Da un forum emergono alcune tendenze chiave sulla materia della governance, risk and compliance.
RSA ha presentato i risultati chiave del recente RSA Archer GRC Executive Forum, dove i principali responsabili di governance, risk e compliance (GRC) di 34 aziende hanno discusso strategie e best practice in tema di enterprise risk management. Argomento dominante messo in luce dagli executive del forum è che i consigli di amministrazione sono consapevoli delle esigenze GRC e desiderano conoscere i rischi che potrebbero avere un impatto negativo sulle loro organizzazioni.
I responsabili aziendali vogliono essere sicuri di prendere decisioni informate basate su valutazioni di rischio convalidate da molteplici fonti all’interno dell’organizzazione.
Fra le conclusioni emerse dal forum spicca quella che dice che il risk management rientra tra le preoccupazioni del consiglio di amministrazione.
Una serie di obblighi normativi e di conformità impongono ai leader aziendali di disporre di maggiore visibilità sui rischi a cui vanno incontro le loro organizzazioni.
Come risultato, gli executive del programma GRC hanno confermato di dedicare più tempo nel riportare al consiglio amministrativo tali questioni. Inoltre, sono preoccupati dall’accuratezza e dall’integrità delle informazioni GRC e vogliono essere sicuri che le decisioni di risk management vengano prese sulla base di informazioni affidabili, attendibili e rappresentative.
Allineare gli obiettivi di GRC alle necessità di business è una priorità fondamentale. I partecipanti al forum hanno notato che gli executive vedono il GRC più come un programma di gestione del rischio complessivo piuttosto che come una disciplina specifica.
Chi possiede un programma di GRC di successo sta adottando le priorità strategiche dei propri stakeholder, e il vocabolario associato, nel descrivere come gli sforzi del programma GRC rafforzino efficacemente la gestione del rischio all’interno delle loro aziende.
È emerso anche che i programmi GRC devono disporre di una visione ampia dei rischi. I presenti al forum hanno riportato che oggi il rischio nelle loro aziende viene ancora ampiamente gestito in silos. Questa visione suddivisa in comparti rende difficile fare valutazioni del rischio a livello globale aziendale e l’attribuire priorità alle azioni di mitigazione.
Molti tra coloro che possiedono un programma GRC lo stanno facendo evolvere passando da un approccio a silos a uno unificato, un passaggio critico descritto come momento decisivo per la maturazione di iniziative GRC aziendali.
Serve, dunque investire in processi e framework GRC unificanti. I partecipanti del forum sono convenuti sul fatto che il tempo e le energie impiegati ad allineare gli stakeholder dell’organizzazione a un framework condiviso per descrivere e valutare i rischi sono un investimento utile.
Se fatti correttamente, questi framework condivisi offrono agli stakeholder individuali la libertà di soddisfare le proprie necessità di risk management, agiscono come forza unificante per intraprendere azioni collettive, e offrono la visione complessiva richiesta dai responsabili.
Ma come si misurano i vantaggi del GRC? I detentori di un programma di questo tipo hanno affermato di aver dovuto dimostrare il ROI dei programmi stessi. Ma, sebbene convinti del ritorno sugli investimenti, i parteciapanti faticano a quantificarne il valore quando i benefici sono dispersi su un’ampia serie di interessi (in termini di efficienza e migliore decision making basato sul rischio), ma i costi sono centralizzati e visibili.
