole e focalizzate. Ne è nata, di conseguenza, la necessità da
parte delle aziende – potenziali acquirenti – di poter disporre di uno strumento che le indirizzi
verso la scelta del sistema più idoneo alle loro esigenze; a tale richiesta hanno risposto alcune tra
le più prestigiose aziende di consulenza direzionale a livello globale – quali Gartner Inc. e
Forrester Research Inc. – che pubblicano con cadenza annuale documenti di rating di alcune delle
piattaforme da loro ritenute tra le più performanti sul mercato.
Considerate le grandi potenzialità di questo mercato ancora giovane, ma in forte espansione,
assume notevole importanza per i GRC vendor comparire all’interno dei suddetti documenti di
valutazione. Il Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms – di
Gartner – e il The Forrester Wave: Governance, Risk, And Compliance Platforms – di Forrester –
V
propongono quale risultato finale della loro analisi comparativa una matrice di classificazione
dalla quale risulta intuitivo ricavarne un ranking relativo tra le piattaforme analizzate; a tali
matrici vengono affiancate le descrizioni di dettaglio (punti di forza, di debolezza, ambiti di
applicazione consigliati) di ciascun software, la definizione del mercato di riferimento ed un
accenno ai criteri di valutazione utilizzati. Se da un lato tali strumenti di valutazione e
classificazione risultano intuitivi e velocemente fruibili, permettono di identificare i GRC vendor
più solidi dal punto di vista finanziario e consentono di tener traccia dell’evoluzione delle
performance delle piattaforme analizzate (a patto di disporre di più annualità di tali documenti),
dall’altro si ha la percezione che essi soffrano di alcuni limiti di completezza: il loro panel di
sistemi GRC comprende solo i rivenditori più “grandi” – per esempio in termini di ampiezza della
customer base o di fatturato relativo alla vendita di tali sistemi – e l’analisi di alcuni parametri
tipici dei GRC – ad esempio quelli relativi ai contenuti offerti – rimane superficiale. I limiti degli
attuali sistemi di classificazione sono emersi anche dalle interviste effettuate a numerosi Risk
Manager di importanti aziende operanti sul territorio nazionale, i quali, avvalendosi solo di tali
documenti, hanno lamentato difficoltà nell’identificazione del sistema GRC più idoneo alle loro
esigenze ed hanno dovuto ricercare spesso ulteriori informazioni e punti di vista avvalendosi del
parere di società di consulenza e di esperti del settore.
Per tutte queste motivazioni si ritiene vi sia la necessità di sviluppare un nuovo
strumento di analisi e confronto tra piattaforme GRC che non abbia certo la presunzione
di sostituire quelli già presenti sul mercato, ma che sia ad essi complementare. Tale
nuovo strumento potrà risultare più articolato, ma sarà indubbiamente più tecnico e
sperabilmente più completo e in grado di evidenziare meglio le differenze tra ciascun
software.
Il sistema di assessment e benchmark frutto dei principi teorici discussi nella prima sezione del
documento, dei risultati delle interviste effettuate e dell’analisi critica delle classificazioni
attualmente esistenti è stato denominato Big Picture for Governance, Risk and Compliance
Platforms (chiamato anche semplicemente Big Picture). La sequenza di passi logici che hanno
condotto alla formulazione del Big Picture è schematicamente illustrata in figura 1.
VI
Figura 1– Approccio al problema considerato.
Si è partiti con il definire gli obiettivi della ricerca: la realizzazione di un nuovo sistema di
valutazione e classificazione per piattaforme GRC quale utile supporto alle aziende in fase di
selezione del sistema più idoneo, in grado di liberare parte delle risorse (umane e/o finanziarie)
altrimenti dedicate a questa scelta e di fornire un ulteriore punto di vista in aggiunta agli
strumenti di rating esistenti. Parallelamente, sono stati definiti i desiderata, cioè le
caratteristiche ricercate in un sistema di valutazione e classificazione da un ipotetico acquirente
di software GRC: tale sistema dovrà essere neutrale, completo rispetto al mercato di riferimento
analizzato, esaustivo riguardo all’analisi delle caratteristiche e funzionalità di ogni singola
piattaforma, di libera consultazione e che lasci massima visibilità su ogni assunzione e
valutazione effettuata. Successivamente, si sono esaminati i contenuti informativi delle
classificazioni esistenti: a fronte di tre punti di forza quali il classificare alcuni dei GRC vendor
più accreditati a livello mondiale, il basare le proprie valutazioni su una combinazione di dati
provenienti da molteplici fonti e l’offrire dei risultati di facile consultazione, sono stati rilevati
punti di debolezza quali il precludere preventivamente la possibilità a piattaforme realizzate da
GRC vendor di “taglia minore” di comparire all’interno del sistema di classificazione, la
superficiale analisi di alcune funzionalità dei GRC e la limitata visibilità della descrizione dei
criteri di valutazione considerati. Come logica conclusione ne è derivato uno strumento che
ambisce a soddisfare gli obiettivi generali della ricerca e i desiderata dalle aziende acquirenti e
che cerchi di integrare le caratterizzazioni positive degli attuali sistemi di benchmark
colmandone, ove possibile, le lacune.
Una visione schematica e integrale degli elementi fondamentali che costituiscono il Big Picture è
riportata in figura 2.
VII
Valutazione dei GRC Classificazione dei GRC
Figura 2 – Schema complessivo degli elementi caratterizzanti il Big Picture.
Nella fase di valutazione – vero cuore del Big Picture – vengono presi in considerazione i tre
criteri di scelta derivati dalle precedenti considerazioni: Contenuto, Software e Fornitura. Questa
distinzione porta in dote il grande vantaggio di “parlare”, almeno sulla carta, alle tre figure
aziendali che hanno in capo la decisione di acquisto di un sistema GRC: il criterio Contenuto
spetta al CRO, il Software al CIO e la Fornitura al CFO. L’ideale coinvolgimento di questi tre
manager, ciascuno col proprio criterio di competenza, aiuta a garantire una scelta del sistema
GRC il più possibile ponderata e globalmente soddisfacente.
Il criterio Contenuto, completamente concepito dagli autori in quanto ritenuto realmente
abilitante a definire le peculiarità e funzionalità che un “buon” GRC deve avere, è stato a sua volta
suddiviso in tre assi di analisi (Knowledge Management & Governance, Risk Management e
Compliance Management) descritti, ove possibile, da analoghe metriche di valutazione al fine di
proporre uno studio bilanciato e che presenti risultati facilmente comparabili, riducendo al
minimo l’ambiguità tra le descrizioni di dimensioni omologhe. Ciascun asse contiene al suo
interno tre macro-dimensioni: Adeguatezza del contenuto, Qualità degli output e Integrazione
delle informazioni.
VIII
L’Adeguatezza del contenuto comprende a sua volta il Grado di copertura della Knowledge
Base/dei rischi/delle normative (definito in termini di estensione e dettaglio massimo
raggiungibile), la Scalabilità (ovverosia la capacità di frazionamento dei contenuti), e
l’Aggiornamento – istantaneo – in seguito a cambiamenti.
La Qualità degli output è definita da più dimensioni d’analisi. La Fruibilità delle informazioni
contenute nel sistema GRC – valida per tutti i tre assi di valutazione – che, più nel dettaglio,
comprende: la Capacità di profilazione degli accessi, la Comunicabilità (intesa come possibilità
di disporre di un sistema di notifiche degli eventuali cambiamenti), una dimensione di
Tracking (che misura la capacità della piattaforma di tenere traccia delle versioni precedenti
dei documenti, di protocollarli e indicizzarli automaticamente), la Personalizzabilità degli
output e la capacità di generare automaticamente una reportistica di base completa. Per
quanto riguarda l’asse Knowledge Management & Governance viene analizzato l’Utilizzo di
modelli qualitativi e/o quantitativi riconosciuti per la descrizione della Knowledge Base; per
quanto riguarda l’asse Risk Management viene analizzata l’eventuale Strutturazione (del
sistema GRC) coerente con lo standard ISO 31000:2009, oltre che l’Utilizzo di modelli
qualitativi e/o quantitativi riconosciuti per la descrizione delle informazioni relative alla
gestione del rischio; per quanto riguarda, infine, l’asse Compliance Management vengono
analizzate l’eventuale Strutturazione coerente con gli standard ISO e l’Utilizzo di modelli
quantitativi (intrinsecamente più robusti dei soli modelli qualitativi) per la valutazione della
conformità normativa.
L’Integrazione delle informazioni comprende la Consistenza delle informazioni (cioè la
capacità del sistema GRC di avere informazioni riferite alla Knowledge Base/gestione del
rischio/gestione della compliance uniche, permettendo così di evitare l’aggiornamento a
momenti differenti) e la Sinergia fra le informazioni.
Il criterio Software, che corrisponde nella sua interezza ad un asse di valutazione, esprime un
giudizio sull’applicativo su cui si basano le piattaforme GRC analizzate, a prescindere dai
contenuti e dalle funzioni che esse possono offrire; le dimensioni d’analisi sono state fedelmente
riprese dallo standard ISO/IEC 25010:2011 e consistono in Idoneità funzionale, Efficienza,
Compatibilità, Usabilità, Affidabilità, Sicurezza, Manutenibilità e Portabilità.
Il criterio Fornitura, che corrisponde al quinto ed ultimo asse di valutazione, stima la probabilità
di successo e di soddisfazione legata all’iniziativa di investimento in uno specifico sistema GRC: è
quindi un asse puramente abilitante che non entra nel merito della qualità della piattaforma. La
sua valutazione è offerta dalle seguenti cinque macro-dimensioni: Stabilità finanziaria
dell’azienda fornitrice, Effort in innovazione del GRC, Diffusione geografica (sia in termini di
IX
presidio commerciale che di servizi di supporto diretto al cliente), qualità dei Servizi di supporto
offerti (quali implementazione, manutenzione e aggiornamento) e Costo d’acquisto.
La fase di classificazione parte dalla definizione dei principi di aggregazione delle valutazioni
ottenute allo step precedente per poi giungere alla rappresentazione grafica dei risultati
mediante specifiche matrici e grafici radar.
L’obiettivo del Big Picture è quello di fornire un’analisi di benchmark basata sulla valutazione di
molteplici scenari d’interesse ottenuti da specifici criteri di aggregazione; tali scenari si basano
sull’importanza relativa dei contenuti offerti da ciascuna piattaforma GRC e non sui loro possibili
ambiti di utilizzo, superando così quella che, a detta degli autori, è una limitazione (per tutti gli
utilizzatori non interessati a tali ambiti) insita nelle proposte di classificazione di Gartner e
Forrester. Partendo dall’assunzione che, per la valutazione complessiva del criterio Contenuto,
l’asse dedicato al Knowledge Management & Governance abbia sempre un peso non inferiore ai
pesi degli assi riguardanti il Risk Management e il Compliance Management, si è giunti ad
identificare due scenari “standard”: lo scenario Balanced Contents (ove ai tre assi del criterio
Contenuto viene assegnata pari importanza) e lo scenario Governance Based (ove l’asse
Knowledge Management & Governance ha un peso del 50%, mentre i restanti due assi pesano per
il 25% ciascuno). Per quanto riguarda i criteri di aggregazione delle dimensioni e delle sotto-
dimensioni interne agli assi di valutazione, è stato deciso di mantenere una pesatura uniforme
allo scopo di perseguire un maggiore grado di generalizzazione e una più facile interpretazione
dei risultati. Un’unica eccezione è stata fatta all’interno dell’asse Software dove, da quanto
emerso dalle interviste fatte a Risk Manager di importanti aziende operanti in Italia, meritano un
peso preponderante le dimensioni Compatibilità e Sicurezza.
Il Big Picture offre una rappresentazione grafica delle valutazioni dei due scenari Balanced
Contents e Governance Based e dei tre assi del criterio Contenuto (singolarmente presi) per
mezzo di cinque matrici che permettono un confronto facile e immediato dei GRC classificati.
Nello specifico, ogni matrice riporta sull’asse X la valutazione del criterio Software, sull’asse Y la
valutazione di una delle cinque letture appena definite e, tramite sotto-quadranti, la valutazione
del criterio Fornitura; in ogni matrice è stato deciso di operare una classificazione in fasce binarie
per ciascun asse al fine di ridurre l’errore che potrebbe derivare da un rating troppo puntuale:
così facendo in ogni sotto-quadrante è presentata una lista dei GRC che effettivamente ne fanno
parte e non un loro specifico posizionamento. A corredo di tali matrici, è stato infine deciso di
dare una rappresentazione dei risultati aggregati dei cinque assi per mezzo di grafici radar
redatti per ciascun sistema GRC analizzato.
X
THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: ANALISI DEL MERCATO ATTUALE
In questa terza e ultima sezione vengono definiti i criteri di inclusione per poter rientrare nella
presente ricerca, la metodologia di raccolta delle valutazioni e le dimensioni d’analisi
effettivamente considerate, così da pervenire alla rappresentazione grafica dei risultati seguita
dall’analisi puntuale di ciascuna piattaforma GRC esaminata. A chiusura della trattazione
vengono poi analizzati i risultati ottenuti e gli eventuali punti di contatto e di divergenza con
quanto riportato nei sistemi di classificazione di Gartner e Forrester.
Il Big Picture cerca di rispettare tutte le caratteristiche desiderate per un ipotetico sistema di
valutazione e classificazione di software GRC: in particolare, l’elemento che lo distingue da
quanto già presente sul mercato è la capacità di offrire una trattazione completa, cioè
potenzialmente in grado di includere qualsivoglia GRC vendor all’interno di uno specifico
mercato preso come riferimento. In pratica, a causa di una ridotta disponibilità di risorse da
dedicare alla ricerca, si è deciso di evitare di rincorrere inutilmente una completezza della
popolazione di studio su una scala maggiore di quella italiana; ci si è quindi focalizzati sulle sole
piattaforme GRC direttamente acquistabili sul mercato italiano volendo dare, così, visibilità
anche ai piccoli, specializzati ma validi produttori nazionali. In definitiva, sono state incluse nello
studio quelle piattaforme GRC i cui vendor, oltre a comparire all’interno del Magic Quadrant di
Gartner e della Forrester Wave, fossero attivi sul territorio nazionale (con la presenza di una sede
o filiale italiana o di un qualsiasi riferimento quale numero di telefono o indirizzo email italiano)
e i software GRC (o strumenti informatici aventi funzionalità affini) di quei produttori italiani
che, per dimensione e/o fatturato, non possono rientrare nelle suddette classificazioni. Questi
ultimi sono stati reperiti tramite indagine sul web.
Ai referenti commerciali delle case produttrici contattate sono state chieste informazioni
specifiche riguardanti l’azienda stessa, utili, principalmente, per la valutazione dell’asse
Fornitura. Le valutazioni più soggettive inerenti alle funzionalità dei software GRC sono state,
invece, poste ad un “cliente soddisfatto”, cioè un utilizzatore – il cui nome è stato fornito dal GRC
vendor – che abbia implementato il software estensivamente e che lo usi regolarmente,
possibilmente da almeno un anno da fine implementazione; questo allo scopo di poter eseguire
valutazioni che siano le più neutrali possibili, ma al contempo mettere in luce le caratterizzazioni
forti e positive di ciascun sistema (senza, però, escludere di segnalare eventuali debolezze).
XI
Per perseguire un obiettivo di sintesi, le valutazioni effettivamente richieste sono state in
numero leggermente inferiore alle dimensioni di analisi definite nella seconda sezione. Più nello
specifico, per la valutazione dei tre assi del criterio Contenuto ci si è, talvolta, fermati al
penultimo livello di dettaglio; per ciascuno di questi assi è stato, inoltre, richiesto il grado di
soddisfazione generale allo scopo di verificare la congruenza tra i singoli punteggi attribuiti e la
corrispondente valutazione complessiva. Ricapitolando, a ciascun cliente soddisfatto è stata
richiesta la valutazione in merito a 60 domande chiuse e 3 domande aperte, mentre alle aziende
vendor sono state poste direttamente 5 domande oggettive della propria realtà societaria.
Entrando nel dettaglio della strutturazione delle cinque matrici di classificazione, ciascuna di
esse è stata concepita con la seguente logica: nelle dimensioni degli assi (dove l’asse X è deputato
alla stima della qualità del software e l’asse Y a quella dei contenuti offerti dalle piattaforme) si
definiscono due intervalli di valutazione denominati “basso” e “alto”, mentre all’interno di
ciascun quadrante che ne deriva si opera un’ulteriore suddivisione in cui il settore superiore
destro indica una valutazione maggiore rispetto a quello inferiore sinistro relativamente al
criterio Fornitura; in tali sotto-quadranti i sistemi GRC vengono presentati in forma di lista per
appartenenza allo specifico settore. Nel caso in cui il numero totale di valutazioni ricevute per un
certo asse di una specifica piattaforma GRC non sia in numero sufficiente per ritenere la sua
valutazione pienamente attendibile, all’interno delle matrici di classificazione si è riportato a
fianco del nome di tale sistema un asterisco con annesse note di spiegazione.
Poiché la valutazione di ciascun software è stata effettuata dall’utilizzatore “più soddisfatto”,
nella maggior parte dei casi le risposte sono state molto positive; questo, però, non ha impedito
di evidenziare i relativi punti di forza. Essendo lo scopo del Big Picture quello di distinguere nella
maniera più neutrale possibile le caratteristiche e le funzionalità dei sistemi GRC, in relazione al
campione di piattaforme analizzato, è stato deciso di operare una ripartizione non in classi della
stessa ampiezza (intesa come lunghezza degli intervalli degli assi di valutazione), bensì della
stessa numerosità, più efficace in presenza di una distribuzione di valori marcatamente
asimmetrica come quella ottenuta; così operando, la scala di ciascun asse non è né lineare né
uguale tra una matrice e l’altra. L’eventuale futuro inserimento di altri software all’interno del
Big Picture – ossia delle matrici – potrebbe quindi comportare la rimappatura di una piattaforma
in un quadrante differente.
Si riportano di seguito le matrici di classificazione ottenute:
XII
Figura 3 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management & Governance.
Figura 4 – Matrice di classificazione con dettaglio sul contenuto Risk Management.
XIII
Figura 5 – Matrice di classificazione con dettaglio sul contenuto Compliance Management.
Figura 6 – Matrice di classificazione con dettaglio dello scenario Balanced Contents.
XIV
Innanzitutto, si fa notare che sono state presentate quattro matrici (e non cinque come definito
nella seconda sezione): le prime tre offrono ciascuna il dettaglio su uno degli assi di analisi
relativi alla qualità dei contenuti offerti, mentre la quarta è frutto del loro raggruppamento
secondo il principio di aggregazione Balanced Contents. Non è stata riportata la matrice relativa
allo scenario Governance Based poiché, nel caso in esame, avrebbe riportato un posizionamento
delle piattaforme uguale a quello ottenuto nello scenario Balanced Contents.
Per il criterio con cui sono state concepite, è evidente che in tutte le quattro matrici appena
presentate il posizionamento di ciascuna piattaforma GRC rispetto alle valutazioni del software e
della fornitura rimane invariato: ciò che può cambiare è il posizionamento rispetto alla qualità
dei contenuti offerti (stimata sull’asse Y). Questa modalità di rappresentazione dei risultati ha il
vantaggio di permettere di focalizzare la propria attenzione sullo scenario – ovvero sul contenuto
– d’interesse principale, non perdendo comunque visibilità sulle restanti funzionalità.
A titolo di esempio, si riporta di seguito il prospetto di dettaglio di una delle piattaforme valutate
(per imparzialità, è stata scelta la prima in ordine alfabetico):
XV
Aris Risk & Compliance Management – Software AG
SW Vendor
Software AG, storica azienda tedesca produttrice di
un’ampia gamma di software, è annoverata tra le
prime venticinque a livello globale ed opera in oltre
70 paesi direttamente coperti tramite una rete di
partner e servizi localizzati. Ricopre il ruolo di player
chiave anche nel mercato italiano per quanto
riguarda le soluzioni GRC.
Sito aziendale: http://www.softwareag.com/it/
Prodotto
La piattaforma Aris Risk & Compliance Management
è cross industry e personalizzabile per ogni cliente
sulla base delle sue specifiche necessità.
Punti di Forza
Sistema fortemente integrato con l'ambiente di modellazione dei processi e integrabile con
gli altri sistemi interni aziendali;
Schermate e processi di lavoro (“workflow”) chiari e ben definiti;
Solida metodologia sottostante.
Punti di debolezza e/o miglioramento
Sono richieste diverse personalizzazioni per migliorare il livello di efficienza del sistema.
Utente valutatore
Banco di Desio e della Brianza: è una delle più importanti realtà bancarie sul territorio nazionale,
che conta più di 270 filiali distribuite tra Nord e Centro Italia.
Sito aziendale: https://www.bancodesio.it
Un’analisi critica dei risultati esplicitati dalle quattro matrici di classificazione e dai prospetti di
dettaglio di ciascuna matrice porta alle seguenti considerazioni:
Essendo il posizionamento dei GRC all’interno delle matrici sempre il medesimo, si può
dedurre che in ciascun sistema analizzato il grado di completezza e dettaglio dei contenuti
offerti sia equilibrato.
RSA Archer GRC è globalmente il sistema più completo: esso, infatti, si colloca sempre nel
quadrante in alto a destra. Questo posizionamento va a conferma dei risultati presentati dai
XVI
sistemi di classificazione di Gartner e Forrester, i quali riconoscono RSA Archer GRC come
una delle migliori piattaforme sul mercato.
Il software KRC del “piccolo” produttore KeisData si è mostrato assolutamente competitivo
sia rispetto alla qualità dei contenuti che rispetto a quella del software. Tale risultato
conferma la valida scelta assunta nel Big Picture di non porre limiti di partecipazione (relativi
per esempio alla grandezza del GRC vendor), andando a coinvolgere anche produttori italiani
di “taglia minore”.
Gli spider diagrams riportati per ciascuna piattaforma analizzata rivelano che le differenze di
prestazione (relative soprattutto alla qualità dei contenuti, dove le valutazioni sono state
sempre in media maggiori di 3 su una scala da 1 a 4), seppur esistenti, sono ridotte.
In conclusione, dalla presente ricerca scaturiscono i seguenti spunti di studio degni di un futuro
approfondimento:
1. La relazione esistente tra i diversi tipi di organizzazione aziendale e la probabilità di successo
dell’iniziativa di implementazione di un sistema GRC.
2. L’inerzia dei sistemi GRC, ovverosia del tempo necessario all’utilizzatore per apprezzare le
reali potenzialità e i benefici che si possono trarre da tali sistemi.
3. L’impatto che una funzione di analisi di scenario integrata nel sistema GRC può avere sulla
percezione di utilità di tali sistemi da parte dei potenziali acquirenti.
I
EXECUTIVE SUMMARY
WHAT CAN WE REALLY EXPECT FROM GOVERNANCE, RISK AND COMPLIANCE MANAGEMENT SYSTEMS?
Very often top managers primarily perceive a Governance, Risk and Compliance Management
platform/system as something complex. In fact, the complexity lies in the situation in which the
companies operate: if on the one hand it is advisable to adopt simple systems, on the other hand
they do not have to "simplify" the problems up to making them "different" problems – so not
representative – from those that companies really have to face. This complexity, that is inherent
into the context where the firms operate, is now constantly increasing and, for the purpose of
making more balanced and sustainable decisions, it is evident the opportunity offered by IT
systems, such as the GRC systems, which provide very quickly information on the company's
internal and external environment, either highly detailed or aggregated, which support the
collection, management and analysis of such information and that capitalize the company's
Knowledge with the goal of optimizing future decisions. The purpose of this document is to
illustrate what basically a GRC platform is and to suggest how and why to choose and implement
it.
But what is the meaning of GRC? Primarily, the “GRC is an integrated, holistic approach to
organization-wide governance, risk and compliance ensuring that an organization acts ethically
correct and in accordance with its risk appetite, internal policies and external regulations through
the alignment of strategy, processes, technology and people, thereby improving efficiency and
effectiveness”2. Based on this approach, GRC software (also called "platforms" or "systems") have
been developed, allowing an integrated analysis of the three contents governance, risk and
compliance management.
Even before the birth of GRC systems, risk management has been an extensively researched topic
by the Enterprise Risk Management (ERM) approach, from which IT systems able to identify
potentially impacting events on business’s objectives, to evaluate these events’ occurrence and
magnitude probability, to determinate the corrective actions and to monitor progresses, have
2 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117
II
developed. Mainly created by the need for an tool to support voluntary compliance, the GRC does
not "limit" – as the ERM does – its scope to the analysis and the proposal of corrective actions to
risky situations, but, through a truly ongoing monitoring of all the potentially impacting events
on company’s performance and thanks to a both aggregate and detailed organization’s vision
(made possible by the Knowledge Management systems existing into the platform), allows a
better business management. Therefore, the Governance is the real cornerstone of GRC systems.
Most of the companies face the risk and the regulatory compliance with unstructured approaches
and frequently – just in response to an increase in business complexity due to a gradual process
of growth and change – decide to implement a GRC system by themselves ("make" decision)
thinking this way about limiting costs and tailoring it to their own requirements. In fact, this
choice often responds to urgent needs of an individual business unit and the result is the growth
of the organization’s “siloed” vision, completely in contrast with the paradigm of integration
(with related benefits) at the base of GRC; moreover, there is the evident risk of not meeting
targets in terms of time and costs due to the high skills needed to develop such a large and
complex system. Clearly, buying such a software from a specialized vendor ("buy" decision)
allows the companies to rely on a platform that is tested on multiple industries and lightens them
from the burden of software and regulations upgrades; furthermore, most of these systems also
allow managers to run the company in accordance with ISO standards. On the market it is
possible to choose between two different types of GRC platforms: those for specialized vertical
industries and the integral ones that allow companies to manage multiple areas of interest.
Clearly, the choice of a vertical platform impedes to reach all the benefits associated with
integration, does not allow management to have a global vision of the company and, very often,
obliges to invest additional money in integration of single modules. The best choice is surely the
purchasing of an originally integrated GRC platform, especially in light of the fact that many
vendors offer the possibility to make a highly modular and scalable investment.
Starting from the assumption that efficiency in a complex enterprise is not only achievable
through organizational and/or technical revolutions but also through improvement of the
management system, it is possible to perceive the value of an investment in a GRC platform. The
adoption of such a platform is beneficial to the three areas of Governance, Risk and Compliance
Management. Hereunder, few but already significant evidences of these potential benefits are
listed. Concerning the Governance, the integration of business processes within a unique IT
system let the company avoid unnecessary duplication of processes and resources and, thanks to
III
a holistic view of the organization, to overcome a “siloed” approach, very common in large firms.
Moreover, having a real Knowledge Management system allows companies capitalize the
business knowledge by enabling the management to exercise an effective and efficient
governance. About Risk Management, GRC systems help firms to identify all the potential risks,
even the "hidden" ones, in order to align business strategies to the risk threshold that the
company is willing to accept and to ensure the business continuity (avoiding consequent
financial losses) through a really continuous risk analysis: these benefits are enabled by the fact
that the most advanced GRC platforms are based on the ISO 31000:2009 standard. In the end, an
integrated approach to Compliance Management allows to ensure conformity both with
mandatory and voluntary rules and/or standards; additionally, a continuous and automatic
control of the company's compliance with regulations protect it against possible sanctions and
resulting loss of reputation. The opportunity offered by GRC to automate and centralize all these
activities also leads to reduction in costs related to regulatory compliance, too.
In support of the above-mentioned evidences, in order to highlight what practically important
and complex companies have to handle on a daily base and to provide further food for thought,
the first section of the document ends reporting the most relevant results that have come to light
from interviews done with Governance, Risk and Compliance Management executives of product
and service companies during the period of June and July 2015. These companies are
significantly different one from each other in terms of industry and set of problems
(internationalization, market regulation, etc.), but they share a high degree of complexity and
market dynamism. First of all, it can be undoubtedly stated that the awareness of subjects like
Governance, Risk and Compliance Management is even now in a growth phase and it is not
always homogeneously developed; for this reason, it is emblematic of the fact that just the
minority of interviewees have explicitly recognized Risk Management in proactive prospective.
The interviews confirmed most of the benefits the implementation of a GRC system can bring,
like, for example, the opportunity to "have a clearer and cross vision of the company", to ensure
high security of confidential information (thus safeguarding business continuity) and to free
human resources up from office automation processes; the interviewees also acknowledged that
the possibility of buying on a scalable platform gave them the "opportunity to grow the tool [GRC]
as needed, in accordance with the firm’s maturity". On the other hand, the interviews revealed
that, sometimes, GRC platforms are not recognized as systems to increase the effectiveness of
decision-making whereas, other times, these software are not extensively used at all the
IV
company’s levels (limiting them to the higher executive level): a number of risk managers have
declared that they intend to focus exclusively on around fifteen strategic risks, appearing totally
disinterested in keeping track of corporate knowledge with a "too high” level of detail. Finally,
two hints have emerged for future GRC systems’ development of: the CRO of an important Italian
service company stated that the GRC “must not be a custom product" (i.e. the GRC must not
specifically be built for the company), but based on a standard and functioning platform, that
have to be highly adaptable to each company’s situation; moreover, the majority of respondents
showed interest in GRCs that can provide a scenario analysis function.
In the end, despite the large effort required for the implementation, all the interviewees have
shown satisfaction from the use of their GRC platforms.
CONCEPTUAL PROPOSAL OF A NEW CLASSIFICATION SYSTEM: THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS
The birth of a number of GRC systems has created a market composed by a wide range of
platforms produced by both large and well-known software vendors and more small and focused
firms. Consequently, the result is the potential buyers’ need of for a framework that addresses
them to the choice of the platform that most suits their requirements; as a response to this
request, some of the most prestigious management consulting companies worldwide - such as
Gartner Inc. and Forrester Research Inc. - publish an annual document in which they present the
assessment and classification of (they say) some of the top GRC platforms.
Considering the great potential of this market, still young but rapidly expanding, appearing on
these documents can be considered fundamental for every GRC vendor. The Magic Quadrant for
Enterprise Governance, Risk and Compliance Platforms - Gartner - and The Forrester Wave:
Governance, Risk, And Compliance Platforms – Forrester – propose, as final outcome of their
comparative analysis, a classification matrix where it is intuitive to deduce a relative ranking
between the analyzed platforms; in addition to the matrices, the detail descriptions (with
strengths and weaknesses) of each software, the definition of the GRC market and few mentions
about the evaluation criteria are presented. If on the one hand these assessment and
classification documents are surely intuitive and quickly usable and allow to clearly identify the
most reliable GRC vendors from the financial point of view, on the other hand there is the
perception that they suffer from a certain lack of completeness: first of all, their sample of GRC
V
systems includes just “big” vendors (for example in terms of customer base size and amount of
annual turnover), whereas the analysis of some of the most typical parameters of the GRCs - such
as those related to the contents offered by each platform - remains superficial. The limits of the
current classification systems have, also, emerged from interviews with several risk managers
working for important companies operating in Italy who, using only these documents, reported
difficulties in identifying the GRC system that most suits their needs and so, often, they had to
seek additional information, for example paying for the advice of consulting companies or
experts.
For all these reasons, the authors believe the need for a new assessment and classification
system for GRC platforms exists; this system does not presume to replace the existing ones, but it
wants to be complementary to them. In fact, the new system will probably be more articulated,
but undoubtedly be more technical and hopefully more complete and able to better highlight the
differences between each GRC software.
The assessment and classification system derived from the theoretical principles discussed in the
first section of the document, the outcomes of the interviews and the analysis of the existing
classifications has been called Big Picture for Governance, Risk and Compliance Platforms (also
called simply Big Picture). The sequence of logical steps that led to its formulation is
schematically shown in Figure 1.
Figure 1 - Approach to the problem.
The starting point has been the definition of the research’s goals: the creation of a new
assessment and classification system for GRC platforms as useful support to the companies in the
process of selection of the most appropriate platform, able to free up a part of the human and/or
financial resources otherwise intended to this choice, and to provide an additional point of view
to the existing benchmark systems. At the same time, the desired features of the system have
Strengths Weaknesses
New system
Desired features
Goals
Existing
classifications
VI
been defined; the hypothetical buyer of GRC software would have an assessment and
classification system that is neutral, complete (referring to a particular reference market),
exhaustive (in terms of analysis of characteristics and functionalities of each platform), free and
that leaves visibility on every assumption and assessment made in it. After that, the existing
classifications’ contents have been examined. The strengths of these systems are basically three,
that are the possibility to classify some of the most accredited GRC software worldwide, to found
their ratings on a combination of data from multiple sources and to offer an easy-to-read
outcome; but there are also weaknesses, such as the decision to preemptively preclude the
possibility to “small” GRC vendors’ platforms to appear in the classification system, the
superficial analysis of some GRC’s features and the low visibility on the description of the
evaluation criteria. As a result, the new assessment and classification system aims to meet the
overall research’s goals and the desired features by the potential buyers of GRCs, to integrate the
strengths and (if feasible) to overcome the weaknesses of the current benchmark systems.
A schematic representation of the basic elements of the Big Picture is shown in Figure 2.
GRC assessment phase GRC classification phase
Figure 2 - Scheme of the elements characterizing the Big Picture.
VII
In the assessment phase three are the considered analysis’s criteria that derive from the
previous considerations: Content, Software and Supply. This distinction has the clear advantage to
“address” (at least, hypothetically) the three managers who are in charge of deciding about the
purchasing of a GRC platform: the criterion Content has to be considered by the CRO, the
Software by CIO and the Supply by CFO. The involvement of these three managers helps to
ensure an overall satisfactory choice of the GRC system.
The first criterion, Content, has been fully designed by the authors and it assesses all the features
and functionality that a "good" GRC system should have; it is subsequently divided into three
axes of analysis (called Knowledge Management & Governance, Risk Management and Compliance
Management) that are described, when possible, through similar metrics in order to present
clear and comparable results, minimizing the ambiguity between the descriptions of the axes.
Each axis is composed by three main dimensions: Adequacy of contents, Quality of outputs, and
Integration of information.
The Adequacy of contents includes the Degree of coverage of the Knowledge
Base/Risks/Regulations (defined in terms of breadth and maximum detail achievable by
each platform), the Scalability (i.e. the capability to split the above-mentioned contents),
and the capability to – immediately – Upgrade the contents following changes.
The Quality of outputs is defined by multiple dimensions of analysis. The Usability of
information within the GRC – dimension that is repeated in all three axes – that includes:
the capability to create different User profile for different types of users, the
Communicability (in terms of having a notification system able to inform every
interested user that changes in information have occurred), a dimension of Tracking
(which measures if the platform offers automatic documents indexing, the possibility of
keeping track of the previous versions of these documents and registering them), the
Customizability of outputs, and the ability to automatically generate complete basic
reports. Regarding the Knowledge Management & Governance axis, the Use of qualitative
and/or quantitative recognized models for the Knowledge Base description is analyzed
too; regarding the Risk Management axis, the possible Structuring (of the GRC system)
consistent with the ISO 31000:2009 standard and the Usage of qualitative and/or
quantitative recognized models for the description of information related to risk
management are analyzed; lastly, regarding the Compliance Management axis, the
possible Structuring consistent with ISO standards and the Use of quantitative models
(inherently more robust than just qualitative models) for the evaluation of regulatory
compliance are assessed.
VIII
The Integration of information includes the Consistency of information (i.e. the capability
of the GRC system to have unique information related to the Knowledge Base/risk
management/ compliance management avoiding, this way, to have information upgraded
at different moments) and the Synergy between the information.
The criterion Software, which – in its entirety – corresponds to the fourth axis of analysis and
offers an assessment of the inherent quality of the GRC platforms’ software, regardless of the
contents and the functions they can offer; it is characterized by dimensions that have been
accurately taken from the ISO/IEC 25010:2011 standard, which are: Functional suitability,
Performance efficiency, Compatibility, Usability, Reliability, Security, Maintainability and
Portability.
The criterion Supply, which is the fifth and final axis of analysis, estimates the probability of
success and satisfaction related to the investment in a particular GRC system: therefore, this is a
“purely enabler” axis that does not assess the quality of the platform. The evaluation is offered by
the following five dimensions: Financial stability of the GRC vendor, Effort in GRC innovation,
Geographical spread (both in terms of worldwide market presence and direct support services to
every customer), Quality of support services offered by the vendor (such as implementation,
maintenance and upgrading services) and Acquisition cost of the GRC.
The classification phase starts from the definition of the aggregation principles of the
evaluations got in the previous phase, and continues with the graphical representation of the
results through specific matrices and spider diagrams.
The Big Picture’s goal is to provide a benchmark analysis based on the evaluation of multiple
scenarios obtained from specific aggregation criteria; these scenarios are based on the relative
importance of the contents offered by each GRC platform so, they are not based on specific use
cases. That with the aim of overcoming what, according to the authors, is a limitation (for all
users who are not interested in those use cases) inherent in the classification systems of Gartner
and Forrester. Moving from the assumption that, in order to assess the criterion related to the
Content, the Knowledge Management & Governance axis always has a higher weighting than the
other two axes (Risk Management and Compliance Management), two "standard" scenarios have
been defined: Balanced Contents scenario (in which the axes of the Content have equal
weighting) and the Governance Based scenario (in which the Knowledge Management &
Governance axis weighs 50% of the overall evaluation, whereas the remaining two axes weigh
25% each). Concerning the aggregation criteria of the every dimension within each axes of
analysis, the weighing is uniform in order to achieve high generalization and easy interpretation
IX
of results; the only exception is in the Software axis where, as a result of evidences from
interviews with risk managers working for important companies operating in Italy, the
dimensions Compatibility and Security deserve higher weighting.
The Big Picture provides a graphical representation for the Balanced Contents and Governance
Based scenarios and for the three individual axes of the criterion Content through five matrices
that allow an easy and immediate comparison between the considered GRC platforms.
Specifically, each matrix reports on the x-axis the evaluation of the criterion Software, on the y-
axis the evaluation of one of the five possible interpretations of the criterion Content and,
through sub-quadrants, the assessment of the criterion Supply. Each axis is divided on a binary
scale in order to reduce the possible error due to a too specific mapping of the analyzed GRCs
inside the matrices: within each sub-quadrant the GRC platforms’ names are presented as a list,
not with a specific positioning into the sub-quadrant. After showing the matrices, the
representation of the five axes of analysis for each analyzed GRC is offered.
THE BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS: MARKET ANALYSIS
The third and final section of the document is composed by the explanation of the inclusion
criteria that GRC platforms have to meet to be considered in the research, the description of the
methodology of the evaluations’ collection and the definition of the dimensions of analysis that
have been assessed; after that, the graphical representation of the classifications followed by the
specific analysis of each GRC platform are offered. At the end of the treatise, the outcomes are
summarized and their comparison with the results of Gartner and Forrester’s classification is
presented.
The Big Picture aspires to fulfill all the desired features for a hypothetical GRC and classification
system: in particular, the element that distinguishes it from existing classifications is the
possibility to offer a complete study, so, after having set a reference market, it is potentially able
to include any GRC vendors. In fact, due to the limited availability of resources to spend on the
research, it has been decided to focus the analysis on the Italian market; therefore, the attention
is on those GRC platforms that are directly purchasable in Italy, in order to give visibility to the
local specialized GRC vendors too. The GRC vendors which have been contacted for the study are
those that, besides appearing in the Magic Quadrant and in the Forrester Wave, operate directly
X
on the Italian territory (so, with Italian branches or subsidiaries, or, at least, with an Italian
phone number or email address), and those that offer GRC systems (or software having similar
functionality) but, because of their company’s size and/or turnover, can not appear in the above
mentioned classifications. The latter vendors have been found through investigation on the web.
Specific information about the company have been asked to the sales manager of every GRC
platform: these data are mostly useful for the evaluation of the Supply axis. All the other
evaluations, inherently more subjective, have been obtained by the opinions of a "satisfied
customer", i.e. a user - whose name was provided by the GRC vendor - who has extensively
implemented the GRC software and use it regularly (possibly, for at least one year since the end
of the implementation); this method of evaluations gathering allows to perform a neutral
assessment and, at the same time, highlight the strong points of each system (without, however,
omitting to report the weaknesses).
To pursue a goal of synthesis, the respondents are asked to assess a slightly lower number of
dimensions of analysis than the ones defined in the second section of the document. Specifically,
sometimes the evaluation of the three axes of the criterion Content has stopped at the
penultimate level of detail; for each of these axes, the overall degree of satisfaction has been
required too, in order to verify the congruence between the individual scores and the
corresponding overall evaluation. Finally, each customer is asked to answer around 60 multiple-
choice questions and three open questions, while each sales manager is in charge of answering
five questions about general information of the GRC vendor company he works for.
Delving more deeply into the structure of the five classification matrices, each of them has been
designed with the following logic: the axes (where the x-axis is about the evaluation of the
software’s quality and the y-axis about the content offered from the platforms) are divided into
two parts referred as "low" and "high", while within each resulting quadrant there is a further
subdivision in which the top right section indicates a better rating than the lower left with regard
to the criterion Supply; in these sub-quadrants the GRC platforms names are presented as in a
list (so, not with a specific positioning). In case the total number of evaluations received by an
axis of a specific GRC platform is insufficient to consider its assessment trustworthy, within the
classification matrices the name of that GRC will be written with an asterisk and related
explanatory information.
XI
Since the evaluation of each software has been performed by – theoretically – the "most satisfied
user”, in most of the cases the results are very positive; however, this does not impede to
highlight the strengths of every analyzed software. Given that the aim of the Big Picture is to
distinguish in a neutral manner the features and functionalities of GRC systems – relatively to the
sample of analyzed platforms –, the subdivision of each axis of analysis is not in two parts of the
same size (i.e. of the same length), but in two classes of the same numerousness, that is more
effective in case of asymmetric distribution of values as the one obtained; in this way the scale of
each axis is neither linear nor equal between every matrices. So, any further addition of
platforms into the Big Picture – i.e. into the matrices – can lead to the re-mapping of a GRC in a
different quadrant.
The next pages show the results of the classification:
XIV
First of all, it is possible to notice that four matrices have been presented (not five as defined in
the second section of the document): the first three display separately the axes of analysis for the
criterion Content, while the fourth is the result of the Balanced Contents scenario. The matrix
concerning the Governance Based scenario has not been showed since, in this case, it would have
reported the same positioning than the ones obtained in the Balanced Contents scenario.
Due to the way these matrices have been designed (in particular regarding the evaluation of the
Software and the Supply), it is clear that the positioning of each GRC platform remains the same
in all of them: what can change is the positioning along the y-axis concerning the Content. This
method of presenting results has the advantage of allowing the reader to immediately focus on
the scenario – that is the content – of main interest, without losing them the visibility on the
remaining functionality.
As an example, the detailed description of one of the evaluated platforms is shown below (for
fairness, it has been chosen the first platform in alphabetical order):
XV
Aris Risk & Compliance Management – Software AG
SW Vendor
Software AG, the well-known German company, is
ranked among the top twenty-five software
manufacturers and serves more than 70 countries
that are directly covered by branches and partners. It
plays the role of key player in the Italian market
concerning the GRC solutions.
Official website: http://www.softwareag.com
Product
Aris Risk & Compliance Management is a cross-
industry platform and it is highly customizable on
each user’s needs.
Strengths
Integration with other corporate IT systems;
Graphic interface and workflows are easily understandable;
Robust methodology.
Weaknesses
A number of customizations are required to improve the standard efficiency of the system.
User
Banco di Desio e della Brianza: one of the largest banking groups in Italy, which can count more
than 270 branches spread across northern and central Italy.
Sito aziendale: https://www.bancodesio.it
The analysis of the results obtained from the classification matrices and the detailed descriptions
of each GRC platform leads to the following considerations:
Since the positioning of the GRCs within the matrices are always the same, it is possible to
deduce that every analyzed system offers a comparable degree of completeness and
detail.
RSA Archer GRC is globally the most complete platform and it is always located in the top
right quadrant. This positioning confirms the results offered by Gartner and Forrester’s
classification systems that consider RSA Archer GRC as one of the best platforms on the
market.
XVI
The software KRC of the local GRC vendor KeisData has proved to be absolutely
competitive both in terms of quality of contents and software. This result confirms the
decision taken into the Big Picture to avoid setting particular participation limits (for
example about to the size of the GRC vendor) and, so, involving “small” Italian vendors
too.
The spider diagrams of each analyzed platform reveal that the differences in
performance, even though existing, are limited (mainly considering the performances
related to the quality of the Contents where the average score is higher than 3 on a 1 to 4
scale for every software).
Finally, the authors’ hope is that the findings of the present research can inspire future research
developments, such as the study of:
1. The current relationship between the type of organization and the probability of success
of a GRC platform implementation.
2. The inertia of the GRC systems, i.e. the time needed by the user to really appreciate the
benefits deriving by using these systems.
3. The impact that an integrated scenario analysis function into the GRC can have on the
potential GRC buyers’ perception.
1
INTRODUZIONE AL PROBLEMA
Con il termine “organizzazione” ci si riferisce solitamente a quelle “circostanze in cui un insieme di
individui condivide uno scopo comune che può essere perseguito tramite azioni collettive”3.
Partendo da questa definizione, si può indubbiamente affermare che i problemi fondamentali alla
base del pensiero organizzativo sono da sempre legati allo studio della specializzazione del
lavoro e del conseguente coordinamento tra individui necessario all’interno di ogni
organizzazione/azienda/impresa.
La crescita delle dimensioni delle imprese è oggigiorno un processo sempre più inevitabile per
affermarsi – o quantomeno “sopravvivere” – in un ambiente economico tanto competitivo
quanto, probabilmente, non lo era mai stato in precedenza. Come conseguenza di tale crescita, si
assiste alla tendenza a frammentare i processi interni in attività sempre più specializzate che
richiedono, inevitabilmente, di essere coordinate: logica conseguenza è il parallelo aumento della
complessità aziendale da gestire.
Più nello specifico, la numerosità degli elementi – siano essi risorse umane, asset o processi
aziendali – da governare, la disomogeneità di tali elementi, la loro variabilità e le interdipendenze
che li legano sono alcuni dei fattori che determinano suddetta complessità. All’atto pratico, tali
fattori si traducono in problematiche concrete che ogni giorno il management aziendale è
chiamato ad affrontare per raggiungere i tanto agognati obiettivi definiti in sede di budget:
dall’IT alle operations, dal controllo di gestione all’ufficio legale ogni funzione aziendale è ormai
caratterizzata da un’elevata complessità gestionale.
La complessità delle aziende moderne, però, non è solamente frutto di fattori interni alla loro
organizzazione; anche il contesto in cui sono chiamate ad operare è, nella maggior parte dei casi,
notevolmente complesso: si pensi, per esempio, alla sempre maggior attenzione posta sulla
gestione delle relazioni con i fornitori e i clienti, a fenomeni quali la spinta
all’internazionalizzazione o a possibili problematiche legate alla regolamentazione del settore in
cui si opera. Non da ultimo, un tasso d’innovazione sempre più elevato è anche indice di alta
dinamicità in qualsivoglia business.
3 Spina G. (2008), La gestione dell’impresa (Seconda edizione), Etas, pag.3.
2
Per quanto appena riportato è, quindi, evidente che l’attività di governance di un’azienda non
sempre risulta efficace ed efficiente come desiderato.
L’efficacia della governance aziendale decade nel momento in cui l’organizzazione non viene più
vista dal management come un unico ed integrato organismo atto al raggiungimento degli
obiettivi generali (legati, nella maggior parte dei casi, a finalità di redditività). A causa della
crescita di dimensione, l’organizzazione è portata a suddividere i propri obiettivi generali in
sotto-obiettivi, ciascuno dei quali sarà assegnato ad una specifica funzione aziendale;
procedendo in tale maniera, però, ogni funzione è (involontariamente) “spinta” a focalizzarsi sul
raggiungimento del suo specifico sotto-obiettivo. Una tale visione a “silos” dell’azienda, quindi,
rischierebbe di portare al raggiungimento dei soli obiettivi “locali”, spesso non sufficienti – se
non addirittura in conflitto – al raggiungimento dell’obiettivo ottimo globale.
L’efficienza della governance aziendale, invece, viene meno qualora, per poter raggiungere quegli
obiettivi di prestazione che, seppur locali, vengono accettati dal management, vi sia un
sovradimensionamento o addirittura una vera e propria duplicazione (dovuta, per esempio, a
richieste impellenti di determinate funzioni) delle risorse dedicate allo svolgimento di specifiche
attività.
Per ovviare a quanto appena sostenuto, l’efficacia e l’efficienza di un sistema aziendale complesso
possono da un lato essere incrementate tramite rivoluzioni organizzative e/o tecniche, dall’altro
tramite miglioramenti del sistema di gestione.
A tale scopo, una delle possibili strade che le aziende possono intraprendere è quella di
orientarsi verso uno strumento informatico di supporto: nel panorama dei sistemi attualmente
esistenti sul mercato, una scelta è rappresentata dai sistemi di Governance, Risk e Compliance
Management (GRC).
A questo punto è lecito porsi le seguenti domande:
Cos’è un sistema GRC e quali sono i benefici derivanti dalla sua implementazione?
Che cosa si aspettano i manager da tali sistemi?
Qual è, ad oggi, la considerazione di cui godono?
Com’è possibile valutarne le caratteristiche e funzionalità?
Lo scopo della presente ricerca è quello di rispondere a tali domande e, successivamente,
giungere alla stesura di un nuovo sistema di valutazione e classificazione che racchiuda in sé le
evidenze da esse emerse.
3
L’elaborato si articola in tre sezioni (report) principali: nel primo report viene fatto un
inquadramento teorico dei sistemi GRC, nel secondo viene sviluppato il nuovo strumento di
valutazione e classificazione che nel terzo sarà applicato a software esistenti sul mercato italiano.
4
1. UN PO’ DI CHIAREZZA SUI SISTEMI DI GOVERNANCE,
RISK E COMPLIANCE MANAGEMENT: COSA CI
POSSIAMO ASPETTARE?
1.1 PREMESSA
Prima di affrontare la questione dell’adozione di un sistema GRC da parte di un’azienda, poniamo
in evidenza alcune premesse che riteniamo fondamentali.
Prima premessa: qualunque idea abbiamo del GRC, è sicuramente ed indissolubilmente legata ad
una percezione di complessità. Ciò che spesso non è a tutti chiaro, tuttavia, è che tale complessità
rappresenta la situazione reale in cui l’azienda opera, e non necessariamente la complessità dello
strumento/sistema.
Seconda premessa: per quanto possibile, per affrontare un problema è sempre meglio adottare
strumenti semplici che strumenti complessi, a patto che tali strumenti non richiedano di
semplificare così il problema da renderlo di fatto un problema “diverso” – e, quindi, non
rappresentativo – da quello che l’azienda deve realmente affrontare.
Terza premessa: il numero di problemi da gestire in azienda aumenta sempre in un contesto
caratterizzato da elementi di complessità e di dinamicità: abbiamo sempre meno il controllo
dello stato della situazione, sempre meno tempo per prendere decisioni, e sempre meno certezza
che il risultato atteso sarà conseguito. Da qui ben si comprende come la quantificazione
scientifica degli effetti che l’adozione di un sistema di GRC può portare sia un compito senza
dubbio arduo. Evidente però, allo stesso modo, è la necessità vitale di un tale strumento per
l’azienda che sia in grado di poter indirizzare e gestire efficacemente il processo di “adattamento”
al contesto. In tal senso, alcune delle necessità aziendali che un sistema GRC dovrebbe essere in
grado di soddisfare possono essere elencate senza alcuna presunzione di esaustività:
- il bisogno di conoscere il contesto esterno e interno all’azienda in tempi molto rapidi;
- il bisogno di informazioni di elevato dettaglio, tipicamente per decisioni “locali”, ma anche di
informazioni aggregate per poter prendere decisioni bilanciate e sostenibili;
- il bisogno di strumenti per supportare un lavoro altrimenti insostenibile che va dalla raccolta
delle informazioni alla relativa gestione ed analisi;
- il bisogno di capitalizzare la conoscenza - Knowledge - già acquisita, per decidere al meglio per il
futuro.
5
Con riferimento a queste premesse, si cercherà in seguito di fare chiarezza su che cosa
effettivamente sia un sistema di GRC nel suo complesso (e che relazione esista col più noto ERM),
sul come sceglierlo e/o implementarlo, e sul perché implementarlo (in relazione alle sue
componenti fondamentali).
Scopo di questo documento è quello di dare al lettore uno spettro il più possibile completo di
elementi utili a valutare l’opportunità di implementare un sistema GRC con il supporto
evidentemente importante di sistemi di classificazione/confronto già esistenti.
1.2 COS’È UN GRC?
I concetti di Governance, Risk Management e Compliance Management sono da anni
preoccupazioni fondamentali per ogni azienda, a prescindere dalla sua dimensione e dal suo
mercato di riferimento. Più di recente, la percezione di tali temi sta cambiando, spostandosi
verso un approccio sempre più integrato e olistico: nella ricerca accademica di supporto al tema
– e sempre di più nella pratica aziendale – è unanimemente sostenuto che un approccio di questo
tipo consente all’impresa di prendere migliori decisioni e quindi, nel lungo periodo, di ottenere
vantaggi competitivi. Fattori esterni quali la globalizzazione, l’aumento continuo della pressione
della cogenza normativa, la diffusione di fenomeni “social” ed il progresso tecnologico,
unitamente a fattori come la massimizzazione della ricchezza degli Shareholder e la tutela degli
Stakeholder, sembrano essere le ragioni principali alla base di una visione sempre più
centralizzata di questi tre temi.
Il cosiddetto approccio GRC risponde puntualmente a questa nuova esigenza aziendale: esso
consiste in un sistema coordinato di persone, processi e tecnologie che contribuiscono a
migliorare le performance. Una definizione condivisibile ed esaustiva di approccio GRC è stata
proposta nel 20104: un approccio integrato e olistico a livello aziendale di Governance, gestione del
rischio e conformità normativa, volto ad assicurare che l’organizzazione operi eticamente e in
accordo con la sua propensione al rischio, alle politiche interne e alle norme esterne attraverso
l’allineamento di strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da
aumentare efficienza ed efficacia.
4 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp. 106-117
6
Sulla base di questo approccio, negli ultimi anni sono state sviluppate le vere e proprie
piattaforme software (o “sistemi di supporto”, o semplicemente “sistemi”) GRC che stanno
abilitando sempre più numerose aziende a una trattazione integrata di questi tre temi, a partire,
come è naturale, dai gruppi internazionali.
Nel seguito si utilizzerà la dizione “GRC” riferendosi ai sistemi GRC, e non all’approccio, se non
espressamente specificato.
1.3 CHE RELAZIONE ESISTE FRA GRC E ERM?
Nell’ambito della ricerca scientifica, il tema del Risk Management è oggetto di numerosi studi
ormai da decenni. Il risultato di tale ricerca – in continua evoluzione – è stato di fatto reso fruibile
nella sua forma più estesa, ovvero quella – nata prima del GRC – dell’Enterprise Risk
Management (ERM), da strumenti software che prendono appunto il nome di sistemi ERM.
Provando a descriverlo possiamo dire che un sistema ERM è una struttura che si articola
nell’identificazione di eventi o circostanze potenzialmente impattanti sugli obiettivi aziendali,
nella loro valutazione in termini di probabilità di accadimento e magnitudo, nella determinazione
di azioni correttive e nel monitoraggio dei progressi. Il GRC, invece, si è affermato soltanto in
seguito, con tutta probabilità primariamente sulla spinta della richiesta sempre più pressante da
parte delle aziende di uno strumento di reale supporto alle problematiche di Compliance
volontarie.
Ma quali sono i principali punti di contatto e di divergenza tra sistemi GRC ed ERM?
Dall’analisi di documenti e riviste del settore, due sono le prospettive che emergono.
Secondo una prima prospettiva, l’ERM con tutte le sue componenti (quali risk identification, risk
assessment, risk monitoring, …) è visto semplicemente come una parte del GRC (evidentemente,
la sua componente di risk management).
Secondo una seconda prospettiva, supportata dagli autori, GRC e ERM riflettono una
sostanzialmente diversa concezione di base, pur potendosi considerare discipline interconnesse
e parzialmente sovrapposte (come inteso nella prima prospettiva, nell’ambito del risk
7
management) e condividendo alcuni processi e tecnologie comuni. Infatti, i sistemi ERM si
“limitano” ad analizzare i rischi, scattandone un’istantanea in un preciso momento e proponendo
le opportune azioni correttive nel caso siano necessarie. I sistemi GRC sono in realtà degli
strumenti molto più ampi: sono infatti in grado di mettere in luce i processi di maggiore
criticità/opportunità all’interno dell’azienda (disponendo di una visione aggregata tanto quanto
una visione di dettaglio), e – attraverso l’analisi di rischio – abilitano i decision maker a prendere
decisioni in maniera supportata e consapevole. Si può quindi affermare che l’elemento cardine di
questi sistemi sia la Governance, che consente all’azienda un’evoluzione costante e un
miglioramento continuo, abilitandola ad avere un controllo del rischio realmente continuo nel
tempo, e avendo sempre piena consapevolezza sul tema della Compliance normativa. In tal senso,
ad avviso degli autori, i sistemi GRC hanno un sostanziale vantaggio rispetto ai sistemi ERM in
quanto maggiormente in grado di poter indirizzare e gestire efficacemente il processo di
“adattamento” al contesto, proprio perché “indirizzato” dal concetto di Governance.
1.4 COME SCEGLIERE E/O IMPLEMENTARE UN GRC?
Sulla possibilità di sviluppo interno o acquisto di un software GRC esistono vantaggi e svantaggi
la cui rilevanza dipende evidentemente dalle specificità della singola azienda; proviamo, tuttavia,
a indentificare alcune linee di indirizzo generale.
In Italia così come all’estero, la maggior parte delle imprese affronta il rischio e la Compliance
normativa in maniera alquanto destrutturata, spesso solo attraverso strumenti di tipo Office
quali ad esempio “fogli” di calcolo. La necessità di implementare un sistema GRC deriva
solitamente dall’aumento di complessità che l’impresa riscontra nel progressivo percorso di
crescita o di cambiamento. Molte imprese si trovano così, senza un reale momento di analisi e
comprensione del contesto, a sviluppare ed implementare progressivamente soluzioni
applicative all’interno dei propri sistemi informativi (scelta di tipo “make”), spinte
principalmente da motivazioni quali: il contenimento dei costi legati all’investimento, la
possibilità di effettuare una perfetta personalizzazione per la propria peculiarità di business e,
infine, il non dover dipendere da un fornitore esterno. Tuttavia, cercando di osservare il
fenomeno in maniera distaccata e per quanto possibile oggettiva e pensando all’evoluzione
dell’implementazione del tempo per seguire i cambiamenti dell’impresa, ci si accorge che i
benefici del “make” appena descritti non sempre possono davvero giustificare tale scelta, il cui
fine ultimo è quello di rendere (ben) fattibile la gestione di una crescente complessità (e non di
8
introdurre ulteriori problemi all’interno delle dinamiche aziendali). La scelta “make, infatti, è
anche spesso motivata dall’esigenza di rispondere ad una necessità impellente, manifestata da
una singola funzione (che ha bisogno, ad esempio, di un’analisi di rischio più approfondita);
questa è quindi una soluzione locale, che non fa altro che aumentare la frammentazione delle
funzioni aziendali, aumentando la visione a “silos” dell’organizzazione (con tutti gli svantaggi che
questa comporta), in netto contrasto con un “paradigma integrato” che può davvero consentire la
gestione della complessità (e che sta alla base dei sistemi GRC). Oltre alla non-integrazione (o
raggiungibile solo parzialmente, con infinite problematiche di interfacce), esistono anche altri
motivi che possono rendere sconsigliabile uno sviluppo domestico di un sistema GRC, basta
pensare al rischio di non rispettare obiettivi in termini di tempi e costi di sviluppo (caratteristica
questa comune a tutti gli investimenti in piattaforme software, ma particolarmente accentuata in
un caso complesso come quello che stiamo analizzando), oltre che alla quantità e qualità di
risorse e competenze necessarie che l’impresa deve acquisire per lo sviluppo di un sistema così
complesso, capillare e ampio come il GRC .
Optando invece per l’acquisto (scelta di tipo “buy”) di una piattaforma da un provider
specializzato si sceglie di investire su uno strumento strutturalmente più robusto, perché testato
su diversi ambiti applicativi, e che garantisce un alleggerimento dal peso legato ad aggiornamenti
e miglioramenti del software e ad aggiornamenti legislativi o di standard. Forse ancora più
importante, molti software di importanti realtà aziendali nazionali ed internazionali sono pensati
in origine per consentire una gestione conforme agli standard ISO. Bisogna comunque
riconoscere che esistono anche per l’opzione “buy” rischi di non completa integrabilità, occorre
valutare sistema per sistema, insieme alle opzioni (e relativi costi più o meno rilevanti) fornite
dai vendor in termini di personalizzazione della piattaforma “standard” in base alle diverse
necessità. Alcuni di questi sistemi si dichiarano (o vengono percepiti dai clienti) specializzati per
industry o per singoli ambiti (ad esempio sulla conformità al D.Lgs.231 piuttosto che sulla salute
e sicurezza), cosa che comporta un’opzione “buy” più interessante per imprese particolarmente
indirizzate ad alcune aree tematiche; altri sistemi invece consentono una gestione approfondita
di moltissime aree di interesse (aree tematiche), nella stessa misura ed in modo integrato, cosa
che comporta un’opzione “buy” più interessante per imprese particolarmente indirizzate a
Governance, Risk & Compliance management il più possibile completi. A questo punto, l’impresa
può domandarsi se convenga investire in una soluzione progettata “integrale” in origine o in una
soluzione verticale su uno specifico ambito, eventualmente da integrare nel tempo con altre
soluzioni verticali (eventualmente di altri vendor). Se si optasse per una soluzione verticale,
9
verrebbero meno tutti i benefici legati all’integrazione, correndo il rischio di ragionare
nuovamente per “silos” funzionali e di trovarsi obbligati ad investire ulteriori capitali per
l’integrazione dei singoli moduli; un tale prodotto, quindi, non permetterebbe al management di
avere una visione globale dell’impresa e di raggiungere i benefici potenzialmente derivanti
dall’adozione di un GRC. Si consideri inoltre l’opportunità che i vendor di piattaforme “integrali”
in origine (in modi molto diversi) consentono ai propri clienti di effettuare un investimento
modulare e scalabile, abilitando quindi primariamente le funzionalità che il cliente ritiene
prioritarie. Inoltre, questi vendor offrono servizi (in misura differente) che permettono di
seguire passo dopo passo il percorso evolutivo di implementazione della piattaforma, aiutando il
cliente, nella fase di setup, a mappare ed inserire i dati relativi a processi, personale e assets, ma
non solo, nel software fornito, portando il sistema a lavorare efficacemente a pieno regime.
In seguito a tutte le evidenze sopra esposte, la scelta in generale più appropriata sembra dunque
quella di acquistare una soluzione GRC, in quanto tale integrata in origine (ossia con la garanzia
di efficacia ed efficienza, non escludendo la possibilità di essere integrata, via via, per moduli);
ecco perché – nel seguito – considereremo soltanto l’opzione “buy”.
1.5 GOVERNANCE, RISK MANAGEMENT E COMPLIANCE MANAGEMENT:
BENEFICI CHIAVE
La spinta concettuale all’investimento in un sistema GRC è legata all’assunzione che l’efficienza di
un sistema aziendale complesso non passi solo per rivoluzioni organizzative e/o tecniche, ma
anche per miglioramenti del sistema di gestione. Grazie alla possibilità di avere una visione
integrata e centralizzata (idealmente nella figura del CEO) dell’organizzazione, il sistema GRC
permette l’esercizio di una Governance più efficace ed efficiente, abilitata da una gestione
ottimale delle informazioni all’interno dell’azienda, unita ad un approccio strutturato di gestione
del rischio e delle conformità normative obbligatorie e volontarie.
In questa sezione si vogliono portare alla luce i benefici chiave – legati distintamente a
Governance, Risk Management e Compliance Management – derivanti dall’adozione di sistemi
GRC.
10
1.5.1 BENEFICI DELLA GOVERNANCE
Il punto di partenza per una corretta implementazione di sistema GRC risiede nel concetto di
Governance. Dentro la nozione di Governance ricadono tutti quei concetti di cultura aziendale,
mission, valori e policy che, una volta definiti dal Board, possono realmente diffondersi a tutti i
livelli dell’organizzazione. La Governance fa riferimento al sistema attraverso il quale il
management dirige e controlla attivamente l’azienda, specificando obiettivi di business e
supervisionandone il loro raggiungimento nel tempo e, come tale, costituisce di fatto l’elemento
abilitante per prendere decisioni utili al raggiungimento degli obiettivi da conseguire, in maniera
il più possibile sostenibile nel lungo periodo.
Per esercitare una buona Governance è necessaria la disponibilità di informazioni complete,
aggiornate e fruibili a livello di intera azienda (ad esempio in merito alla struttura organizzativa,
alle deleghe, processi aziendali, assets, ecc. ...); in definitiva è quindi necessario un vero e proprio
strumento di Knowledge Management. Tale conoscenza deve essere intesa nel senso più
dinamico del termine: finita una prima fase di raccolta e inserimento dati nel sistema GRC, essa
potrà essere gestita e aggiornata day-by-day, a prescindere dalle necessità impellenti, in modo
tale da aumentare la base di informazioni su cui i decisori potranno dirigere le future scelte
aziendali. Il Knowledge Management è quindi da vedersi oltre che come un prerequisito, anche
come un elemento di amplificazione di un fruttuoso svolgimento di attività correlate alla
Governance, oltre che al Risk Management e al Compliance Management.
In dettaglio, rispetto alla dimensione della Governance, l’implementazione di un sistema GRC
permette di raggiungere obiettivi di efficienza ed efficacia grazie a:
1. L’integrazione tra processi aziendali sotto un unico sistema che consente di avere una
visione olistica della propria organizzazione, mettendo in luce quelle che sono possibili
duplicazioni o ridondanze di processi o risorse. Potendo usufruire di una visione a “più
ampio raggio” sull’intera organizzazione, il top management è in grado di abbattere
l’approccio a silos tipico delle grandi aziende moderne. Il fatto che la complessità aziendale
stia aumentando sempre più nel corso degli anni costituisce ormai una realtà oggettiva: la
conseguenza cui le aziende sono giunte nel corso del tempo è stata la necessità di
suddividersi in unità e sotto-unità organizzative, più semplici, ognuna delle quali è
caratterizzata da risorse allocate e obiettivi specifici da raggiungere, oltre ad essere spesso
chiamate ad auto-descriversi e autogestirsi. Questo ha portato ad avere processi separati
11
l’uno dall’altro ed estremamente frammentati, limitando il coordinamento tra funzioni: il
risultato è stato l’avere processi ripetuti e non congruenti. La possibilità che offrono i sistemi
GRC di mappare e monitorare con continuità tutti i processi e le risorse all’interno
dell’impresa abbatte l’approccio a silos, ovvero la frammentazione dei processi, abilitando il
top management aziendale ad avere una visione d’insieme dell’organizzazione.
2. La possibilità offerta dai sistemi GRC più all’avanguardia di disporre di veri e propri sistemi
documentali (caratterizzati comunque da elevata compatibilità coi più comuni sistemi di
office automation) che consentono una gestione integrata dell’informazione all’interno
dell’azienda, ovvero abilitano al Knowledge Management, requisito necessario per
esercitare una (reale e) buona Governance. Troppo spesso le conoscenze sono disperse
nell’organizzazione: sui tavoli, negli uffici, nei computer, nei cassetti, nella mente delle
persone, nelle mail, ecc. Questo implica notevoli inefficienze in quanto il personale perde
molto tempo nella loro ricerca che non è detto giunga a buon fine; tali inefficienze possono
però essere superate dall’adozione di una piattaforma dedicata. Da un lato, potendo
raccogliere in modo ordinato tutte le informazioni utili (si pensi ad esempio a dati su
processi, asset, fornitori, clienti, prodotti, analisi di rischio, conformità normative, ecc.…) e
mantenendole aggiornate day-by-day, si abilitano realmente i decisori ad esercitare una
Governance efficiente, in virtù del fatto che potranno usufruire di tutte le informazioni di cui
necessitano semplicemente accedendo al sistema, senza dover interfacciarsi singolarmente
con ciascun responsabile funzionale, avendo inoltre la garanzia che queste siano le più
aggiornate disponibili. Dall’altro lato, l’implementazione di tale sistema documentale
consente una diffusione capillare della conoscenza su più livelli dell’organigramma: la
possibilità di diversa profilazione e di indicizzazione dei documenti, unitamente alla
disponibilità di includere veri e propri sistemi di notifiche, consente a ciascuna figura
aziendale di accedere nei modi e nei tempi corretti a tutta la conoscenza di cui necessita. Ecco
che i sistemi GRC consentono realmente di creare e utilizzare la conoscenza ed,
aumentandone la fruibilità, abbattono le difficoltà di comunicazione all’interno dell’azienda e
le inefficienze ad esse collegate: questi sistemi permettono quindi di capitalizzare al
massimo le conoscenze aziendali, diffondendole in maniera esplicita e sistematica in tutta
l’organizzazione.
3. La possibilità di poter bilanciare opportunamente le prestazioni locali delle singole
funzioni grazie ad una visione e gestione integrata dei processi; un approccio destrutturato
“concede” ai responsabili funzionali di poter lavorare per obiettivi individuali, non
conseguendo così la massimizzazione degli obiettivi aziendali. Invece, utilizzando un
12
approccio integrato ed effettivamente disponendo (per la già menzionata possibilità di
generare con sforzo minimo dei documenti fruibili e compatibili coi più comuni sistemi di
office automation) di un’ampia base di informazioni, i manager hanno visibilità sia
sull’andamento complessivo dell’azienda sia su quello delle singole funzioni, potendone così
bilanciare gli obiettivi individuali.
Per quanto appena detto, una buona Governance, supportata da un adeguato strumento di GRC,
può effettivamente permettere all’azienda di perseguire il miglioramento continuo,
consentendo di ottenere migliori risultati complessivi in termini di efficacia e di efficienza.
1.5.2 BENEFICI DEL RISK MANAGEMENT
Per essere efficaci nel loro business, ad oggi le aziende non possono più astenersi dal valutare
tutti quegli ostacoli e opportunità rispetto al raggiungimento di obiettivi di business cui
solitamente ci si riferisce col termine “rischio”.
La disciplina che si occupa di questa problematica è l’Enterprise Risk Management (ERM, si veda
il paragrafo 1.3 per i dettagli), che, a prescindere dalla prospettiva scelta, costituisce uno dei
pilastri principali dei sistemi GRC. Parafrasando una definizione del CoSO [Committee of
Sponsoring Organisations of the Treadway Commissions], l’ERM è “un processo attuato dagli
Amministratori e dal Management di ciascuna struttura aziendale nell’ambito della definizione
delle strategie e riguarda tutta l’organizzazione, al fine di identificare gli eventi potenziali che
possono influenzare l’organizzazione, e gestire i rischi entro il livello di rischio ritenuto
accettabile, al fine di fornire una ragionevole certezza del raggiungimento degli obiettivi”. Da
questa definizione emerge come l’attività Risk Management sia strettamente connessa a quella
precedente di Governance.
Per gestire le diverse tipologie di rischio, spaziando da quelle prettamente operative relative per
esempio alla qualità e alla sicurezza negli impianti fino a quelle strategico/finanziarie legate ad
esempio al mercato e al credito, è necessario un sistema di controllo univoco e integrato (come lo
è il GRC): lo standard ISO 31000:2009 costituisce la linea guida nello sviluppo di un framework
metodologico che permette di raggiungere tale traguardo. Basandosi su questo standard, grazie
alla maggiore consapevolezza nel processo decisionale dovuta alla conoscenza di tutti i rischi cui
l’azienda è sottoposta, i manager possono stabilire congiuntamente i piani d’azione e il livello di
rischio accettabile, trovandone un corretto allineamento (ovvero, identificando linee di azione
13
efficaci). Come diretta conseguenza, l’azienda dovrebbe considerare il rischio non in una mera
accezione negativa, ma come un’opportunità e fattore abilitante per meglio comprendere lo stato
attuale dei suoi processi per puntare da un lato a ridurre frequenza e magnitudo degli imprevisti
e i costi (ovvero perdite) a loro associati e, contemporaneamente, dall’altro ad aumentare
frequenza e magnitudo delle opportunità e i vantaggi, anch’essi, a loro volta, associati.
Unitamente al beneficio economico immediato di cui si è appena accennato, un sistema integrato
di Risk Management consente di aumentare la trasparenza verso il mercato e, allo stesso tempo,
di tutelare la reputazione dell’Impresa.
Il motivo per cui le aziende sono sempre più interessate ad avere strumenti di Risk Management
è dovuto alla crescente complessità di gestione dell’impresa, per esempio derivante da fenomeni
quali la globalizzazione e la sempre maggior importanza di tematiche quali la sostenibilità
ambientale. Le piattaforme GRC comprendono al loro interno il modulo di Risk Management
proprio per rispondere a queste necessità/problematiche. Ne elenchiamo dettagliatamente qui in
seguito i benefici:
1. L’integrazione delle attività di Risk Management consentita dall’utilizzo di sistemi GRC
permette da un lato di evitare inutili duplicazioni e ridondanze di tali attività, dall’altro di
individuare i rischi “nascosti” e le possibili interdipendenze tra di essi, proponendone
soluzioni univoche, in virtù anche del fatto che i sistemi più all’avanguardia si basano sullo
standard ISO 31000:2009 relativo, appunto, al Risk Management.
2. Potendo determinare la soglia massima di incertezza (dovuta al rischio intrinseco nell’attività
d’impresa) che l’azienda è disposta ad accettare, l’attività di Risk Management consente di
allineare le strategie aziendali a tale soglia. Il management può fissare gli obiettivi
strategici basandosi su una solida analisi del rischio, avendo così maggiore consapevolezza
nel processo decisionale: questo porta alla possibilità di prendere decisioni più efficaci,
interpretando così il rischio proattivamente, come un’opportunità, per migliorare ad esempio
l’impiego di capitale e/o le performance operative e minimizzando la volatilità dei risultati.
3. L’attività di Risk Management aiuta ad abbattere alcuni costi aziendali. Oltre alla riduzione
di costi “visibili”, come quelli assicurativi (si pensi per esempio alla possibilità da parte
dell’impresa di far leva sul fatto di avere un sistema di gestione del rischio - e quindi un
rischio controllato - per ottenere un premio assicurativo vantaggioso), l’approccio risk-based
consente alle imprese di ridurre anche quei costi più “nascosti” come – per citare un esempio
eclatante – quelli collegati alla non-sicurezza sul posto di lavoro.
14
4. Disponendo di informazioni strutturate e sempre aggiornate in virtù di sistemi documentali
efficaci e fruibili, grazie ad una analisi di rischio continuativa nel tempo, il modulo Risk
Management dei sistemi GRC permette di evitare l’interruzione di business e le
conseguenti perdite finanziarie, di fiducia, di immagine e di clientela.
5. Grazie ad un sistema di monitoraggio continuo delle prestazioni attuali (KPI – Key
Performance Indicators) e future (KRI – Key Risk Indicators), le piattaforme GRC possono
offrire un’ampia gamma di dati sui risultati dell’azienda, assicurando un’elevata
trasparenza a shareholder interni (ovvero gli azionisti) e stakeholder esterni (quali le
banche, i finanziatori, ecc.). Inoltre, l’adozione da parte delle aziende di sistemi GRC
certificati, tutela i portatori d’interesse che decidono di avviare rapporti con esse, o quanto
meno, in generale, comporta maggiore attrattività in termini di investimenti. Ecco che la
possibilità di valutare il rischio impatta positivamente anche sulla ricerca di finanziatori e
investitori.
1.5.3 BENEFICI DEL COMPLIANCE MANAGEMENT
Con il termine Compliance Management si intende l’insieme di attività che devono essere svolte
dall’organizzazione al fine di identificare e monitorare nel tempo l’adempimento a requisiti
esterni cogenti (quali leggi, norme, regolamenti e contratti) e interni volontari (quali policy
aziendali, norme di buona pratica e rispetto del codice etico). Considerata l’impronta sempre più
globale delle medie-grandi imprese e data la moltitudine di norme, nazionali e internazionali,
cogenti e volontarie, alle quali queste sono chiamate a rispondere oggigiorno, non è possibile
pensare di avere un approccio puntuale per ogni singolo adempimento. Ecco che i sistemi GRC,
comprendendo al loro interno un modulo dedicato al Compliance Management, consentono uno
svolgimento di tale attività su base volontaria e/o cogente.
Inoltre, un approccio disaggregato alla gestione della conformità normativa comporta un onere
economico che può essere notevolmente abbattuto attraverso l’utilizzo di sistemi GRC; si vanno
così ad annullare tutti quei costi relativi a inefficienze dovute a duplicazioni e ridondanze di
controlli, documenti e procedure che impegnano risorse umane altrimenti utilizzabili per attività
a maggior valore aggiunto. Oltre a ciò, la possibilità di identificare e analizzare tempestivamente
gli impatti determinati da norme e leggi sulle attività aziendali consente all’organizzazione di
avere sotto controllo il suo status-quo in merito agli adempimenti obbligatori per legge; questo,
grazie all’aiuto del modulo Compliance Management che permette di definire piani di azione
conformi sia alle leggi cogenti sia alle norme interne.
15
Come già evidenziato, i sistemi GRC completi e ben progettati comprendono al loro interno un
modulo di Compliance Management del quale vogliamo riassumerne di seguito i benefici.
1. Il beneficio principale apportato da ogni sistema di Compliance Management è la capacità di
garantire il rispetto di requisiti esterni cogenti (quali leggi, regolamenti e contratti) e
interni volontari (quali rispetto di ISO e policy aziendali). Ad esempio, un’azienda italiana
attenta al problema della sicurezza sul luogo di lavoro, dovrà obbligatoriamente adempiere al
Dlgs.81/08 e, se vuole, per sua politica interna, rispettare le prassi descritte nello standard
OHSAS 18001; l’utilizzo di un sistema GRC permette il controllo del rispetto di entrambe le
norme.
2. I sistemi di Compliance Management prevedono una funzione di controllo continuo e
automatico della conformità di tutta l’azienda a fronte di un aggiornamento normativo;
questo consente alle aziende di non correre il rischio di non accorgersi di possibili
cambiamenti nella legislazione vigente, oltre a garantirsi la conformità con l’ultima versione
delle normative. Questo tutela le aziende da possibili multe e sanzioni che, oltre ad impattare
direttamente sulle proprie finanze, avrebbero anche un impatto sulla loro immagine.
3. L’implementazione di un sistema di Compliance Management permette di ridurre i costi
della Compliance. L’automazione di queste attività consente di abbattere i costi per la
redazione di documenti obbligatori per legge: in Italia, per esempio, la redazione del DVR
(Documento di Valutazione dei Rischi) è obbligatoria per legge e, nella maggior parte dei casi,
viene vista come una notevole problematica dalle aziende. I moduli di Compliance
Management all’avanguardia hanno già al proprio interno il framework di tale documento e,
utilizzando le informazioni contenute nel sistema documentale del sistema GRC integrato,
permettono l’automatica compilazione del testo, assicurando l’azienda sulla correttezza dei
dati inseriti e liberando così risorse umane dedicabili ad altre attività a maggior valore
aggiunto. Inoltre, la centralizzazione della gestione della conformità normativa che si
ottiene dall’uso di sistemi GRC annulla eventuali problemi di duplicazione delle attività di
verifica dell’adempimento a norme e regolamenti che, in assenza di tale sistema, rischiano di
essere svolte da più funzioni.
1.6 SPUNTI DI RIFLESSIONE DA CASI AZIENDALI
La presente sezione riporta i risultati più rilevanti emersi da interviste fatte a profili executive,
nell’ambito di Governance, Risk e Compliance Management, di aziende notevolmente
16
differenziate tra di loro in termini di settore industriale e problematiche trattate
(internazionalizzazione, regolamentazione dei mercati, etc.), ma tutte accomunate da un elevato
grado di complessità e dinamicità del mercato. Più nello specifico, sono state selezionate per
campionamento sia aziende di prodotto che aziende di servizi per avere un panel di interviste
quanto più eterogeneo possibile.
Il primo elemento macroscopico che è emerso da diverse interviste è che la sensibilità verso i
temi di Governance, Risk e Compliance Management è ancora in una fase di crescita e non
sempre uniformemente sviluppata. Nell’ambito di una stessa azienda c’è chi non considera di
particolare importanza una buona gestione della conoscenza e chi (al limite) considera la
gestione del rischio e la conformità normativa un intralcio allo svolgimento delle mansioni
quotidiane. Emblematico è il fatto che una minoranza degli intervistati abbia esplicitamente
riconosciuto il Risk Management in ottica proattiva, quindi non solo come processo per evitare
l’accadimento di situazioni negative, ma anche come fattore abilitante per scoprire opportunità
di miglioramento.
Se è vero che la gestione del rischio è il driver principale che spinge verso l’adozione di un GRC, le
interviste hanno evidenziato come per alcune aziende vi fossero anche altre motivazioni:
“ottimizzare il processo di lavoro” e “tenere traccia di tutti i documenti in maniera
oggettiva”, ovvero problematiche direttamente riconducibili a temi di Governance e Knowledge
Management, sono le ragioni espresse dal Risk Manager di una storica azienda italiana di servizi.
Inoltre, motivazioni legate alla Compliance volontaria sono state espresse dai manager di altre
due aziende, i quali hanno sottolineato l’utilità di uno strumento, come il GRC, in grado di
gestire tutte le certificazioni volontarie come gli standard ISO che, in particolari contesti,
possono essere un agevolatore in sede di gare d’appalto o, addirittura, consentire
l’accesso al business.
Si riportano di seguito gli elementi principali emersi dalle interviste effettuate, a scopo di
arricchimento ed integrazione del resto del documento.
Da un’azienda è stato confermato il beneficio dell’adozione del sistema GRC al fine di abbattere i
“silos” funzionali riuscendo così ad “avere una visione più chiara e trasversale dell’azienda” [si
veda il paragrafo 1.5.1 – Benefici della Governance – per i dettagli]; alcuni degli intervistati hanno
evidenziato l’importanza della presenza nel GRC di un efficiente processo di comunicazione e
17
differente profilazione degli accessi per poter coinvolgere in real-time e in sicurezza tutte quelle
figure, ovvero manager, riconducibili ai temi di Governance, Risk e Compliance Management.
Altri aspetti fondamentali riconosciuti dagli intervistati, che avvalorano le tesi sostenute, sono i
seguenti: la possibilità offerta dal GRC di garantire elevata sicurezza, requisito fondamentale
per la gestione di informazioni di elevata sensibilità e riservatezza, assicurando così la business
continuity [si veda il paragrafo 1.5.1 – Benefici del Risk Management – per i dettagli]; la possibilità
di liberare risorse grazie alla capacità del GRC di accollarsi tutta la parte operativa di office
automation, permettendo ai decisori di dedicarsi in maniera più proattiva alle mansioni di
maggiore valore aggiunto [si veda il paragrafo 1.5 – Benefici della Governance e Benefici del
Compliance management – per i dettagli]; il vantaggio offerto da alcune piattaforme di essere
estremamente scalabili dando così la “possibilità di far crescere lo strumento [GRC] secondo le
necessità e la maturità aziendale” [si veda il paragrafo 1.4 per i dettagli].
D’altra parte, le interviste hanno evidenziato che, in taluni contesti, i benefici derivanti
dall’adozione di una piattaforma GRC non sono sempre pienamente percepiti ed inoltre l’idea di
implementare un sistema altamente integrato non rientra necessariamente nei desideri delle
aziende, contraddicendo così quella che è una conoscenza diffusa.
Il risk manager di un’importante azienda italiana di prodotto ha dichiarato che
l’implementazione del GRC nei sistemi informativi aziendali è dovuta principalmente alla ricerca
di efficienza nella gestione della conoscenza, limitando (almeno momentaneamente) il respiro
sui temi di Risk e Compliance Management: gestione delle transazioni e segregation of duties
sono i due obiettivi per cui il GRC è stato implementato. Si può dunque dedurre che, in questo
caso, il GRC non è ancora riconosciuto come uno strumento per aumentare l’efficacia del
processo decisionale [si veda il paragrafo 1.5.2 – Benefici del Risk Management – per i dettagli].
Il fatto più eclatante che emerge dalle interviste è che, quasi paradossalmente, un’azienda può
decidere di adottare un GRC mantenendo, però, una separazione tra contenuti di basso e di
alto livello, in netto contrasto con il paradigma olistico tipico del GRC [si veda il paragrafo 1.2 per
i dettagli]. Infatti, la dimensione, la complessità e la staticità dell’azienda possono talvolta essere
così elevate da rendere di fatto impossibile l’adozione di un sistema realmente integrato,
limitando l’utilizzo della piattaforma solo ai livelli superiori.
18
A quanto appena detto ci si può ricollegare per riportare una seconda evidenza manifestata dagli
intervistati: due risk manager di importanti imprese di servizi hanno dichiarato di essere
interessati solo ed esclusivamente a rischi di altissimo livello, ossia ad una quindicina di
rischi strategici, subordinando la gestione di quelli più operativi alle singole funzioni. Da questo
ne deriva che il GRC, per come è attualmente concepito e per come è stato definito nelle
precedenti sezioni del documento (ovvero come un sistema informativo che basa il proprio
corretto funzionamento sulla possibilità di descrivere nel dettaglio processi, asset e lavoratori),
non risponde alle loro esigenze relativamente all’attività di Enterprise Risk Manager che, invece,
prevede la sola gestione dei rischi che hanno un impatto diretto sul business plan aziendale. Per
differenti motivi, anche un altro intervistato (CRO di un’azienda di prodotto) ha espresso la
mancanza di particolare interesse nel tenere traccia della conoscenza aziendale ad un
livello di dettaglio “troppo” elevato: una possibile spiegazione potrebbe risiedere nel fatto che
l’azienda opera attraverso processi talmente standardizzati e consolidati da non reputare
prioritaria la suddetta conoscenza.
Si vogliono riportare infine alcune sopravvenienze, emerse dalle interviste, come ulteriori spunti
di riflessione.
Un CRO ha espressamente dichiarato che “il GRC non deve essere custom”: con questa
affermazione l’intervistato ha voluto intendere la necessità di fare affidamento su un sistema non
costruito appositamente per la sua azienda, ma che abbia origine da uno standard già
funzionante e testato. Partendo da un tale GRC, più aziende hanno inoltre sottolineato
l’importanza di poter disporre di uno strumento flessibile, altamente personalizzabile e
adattabile alla propria realtà aziendale (il tutto raggiungibile anche grazie ad accordi di
collaborazione con i GRC vendor per uno sviluppo congiunto e mirato verso le proprie esigenze),
ponendo soprattutto l’accento sulla fase di reporting.
Un desiderio che accomuna la maggioranza degli intervistati è quello di poter usufruire,
all’interno del GRC, di una funzione di analisi di scenario: costoro riconoscono che i GRC
presenti sul mercato consentono di tenere traccia in maniera completa della situazione presente,
ma lamentano la mancanza di una funzione che possa simulare l’andamento degli scenari futuri
allorché una o più variabili strategiche, scelte dai decisori, dovessero cambiare o essere aggiunte.
L’Enterprise Risk Manager di uno dei principali gruppi italiani di servizi ha affermato che
l’utilizzo di un sistema GRC è per loro diventato una prassi quotidiana, estesa sia alla funzione di
Risk Management che a tutti i process owner; grazie a tale sistema l’azienda ha potuto rafforzare
19
la propria cultura sui temi di Risk Management e Compliance Management.
È stato inoltre percepito che, spesso, le suite GRC dei grandi ERP vendor, pur presentando
l’innegabile vantaggio di disporre originariamente di tutti i dati, limitano i risultati a delle forme
di contenuto di livello molto basso; inoltre, proprio perché non sono stati concepiti come veri e
propri GRC, queste suite non facilitano l’attività integrata di Governance, Risk e Compliance
Management.
A conclusione di questa sezione, si ritiene opportuno sottolineare che le aziende che utilizzano (o
stanno sviluppando) un sistema GRC, benché ammettano che il percorso di implementazione
abbia richiesto un grande sforzo in termini di risorse umane dedicate, alla fine si sono mostrate
soddisfatte dell’investimento.
20
2. PROPOSTA CONCETTUALE DI UN NUOVO SISTEMA
DI VALUTAZIONE E CLASSIFICAZIONE
2.1 INTRODUZIONE
Nell’ultima decade si è assistito alla nascita e allo sviluppo di un numero sempre maggiore di
sistemi informatici di Governance, Risk Management e Compliance Management (GRC), sia da
parte dei grandi ed, ormai, affermati software vendor che da parte di realtà più piccole, ma più
focalizzate. Oggigiorno, il mercato dei GRC offre un ampio ventaglio di piattaforme tra le quali
poter scegliere e che differiscono tra loro per diversi aspetti.
Muovendosi in un tale contesto, fortemente dinamico e, nella maggior parte dei casi, non ancora
ben conosciuto dai potenziali acquirenti, chi fosse interessato ad implementare un sistema GRC
nei propri sistemi IT potrebbe trovarsi in difficoltà di fronte alla scelta del sistema più idoneo,
ovvero del sistema GRC che meglio risponde ai suoi bisogni in termini di governance aziendale,
gestione del rischio e della conformità normativa. Allo scopo di aiutare a prendere
consapevolmente una decisione così importante e complessa, la possibilità di disporre di
strumenti che analizzino, confrontino e classifichino le funzionalità di svariate piattaforme GRC
può risultare di notevole utilità. Quanto appena sostenuto è avvalorato anche dal fatto che alcune
tra le più prestigiose aziende di consulenza direzionale pubblicano ogni anno un rating delle
aziende fornitrici (vendor) di tali sistemi, che vengono sottoposte ad attenta valutazione e
benchmark.
2.2 PUNTI DI FORZA E DI MIGLIORAMENTO DEGLI ATTUALI SISTEMI DI
VALUTAZIONE E CLASSIFICAZIONE
Il mercato dei sistemi GRC è un mercato giovane e dalle notevoli potenzialità; proprio per questi
motivi chi propone tali piattaforme sono aziende molto attive nel promuovere il proprio
prodotto e nel farsi conoscere da tutti i possibili clienti, ovvero, potenzialmente, da qualsiasi
azienda interessata a rendere più efficace ed efficiente la propria Governance, con un focus
particolare sulla gestione del rischio e della conformità normativa.
Una possibile via che ogni vendor GRC può intraprendere per mettersi in luce consiste nel
cercare di comparire all’interno degli attuali modelli di classificazione di sistemi GRC, dove, su
tutti, spiccano quelli proposti da Gartner Inc. e Forrester Research; ogni anno, le due società di
21
consulenza americane redigono ciascuna un documento (rispettivamente il “Magic Quadrant for
Enterprise Governance, Risk and Compliance Platforms” e il “The Forrester Wave: Governance, Risk,
And Compliance Platforms”) dove valutano, secondo loro stessa definizione, i sistemi GRC più
competitivi, proponendo come risultato finale una matrice di classificazione dalla quale si può
intuitivamente ricavare un ranking relativo tra i sistemi analizzati. Questi due modelli di
classificazione assumono una struttura sostanzialmente simile tra loro – pur differendo,
ovviamente, in termini di metriche di valutazione e di punteggi attribuiti -; nello specifico, dopo
aver definito il mercato di riferimento e i criteri di valutazione utilizzati, i modelli di Gartner e
Forrester riportano le matrici di classificazione corredate dei prospetti di dettaglio contenenti i
punti di forza, di debolezza e gli ambiti di applicazione consigliati di ciascuna piattaforma GRC.
Strumenti di valutazione e classificazione così concepiti possono vantare un’elevata capacità di
sintesi, risultare intuitivi e velocemente fruibili, permettere di identificare chiaramente i vendor
più solidi dal punto di vista finanziario, oltre che, potendo disporre di più annualità di tali
documenti, consentire il confronto delle performance di uno stesso sistema GRC rispetto alle
precedenti versioni (grazie, per esempio, ad un semplice confronto visivo del posizionamento di
tale sistema all’interno della matrice o a quanto riportato nei prospetti riassuntivi per annualità
differenti).
Per quanto si riconosca che i sistemi di classificazione offerti da Gartner e Forrester costituiscano
una valida base di partenza per il confronto di sistemi GRC, è altrettanto vero che, a detta degli
autori, essi soffrano di alcuni limiti di completezza che qui di seguito vengono discussi.
Innanzitutto, tali classificazioni considerano solamente i vendor GRC più “grandi”, per esempio in
termini di ampiezza della customer base e di fatturato correlato alla vendita di GRC; se da un lato
questo è assolutamente ragionevole al fine di proporne una graduatoria facilmente interpretabile
(sarebbe oltremodo irrealistico sperare di valutare tutti i vendor presenti sul mercato mondiale),
dall’altro questo preclude preventivamente la possibilità alla gran parte dei vendor di ridotte
dimensioni di potersi confrontare e, perché no, mettersi in evidenza.
In seconda battuta, si ritiene che i sistemi proposti da Gartner e Forrester possano non fornire
uno strumento di supporto completamente esaustivo e sufficientemente dettagliato per la
valutazione e il confronto di sistemi complessi come i GRC: rimangono talvolta superficiali
sull’analisi di alcuni parametri caratteristici dei sistemi GRC che potrebbero, invece, essere di
notevole interesse per i futuri utilizzatori; altre volte, invece, rischiano di mischiare tali
parametri aggregandoli sotto un’unica voce omnicomprensiva, rendendo così difficile capire
quali siano i reali punti di forza e di debolezza di ciascuna piattaforma. Inoltre, il fatto di
22
ricondurre la valutazione di sistemi così complessi ai due soli assi di una matrice che include e
aggrega tutti i parametri contemporaneamente (ad onor del vero, Forrester introduce anche un
terzo parametro che, però, non modifica la posizione del GRC nella matrice), se da un lato
costituisce un compito concettualmente assai arduo in fase di stesura, dall’altro può risultare, per
certi versi, limitativo: le uniche conclusioni che si possono trarre dalla sola osservazione di
queste matrici di classificazioni sono delle graduatorie relative tra i vari sistemi, dove risulta
evidente che le piattaforme collocate nel quadrante in alto a destra siano preferibili rispetto alle
altre. Soltanto una lettura dei commenti posti a fine documento riferiti a ciascun sistema GRC
permette di avere un maggiore dettaglio sui reali punti di forza e di debolezza di ognuno di essi e
di capire, quindi, come anche piattaforme collocate in posizioni non ottimali della matrice
possano risultare valide in specifici ambiti di utilizzo.
Per completezza d’informazione, nel 2014 si assiste ad un cambiamento di rotta nelle modalità
mediante le quali Gartner affronta lo studio e il benchmark delle piattaforme GRC, dopo che dal
2008 al 2013 queste erano fondamentalmente rimaste le stesse: invece di pubblicare un unico
documento avente come obiettivo la valutazione delle prestazioni globali offerte dalle
piattaforme GRC analizzate (proprio come ancora oggi fa Forrester), ora Gartner effettua il loro
studio rispetto a sei specifici casi d’uso esaminati in altrettanti paper, in particolare:
- IT risk management,
- Operational risk management,
- Vendor risk management,
- Business continuity management planning,
- Audit management,
- Corporate compliance and oversight.
Per ciascuno dei primi quattro casi d’uso Gartner propone ora uno specifico Magic Quadrant,
utilizzando sostanzialmente per ciascuno le stesse metriche di valutazione.
Questa radicale trasformazione è dovuta principalmente a due fattori. Da un lato la nuova
consapevolezza da parte di Gartner che il mercato dei sistemi GRC è in rapida espansione e
l’interesse nei suoi confronti procede di pari passo; dall’altro l’esplicita ammissione della stessa
società di consulenza del fatto che il precedente modello di assessment non era sufficientemente
adeguato per intercettare tutte le peculiarità di cui il potenziale acquirente di piattaforme GRC
avrebbe voluto avere dettaglio.
Malgrado questi cambiamenti, un esame più approfondito del nuovo approccio di Gartner
continua a far emergere qualche perplessità, soprattutto in relazione al concetto di sistema
23
integrato che si ha del GRC: qual è la ratio su cui si basa la scelta di dividere la valutazione delle
piattaforme GRC rispetto ai casi d’uso andando così ad offrire molteplici documenti?
La multinazionale americana giustifica questa scelta sostenendo che “the market for GRC
technologies has now matured beyond foundational solutions, such as enterprise and IT GRC
platforms, to focus more on purpose-built applications that can easily integrate with the GRC
systems of record”.
Un’altra chiave di lettura, certamente più critica, potrebbe interpretare questa scelta come una
resa da parte della stessa Gartner all’idea che i clienti siano, nella stragrande maggioranza dei
casi, restii rispetto l’acquisto di un sistema “universale” come il GRC, preferendogli di norma
sistemi più specializzati. Gartner definisce infatti quattro delle maggiori motivazioni che
spingono verso l’adozione di un sistema GRC, realizzando per ognuna altrettante matrici di
classificazione; così facendo, però, si rischia di negare uno dei principi fondanti dei sistemi GRC,
cioè l’idea di universalità di un sistema di gestione del rischio, potenzialmente in grado di gestire
autonomamente qualsiasi tematica di risk e compliance management e basato su un solido
sistema di gestione della conoscenza.
A detta degli autori, la gestione del rischio, così come quella della conformità normativa, non
dovrebbe essere preventivamente separata per ambiti applicativi; d’altro canto, Gartner sembra
proprio spingere verso questa direzione, spostando l’analisi verso le specifiche aree d’utilizzo,
verso cioè dei “silos” applicativi concettualmente in netto contrasto con l’accezione olistica di
GRC.
Ciò che emerge rispetto a quanto fin qui sostenuto è che, facendo affidamento sulle sole
classificazioni esistenti, le aziende interessate all’acquisto di una piattaforma GRC potrebbero
riscontrare difficoltà nella valutazione e nella scelta del sistema più rispondente alle loro
esigenze.
A sostegno di quanto appena dichiarato è possibile affermare che, dalle interviste fatte a profili
executive nell’ambito di Governance, Risk e Compliance Management di alcune delle maggiori
realtà aziendali italiane (cui è stato dedicato l’ultimo capitolo della precedente sezione), si è
evinto come, ad oggi, molte delle aziende che basano la loro scelta d’acquisto di una piattaforma
GRC sui sistemi di classificazioni offerti da Gartner e Forrester ricerchino spesso ulteriori
informazioni e diversi punti di vista, avvalendosi del parere di società di consulenza o di esperti
del settore al fine di avere un’ultima conferma sulla scelta da effettuare.
24
Sempre da queste interviste, si è evidenziato come le aziende siano riluttanti a dotarsi di un
sistema software GRC, specialmente se integrato e pervasivo, malgrado siano a conoscenza delle
sue enormi potenzialità.
A valle di quanto sostenuto, dal momento che le attuali proposte di valutazione e classificazione
per sistemi GRC possono soffrire di alcuni limiti (lasciando non particolarmente investigate
alcune aree di potenziale interesse), considerati i risultati ottenuti dalle interviste fatte ai Risk
Manager, e con lo scopo di indirizzare le aziende nella scelta di ciò che meglio risponde alle loro
aspettative ed esigenze, si ritiene vi sia la necessità di sviluppare un nuovo strumento di analisi e
confronto tra piattaforme GRC, che potrà risultare più complesso, ma più tecnico e sperabilmente
più completo ed in grado di evidenziare meglio le differenze tra ciascun software rispetto a
quanto ad oggi disponibile.
D’altro canto, si riconosce come i sistemi di Gartner e Forrester abbiano l’ambizione di valutare e
classificare le piattaforme GRC in base sia alle performance attualmente raggiungibili sia alla
strategia delle aziende che le producono, fornendo così una visione sia statica che dinamica di
quelli che potrebbero essere i trend per gli anni a venire. Diversamente, lo strumento di
confronto che verrà presentato nel seguito del documento ha volutamente l’obiettivo di valutare
le “sole” funzionalità e caratteristiche ad oggi offerte da ciascun software GRC presente sul
mercato, scattandone per ciascuno un’istantanea: questa scelta è stata presa sia a causa di
oggettivi limiti di tempo e di risorse dedicabili alla ricerca, sia per la volontà di focalizzarsi su
quelle che, al momento della redazione del paper, sono effettivamente le potenzialità
raggiungibili da ciascuna piattaforma.
Ricapitolando, l’obiettivo ultimo del presente studio è quello di realizzare un nuovo sistema di
valutazione e classificazione per sistemi GRC basato sulle assunzioni e definizioni dichiarate
nel documento5 “Un po’ di chiarezza sui sistemi di Governance, Risk e Compliance Management:
cosa ci possiamo aspettare?”, che sia complementare ai sistemi di benchmark esistenti senza la
presunzione di sostituirsi.
5 Scaricabile al link: http://goo.gl/forms/m55g0hfWec
25
2.3 UN NUOVO SISTEMA DI VALUTAZIONE E CLASSIFICAZIONE
La speranza degli autori è di riuscire a realizzare un valido strumento di valutazione e
classificazione per piattaforme GRC, in grado di evidenziarne per ciascuna i punti di forza ed
(eventualmente) di debolezza, ritenendo comunque difficile l’identificazione di un sistema
migliore in assoluto.
Nel seguito del capitolo verrà presentato il Big Picture for Governance, Risk and Compliance
Platforms (anche chiamato semplicemente Big Picture nel seguito del documento), il sistema di
assessment e benchmark per sistemi informatici integrati GRC ispirato ai principi teorici emersi
nella prima sezione di questo documento, ai risultati delle interviste fatte ai Risk Manager, agli
argomenti di vendita dei maggiori vendor GRC e, in parte, alle classificazioni attualmente
esistenti.
Si comincerà con la descrizione dello schema logico che ha portato alla concezione del Big Picture
per poi definirne i criteri di valutazione in esso contenuti; il capitolo si concluderà con la
descrizione dei principi di aggregazione e delle modalità di visualizzazione dei risultati.
2.3.1 APPROCCIO AL PROBLEMA
Il paragrafo 2.2 ha descritto i punti di forza e di miglioramento degli attuali sistemi di benchmark
per software GRC, riportando le motivazione per cui risulterebbe utile disporre anche di un
nuovo approccio. La figura 2.1 illustra la sequenza di passi logici che hanno condotto alla
formulazione del sistema in oggetto.
Figura 2.1 – Approccio al problema considerato.
26
Obiettivi. Il primo passo è stato andare a definire gli obiettivi che si propone di raggiungere la
presente ricerca.
L’obiettivo primario è stato identificato nella realizzazione di un nuovo sistema di valutazione e
classificazione per piattaforme GRC, che possa fornire un utile supporto alle aziende in fase di
selezione del sistema più idoneo alle proprie esigenze; si è voluto, quindi, fornire un ulteriore
punto di vista su quello che, al momento, è il mercato dei software GRC, considerate le sue
interessanti potenzialità di crescita e l’esiguo numero di sistemi di assessment e benchmark
attualmente esistenti.
A conseguenza di quanto appena dichiarato e in risposta alle evidenze affiorate da interviste fatte
a profili executive nell’ambito di GRC Management di alcune aziende italiane [si veda il paragrafo
1.6 della prima sezione per i dettagli], il nuovo sistema di valutazione e classificazione aspira a
svolgere parte del lavoro che solitamente le aziende sono tenute a svolgere in fase di raccolta di
ulteriori informazioni (spesso traducibile in costi dovuti al pagamento di ore di consulenza)
rispetto a quelle reperibili da Gartner e Forrester; ambisce quindi a liberare parte delle risorse
(siano esse personale dedicato o risorse finanziarie) che le aziende interessate all’acquisto di un
software GRC devono dedicare a questa scelta.
Desiderata. Parallelamente alla definizione degli obiettivi della ricerca, si sono andate a
determinare le principali caratteristiche che un ipotetico acquirente di un software GRC
richiederebbe ad un sistema di valutazione e classificazione. Il sistema in questione dovrà essere:
- Neutrale, cioè basato su una metrica di valutazione che non favorisca un vendor rispetto
ad un altro;
- Completo, cioè potenzialmente capace di includere qualsiasi sistema GRC rispetto ad uno
specifico mercato di riferimento;
- Esaustivo, cioè capace di analizzare tutte le caratteristiche e le funzionalità più
importanti di una piattaforma GRC;
- Complessivo, cioè in grado di fornire una panoramica globale sul mercato considerato in
un unico documento;
- Trasparente, che possa cioè lasciare massima visibilità su ogni assunzione e valutazione
effettuata;
- Di libera consultazione.
Classificazioni esistenti. Successivamente si è andati ad esaminare i contenuti informativi
(quali assunzioni, criteri di inclusione nel sistema, metriche di valutazione, risultati ottenuti)
27
offerti dalle classificazioni attualmente esistenti, dove spiccano quelle pubblicate da Gartner Inc.
e Forrester Research Inc.; l’analisi di tali sistemi di benchmark è stata finalizzata
all’individuazione dei loro punti di forza e di debolezza, qui di seguito riassunti:
Punti di forza:
o Valutare e classificare alcuni dei vendor GRC più accreditati a livello mondiale;
o Basare le proprie valutazioni su una combinazione di dati provenienti da molteplici
fonti, quali sondaggi alle aziende clienti, questionari alle aziende fornitrici,
presentazioni delle funzionalità dei prodotti offerte dai fornitori [demo], ecc.;
o Offrire una rappresentazione bidimensionale tramite matrice, che permette
un’elevata fruibilità consultiva dei risultati ottenuti;
o Fornire dei prospetti riassuntivi posti a corollario delle matrici che consentono di
avere un utile dettaglio sulle caratteristiche e sugli ambiti di utilizzo consigliati per
ciascuna piattaforma GRC.
Punti di debolezza:
o Precludere preventivamente la possibilità alle piattaforme realizzate da vendor di
“taglia minore” di comparire all’interno del sistema di classificazione;
o Non descrivere in maniera equamente approfondita tutte le dimensioni
potenzialmente interessanti per valutare un sistema GRC;
o Non dare completa visibilità alle descrizioni dei criteri di valutazione analizzati;
o Non dare completa visibilità alle valutazioni dei software analizzati.
Nuovo sistema. Come logica conclusione, si è deciso di realizzare un nuovo strumento di
valutazione e classificazione per sistemi GRC che abiliti a descrivere i benefìci risultanti
dall’utilizzo di dette piattaforme [si faccia riferimento il paragrafo 1.5 della prima sezione per la
descrizione dei benefici chiave di un sistema GRC], che ambisca a soddisfare gli obiettivi generali
della ricerca e i desiderata dalle aziende acquirenti e che cerchi di integrare le caratterizzazioni
positive degli attuali sistemi di benchmark colmandone, ove possibile, le lacune. Questo
strumento è stato concepito in modo tale da permettere un’agevole interpretazione delle
dimensioni analizzate, cercando di evitare aggregazioni non congruenti e mettendo chiaramente
in luce il modo in cui ciascun criterio di valutazione viene definito e misurato.
28
2.3.2 BIG PICTURE FOR GOVERNANCE, RISK AND COMPLIANCE PLATFORMS
La figura 2.2 mostra una visione schematica e integrale degli elementi fondamentali che
costituiscono il Big Picture for Governance, Risk and Compliance Management:
Valutazione dei GRC Classificazione dei GRC
Figura 2.2 – Schema complessivo degli elementi caratterizzanti il Big Picture.
Come già dichiarato all’interno del documento e com’è possibile dedurre dalla figura sopra
riportata, il Big Picture è composto da due parti principali: la valutazione delle piattaforme
analizzate (1) e la loro successiva classificazione (2).
Il processo di valutazione prevede la stima delle performance raggiungibili da ciascun software
GRC esaminato; questa prima fase è svolta rispetto alla valutazione delle dimensioni di analisi
definite dagli autori in fase di ideazione del sistema, quest’ultimo simbolicamente riportato nella
parte sinistra della figura 2 e descritto nel dettaglio all’interno del prossimo paragrafo. Questo
stadio rappresenta a tutti gli effetti il cuore del Big Picture, e da esso ne dipenderanno le
successive fasi di classificazione.
In base alle valutazioni ottenute, il Big Picture propone una classificazione dei software
considerati (parte destra della figura 2.2); ciascuno di essi viene collocato all’interno di specifiche
matrici – ottenute dall’intersezione di differenti assi di analisi – che consentono di avere una
29
visione molteplice e differenziata delle caratterizzazioni relative delle varie piattaforme. A
corredo di queste matrici, il Big Picture offre un’ultima sezione descrittiva di dettaglio per i
sistemi GRC esaminati all’interno della quale sono offerte rappresentazioni mediante diagrammi
radar delle valutazioni aggregate dei cinque assi di analisi di ciascun software [vedasi paragrafo
2.3.2.2.2 per i dettagli].
Nel seguito del documento si esplicita più nel dettaglio ognuno degli elementi caratterizzanti il
Big Picture.
2.3.2.1 FASE DI VALUTAZIONE
A seguito di quanto affermato nel paragrafo 2.3.1, è emerso che i criteri principali per valutare la
scelta di acquisto di un sistema GRC riguardano la qualità dei contenuti offerti dalla piattaforma
stessa e la qualità intrinseca del software applicativo (a prescindere da suddetti contenuti), senza
comunque trascurare la componente di affidabilità della fornitura offerta dall’azienda venditrice.
Date queste premesse, si è deciso di creare uno strumento che prendesse in considerazione
proprio questi tre criteri di scelta:
- Contenuto, a sua volta suddiviso nei tre assi Knowledge Management & Governance, Risk
Management e Compliance Management,
- Software,
- Fornitura,
per un totale di cinque assi di valutazione. Il primo criterio di scelta, indubbiamente il più
caratterizzante e interessante dal lato operativo, è stato completamente concepito dagli autori, il
secondo è strutturato in accordo con lo standard ISO/IEC 25010:2011 e il terzo è una
rivisitazione di molti dei criteri già approfonditamente analizzati nelle proposte di Gartner e
Forrester.
Ciascuno dei cinque assi di analisi del Big Picture è a sua volta articolato in macro-dimensioni e
dimensioni (a diversi livelli di profondità) per l’analisi di dettaglio; la loro scelta è stata compiuta
al fine di caratterizzare l’intero spettro di contenuti che concorrono all’ottenimento di tutti i
benefici derivanti dall’adozione di un sistema integrato GRC di cui si è largamente discusso nella
prima sezione del presente documento [si veda il paragrafo 1.5 della prima sezione per i dettagli].
La possibilità di distinguere l’analisi dei criteri di scelta tra Contenuto, Software e Fornitura porta
in dote il grande vantaggio di “parlare”, almeno sulla carta, alle tre figure aziendali che hanno in
capo la decisione di acquisto di un sistema GRC: il criterio Contenuto (definito in termini di
30
Knowledge Management & Governance, Risk Management e Compliance Management) si riferisce
al CRO, il Software al CIO e la Fornitura al CFO. L’ideale coinvolgimento di questi tre manager,
ciascuno col proprio criterio di competenza, aiuta a garantire una scelta del sistema GRC il più
possibile ponderata e globalmente soddisfacente.
Nei prossimi paragrafi si analizzano nel dettaglio quelli che, a detta degli autori, sono i cinque
assi di valutazione che un’azienda dovrebbe esaminare all’atto d’acquisto di un sistema GRC:
Knowledge Management & Governance, Risk Management, Compliance Management (descritti
parallelamente, poiché relativi allo stesso criterio Contenuto), Software e Fornitura.
La decisione di lasciare visibilità su ben cinque assi di valutazione è motivata dal fatto che un
sistema GRC è descrivibile e differenziabile per un numero certamente superiore ai due soli assi
cui i sistemi di Gartner e Forrester riconducono le loro classificazioni. La scelta di tenere separati
cinque assi rende effettivamente meno immediato il confronto tra le piattaforme GRC, ma porta
indubbiamente ad un’analisi concettualmente più chiara e rigorosa. Questa scelta avrà
implicazioni anche sulla forma grafica in cui saranno presentati i risultati dell’analisi.
2.3.2.1.1 Contenuto
Il primo criterio di valutazione concerne la qualità dei contenuti che un sistema GRC è in grado di
offrire; in esso si valutano le peculiarità che un buon GRC deve avere e, proprio per tale motivo,
questo è il criterio che realmente abilita a determinare se un GRC permette di svolgere tutte le
funzioni richieste dai futuri utilizzatori.
Allontanandosi dalle posizioni prese da Gartner e Forrester, che mirano ad offrire visioni
d’insieme facilmente intelligibili a scapito di una descrizione completa ed adeguata delle
tematiche relative ai contenuti, si vogliono dedicare ben tre assi di analisi a questo criterio
poiché, in potenza, è quello più interessante dal punto di vista dell’utilizzatore finale; ecco perché
all’interno del Big Picture i tre assi Knowledge Management & Governance6, Risk Management
e Compliance Management sono quelli caratterizzati dal più elevato grado di dettaglio.
E’ stato scelto di replicare, almeno dove possibile, le metriche di valutazione per i tre assi di
analisi; questa simmetria è stata ricercata al fine di poter eseguire uno studio dei sistemi GRC che
fosse il più bilanciato possibile. Operando in questa maniera, infatti, è possibile presentare dei
risultati facilmente comparabili, facendo ricorso (per quanto fattibile) anche all’utilizzo degli
6 Si è scelto di definire questa voce con la dizione “Knowledge Management & Governance” per gli assunti teorici descritti nel primo capitolo [si veda il paragrafo 1.5.1 – Benefici della Governance – per i dettagli].
31
stessi termini e notazioni, allo scopo di ridurre al minimo l’ambiguità tra le descrizioni di
dimensioni omologhe. La logica che sta alla base di tale scelta è semplice: partendo dall’ipotesi
che è alquanto improbabile che un’azienda coinvolta nella decisione d’acquisto di un sistema GRC
sia equamente interessata alle tre tematiche di Governance, Risk Management e Compliance
Management, un siffatto strumento di benchmark consente di individuare immediatamente qual
è la piattaforma più performante nella direzione di maggiore interesse, pur non perdendo di vista
le altre caratterizzazioni fondamentali.
È giusto precisare che, dall’edizione 2014, anche Gartner ha riconosciuto la necessità di una
distinzione basata sui contenuti offerti dai sistemi GRC, andando a definire sei possibili casi d’uso
con altrettanti documenti valutativi. Discostandosi da questo approccio, il Big Picture offre una
singola lettura complessiva, che non valuta ogni sistema GRC rispetto ai possibili ambiti di
utilizzo, ma analizza i tre moduli di Governance, Risk e Compliance Management alla base
dell’idea di GRC. Questa scelta è motivata dal convincimento che un sistema GRC permette di
esprimere le sue massime potenzialità solo nel momento in cui i tre temi di Governance, Risk e
Compliance Management sono affrontati simultaneamente, pur riconoscendo che l’attenzione
possa essere maggiormente focalizzata su un aspetto piuttosto che su un altro; diversamente
dall’approccio di Gartner, questo modus operandi permette di evitare di cadere in una visione “a
silos” di utilizzo dello stesso sistema GRC.
Con riferimento alle Tabelle 2.1, 2.2 e 2.3 [vedasi pagine 39- 41], il primo livello di analisi dei tre
assi Knowledge Management & Governance, Risk Management e Compliance Management è
caratterizzato da una metrica assolutamente speculare: adeguatezza del contenuto, qualità degli
output, integrazione delle informazioni costituiscono le tre macro-dimensioni esaminate per
ciascun asse.
Procedendo con ordine, l’Adeguatezza del contenuto descrive la capacità del sistema GRC di
fornire efficacemente le informazioni relative alle caratteristiche dell’azienda (Knowledge
Management & Governance), alla gestione del rischio (Risk Management) e alla conformità
normativa aziendale (Compliance Management); in altri termini, questa macro-dimensione
misura il grado di conformità delle informazioni potenzialmente offerte dal GRC rispetto a quelle
che potrebbero essere richieste dai futuri utilizzatori.
Con il termine Qualità degli output si intende invece la capacità del sistema GRC di fornire
informazioni affidabili e facilmente utilizzabili e interpretabili relativamente all’organizzazione
(Knowledge Management & Governance), ai risultati delle analisi di rischio (Risk Management) e
di conformità normativa (Compliance Management).
32
Ad ultimo, si analizza l’Integrazione delle informazioni, ovvero la capacità del sistema GRC di
gestire efficientemente le informazioni relative alla Knowledge Base aziendale (Knowledge
Management & Governance), alla gestione del rischio (Risk Management) e alla conformità
normativa (Compliance Management).
A partire dal secondo livello di analisi, le dimensioni valutate per Knowledge Management &
Governance, Risk Management e Compliance Management differiscono leggermente in base
all’asse considerato, per meglio adattarsi alle peculiarità di ciascuno. Si riportano di seguito le
descrizioni dettagliate di ciascuna sotto-dimensione per ognuno dei tre assi.
Knowledge Management & Governance
La Tabella 2.1 – pag.39 illustra la struttura dell’asse Knowledge Management & Governance.
La valutazione della macro-dimensione Adeguatezza del contenuto è ottenuta dalla
combinazione di tre dimensioni:
Grado di copertura della Knowledge Base offerto dal sistema GRC. Questa dimensione permette di
definire la capacità del GRC di descrivere le informazioni relative alla conoscenza aziendale in
maniera estesa, ossia la capacità di rappresentare tutti i contenuti richiesti, e con un elevato
grado di dettaglio. Partendo dall’assunto che la base per una rappresentazione esauriente di una
qualsivoglia azienda deve passare per la definizione delle tre componenti organizzazione
(ovverosia lavoratori), asset (immobili, impianti e macchinari) e processi aziendali, collettivamente
indicate nel seguito del documento dal termine “Knowledge Base”, si è deciso di suddividere
ulteriormente la valutazione di questa dimensione proprio rispetto a questi tre elementi,
valutandone, appunto, la possibilità di poterne fornire una descrizione estesa e dettagliata [si
veda la Tabella 2.1 per le definizioni di dettaglio]. Si vuole sottolineare l’assoluta importanza
ricoperta dalla dimensione Grado di copertura della Knowledge Base in quanto da essa deriva la
capacità di rappresentare la conoscenza aziendale che è elemento cardine sia delle analisi di
gestione del rischio che di quelle di gestione della conformità normativa. D’altro canto, i moduli
di Risk Management e di Compliance Management interni al sistema GRC non sono
necessariamente collegati con quello di gestione della conoscenza; si potrebbe teoricamente
mantenere tutta la Knowledge Base su un sistema dedicato esterno al GRC, col rischio, però, di
lamentare gravi problemi legati, ad esempio, alla non simultaneità di aggiornamento delle
informazioni.
Scalabilità offerta della piattaforma GRC dei contenuti riferiti alla Knowledge Base. La scalabilità
è qui definita come la capacità di frazionamento dei contenuti relativi all’organizzazione, agli
33
asset e ai processi aziendali in base alle specifiche richieste del cliente: in sede di assessment,
questa dimensione deve essere valutata sia con una logica “orizzontale” (ovvero in base
all’estensione, cioè al numero e alla tipologia di contenuti rappresentabili) sia con una logica
“verticale” (ovvero in base al grado di dettaglio desiderato per ciascun contenuto effettivamente
rappresentato). Una valutazione positiva di questa dimensione implica inoltre che, qualora si
voglia andare a dettagliare maggiormente un modulo già implementato nella piattaforma, tale
operazione richieda uno sforzo, di fatto, assai modesto.
Aggiornamento in seguito a cambiamenti: tale dimensione definisce se il GRC è in grado, o meno,
di aggiornare istantaneamente tutta la conoscenza collegata ad un’informazione (riguardante
l’organizzazione, gli asset e/o i processi aziendali) ogni qual volta questa viene modificata.
Questa dimensione valuta, di fatto, la capacità della piattaforma di lavorare sempre con
informazioni aggiornate all’ultima versione disponibile.
La macro-dimensione Qualità degli output viene definita in termini di Utilizzo di modelli
qualitativi e/o quantitativi riconosciuti e Fruibilità delle informazioni relative alla Knowledge
Base.
Utilizzo di modelli qualitativi e/o quantitativi riconosciuti, ovvero la proprietà (o meno) del
sistema GRC di strutturare la Knowledge Base in conformità, appunto, con modelli qualitativi e/o
quantitativi riconosciuti; questo consente di fare affidamento su una rappresentazione della
conoscenza aziendale solida e non soltanto accreditata dai produttori della piattaforma GRC in
questione. Un esempio può essere una rappresentazione dell’azienda mediante la Matrice RACI.
Fruibilità delle informazioni relative alla Knowledge Base. Considerata la notevole importanza di
tale dimensione (poiché realmente abilitante ad un uso estensivo del sistema GRC in azienda), si
è ritenuto necessario analizzarla da più punti di vista, definendola attraverso cinque ulteriori
sotto-dimensioni:
- Capacità di profilazione degli accessi: indica se il sistema GRC consente di creare profili
differenti per diverse tipologie di utente cosicché ciascuno di essi abbia il corretto grado di
accesso alle informazioni riferite alla Knowledge Base. Ci si aspetta che tutti i sistemi GRC
dispongano di una funzione di profilazione infinita; l’assenza di un tale requisito, ritenuto
fondamentale, costituirebbe certamente un grande limite per il sistema analizzato.
- Comunicabilità: serve a determinare se la piattaforma GRC è dotata di un sistema di notifiche
che consente di avvertire tutti gli utenti di competenza dell’avvenuto cambiamento di
informazioni in merito alla Knowledge Base, eventualmente in tempo reale.
34
- Tracking: valuta la capacità della piattaforma GRC di incorporare al suo interno un valido
sistema documentale (riferito, come sempre per quanto riguarda quest’asse di analisi, alla
descrizione della Knowledge Base); questa dimensione viene analizzata rispetto alla possibilità
di tenere traccia delle Versioni precedenti dei documenti, alla loro Protocollazione ed
Indicizzazione automatica [si veda la Tabella 2.1 per le definizioni di dettaglio].
- Personalizzabilità: esprime un giudizio sulla capacità del sistema GRC di poter creare output
(come, ad esempio, Key Performance Indicators – KPIs) personalizzati relativi a organizzazione,
asset e processi aziendali. Si determina in primis la possibilità del GRC di creare nuovi output
rispetto a quelli offerti di default dalla piattaforma, per poi andare a valutare la possibilità di
modificarne la forma in base alle specifiche richieste del cliente utilizzatore [si veda la Tabella 2.1
per le definizioni di dettaglio].
- Reportistica di base: stima la capacità del sistema GRC di effettuare una Generazione automatica
della reportistica di base della Knowledge Base e l’eventuale Completezza della stessa [si veda la
Tabella 2.1 per le definizioni di dettaglio].
L’ultima, ma non meno importante, macro-dimensione Integrazione delle informazioni deriva
dalla combinazione di due dimensioni:
Consistenza delle informazioni: determina la capacità del sistema GRC di avere informazioni
riguardanti la Knowledge Base uniche, vale a dire non ripetute. Un sistema che soddisfa questo
requisito evita che ci sia inconsistenza tra informazioni, cioè evita che una stessa informazione
sia aggiornata in due momenti differenti.
Sinergia fra le informazioni: studia la capacità della piattaforma GRC di combinare informazioni
relative alla Knowledge Base preesistenti a sistema con nuove informazioni e generare
automaticamente ulteriore conoscenza; un aspetto importante risiede nel fatto che tale
conoscenza può essere generata unicamente grazie all’utilizzo congiunto di suddette
informazioni.
Risk Management
Come specificato ad inizio paragrafo, l’asse Risk Management [vedasi Tabella 2.2 a pagina 40]
riprende fedelmente la struttura dell’asse Knowledge Management & Governance [si faccia
riferimento alla Tabella 2.1 per i dettagli], variando da questo solo per alcune voci peculiari.
La macro-dimensione Adeguatezza del contenuto è ancora ottenuta dall’esame di tre
dimensioni principali:
35
Grado di copertura dei rischi: come suggerito dal nome, essa analizza la capacità del sistema GRC
di descrivere gli ambiti di rischio in maniera estesa, ossia la possibilità di rappresentare tutte le
possibili classi di rischi cui è soggetta l’azienda, e con elevato grado di dettaglio.
Volendosi ricollegare agli elementi fondanti la Knowledge Base e con lo scopo di rendere la
trattazione il più coerente e lineare possibile, è stato deciso di dettagliare questa dimensione in
base all’oggetto cui il rischio si riferisce (ovvero organizzazione, asset e/o processo aziendale) e
non in base alla natura del rischio (cioè, per esempio, rispetto a rischi operativi, finanziari,
reputazionali, ecc.).
Scalabilità e Aggiornamento in seguito a cambiamenti: sono definite analogamente a quanto
accaduto nel precedente asse, con la sola differenza di riferirsi ai contenuti relativi alla gestione
del rischio e non alla Knowledge Base.
Per quanto riguarda la macro-dimensione Qualità degli output, sono ora tre le dimensioni in cui
è suddivisa:
Strutturazione (del sistema GRC) coerente con lo standard ISO 31000:2009: si è voluto offrire una
dimensione dedicata alla proprietà (o meno) del sistema GRC di basarsi sulle linee guida della
ISO 31000:2009 per sottolineare (come già avvenuto nella prima sezione del documento)
l’importanza che ricopre questo standard nelle pratiche di gestione del rischio.
Utilizzo di modelli qualitativi e/o quantitativi riconosciuti: definita analogamente all’omologa
dimensione dell’asse Knowledge Management & Governance, ma relativa alle tematiche di
gestione del rischio (ISO 31000:2009 esclusa).
Fruibilità: ricalca esattamente l’omologa dimensione definita per l’asse Knowledge Management
& Governance.
Infine, la descrizione dell’Integrazione delle informazione rimane analoga a quanto sviluppato
nell’asse Knowledge Management & Governance a meno del riferirsi ai contenuti relativi alla
gestione del rischio e non alla Knowledge Base.
Compliance Management
Analogamente a quanto riportato per l’asse Risk Management, anche la struttura complessiva
dell’asse Compliance Management [vedasi Tabella 2.3 a pagina 41] è assimilabile a quella
proposta per il Knowledge Management & Governance.
La macro-dimensione Adeguatezza del contenuto è definita rispetto a:
36
Grado di copertura delle normative offerto dal sistema GRC, ovvero la capacità di rappresentare
un elevato numero di normative sia cogenti, come ad esempio leggi o regolamenti, che volontarie,
come standard riconosciuti.
Scalabilità: in tale ambito, la scalabilità viene limitata alla possibilità di decidere di quante e quali
normative volontarie tenere traccia (si assume che ogni azienda abbia interesse a tenere traccia
di tutte le normative cogenti cui deve adempire); è quindi una scalabilità in termini solo di
numero di normative volontarie trattate e non di livello di dettaglio (quest’ultimo non avrebbe
senso poiché si presume che ogni azienda voglia essere integralmente conforme alla specifica
normativa).
Aggiornamento in seguito a cambiamenti: rispecchia l’omologa definizione dell’asse Knowledge
Management.
La seconda macro-dimensione, Qualità degli output, è ottenuta mediante la combinazione di tre
dimensioni.
Utilizzo di modelli quantitativi indicati dalle normative cogenti e/o volontarie per la valutazione
della conformità normativa: questo garantisce che tale valutazione non sia supportata solamente
da modelli o criteri qualitativi intrinsecamente poco robusti.
Strutturazione coerente con gli standard ISO: una strutturazione coerente con gli standard redatti
dall’ISO – International Organization for Standardization – significa che all’interno della
piattaforma GRC esiste tutta una tipologia di processi che, se correttamente implementati
dall’azienda cliente, non soltanto permette di arrivare ai risultati richiesti da suddette normative,
ma di perseguire tali risultati esattamente nelle modalità da esse richieste; questa dimensione è
quindi un affinamento del Grado di copertura delle normative (volontarie) definito all’interno
della macro-dimensione Adeguatezza del contenuto.
Fruibilità: è costruita in perfetta analogia con l’omologa voce presentata nell’asse Knowledge
Management & Compliance.
La trattazione dell’asse dedicato al Compliance Management termina con la valutazione della
macro-dimensione integrazione delle informazioni, definita in maniera completamente
speculare a quanto fatto per i due precedenti assi.
37
2.3.2.1.2 Software
Il secondo criterio di scelta, “Software”, si propone di esprimere una valutazione dell’applicativo
su cui si basano i sistemi GRC analizzati, a prescindere dai contenuti e dalle funzioni che essi
possono offrire; in altri termini, si vanno a valutare quelle che sono le caratteristiche che un buon
software dovrebbe avere in senso lato.
La metrica di valutazione offerta all’interno del Big Picture [si veda la Tabella 2.4 a pagina 42]
riprende fedelmente la normativa ISO/IEC 25010:2011, uno standard preposto a descrivere la
qualità dei software. Della suddetta normativa è stato considerato il modello riguardante la
“product quality”; tale modello è composto da otto dimensioni, a loro volta ulteriormente
suddivise in sotto-dimensioni. Per la presente indagine è stato ritenuto sufficiente limitare la
valutazione al primo livello di dettaglio, decidendo di non analizzare le sotto-dimensioni per non
esasperare uno studio che sarebbe stato tanto oneroso quanto di scarso valore aggiunto per la
presentazione dei risultati finali.
A chiusura del paragrafo si vuole porre l’accento su come, a fianco dei tre assi d’analisi
precedentemente definiti, il criterio software completi un’esauriente valutazione per piattaforme
GRC.
Per la definizione delle otto dimensioni dell’asse software si rimanda alla consultazione della
Tabella 2.4; vengono riportati sia il testo originale tratto dallo standard ISO/IEC 25010:2011 che
la corrispondente traduzione in lingua italiana per ogni dimensione.
2.3.2.1.3 Fornitura
L’ultimo criterio di scelta analizzato all’interno del Big Picture, denominato “Fornitura”, valuta il
vantaggio per l’ipotetico cliente di acquistare un sistema GRC da un determinato fornitore
relativamente alla sicurezza dell’investimento ed alla qualità dei servizi accessori; in altri
termini, rappresenta una stima della probabilità di successo e soddisfazione legata all’iniziativa
di investimento in uno specifico sistema GRC. E’ importante osservare che questo è un asse
puramente abilitante, che non entra nel merito della qualità della piattaforma GRC analizzata, ma
che aiuta a valutare ciò che al sistema è corollario.
Al contrario di quanto accaduto per i precedenti criteri di scelta, il tema della fornitura è stato
esaminato approfonditamente all’interno degli strumenti di classificazioni esistenti, motivo per il
quale si è deciso di riprendere e riadattare alcune delle dimensioni da loro proposte,
riconoscendone la validità argomentativa.
38
Nello specifico, l’asse fornitura offre una valutazione rispetto alle seguenti cinque macro-
dimensioni:
- stabilità finanziaria dell’azienda fornitrice, valutata in termini di ricavi complessivi e di ricavi
ottenuti dalla vendita di piattaforme (e relativi servizi) GRC (se differenti dal precedente
valore);
- effort in innovazione del GRC;
- diffusione geografica, valutata in termini sia di presidio commerciale sia di servizi di
supporto diretto offerti dall’azienda vendor. Rispettivamente, verrà valutato positivamente
un vendor GRC avente installazioni in molteplici paesi e in grado di fornire supporto diretto
in tutti quei paesi;
- servizi di supporto offerti, valutati in termini di qualità del supporto all’implementazione
della piattaforma nei sistemi IT dell’azienda cliente e di qualità dei servizi di manutenzione e
aggiornamento;
- costo d’acquisto del sistema GRC, stimato attraverso l’opinione di un utilizzatore dello
specifico software GRC rispetto ad altre piattaforme comparabili (in termini di contenuti e
livello di fornitura) che questi aveva valutato in fase d’acquisto.
Per la descrizione di dettaglio delle sotto-dimensioni si faccia rifermento alla Tabella 2.5.
Nelle pagine che seguono, si riportano in forma tabellare e sinottica le definizioni delle
prestazioni e delle caratteristiche valutate all’interno del Big Picture per ogni sistema GRC.
In base all’evidenza discussa nel documento7 “Un po’ di chiarezza sui sistemi di Governance, Risk e
Compliance Management: cosa ci possiamo aspettare?”, le dimensioni contraddistinte dal simbolo
“*” sono da considerarsi come requisisti minimi, nel senso che una loro valutazione negativa
dovrebbe essere interpretata come una grave mancanza del sistema GRC in questione.
Per come concepita, ogni dimensione richiede di essere valutata su una scala (metrica di
prestazione) da 1 a 4, dove:
- 1 corrisponde sempre ad una valutazione fortemente negativa;
- 2 corrisponde ad una valutazione negativa in parte;
- 3 corrisponde ad una valutazione positiva in parte;
- 4 corrisponde sempre ad una valutazione pienamente positiva.
7 Scaricabile al link: http://goo.gl/forms/m55g0hfWec
39
ASSE DI ANALISI DIMENSIONI DESCRIZIONE
Knowledge Management & Governance
Adeguatezza del contenuto
Grado di copertura della knowledge base
Rappresentabilità dell'organizzazione *
Capacità di descrivere i lavoratori in maniera estesa e dettagliata.
Rappresentabilità degli asset * Capacità di descrivere gli asset (immobili, impianti, macchinari) in maniera estesa e dettagliata.
Rappresentabilità dei processi * Capacità di descrivere i processi aziendali in maniera estesa e dettagliata.
Scalabilità * Capacità di frazionamento dei contenuti relativi all’organizzazione, agli asset e ai processi in base alle richieste del cliente.
Aggiornamento in seguito a cambiamenti
Capacità di aggiornare istantaneamente la conoscenza riguardante l’organizzazione, gli asset e i processi (e le informazioni collegate a tale conoscenza) ogni qual volta questa viene modificata.
Qualità degli output
Utilizzo di modelli qualitativi/quantitativi riconosciuti Proprietà del sistema di utilizzare modelli quantitativi e/o qualitativi riconosciuti per strutturare la Knowledge Base.
Fruibilità
Capacità di profilazione degli accessi *
Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla Knowledge Base.
Comunicabilità *
Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento di informazioni riferite a organizzazione, asset o processi.
Tracking
Indicizzazione automatica
Possibilità di indicizzare automaticamente i documenti relativi alla Knowledge Base.
Versioni precedenti
Possibilità di disporre di uno storico dei documenti relativi alla Knowledge Base, che consente di tenere traccia delle versioni precedenti di tali documenti.
Protocollazione Possibilità di protocollare i documenti relativi alla Knowledge Base.
Personalizzabilità
Quantità degli output Possibilità di creare nuovi output relativi alla Knowledge Base.
Forma degli output Possibilità di presentare gli output relativi alla Knowledge base in base alle specifiche richieste del cliente.
Reportistica di base
Generazione automatica Capacità di generare automaticamente la reportistica di base relativa alla Knowledge Base.
Completezza Capacità di generare una reportistica di base relativa alla Knowledge Base completa.
Integrazione delle informazioni
Consistenza delle informazioni Capacità del sistema di lavorare con informazioni relative alla Knowledge Base uniche, ovvero non ripetute.
Sinergia fra le informazioni
Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla Knowledge Base.
Tabella 2.1 – Struttura dell’asse di valutazione Knowledge Management & Governance.
40
ASSE DI ANALISI DIMENSIONI DESCRIZIONE
Risk Management
Adeguatezza del contenuto
Grado di copertura dei rischi
Rischi relativi all'organizzazione * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio cui i lavoratori sono potenzialmente soggetti.
Rischi relativi agli asset * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio relative agli asset.
Rischi relativi ai processi * Capacità di descrivere in maniera estesa e dettagliata tutte le classi di rischio relative ai processi aziendali.
Scalabilità * Capacità di frazionamento dei contenuti di rischio in base alle richieste del cliente.
Aggiornamento in seguito a cambiamenti
Capacità di aggiornare istantaneamente la conoscenza relativa alla gestione del rischio, così come le informazioni ad essa collegate, ogni qual volta questa viene modificata.
Qualità degli output
Strutturazione coerente con lo standard ISO 31000:2009 *
Proprietà dal sistema di strutturare le informazioni relative al rischio coerentemente con lo standard ISO 31000:2009.
Utilizzo di modelli qualitativi/quantitativi riconosciuti
Proprietà del sistema di strutturare le informazioni relative al rischio sulla base di modelli quantitativi e/o qualitativi riconosciuti (ISO31000 esclusa).
Fruibilità
Capacità di profilazione degli accessi *
Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla gestione del rischio.
Comunicabilità * Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento nei contenuti di rischio.
Tracking
Indicizzazione automatica
Possibilità di indicizzare automaticamente i documenti relativi alla gestione del rischio.
Versioni precedenti
Possibilità di disporre di uno storico dei documenti relativi alla gestione del rischio, che consente di tenere traccia delle versioni precedenti di tali documenti.
Protocollazione Possibilità di protocollare i documenti relativi alla gestione del rischio.
Personalizzabilità
Quantità degli output Possibilità di creare nuovi output relativi alla gestione del rischio.
Forma degli output Possibilità di presentare gli output relativi alla gestione del rischio in base alle specifiche richieste del cliente.
Reportistica di base
Generazione automatica Capacità di generare automaticamente la reportistica di base relativa al Risk Management.
Completezza Capacità di generare una reportistica di base relativa alla gestione del rischio completa.
Integrazione delle informazioni
Consistenza delle informazioni Capacità di avere informazioni relative alla gestione del rischio uniche, ovvero non ripetute.
Sinergia fra le informazioni
Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla gestione del rischio.
Tabella 2.2 – Struttura dell’asse di valutazione Risk Management.
41
ASSE DI ANALISI DIMENSIONI DESCRIZIONE
Compliance Management
Adeguatezza del contenuto
Grado di copertura delle normative
Normative cogenti * Capacità di disporre di un elevato grado di copertura delle normative cogenti.
Normative volontarie * Capacità di disporre di un elevato grado di copertura delle normative volontarie.
Scalabilità * Possibilità di scegliere su quante e quali normative volontarie (ovvero standard) tenere traccia.
Aggiornamento in seguito a cambiamenti
Capacità di aggiornare istantaneamente la conoscenza relativa alla conformità normativa, così come le informazioni ad essa collegate, ogni qual volta questa viene modificata.
Qualità degli output
Strutturazione coerente con gli standard ISO *
Proprietà delle piattaforma di poter strutturare tutti gli ambiti di Compliance richiesti dall’utilizzatore secondo i processi dettagliati nel rispettivo standard ISO.
Utilizzo di modelli quantitativi
Proprietà della piattaforma di utilizzare i modelli quantitativi indicati dalle normative cogenti e/o volontarie per valutarne la conformità.
Fruibilità
Capacità di profilazione degli accessi *
Possibilità di creare profili differenti per diversi utenti, in modo tale da garantire che ciascun di essi abbia il corretto grado di accesso alle informazioni relative alla gestione della conformità normativa.
Comunicabilità * Capacità di avvertire tutti gli utenti di competenza che è avvenuto un cambiamento riguardo la conformità normativa.
Tracking
Indicizzazione automatica
Possibilità di indicizzare automaticamente i documenti relativi alla conformità normativa.
Versioni precedenti
Possibilità di disporre di uno storico dei documenti relativi alla conformità normativa, che consente di tenere traccia delle versioni precedenti di tali documenti.
Protocollazione Possibilità di protocollare i documenti relativi alla conformità normativa.
Personalizzabilità
Quantità degli output Possibilità di creare nuovi output relativi alla gestione della conformità normativa.
Forma degli output Possibilità di presentare gli output relativi alla gestione della conformità normativa in base alle specifiche richieste del cliente.
Reportistica di base
Generazione automatica Capacità di generare automaticamente la reportistica di base relativa alla conformità normativa.
Completezza Capacità di generare una reportistica di base relativa alla conformità normativa completa.
Integrazione delle informazioni
Consistenza delle informazioni Capacità di avere informazioni relative alla conformità normativa uniche, ovvero non ripetute.
Sinergia fra le informazioni
Capacità di combinare informazioni preesistenti nel sistema con nuove informazioni e generare automaticamente ulteriore conoscenza relativa alla conformità normativa.
Tabella 2.3 - Struttura dell’asse di valutazione Compliance Management.
42
ASSE DI ANALISI DIMENSIONI DESCRIZIONE
SOFTWARE (Asse ripreso
dallo standard ISO/IEC
25010:2011 – Product Quality
Model)
Idoneità funzionale (Functional suitability)
Grado in cui il sistema GRC riesce a fornire funzioni che soddisfano bisogni dichiarati o impliciti quando usato sotto specifiche condizioni. (degree to which a product or system provides functions that meet stated and implied needs when used under specific conditions).
Efficienza (Performance efficiency) Prestazione relativa alla quantità di risorse usate dal sistema GRC sotto condizioni dichiarate. (performance relative to the amount of resources used under stated conditions).
Compatibilità (Compatibility) *
Grado in cui il sistema GRC può scambiare informazioni con altri prodotti, sistemi o componenti, e/o svolgere le funzioni ad esso richieste quando, con questi, condivide lo stesso ambiente hardware o software. (degree to which a product, system or component can exchange information with other products, systems or components, and/or perform its required functions, while sharing the same hardware or software environment).
Usabilità (Usability)
Grado in cui il sistema GRC può essere usato da specifici utenti per raggiungere specifici obiettivi con efficacia, efficienza e soddisfazione in un determinato contesto d’uso. (degree to which a product or system can be used by specified users to achieve specified goals with effectiveness, efficiency and satisfaction in a specified context of use).
Affidabilità (Reliability)
Grado in cui il sistema GRC svolge specifiche funzioni sotto specifiche condizioni per uno specifico periodo di tempo. (degree to which a system, product or component performs specified functions under specified conditions for a specified period of time).
Sicurezza (Security) *
Grado in cui il sistema GRC protegge le informazioni e i dati cosicché persone o altri prodotti o sistemi abbiamo il corretto grado di accesso ai dati in funzione del loro tipo e livello di autorizzazione. (degree to which a product or system protects information and data so that persons or other products or systems have the degree of data access appropriate to their types and level of authorization).
Manutenibilità (Maintainability) Grado di efficacia ed efficienza con cui il sistema GRC può essere modificato dai manutentori. (degree of effectiveness and efficiency with which a product or system can be modified by the intended maintainers).
Portabilità (Portability)
Grado di efficacia ed efficienza con cui il sistema GRC può essere trasferito da un hardware, software o altro ambiente operativo o d’uso ad un altro. (degree of effectiveness and efficiency with which a system, product or component can be transferred from one hardware, software or other operational or usage environment to another).
Tabella 2.4 - Struttura dell’asse di valutazione Software.
ASSE DI ANALISI DIMENSIONI DESCRIZIONE
FORNITURA
Stabilità finanziaria
Ricavi complessivi
Classificazione in quattro fasce: <2mln€ (micro impresa) 2< <10mln€ (piccola impresa) 10< <50mln€ (media impresa) >50mln€ (grande impresa)
Ricavi dalla vendita di piattaforme GRC Auto-esplicativo.
Effort in innovazione del GRC
Valutazione in merito all’esistenza di risorse (budget e personale) esplicitamente e continuativamente destinate a ricerca e sviluppo delle piattaforme GRC.
Diffusione geografica
Presidio commerciale in più paesi Auto-esplicativo.
Presenza di servizi di supporto in più paesi Capacità dell’azienda venditrice di fornire supporto diretto in tutti i paesi nei quali sono presenti installazioni del prodotto.
Servizi di supporto
Servizi di supporto all’implementazione Valutazione della qualità dei servizi di supporto all’implementazione offerti dall’azienda fornitrice.
Servizi di manutenzione e aggiornamento
Valutazione della qualità dei servizi di manutenzione e aggiornamento (periodico del produttore o in base a richieste specifiche del cliente) del sistema offerti dall’azienda fornitrice.
Costo * Apprezzamento del costo del sistema GRC.
Tabella 2.5 - Struttura dell’asse di valutazione Fornitura.
43
A corredo di quanto appena presentato, si vuole richiamare l’attenzione sulla valutazione di
un’importante dimensione presente in entrambi i sistemi di Gartner e Forrester che, invece, non
compare esplicitamente all’interno del Big Picture: l’eventuale specializzazione per industry delle
piattaforme GRC analizzate. Esistono delle spiegazioni in tal senso. Innanzitutto, l’eventuale
specificità per industry è una dimensione intrinsecamente difficile da oggettivare e valutare su
una scala di valori poiché la sua analisi dipende fortemente dall’eventuale molteplicità di
business di cui si occupa l’azienda acquirente. Secondariamente, questa è una dimensione la cui
valutazione è potenzialmente soggetta a continue modifiche: i vendor GRC, infatti, sono in
costante fase di crescita che procede parallelamente all’implementazione dei loro prodotti in
nuove aziende, ovverosia industry, e che quindi li porta a specializzarsi, step by step, in rapporto
alle nuove installazioni del loro prodotto.
Per completezza d’informazione, verrà comunque riportata l’eventuale specificità per industry
all’interno delle descrizioni puntuali di ciascun GRC analizzato.
A completamento dell’analisi, si sarebbe voluta offrire una tabella di confronto tra i criteri trattati
all’interno del Big Picture e quelli trattati nella Forrester Wave e nei Magic Quadrants; purtroppo,
a causa della difficoltà interpretativa di alcune delle loro dimensioni di analisi (dovuta alla
mancanza di definizioni rigorose per ciascuna di esse), tale confronto sarebbe stato
approssimativo, motivo per il quale si è deciso di evitarlo.
2.3.2.2 FASE DI CLASSIFICAZIONE
La fase di classificazione si articola in due passi successivi: la definizione dei principi di
aggregazione delle valutazioni ottenute dalla precedente fase e la successiva presentazione
grafica dei risultati, mediante la mappatura dei GRC analizzati all’interno di specifiche matrici e
mediante l’impiego di grafici radar.
2.3.2.2.1 Principi di aggregazione delle valutazioni
La ricerca e la selezione del software GRC più idoneo passa indiscutibilmente dalla definizione
dalle esigenze che esso manifesta; i tre driver di acquisto sono comunque sempre la possibilità di
migliorare la gestione della conoscenza, la gestione del rischio e della conformità normativa
aziendale. Con l’obiettivo di soddisfare tali necessità, il Big Picture cerca di adattarsi a tali
esigenze fornendo un’analisi di benchmark basata sulla valutazione di molteplici scenari
d’interesse; ecco perché versatilità e flessibilità sono senza dubbio due dei suoi maggiori punti
di forza.
44
Poiché lo scopo ultimo è quello di presentare dei risultati significativi e facilmente consultabili,
nel seguito verranno offerte due casistiche “standard” che mirano a soddisfare le esigenze
informative più comuni e diffuse, ottenute in concordanza con le evidenze teoriche esposte nella
prima sezione del documento. È, infatti, impensabile riportare all’interno di un unico documento
uno scenario (con relativa rappresentazione grafica) per ogni possibile combinazione degli assi
precedentemente definiti.
Ad onor del vero, analogamente a quanto appena descritto, l’idea di offrire differenti scenari di
valutazione si trova anche all’interno del sistema di benchmark di Forrester Research. In esso,
infatti, è presente una sola matrice di classificazione di sistemi GRC, lasciando però la possibilità
di ottenerne ulteriori configurazioni relativamente a quelli che, secondo quanto riportato nella
Forrester Wave, sono alcuni degli ambiti di implementazione più comuni dei sistemi GRC, ovvero:
– Corporate compliance, environmental compliance, and social responsibility – IT GRC and third-
party risk management – Financial controls and operational risk. D’altro canto, questa possibilità
è accessibile soltanto attraverso un servizio a pagamento, non lasciandone alcuna diretta
visibilità all’interno della Forrester Wave.
Similmente, dal 2014 anche Gartner Inc. offre un’analisi di diversi scenari di valutazione
(chiamati “casi d’uso”) dislocati, però, su altrettanti paper, anch’essi a pagamento.
Discostandosi da quanto proposto da Forrester e Gartner, gli scenari offerti dal Big Picture non
si basano sui possibili ambiti di utilizzo del GRC (che, di fatto, costituiscono una limitazione per
tutti quegli utilizzatori non interessati a tali ambiti), bensì sull’importanza relativa dei
contenuti offerti da ciascuna piattaforma.
Pur non prendendo deliberatamente alcuna posizione in merito a quali assi di valutazione
debbano avere maggior importanza (lasciando questa scelta a discrezione del futuro
utilizzatore), è stato comunque necessario effettuare un’assunzione al fine di presentare
risultati coerenti con quanto riportato nella prima sezione del documento, ricercando comunque
sempre la massima neutralità. Tale assunzione prevede che, per la valutazione complessiva del
criterio Contenuto, l’asse dedicato al Knowledge Management & Governance abbia sempre
peso non inferiore ai pesi degli assi riguardanti il Risk Management e il Compliance
Management. Con riferimento alla definizione fornita nella prima sezione, una Governance
(ovverosia una gestione della conoscenza) efficiente ed efficace:
45
- ha, in assoluto, un notevole valore intrinseco poiché permette di prevenire l’accadimento di
fenomeni negativi grazie all’identificazione di eventi che quotidianamente accadono sia dentro
che fuori i confini aziendali;
- è imprescindibile per un sistema GRC realmente integrato, che fonda le sue analisi di rischio e di
conformità normativa su una solida base di dati contenuta proprio all’interno del modulo di
Knowledge Management del sistema stesso. Le attività di risk e compliance management
supportate dal sistema GRC, infatti, sono fondamentalmente GIGO (Garbage In, Garbage Out) cioè
inattendibili nel caso in cui non siano fondate su dati corretti e adeguatamente dettagliati ed
aggiornati.
Ecco alcune delle principali motivazioni dell’assunzione precedentemente definita.
È anche vero, però, che per gestire il rischio e la conformità normativa tramite piattaforme GRC si
potrebbe, potenzialmente, attingere ad informazioni presenti su sistemi documentali esterni,
andando così ad utilizzare solamente i moduli di Risk e Compliance Management della
piattaforma. Questo modo di operare, però, è in netto contrasto con il paradigma integrato ed
olistico tipico dei sistemi GRC [si veda la prima sezione del documento – Cap.1 per i dettagli] sul
quale si basa il Big Picture; l’ipotesi fondante è infatti quella che l’insieme dei tre contenuti
Knowledge Management e Governance, Risk Management e Compliance Management abbia
un valore aggiunto nettamente superiore alla somma delle gestioni di ciascun contenuto
singolarmente preso.
I due scenari “standard” identificati sono i seguenti:
Scenario “Balanced Contents”, utile nel caso in cui un’azienda attribuisca pari importanza ai
tre assi di valutazione:
o Knowledge Management & Governance = 33.3%;
o Risk Management = 33.3%;
o Compliance Management = 33.3%.
Scenario “Governance based”, caratterizzato da un valore preponderante dell’asse di gestione
della conoscenza:
o Knowledge Management & Governance = 50%;
o Risk Management = 25%;
o Compliance Management = 25%.
Questi scenari saranno fondamentali in fase di rappresentazione grafica dei risultati finali [si
veda il paragrafo successivo per i dettagli] poiché permetteranno di evidenziare da diverse
prospettive i punti di forza dei software considerati.
46
Per quanto riguarda i criteri di aggregazione delle dimensioni e delle sotto-dimensioni interne
agli assi di valutazione, è stato deciso di mantenere una pesatura uniforme allo scopo di
perseguire un maggiore grado di generalità e una più facile interpretazione dei risultati.
Un’unica eccezione è stata fatta all’interno dell’asse Software. Malgrado quanto sostenuto
fermamente in letteratura in merito all’unicità e alla completa integrazione del sistema GRC, ad
oggi appare inevitabile che le imprese utilizzino (a livello complessivo di business) più di un
software: anche nel caso ipotetico di integrazione delle tre componenti Governance, Risk
Management e Compliance Management, in azienda esistono altre tematiche che sono gestite
tramite altri software. Per questo motivo la dimensione Compatibilità è assolutamente
fondamentale per la scelta del sistema GRC. Parimenti, da quanto emerso dalle interviste fatte a
Risk Manager di importanti aziende operanti in Italia, anche la sicurezza dei dati e delle
informazioni garantita dal GRC riveste un ruolo determinante.
Per quanto appena sostenuto, la valutazione finale dell’asse Software è così ripartita:
- la somma delle dimensioni Compatibilità e Sicurezza pesa complessivamente per il 50% della
valutazione ed è equamente suddivisa. In altri termini, nel caso in cui il valutatore fornirà una
stima di entrambe le dimensioni, il peso loro è di 25% ciascuna; in alternativa, la sola dimensione
effettivamente stimata peserà per il 50%;
- le altre sei dimensioni (Idoneità funzionale, Efficienza, Usabilità, Affidabilità, Manutenibilità,
Portabilità) pesano in proporzione uguale sul restante 50% della valutazione
Grazie all’elevato livello di dettaglio con cui è stata descritta ciascuna dimensione d’analisi [si
veda il paragrafo 2.3.2.1], si vuole sottolineare come il Big Picture si presti ad essere facilmente
riconfigurato nel tempo tramite la semplice ridefinizione dei principi di aggregazione per
ciascuna classe, in base alle necessità dello specifico utilizzatore.
2.3.2.2.2 Rappresentazione grafica dei risultati
Gli attuali strumenti di classificazione per sistemi GRC riconducono la presentazione dei risultati
delle valutazioni di ciascun software all’interno di matrici bidimensionali; questo ne garantisce
l’evidente vantaggio di una facile ed intuitiva lettura. Oltre a visualizzazioni matriciali, però,
esistono anche altri metodi di rappresentazione grafica adatti a mostrare le valutazioni di ogni
sistema.
Per fornire indicazioni visuali sia specifiche per il singolo GRC sia complessive dell’intero
campione di software analizzati, il Big Picture offre due diverse modalità di rappresentazione
47
grafica: i risultati sono, infatti, presentati sia attraverso le “tradizionali” matrici bidimensionali
sia mediante grafici radar; se ne riportano di seguito le descrizioni.
Rappresentazione matriciale
Considerata la naturale semplicità e immediatezza consultiva della soluzione, con il Big Picture
non ci si è potuto astenere dal presentare i risultati delle proprie valutazioni anche attraverso
matrici bidimensionali.
In realtà, benché le matrici proposte siano organizzate secondo due assi principali, in ognuna di
esse i criteri effettivamente valutati sono tre e la loro combinazione dipende dallo scenario
d’interesse considerato [si veda il paragrafo 2.3.2.2.1 per le descrizioni degli scenari]. Più nel
dettaglio:
- Sull’asse X è sempre riportata la valutazione del Software, espressa su scala binaria dai
valori basso/alto.
- Sull’asse Y è riportata la valutazione del Contenuto, anch’esso espresso su scala binaria con
valori basso/alto, in relazione all’importanza attribuita a ciascuno dei tre assi che lo
caratterizzano. Ne derivano cinque differenti letture che saranno la base del confronto tra
piattaforme presentato nel prossimo capitolo:
o Una di valutazione del solo asse Knowledge Management & Governance;
o Una di valutazione del solo asse Risk Management;
o Una di valutazione del solo asse Compliance Management;
o Una relativa allo scenario Balanced Contents, definito nel paragrafo 3.4;
o Una relativa allo scenario Governance Based, definito nel paragrafo 3.4.
- All’interno dei quattro quadranti ottenuti dall’incrocio dell’asse X con l’asse Y, si valuta la
qualità della Fornitura attraverso sotto-quadranti; anche questa è una valutazione binaria
definita su scala di valori basso/alto.
In funzione delle cinque possibili letture dell’asse Y si ottengono cinque differenti matrici.
Le prime tre letture si focalizzano ciascuna su uno degli assi di analisi del criterio Contenuto, e
perciò si rivelano utili nel momento in cui l’interesse del lettore sia completamente rivolto su uno
di essi. Le due successive letture, invece, sono il frutto dell’applicazione dei principi di
aggregazione definiti nel precedente paragrafo [si veda il paragrafo 3.4 per i dettagli] e sono
rappresentative dell’intero criterio Contenuto; infatti, a seconda della “pesatura” dei tre assi
costituenti tale criterio, la matrice modifica il posizionamento dei software al suo interno. Queste
48
letture risultano utili ogni qual volta esiste un bisogno distribuito, più o meno uniformemente, in
termini di Governance, Risk Management e Compliance Management.
Con questo metodo è quindi possibile fornire una rappresentazione grafica complessiva dei tre
criteri presi in considerazione dalle figure che, almeno ipoteticamente, sono responsabili della
decisione di acquisto di un sistema GRC (ovvero CRO, CIO e CEO), potendo mappare in essa tutti i
software, consentendone così un agevole confronto simultaneo.
Operare una classificazione in fasce binarie senza dare diretta visibilità della valutazione
numerica complessiva per ciascun criterio impedisce, di fatto, la possibilità di ricavare una
classifica relativa tra le piattaforme GRC presenti nello stesso quadrante: questa “limitazione” è
stata intenzionalmente introdotta dagli autori al fine di ridurre l’errore cui potrebbe essere
soggetto un ranking troppo puntuale, risultando potenzialmente fuorviante. Così operando,
all’interno di ciascun sotto-quadrante è presentata una lista dei sistemi GRC che effettivamente
ne fanno parte, quindi non uno specifico posizionamento.
La figura 2.3 illustra la struttura della matrice avente, come esempio, per asse Y la valutazione
dell’asse Risk Management. Vengono in essa riportati quattro ipotetici sistemi GRC.
Figura 2.3 – Esempio di matrice di classificazione.
49
Ricollegandosi a quanto riportato a conclusione del paragrafo 2.3.2.2.1, oltre alle cinque letture
esplicitamente definite in questo documento è possibile ottenere differenti versioni della matrice
andando a ridefinire i criteri di aggregazione delle classi, per meglio adattarne i risultati alle
esigenze del diretto interessato.
Grafici radar
I grafici radar (anche conosciuti come diagrammi a ragnatela o, dall’inglese, spider diagram)
sono costituiti da un reticolo nel quale i raggi principali corrispondono agli attributi analizzati.
Ogni singolo radar permette di rappresentare un certo numero – relativamente ridotto – di
entità; per ogni entità è riportata la posizione su ciascun raggio in base al valore del
corrispondente attributo.
Questo metodo grafico consente di visualizzare entità multivariate attraverso una
rappresentazione bidimensionale, evidenziando in modo intuitivo le differenze di valore dei vari
attributi.
Nel Big Picture si è deciso di utilizzare un singolo grafico radar per rappresentare ciascuna entità;
nello specifico le entità corrispondono ai vari sistemi GRC analizzati ed i raggi, in numero di
cinque, corrispondono esattamente ai cinque assi di valutazione definiti nel paragrafo 2.3.2.1.
La figura 2.4 mostra un esempio di grafico radar per
un ipotetico sistema GRC; come si può notare,
questo metodo di rappresentazione fornisce un
chiaro dettaglio per tutti e cinque gli assi analizzati
ed è quindi estremamente utile nel caso in cui il
potenziale acquirente abbia un bisogno asimmetrico
e focalizzato su uno specifico asse.
In seguito, sarà riportato un grafico radar per
ciascuna piattaforma GRC analizzata nella prossima
sezione.
Figura 2.4 – Esempio di grafico radar per un ipotetico sistema GRC.
50
3. THE BIG PICTURE FOR GOVERNANCE, RISK AND
COMPLIANCE PLATFORMS: ANALISI DEL MERCATO
ATTUALE
3.1 OBIETTIVO DELLO STUDIO
L’obiettivo del presente documento è quello di presentare un nuovo sistema di valutazione e
classificazione per piattaforme GRC denominato Big Picture for Governance, Risk and Compliance
Platforms; esso si propone di fornire un ulteriore punto di vista sull’attuale mercato delle
piattaforme di GRC. Tale nuovo sistema è frutto dello studio teorico di cosa effettivamente siano
l’approccio GRC ed i sistemi informatici ad esso relativi, dei potenziali benefici che questi
possono portare in una qualsiasi realtà aziendale, della percezione che, ad oggi, i Risk Manager di
importanti aziende operanti in Italia hanno sull’argomento e dall’esame dei due più importanti
strumenti di assessment e confronto di sistemi GRC esistenti (redatti da Gartner Inc. e Forrester
Research Inc.).
Dopo aver definito i criteri di inclusione che le piattaforme (o meglio i GRC vendor) devono
rispettare per poter rientrare nella presente ricerca, la metodologia di raccolta delle valutazioni e
le dimensioni d’analisi effettivamente considerate, si perverrà alla rappresentazione grafica dei
risultati seguita dall’analisi puntuale di ciascuna piattaforma GRC esaminata. A chiusura della
trattazione si analizzeranno i risultati ottenuti e gli eventuali punti di contatto e di divergenza
con quanto riportato dalle analisi di Gartner e Forrester.
3.2 CRITERI DI INCLUSIONE
Il Big Picture si propone di rispettare tutte le caratteristiche desiderate per un ipotetico sistema
di valutazione e classificazione di software GRC8. In particolare, la completezza aspira ad essere
un elemento distintivo del Big Picture rispetto a quanto offerto dagli attuali sistemi di
assessment: potenzialmente, infatti, nella presente trattazione può essere incluso qualsivoglia
8 Per la definizione di tali caratteristiche si veda il documento: Micheli G.J.L., Cagno E., Brusa Perona A.
(2015), “Proposta concettuale di un nuovo sistema di valutazione e classificazione per sistemi GRC”,
scaricabile alla pagina web http://goo.gl/6It6qz.
51
venditore di sistema GRC. Proprio per questo motivo, è stato deciso di non applicare alcun
vincolo di partecipazione per il coinvolgimento dei software vendor e delle relative piattaforme;
in altri termini, per esempio, non è stata fatta alcuna limitazione in merito al numero di clienti o
al fatturato annuo dei vendor.
All’atto pratico, con l’intento di circoscrivere il campo di studio, almeno per il momento il Big
Picture focalizza la propria analisi alle sole piattaforme GRC direttamente acquistabili sul
territorio italiano.
La motivazione fondamentale che ha portato questa ricerca a concentrarsi sul mercato nazionale
è, però, scaturita dalla considerazione che, dati gli interessi e i bisogni di molte medie e grandi
aziende operanti sul territorio italiano, è certamente di grande utilità avere la possibilità di
disporre di uno strumento di valutazione e confronto che dia visibilità anche a piccoli,
specializzati, ma validi produttori di sistemi GRC.
La ricerca delle piattaforme GRC direttamente acquistabili in Italia si è articolata in due fasi
principali. Innanzitutto, si è andati a prendere in considerazione i rivenditori GRC presenti negli
attuali sistemi di classificazione (si è fatto riferimento ai documenti “Magic Quadrant for
Enterprise Governance, Risk and Compliance Platforms” aggiornato al 26 settembre 2013 e “The
Forrester Wave: Governance, Risk, And Compliance Platforms, Q1 2014”) per i quali si è verificata
la loro presenza diretta sul territorio nazionale. Questo passaggio è stato eseguito tramite la
ricerca dell’esistenza (o meno) di una sede o filiale sul territorio italiano o di un qualsiasi
riferimento – quale numero di telefono o indirizzo email – italiano. In seconda battuta, per cerare
di offrire un’analisi veramente completa e rappresentativa del mercato considerato, si sono
andati a ricercare i produttori di software GRC (o strumenti informatici non apertamente definiti
con la dizione GRC, ma aventi funzionalità affini) italiani tramite investigazione sul web.
Al momento della stesura del presente documento si è giunti ad una lista di quattordici
produttori GRC aventi riferimenti italiani, dei quali si riportano in Tabella 3.1 i nomi in ordine
alfabetico (seguiti dal nome della relativa piattaforma GRC):
52
Tabella 3.1 – Lista dei GRC vendor attivi sul territorio italiano.
In considerazione del fatto che questa è la prima edizione del Big Picture, si è quindi deciso di
evitare di rincorrere inutilmente una completezza della popolazione di studio su una scala
maggiore di quella italiana (che cambierebbe significativamente, peraltro, la caratterizzazione di
una delle dimensioni della classificazione). L’obiettivo degli autori resta comunque quello di
proporre aggiornamenti periodici del presente documento; non si esclude in ogni caso che, dalle
prossime versioni, il respiro del Big Picture si possa ampliare oltre i confini nazionali.
3.3 METODOLOGIA DI RACCOLTA DELLE VALUTAZIONI
Il primo passo fatto per raccogliere le valutazioni delle piattaforme è stato quello di mettersi in
contatto con i referenti commerciali esperti nelle soluzioni GRC delle rispettive aziende vendor;
sono state loro richieste due tipologie di informazioni.
In primo luogo è stato richiesto il nome dell’azienda e relativo riferimento preferenziale con
indirizzo email di un cliente soddisfatto (nome che verrà dichiarato nel seguito del presente
documento per garantire trasparenza dei risultati). Nello specifico si prendono in considerazione
i soli clienti che abbiano implementato il GRC estensivamente nei propri sistemi informativi e che
53
lo usino regolarmente (possibilmente da almeno un anno da fine implementazione); questo allo
scopo di far loro compilare la valutazione del GRC in uso – tramite intervista o, a scelta,
compilazione di un equivalente questionario eventualmente supportato per via telefonica dagli
autori – e di poter, quindi, eseguire una valutazione di ciascuna piattaforma che sia la più
neutrale possibile9. Precisando che è obiettivo primario del Big Picture fornire una valutazione
delle caratterizzazioni forti e positive di ciascun sistema GRC (pur portandone alla luce le
eventuali debolezze), l’idea che sta alla base di questa metodologia di raccolta delle valutazioni è
che il cliente soddisfatto sia colui che meglio può esprimere le reali potenzialità della piattaforma
utilizzata; questo modo di operare, inoltre, tutela da possibili sovrastime che si potrebbero
avere nel caso in cui la valutazione fosse direttamente richiesta al produttore.
La seconda tipologia di informazioni fa, invece, riferimento a specifiche peculiarità dell’azienda
fornitrice, utili per lo più per una valutazione legata all’affidabilità della Fornitura offerta dal
GRC vendor: considerata l’oggettività di tali dati, la loro richiesta viene fatta direttamente a
ciascun referente commerciale.
Rispetto ai quattordicidici GRC vendor contatti ed elencati in Tabella 3.1, al momento della
redazione del documento hanno accettato di collaborare alla ricerca i seguenti (riportati in
ordine alfabetico):
1. EMC RSA – RSA Archer GRC;
2. KeisData – KRC;
3. Mega International – Mega GRC Solutions;
4. Software AG – Aris Risk & Compliance Management;
5. Zucchetti – Safety Solution;
ove il primo dato è il nome della società mentre il secondo dato è il nome del relativo software
GRC.
Si riportano di seguito le argomentazioni dai GRC vendor che, pur rispondendo in tempi utili per
la redazione di tale documento10, hanno ritenuto di non poter collaborare alla ricerca:
1. Lema Informatica definisce il suo prodotto (Alfagest) non un GRC, ma un software
dedicato prettamente alla gestione operativa della salute e sicurezza (es. gestione della
legge 81, gestione dell’ergonomia, ecc.);
9 La valutazione di ogni dimensione d’analisi è, perciò, funzione dell’uso che l’utente ne fa e della sua conoscenza sul tema: esiste quindi la possibilità che si verifichino leggere discrepanze fra l’ipotetico valore “oggettivo” e quello effettivamente assegnato dall’utente. 10 La raccolta delle valutazioni si è chiusa in data 30/11/2015.
54
2. SAI Global ritiene, per ora, di non essere in grado di fornire risposte esaustive
relativamente al mercato italiano in quanto “come linea di pensieri e mentalità, la tematica
della Compliance non prende piede (in Italia) così come, quasi naturalmente, è accaduto nel
Regno Unito o in altri paesi anglo-sassoni”;
3. SAP ha fornito i dati societari, ma, per questioni di burocrazia interna all’azienda, non è
riuscita a comunicare in tempo il nome del valutatore;
4. SAS ha deciso temporaneamente di non collaborare, dichiarando però di poter essere
eventualmente interessata alla ricerca negli anni a venire;
5. Thomson Reuters ha preferito non far valutare il suo nuovo GRC poiché è attualmente in
fase di lancio sul mercato.
La copertura di risposte ottenute è stata superiore al 35% e quindi può essere ritenuta
significativa.
3.4 LE DIMENSIONI DI ANALISI
Per le valutazioni dei cinque GRC che hanno collaborato alla ricerca, ci si è basati sulle
dimensioni d’analisi dettagliatamente definite nel paper11 “Proposta concettuale di un nuovo
sistema di valutazione e classificazione per sistemi GRC”, preso come documento di riferimento
d’ora in avanti per la presente trattazione.
Al fine di perseguire un obiettivo di sintesi e non voler entrare in un dettaglio troppo elevato che,
con tutta probabilità, sarebbe stato difficilmente apprezzato dai rispondenti, le valutazioni
effettivamente loro richieste sono in numero leggermente inferiore rispetto alle dimensioni
d’analisi definite nel suddetto documento di riferimento. In particolare, gli assi di valutazione
relativi alla qualità del Software e all’affidabilità della Fornitura sono considerati nella loro
interezza, mentre i tre assi Knowledge Management & Governance, Risk Management e
Compliance Management, atti a valutare la qualità dei contenuti offerti da ciascun GRC, hanno
talvolta subito una “potatura”, fermandone la valutazione al penultimo livello di dettaglio. A
chiusura della valutazione di ciascuno dei tre assi concernenti i contenuti offerti, viene inoltre
richiesto il grado di soddisfazione generale; ciò allo scopo di verificare la congruenza dei
11 Micheli G.J.L., Cagno E., Brusa Perona A. (2015), Proposta concettuale di un nuovo sistema di valutazione e classificazione per sistemi GRC, scaricabile alla pagina web http://goo.gl/6It6qz.
55
punteggi attribuiti alle dimensioni interne a ciascun asse con la sua corrispondente valutazione
complessiva.
Si vuole ora porre l’attenzione sulla valutazione di due specifiche dimensioni d’analisi trattate nel
Big Picture: Grado di copertura delle normative (presente nell’asse Compliance Management) e
Manutenibilità (presente nell’asse Software). Queste necessitano di una spiegazione aggiuntiva
rispetto alle altre dimensioni poiché la loro descrizione, in sede di valutazione, ha richiesto di
essere leggermente ridefinita rispetto a quanto riportato nel paragrafo 2.3.2.1 del documento di
riferimento, allo scopo di essere più agevolmente quantificata dai rispondenti, ovverosia dai
clienti soddisfatti.
Il Grado di copertura delle normative, che da definizione misura la capacità del sistema GRC di
disporre di un elevato grado di copertura delle normative cogenti e volontarie, viene
specificatamente valutato rispetto al solo settore di utilizzo del rispondente. Ciò garantisce di non
generalizzare troppo i risultati di questa valutazione che, altrimenti, potrebbero essere
fuorvianti; d’altro canto, se il GRC vendor dichiara che l’ambito applicativo del suo prodotto non
si focalizza su specifiche industry, bensì è potenzialmente implementabile con successo in
qualsiasi i settore, la valutazione di questa dimensione può essere considerata (per una prima
stima) indicativa anche del grado di copertura delle normative in ambiti diversi rispetto a quello
valutato dal rispondente.
La Manutenibilità, definita secondo standard ISO 25010 come il grado di efficacia ed efficienza
con cui il sistema GRC può essere modificato, viene valutata in riferimento alla percezione che di
questa ha l’utilizzatore (cioè il rispondente), in considerazione del fatto che non sarà
direttamente quest’ultimo deputato alla modifica della piattaforma, bensì i manutentori
dell’azienda fornitrice.
Per tutte le altre dimensioni analizzate, la domanda fatta al cliente ricalca fedelmente la
definizione fornita all’interno del documento di riferimento.
Ricapitolando, a ciascun cliente soddisfatto si richiede la valutazione in merito a 60 domande
chiuse e 3 domande aperte, mentre alle aziende vendor vengono direttamente poste 5 domande
oggettive della propria realtà societaria.
Si ricorda, inoltre, che è possibile avere il dettaglio di tutte le valutazioni all’interno degli allegati
posti a fine sezione.
56
3.5 SISTEMA DI CLASSIFICAZIONE
I risultati delle classificazioni vengono di seguito presentati mediante rappresentazione
matriciale. Ogni matrice è concepita con la seguente logica: nelle dimensioni degli assi (dove
l’asse X è deputato alla stima della qualità intrinseca del software e l’asse Y a quella dei contenuti
offerti dalle piattaforme) si definiscono due intervalli di valutazione denominati “basso” e “alto”,
mentre all’interno di ciascun quadrante che ne deriva si opera una ulteriore suddivisione in cui la
parte superiore destra indica una valutazione maggiore rispetto a quella inferiore sinistra
relativamente all’affidabilità della fornitura offerta dal vendor; in tali sotto-quadranti i sistemi
GRC vengono presentati in forma di lista per appartenenza allo specifico settore.
Nello specifico, si ottengono quattro matrici, dove le prime tre offrono ciascuna il dettaglio su
uno degli assi di analisi relativi alla qualità dei contenuti offerti, mentre la quarta è frutto del loro
raggruppamento.
Le tre matrici di dettaglio sono le più oggettive in quanto, per esse, non è stata assunta alcuna
posizione nella loro stesura.
La quarta matrice, invece, deriva dall’aggregazione dei tre contenuti Knowledge Management &
Governance, Risk Management e Compliance Management mediante l’assegnazione di pesature
uguali (scenario Balanced Contents). In sede di definizione dei principi di aggregazione (vedasi
paragrafo 3.2.2 del documento di riferimento), era stato concepito anche uno scenario,
denominato Governance Based, nel quale il primo asse è preponderante rispetto agli altri due
(Knowledge Management & Governance = 50%, Risk Management = 25%, Compliance
Management = 25%); tale scenario era motivato dal fatto che poter disporre di una solida base di
conoscenza – contenuta proprio all’interno del modulo di Knowledge Management del sistema
GRC – è requisito imprescindibile di ogni piattaforma GRC integrata che fonda, su tale
conoscenza, tutte le analisi di rischio e di conformità normativa. Poiché, però, nel caso in esame
le due modalità di aggregazione dei contenuti portano allo stesso posizionamento all’interno
delle rispettive matrici, nel presente documento si è optato per rappresentare solo lo scenario
Balanced Contents, certamente più intuitivo.
Poiché per valutare ciascuna piattaforma GRC è stato intervistato il cliente più soddisfatto, le
valutazioni sono risultate nella maggior parte dei casi molto positive; questo, però, non ha
impedito di evidenziare i relativi punti di forza. Infatti, proprio a causa delle valutazioni piuttosto
elevate ottenute da tutti i software, all’interno di ogni matrice si è deciso di operare una
ripartizione non in classi della stessa ampiezza (intesa come lunghezza degli intervalli degli assi
57
di valutazione), bensì della stessa numerosità: questo risulta molto più efficace in presenza di
una distribuzione di valori marcatamente asimmetrica come quella effettivamente ottenuta. Una
ripartizione in classi della stessa ampiezza, infatti, considerata la scala di valori da 1 a 4 utilizzata
per valutare le funzionalità dei vari software, avrebbe portato alla creazione di due intervalli di
lunghezza 1.5 divisi in corrispondenza del valore 2.5, con la conseguente classificazione della
quasi totalità dei GRC nel quadrante in alto a destra.
L’assunzione di una discretizzazione in classi contenenti lo stesso numero di piattaforme
significa che, per ogni matrice, la scala di ciascun asse non è né lineare né uguale tra una matrice
e l’altra: questo, comunque, non è da intendersi come un limite poiché lo scopo del presente
sistema di classificazione è quello di distinguere nella maniera più neutrale possibile le
caratteristiche e le funzionalità dei sistemi GRC, in relazione al campione di piattaforme
analizzato. L’eventuale futuro inserimento di altri software all’interno del Big Picture – ossia
delle matrici – potrebbe quindi comportare la rimappatura di una piattaforma in un quadrante
differente.
Nel caso in cui il numero totale di valutazioni ricevute dall’asse di una specifica piattaforma GRC
non sia in numero sufficiente per ritenere la sua valutazione pienamente attendibile, all’interno
delle matrici sarà riportato a fianco del nome di tale GRC un asterisco con annesse note di
spiegazione.
Si riportano di seguito le matrici di classificazione ottenute:
58
Figura 3.1 – Matrice di classificazione con dettaglio sul contenuto Knowledge Management &
Governance.
Figura 3.2 – Matrice di classificazione con dettaglio sul contenuto Risk Management.
59
Figura 3.3 – Matrice di classificazione con dettaglio sul contenuto Compliance Management.
Figura 3.4 – Matrice di classificazione con dettaglio sullo scenario Balanced Contents.
60
Per il criterio con cui sono state concepite, è evidente che in tutte le quattro matrici appena
presentate il posizionamento di ciascuna piattaforma GRC rispetto alle valutazioni del software e
della fornitura rimane invariato: ciò che può cambiare è il posizionamento rispetto alla qualità
dei contenuti offerti (stimata sull’asse Y). Questa modalità di rappresentazione dei risultati ha il
vantaggio di permettere di focalizzare la propria attenzione sullo scenario – ovvero sul contenuto
– d’interesse principale, non perdendo comunque visibilità sulle restanti funzionalità.
Per una valutazione assoluta delle specifiche funzionalità di ogni piattaforma, è consigliata la
consultazione del capitolo successivo e degli allegati posti a fine sezione contenenti i risultati
puntuali ottenuti da ciascun GRC analizzato.
3.6 ANALISI DI DETTAGLIO
Si riportano di seguito – in ordine alfabetico – i prospetti di dettaglio dei software (e relativi GRC
vendor) valutati nel Big Picture. Tali prospetti sono così strutturati:
breve descrizione del fornitore;
breve descrizione del sistema GRC;
grafico radar, con l’evidenza dei risultati aggregati dei cinque assi di valutazione;
punti di forza e di debolezza del GRC (evidenziati dal cliente soddisfatto, relativamente al suo
ambito di utilizzo). Ad ogni valutatore è stato richiesto di indicare almeno tre punti di forza e,
se esistono, i punti di debolezza e/o potenziale miglioramento del sistema in uso;
breve descrizione del cliente soddisfatto (incaricato della valutazione del GRC);
eventuali note di spiegazione.
61
Aris Risk & Compliance Management – Software AG
SW Vendor
Software AG è una storica azienda tedesca
produttrice di un’ampia gamma di software ed è
annoverata tra le prime venticinque a livello globale:
opera in oltre 70 paesi direttamente coperti tramite
una rete di partner e servizi localizzati. Ricopre il
ruolo di player chiave anche nel mercato italiano per
quanto riguarda le soluzioni GRC.
Sito aziendale: http://www.softwareag.com/it/
Prodotto
La piattaforma Aris Risk & Compliance Management
è cross industry e personalizzabile per ogni cliente
sulla base delle sue specifiche necessità.
Punti di Forza
Sistema fortemente integrato con l'ambiente di modellazione dei processi e integrabile con
gli altri sistemi interni aziendali;
Schermate e processi di lavoro (“workflow”) chiari e ben definiti;
Solida metodologia sottostante.
Punti di debolezza e/o miglioramento
Sono richieste diverse personalizzazioni per migliorare il livello di efficienza del sistema.
Utente valutatore
Banco di Desio e della Brianza: è una delle più importanti realtà bancarie sul territorio nazionale,
che conta oltre 270 filiali distribuite tra Nord e Centro Italia.
Sito aziendale: https://www.bancodesio.it
62
KRC – KeisData
SW Vendor
KeisData, piccola azienda dell’Alto Milanese con sede
a Legnano, è una società specializzata negli ambiti di
risk management e knowledge engineering. Oltre ad
essere un produttore di software GRC, offre
molteplici servizi tra i quali audit di conformità e
misurazione delle performance aziendali e di
efficienza energetica; annovera più di 40 clienti
sparsi sul territorio nazionale.
Sito aziendale: http://www.keisdata.it/
Prodotto
KRC si propone come un prodotto altamente
modulare ed implementabile in ogni tipo di industry.
Punti di Forza
Adattabilità del software alle richieste del cliente;
Elevata capacità d’integrazione ed interazione di dati ed informazioni;
Solida organizzazione sistematica a flussi;
Efficace gestione delle anagrafiche e delle informazioni associate;
Completezza dei contenuti offerti.
Punti di debolezza e/o miglioramento
Usabilità del software;
Gestione delle operazioni di protocollazione e relativi trasferimenti di informazioni da
migliorare;
Personalizzabilità degli output;
Necessità di set-up iniziale spinto da parte dell'utente.
Utente valutatore
Menarini Manufacturing Logistics and Services S.r.l.: è un’azienda del Gruppo Menarini, storico
gruppo farmaceutico italiano che disloca la sua produzione in quattordici stabilimenti produttivi
e conta più di 16.000 dipendenti.
Sito aziendale: http://www.menarini.it/
Note
* La valutazione dell’asse Compliance Management non è stata riportata poiché l’utente
valutatore, attualmente, non sta utilizzando il sistema KRC come supporto alla gestione della
conformità normativa.
*
63
Mega GRC Solutions – Mega International
SW Vendor
Mega International, azienda francese con
headquarter a Parigi, può contare su una rete di
oltre 2700 clienti attivi di tutti i settori industriali,
sia nel pubblico che nel privato, in più di 40 paesi
nel mondo. Offre i suoi servizi direttamente
mediante le otto sedi principali (localizzate in
Francia, Italia, Germania, Regno Unito, USA,
Singapore, Marocco e Messico) o tramite una fitta
rete di partner distributori (25 in tutto il mondo).
Sito aziendale: http://www.mega.com/it
Prodotto
Sebbene la maggiore parte dei clienti provenga
dall’ambito Finance (bancario/assicurativo), Mega
GRC Solutions può essere utilizzato per qualsiasi
industry.
Punti di Forza
Possibilità di gestire efficacemente organizzazioni complesse, composte da numerose legal
entities;
Qualità dei servizi offerti dal fornitore per l'impostazione e gli sviluppi richiesti dal cliente;
Capacità nel proporre soluzioni per aderire alle normative cogenti.
Punti di debolezza e/o miglioramento
Usabilità del software;
Necessità di una maggiore articolazione tra le interfacce disponibili;
Compatibilità del software con piattaforme diverse da quelle strettamente proprietarie.
Utente valutatore
UniCredit Business Integrated Solutions (UBIS): è tra le prime società di servizi a livello europeo
e ha l’obiettivo di consolidare e riorganizzare le attività operative necessarie al funzionamento
del business del Gruppo Unicredit; conta circa 13.000 persone e coordina le attività in undici
paesi.
Sito aziendale: https://www.unicreditgroup.eu/en/microsites/ubis.html
64
RSA Archer GRC - EMC RSA
SW Vendor
EMC, azienda statunitense che occupa la posizione
152 nella classifica Fortune 500, supporta i clienti
nella gestione, archiviazione, protezione e analisi dei
dati; conta attualmente circa 60.000 dipendenti ed è
presente con cinque sedi sul territorio italiano. RSA
è la divisione di sicurezza di EMC.
Sito aziendale: http://italy.emc.com
Prodotto
La soluzione RSA Archer GRC è implementabile in
qualsiasi settore.
Punti di Forza
Non ridondanza delle informazioni contenute a sistema;
Disponibilità di moduli verticali per specifiche esigenze di gestione rischio o compliance che
condividono la stessa base di informazioni;
Elevata granularità della profilazione degli utenti.
Punti di debolezza e/o miglioramento
Interfaccia utente migliorabile.
Utente valutatore
Generali Business Solutions: è la società del Gruppo Generali che eroga servizi IT, amministrativi
e liquidativi. Il Gruppo Generali è al momento alla posizione 48 nella classifica Fortune 500.
Sito aziendale: https://www.generali.it
65
Safety Solution – Zucchetti
SW Vendor
Zucchetti, uno dei più importanti protagonisti
italiani nel settore dell'Information Technology, è
presente in tutta Italia con una rete che supera i
1.100 partner sull'intero territorio nazionale e con
più di 200 collaboratori dislocati in 40 paesi del
mondo.
Sito aziendale: http://www.zucchetti.it
Prodotto
Per completezza e flessibilità, la piattaforma Safety
Solution si adatta potenzialmente a qualsiasi
industry.
Punti di Forza
Solida gestione degli adempimenti formativi, informativi e sanitari;
Facilità di definizione delle classi di rischio;
Capacità di raccolta dati.
Punti di debolezza e/o miglioramento
Nel caso di aziende di servizio (e non di processo), la determinazione dei rischi può essere
migliorata;
Scarsa capacità di analisi dei soggetti di rischio.
Utente valutatore
Fagioli S.p.A.: è leader a livello mondiale nella progettazione e realizzazione di movimentazioni e
sollevamenti ad alto contenuto d’ingegneria e nella spedizione di impianti con complessità
tecniche e logistiche di trasporto.
Sito aziendale: http://www.fagioli.it/
66
3.7 ULTERIORI CONSIDERAZIONI
La panoramica delle prestazioni delle piattaforme GRC, offerta mediante le quattro matrici
precedentemente riportate, permette di distinguere chiaramente quale software, in relazione al
campione analizzato, eccella rispetto all’una o all’altra dimensione d’analisi. Nel caso specifico,
essendo il posizionamento dei GRC all’interno delle matrici sempre il medesimo, si può dedurre
che in ciascun sistema analizzato il grado di completezza e dettaglio dei contenuti offerti sia
equilibrato.
Appare evidente che RSA Archer GRC sia globalmente il sistema più completo, avendo ricevuto
ottime valutazioni per tutti i tre criteri di contenuto, software e fornitura, collocandosi sempre
nel quadrante in alto a destra; questo posizionamento va dunque a conferma dei risultati
presentati dai sistemi di classificazione di Gartner e Forrester, i quali riconoscono RSA Archer
GRC come una delle migliori piattaforme sul mercato.
D’altro canto, le scelte assunte nel Big Picture di non porre limiti di partecipazione – relativi per
esempio alla grandezza del GRC vendor – e di coinvolgere anche produttori italiani di “taglia
minore” hanno evidenziato la presenza sul mercato di vendor comunque degni di confrontarsi
con quelli solitamente accreditati come best in class: il software KRC del “piccolo” produttore
KeisData ne è la prova tangibile, avendo ottenuto punteggi molto positivi sia rispetto alla qualità
dei contenuti che rispetto al software.
Si osservi che lo studio più approfondito dei risultati ottenuti da ciascuna piattaforma, possibile
grazie al dettaglio offerto dagli spider diagrams riportati nel paragrafo precedente, rivela che le
differenze di prestazione (relative soprattutto alla qualità dei contenuti, dove sono state sempre
in media maggiori di 3 su una scala da 1 a 4), seppur esistenti, sono comunque ridotte.
In conclusione, un’analisi critica dei risultati (che, si ricorda, derivano da interviste fatte a clienti
soddisfatti) mostra che a tutt’oggi esistono ampi margini di miglioramento: d’altra parte, il
mercato delle piattaforme GRC è ancora in una fase di crescita, fatto questo dimostrato
dall’ingente ammontare di risorse che, tutt’oggi, i vendor stanziano per la ricerca e lo sviluppo
dei loro prodotti.
67
3.8 ALLEGATI ASSE DI ANALISI
DIMENSIONI Aris KRC Mega RSA
Archer Safety
Solution
Knowledge Management & Governance
Adeguatezza del contenuto
Grado di copertura della knowledge base
Rappresentabilità dell'organizzazione / ★★★★ ★★ ★★★★ ★★★★
Rappresentabilità degli asset / ★★★★ ★★ ★★★★ ★★★★
Rappresentabilità dei processi ★★★ ★★★★ ★★★★ ★★★★ ★★
Scalabilità / ★★★★ ★★★★ ★★★★ ★★★
Aggiornamento in seguito a cambiamenti / ★★★★ ★★★ ★★★★ ★★★★
Qualità degli output
Utilizzo di modelli qualitativi/quantitativi riconosciuti / / ★★★ ★★★ /
Fruibilità
Capacità di profilazione degli accessi ★★★★ ★★★★ ★★★★ ★★★ ★★★★
Comunicabilità ★★★★ ★★★★ ★★★★ ★★★★ ★★★
Tracking
Indicizzazione automatica ★★★★ ★★★★ ★★★ ★★★★ ★★★★
Versioni precedenti ★★★ ★★★★ ★★★★ ★★★★ ★★★★
Protocollazione ★ ★★★★ ★★★★ ★★★★ ★★★★
Personalizzabilità ★★★ ★★★ ★★★★ ★★★★ ★★★
Reportistica di base ★★ ★★★★ ★★★★ ★★★★ ★★
Integrazione delle informazioni
Consistenza delle informazioni ★★ ★★★★ ★★★ ★★★★ ★★★★
Sinergia fra le informazioni ★★★★ ★★★★ ★★★★ ★★★★ ★★★
Tabella 3.2 – Valutazioni dell’asse Knowledge Management & Governance.
ASSE DI ANALISI
DIMENSIONI Aris KRC Mega RSA
Archer Safety
Solution
Risk Management
Adeguatezza del contenuto
Grado di copertura dei rischi
Rischi relativi all'organizzazione ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Rischi relativi agli asset ★★★★ ★★ ★★★★ ★★★★ ★★
Rischi relativi ai processi ★★★★ ★★★★ ★★★★ ★★★★ /
Scalabilità ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Aggiornamento in seguito a cambiamenti ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Qualità degli output
Strutturazione coerente con lo standard ISO 31000:2009 / ★★★★ ★★★★ ★★★ /
Utilizzo di modelli qualitativi/quantitativi riconosciuti / ★★★★ ★★★★ ★★★★ /
Fruibilità
Capacità di profilazione degli accessi ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Comunicabilità ★★★★ ★★★★ ★★★★ ★★★ ★★★★
Tracking
Indicizzazione automatica ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Versioni precedenti ★★★★ ★★★★ ★★★★ ★★★★ ★★★★
Protocollazione ★★ ★★★★ ★★★★ ★★★★ ★★★★
Personalizzabilità ★★★★ ★★★ ★★★★ ★★★★ ★★
Reportistica di base ★★★★ ★★★★ ★★★★ ★★★★ ★★
Integrazione delle informazioni
Consistenza delle informazioni ★★ ★★★★ ★★★★ ★★★★ ★★★★
Sinergia fra le informazioni ★★★★ ★★★★ ★★★★ ★★★★ ★★★
Tabella 3.3 – Valutazioni dell’asse Risk Management.
68
ASSE DI ANALISI
DIMENSIONI Aris KRC Mega RSA
Archer Safety
Solution
Compliance Management
Adeguatezza del contenuto
Grado di copertura delle normative
Normative cogenti ★★★★ / ★★★★ ★★★ ★★★★
Normative volontarie ★★★★ / ★★★★ ★★★ ★★
Scalabilità ★★★★ / ★★★★ ★★★★ ★★★
Aggiornamento in seguito a cambiamenti ★★★ / ★★★★ ★★★★ ★★★
Qualità degli output
Utilizzo di modelli quantitativi ★★★ / ★★★★ ★★★★ ★★★
Strutturazione coerente con gli standard ISO ★★★ / ★★★★ ★★★★ ★★
Fruibilità
Capacità di profilazione degli accessi ★★★★ / ★★★★ ★★★★ ★★★★
Comunicabilità ★★★★ / ★★★★ ★★★ ★★★
Tracking
Indicizzazione automatica ★★★★ / ★★★★ ★★★★ ★★★★
Versioni precedenti ★★★★ / ★★★★ ★★★★ ★★★
Protocollazione ★★ / ★★★★ ★★★★ ★★★★
Personalizzabilità ★★★★ / ★★★★ ★★★★ ★★★
Reportistica di base ★★★ / ★★★★ ★★★★ ★★
Integrazione delle informazioni
Consistenza delle informazioni ★★★ / ★★★★ ★★★★ ★★★★
Sinergia fra le informazioni ★★★ / ★★★★ ★★★★ ★★★
Tabella 3.4 - Valutazioni dell’asse Compliance Management.
ASSE DI ANALISI
DIMENSIONI Aris KRC Mega RSA
Archer Safety
Solution
Software
Idoneità funzionale (Functional suitability) ★★★ ★★★★ ★★★ ★★★★ ★★★
Efficienza (Performance efficiency) ★★★★ ★★★★ ★★★ ★★★★ ★★★
Compatibilità (Compatibility) * ★★★★ ★★★★ ★★ ★★★ ★★
Usabilità (Usability) ★★★★ ★★ ★★ ★★★ ★★★
Affidabilità (Reliability) ★★★★ ★★★ ★★★ ★★★★ ★★
Sicurezza (Security) * ★★★★ ★★★★ ★★★★ ★★★★ ★★★
Manutenibilità (Maintainability) ★★★★ ★★★ ★★★ ★★★★ ★★
Portabilità (Portability) / ★★★★ ★★ ★★★★ /
Tabella 3.5 – Valutazioni dell’asse Software.
ASSE DI ANALISI
DIMENSIONI Aris KRC Mega RSA
Archer Safety
Solution
Fornitura
Stabilità finanziaria Ricavi complessivi ★★★★ ★ ★★★ ★★★★ ★★★★
Effort in innovazione del GRC ★★★★ ★★★★ ★ ★★★★ /
Diffusione geografica Presidio commerciale in più paesi ★★★★ ★ ★★★★ ★★★★ ★★★★
Presenza di servizi di supporto in più paesi
★★★★ / ★★★★ ★★★★ ★★★★
Servizi di supporto Servizi di supporto all’implementazione ★★★★ ★★★★ ★★★ ★★★★ ★★★
Servizi di manutenzione e aggiornamento ★★★★ ★★★★ ★★★ ★★★★ ★★
Costo ★★★ ★★ ★★ ★★★ /
Tabella 3.6 - Valutazioni dell’asse Fornitura.
69
4. CONCLUSIONI La presente ricerca ha avuto come scopo quello di fornire un nuovo punto di vista sulle tematiche
di Governance, Risk Management e Compliance Management non ancora adeguatamente studiate
in letteratura.
Lo studio è stato sviluppato attraverso tre sezioni principali, trattate in maniera sequenziale
l’una con l’altra; partendo da un inquadramento teorico del GRC, si è poi proseguito proponendo
un nuovo strumento di valutazione e classificazione per le relative piattaforme informatiche che
è stato infine applicato a software esistenti sul mercato italiano.
Nella prima sezione è stata data la definizione di GRC: in senso lato, questo è da vedersi come un
“approccio integrato e olistico a livello aziendale di governance, gestione del rischio e conformità
normativa volto ad assicurare che l’organizzazione operi eticamente e in accordo con la sua
propensione al rischio, alle politiche interne e alle norme esterne attraverso l’allineamento di
strategia, processi, tecnologia e risorse umane di cui dispone in modo tale da aumentare efficienza
ed efficacia”12; da tale approccio derivano le piattaforme (o sistemi) software GRC. Esse si
differenziano dai software ERM poiché, potendo disporre di veri e propri sistemi documentali
che permettono di avere una conoscenza aziendale sempre aggiornata, non si limitano alla sola
analisi dei rischi di uno specifico momento, ma consentono un controllo realmente continuativo
di tutti gli eventi potenzialmente impattanti sulle performance dell’azienda, permettendo così di
intraprendere le opportune azione correttive nei tempi necessari.
La scelta più appropriata per l’implementazione di un sistema GRC, per definizione integrato e
olistico, è stata individuata nell’opzione “buy” a scapito della sua realizzazione interna all’azienda
(opzione “make”): decidendo di acquistare una piattaforma da un provider specializzato si evita
di sviluppare soluzioni locali che aumenterebbero la visione a “silos” dell’organizzazione.
L’opzione “buy” assume un interesse ancora maggiore nel momento in cui il GRC consente di
gestire potenzialmente tutti gli ambiti di rischio e conformità e non sia quindi specifico per un
solo settore.
Molti sono i benefici potenzialmente derivanti dall’adozione di un sistema GRC di cui si è
ampiamente discusso all’interno della ricerca; si riportano di seguito quelli ritenuti più
12 Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pagg. 106-117.
70
significativi. Per quanto concerne la Governance, un sistema GRC permette di evitare possibili
duplicazioni o ridondanze di processi o risorse grazie all’abbattimento dell’approccio a “silos”
tipico di molte grandi aziende moderne, abilita al Knowledge Management (requisito necessario
per esercitare una Governance efficace ed efficiente) grazie alla possibilità di disporre di veri e
propri sistemi documentali e consente di bilanciare opportunamente le prestazioni locali di ogni
business unit grazie alla visione integrata di tutti i processi aziendali. Nell’ambito del Risk
Management l’uso di un sistema GRC facilita l’identificazione dei rischi “nascosti” (derivanti cioè
da interdipendenze tra eventi intrinsecamente non dannosi), permette di allineare le strategie
aziendali alla soglia massima d’incertezza tollerata, aiuta ad abbattere alcuni costi aziendali
(come ad esempio quelli assicurativi o legati alla non sicurezza sul posto di lavoro) e permette di
garantire la business continuity. Il Compliance Management beneficia dall’utilizzo del GRC in
termini di garanzia del rispetto dei requisiti esterni cogenti e interni volontari, controllo
continuo e aggiornamento automatico della conformità alle norme vigenti e, ad ultimo, riduzione
dei costi della Compliance grazie all’automazione e centralizzazione di tale attività.
Le interviste effettuate a Risk Manager di importanti realtà aziendali italiane hanno in gran parte
confermato, ma talvolta anche negato, quanto emerso dallo studio della letteratura; si ha avuta,
quindi, la percezione che la sensibilità verso i temi di Governance, Risk e Compliance
Management, benché crescente, non sia ancora completamente e uniformemente sviluppata.
Nella seconda sezione si è concepita una nuova proposta di valutazione e classificazione per
piattaforme GRC avente come obiettivo quello di analizzare in maniera più “tecnica”, rispetto alle
due principali classificazioni esistenti (pubblicate da Gartner Inc. e Forrester Research Inc.), le
caratteristiche e le prestazioni dei singoli sistemi. Alla base di tale nuovo sistema di valutazione e
classificazione (denominato Big Picture for Governance, Risk and Compliance Platforms) sono stati
considerati i principi teorici fondanti l’approccio GRC, i risultati delle interviste a Risk Manager di
importanti aziende operanti in Italia, gli argomenti di vendita dei principali GRC vendor e le due
classificazioni sopra citate. Al fine di fornire un’interpretazione agevole dei risultati, il Big Picture
è stato strutturato in due parti fondamentali: la valutazione delle performance di ciascun
software analizzato e la loro successiva classificazione.
Partendo dall’assunto che i tre criteri alla base della scelta di un sistema GRC sono la qualità dei
contenuti, la qualità intrinseca del software e l’affidabilità della fornitura offerta dal vendor, il
processo di valutazione è stato organizzato nei cinque assi di analisi Knowledge Management &
Governance, Risk Management, Compliance Management (questi primi tre interni al criterio
Contenuto), Software e Fornitura. Il vantaggio di aver ripartito la valutazione rispetto ai tre criteri
71
Contenuto, Software e Fornitura consiste nel permettere così di coinvolgere, almeno
ipoteticamente, le tre figure aziendali che hanno in capo la decisione di acquisto del GRC e cioè,
rispettivamente, il CRO, il CIO e il CFO.
La fase di classificazione è stata sviluppata a partire dalla definizione dei principi di aggregazione
delle classi interne agli assi di analisi; la scelta può essere fatta tra lo scenario Balanced Contents
(ove ai tre assi del criterio Contenuto viene assegnata pari importanza) e lo scenario Governance
Based (ove l’asse Knowledge Management & Governance ha un valore preponderante). Il Big
Picture mostra i risultati delle valutazioni di tali scenari e dei tre assi del criterio Contenuto
(singolarmente presi) per mezzo di cinque matrici che permettono un confronto facile e
immediato dei GRC classificati. Nello specifico, ogni matrice riporta sull’asse X la valutazione del
criterio Software, sull’asse Y la valutazione di una delle cinque letture appena definite e, tramite
sotto-quadranti, la valutazione del criterio Fornitura. A corredo di tali matrici, è stato infine
deciso di dare una rappresentazione dei risultati aggregati dei cinque assi per mezzo di grafici
radar redatti per ciascun sistema GRC analizzato.
Nella terza ed ultima sezione è stato applicato il sistema di valutazione e classificazione Big
Picture alle piattaforme GRC i cui produttori hanno aderito alla nostra richiesta di collaborazione.
L’unico criterio di inclusione dei sistemi GRC nella presente ricerca è stato quello di richiedere la
presenza diretta del fornitore nel mercato italiano senza, però, fare alcuna selezione legata a
fatturato annuo, numero di clienti, molteplicità di settori coperti o altra limitazione. Con l’intento
di eseguire una valutazione imparziale e di mettere in luce soprattutto gli aspetti positivi, sono
stati intervistati utilizzatori particolarmente soddisfatti di ogni piattaforma GRC, i quali sono stati
sottoposti ad un questionario contenente domande relative ai criteri di analisi di cui alla seconda
sezione; le valutazioni legate specificatamente alla realtà aziendale del fornitore sono
ovviamente state poste al rispettivo referente commerciale.
Posto che il presente sistema di classificazione ha come scopo quello di distinguere nella maniera
più neutrale possibile le caratteristiche e le funzionalità dei sistemi GRC in relazione al campione
di piattaforme analizzato, all’interno delle matrici riportate è stata assunta una discretizzazione
in classi contenenti lo stesso numero di piattaforme; tale criterio è, infatti, particolarmente
efficace in presenza di una distribuzione di valori marcatamente asimmetrica come quella
effettivamente ottenuta.
L’analisi critica dei risultati ottenuti da un lato ha confermato la bontà e completezza di una
piattaforma che anche nei sistemi di classificazione di Gartner e Forrester risultava essere tra le
migliori sul mercato globale, dall’altro ha permesso ad un “piccolo” fornitore italiano di mettersi
72
in evidenza grazie ad un software competitivo sia sul piano dei contenuti offerti che della qualità
intrinseca del software.
4.1 SVILUPPI FUTURI
A causa dell’ancora limitato approfondimento in letteratura di tale argomento, la presente
ricerca ha cercato di fornire un inquadramento teorico completo del GRC e un nuovo strumento
di valutazione e classificazione per le relative piattaforme informatiche.
Data la vastità e complessità delle tematiche trattate, si è però consapevoli che molti sono ancora
i passi da percorrere al fine di averne una visione esaustiva. A tale proposito, l’impegno degli
autori è di aggiornare con cadenza annuale il sistema di valutazione e classificazione descritto
nella seconda e terza sezione del documento e ampliare il mercato di analisi anche alle
piattaforme non direttamente reperibili sul territorio nazionale.
Dalla presente ricerca scaturiscono i seguenti spunti degni di un futuro approfondimento:
4. Lo studio della relazione esistente tra i diversi tipi di organizzazione aziendale e la
probabilità di successo dell’iniziativa di implementazione di un sistema GRC.
5. Lo studio dell’inerzia dei sistemi GRC, ovverosia del tempo necessario all’utilizzatore per
apprezzare le reali potenzialità e i benefici che si possono trarre da tali sistemi.
6. Lo studio dell’impatto che una funzione di analisi di scenario integrata nel sistema GRC può
avere sulla percezione di utilità di tali sistemi da parte dei potenziali acquirenti.
73
BIBLIOGRAFIA
Airoldi G. (2011), La crescita delle imprese e la gestione della complessità, Accessibile da:
http://www.infotn.it/portal/server.pt/gateway/PTARGS_0_56374_2865_0_0_43/cms-
01.00/articolo.asp?IDcms=9132&s=194&l=it
Banham R. (2007), Is ERM GRC? Or Vice Versa?, Treasury & Risk, vol. 2:6, pp. 48-50.
Boldrini N. (2009), GRC, I vendor oltre la tecnologia, Accessibile da:
http://www.zerounoweb.it/osservatori/securityjournal/grc_con_vendor_oltre_tecnologia.html
Boultwood B. (2013), The GRC Value Proposition, Global Association of Risk Professionals (GARP).
Cervelli R. (2012), Governance, Risk e Compliance: un framework per calcolarne il Roi, Accessibile da:
http://www.zerounoweb.it/osservatori/securityjournal/governance-risk-e-compliance-un-
framework-per-calcolarne-il-roi.html
Colonnese E.F. (2006), La qualità del software secondo il modello ISO/IEC 9126.
Forrester Research Inc. (2014), The Forrester wave: Governance, Risk, and Compliance Platforms, Q1 2014
Scaricabile da:
https://www.forrester.com/The+Forrester+Wave+Governance+Risk+And+Compliance+Platforms+Q
1+2014/fulltext/-/E-RES106501
Gartner Inc. (2013), Magic Quadrant for Enterprise Governance, risk and Compliance Platforms, Scaricabile
da: https://www.gartner.com/doc/2595717/magic-quadrant-enterprise-governance-risk
Hardy C., Leonard J. (2011), Governance, risk and compliance (GRC): conceptual muddle and technological
tangle, Paper presented at the 22nd Australasian Conference on Information Systems (ACIS).
Hoyt R.E., Liebenberg A.P. (2011), The value of enterprise risk management, The Journal of Risk and
Insurance, Vol. 78, No. 4, 795-822.
Hunt R. (2014), Why governance, risk and compliance projects fail - and how to prevent it, Computer Fraud
& Security 06/2014, pp. 5-7.
ISO/IEC 25010:2011, Systems and Software engineering – Systems and software Quality Requirements and
Evaluation (SQuaRE) – Sysm and software quality models.
KPMG (2010), L’Enterprise Risk Management in Italia, Accessibile da:
https://www.kpmg.com/IT/it/IssuesAndInsights/ArticlesPublications/Documents/L-Enterprise-
Risk-Management.PDF
Liebenberg A.P., Hoyt R.E. (2003), The determinants of enterprise risk management: evidence from the
appointment of chief risk officers, Risk Management and Insurance Review, 2003, Vol. 6, No. 1, 37-52.
Monda B. (2014), The effects of Enterprise Risk Management adoption on firms' value and performances: an
empirical analysis using structural equation modelling.
Niessen V., Marekfia W. (2013), Toward a research agenda for strategic governance, risk and compliance
(GRC) management , Conference: Proceedings of the 15th IEEE International Conference on Business
Informatics (CBI 2013).
74
Nocco B.W., Stulz R.M. (2006), Enterprise Risk Management: Theory and Practice, Journal of Applied
Corporate Finance, Morgan Stanley Publication, Volume 18, Number 4, Fall 2006.
Open Compliance & Ethics Group – OCEG – (2009), GRC Capability Model "Red Book" 2.0.
Protiviti Inc. (2009), Key Questions Regarding Integrated GRC, Accessibile da:
http://www.protiviti.com/en-US/Documents/White-Papers/Risk-Solutions/Integrated_GRC.pdf
Racz N., Weippl E., Seufert A. (2010), A Frame of Reference for Research of Integrated Governance, Risk and
Compliance (GRC), Communications and Multimedia Security Lecture Notes in Computer Science, pp.
106-117.
Racz N., Panitz J., Amberg M., Weippl E., Seufert A. (2010), Governance, Risk & Compliance (GRC) Status Quo
and Software Use: Results from A Survey Among Large Enterprises, ACIS 2010 Proceedings. Paper 21.
Racz N., Weippl E., Seufert A. (2011), Governance, Risk & Compliance (GRC) Software – An Exploratory Study
of Software Vendor and Market Research Perspectives, In: Proceedings of the 44th Hawaii International
Conference on System Sciences, HICSS 2011. IEEE.
Shahim A., Batenburg R., Vermunt G. (2012), Governance, risk and compliance: a strategic alignment
perspective applied to two case studies, In ICT Critical Infrastructures and Society, 10th IFIP TC 9
International Conference on Human Choice and Computers, HCC10 2012, Amsterdam, The
Netherlands, IFIP AICT 386, pp. 202-212.
Spina G. (2008), La gestione dell’impresa (Seconda edizione), Etas.
Switzer C.S., Suri A., Kapoor G., Nazemoff V. (2013), Governance, risk, management, and compliance:
creating the right GRC strategy for your company, Book24x7.
Vercellis C. (2006), Business Intelligence. Modelli matematici e sistemi per le decisioni, McGraw-Hill.
Vicente P., Mira da Silva M. (2011), A conceptual model for integrated governance, risk and compliance, H.
Mouratidis and C. Rolland (Eds.): CAiSE 2011, LNCS 6741, pp. 199-213.
Top Related