di Chiara PONTI
Governance, Risk and Compliance – GRC, per un approccio integrato nel processo di auditing con riferimento allo standard ISO/IEC 27001.
I tre paramentri di Governance, Risk, and Compliance riassumibili nell’acronimo “GRC” costituiscono un framework che mira a gestire, in modo integrato, la governance, i rischi e la conformità normativa all’interno di un’Organizzazione. Tre componenti strategiche volte a identificare, valutare e gestire i rischi aziendali, in modo congruo e coerente con le normative applicabili. Vediamole nel dettaglio.
Qualche definizione
Partiamo dalle definizioni.
Con il termine governance, ci si riferisce alla (struttura di) leadership, ai processi decisionali e alle politiche aziendali atte a guidare un’Organizzazione nel raggiungimento degli obiettivi che essa si pone. In questo ambito, rientrano etica, gestione delle relazioni e responsabilità.
Con il termine risk management, si intende invece la gestione dei rischi quale processo di identificazione, valutazione e mitigazione dei rischi aziendali. Una corretta gestione dei rischi consente infatti alle Organizzazioni di identificarli cogliendo quali di essi potrebbero causare danni/perdite, rendendo sì difficoltoso il raggiungimento degli obiettivi posti senza poter mitigare, ad un tempo, i rischi.
Con il termine compliance, si rappresenta infine la conformità normativa ovvero la necessita per un’Organizzazione di aderire alle normative cogenti e/o vigenti. Da qui, l’implementazione di politiche e procedure affinchè sia garantito che i requisiti di compliance siano da un lato soddisfatti in modo coerente e, dall’altro monitorati nel tempo e per tempo.
Importanza ed efficacia di un sistema GRC
Il sistema GRC consente alle Organizzazioni, a prescindere dalle dimensioni e dal settore di appartenenza, di essere in grado di affrontare le numerose sfide che, sempre di più, si presentano dalla richiesta da parte degli stakeholder di solidi risultati in termini di performance, crescita costante e processi evidenti.
In caso contrario, un mancato o inefficace controllo comporta un trascurare in concreto minacce critiche con significative e potenziali conseguenze legali. Da qui, l’importanza di avere un sistema GRC avvertendolo anche come un fattore strategico, dal momento che l’efficacia si raggiunge altresì con l’incorporazione, in un’unica struttura, della governance, risk management e compliance. Il tutto con un evidente risparmio di tempo, fatica e denaro.
Perché un sistema GRC, sia efficace occorre definire, fin da subito, gli obiettivi in modo chiaro e preciso valutando i processi e le tecnologie utilizzate, coinvolgendo in primis i membri della direzione (Top Management) affinché comprendano i plurimi vantaggi derivanti da un gruppo di lavoro armonioso laddove ruoli e responsabilità sono ben definiti.
I vantaggi di un sistema GRC
Svariati sono i vantaggi di un sistema GRC, e di seguito ne elenchiamo alcuni:
- un processo decisionale più rapido e agevole grazie all’impostazione di regole nonché al monitoraggio delle risorse coinvolte eliminando quell’approccio per comparti, tanto frammentato quanto periglioso poiché disorganico;
- una consapevolezza maggiore e un’accountability rafforzata incorporando, per l’effetto operazioni più responsabili, facilitando la (diffusione di una) cultura aziendale;
- una comunicazione più esplicita, chiara e trasparente dal momento che in maniera costante viene alimentata e diffusa tra i vari team di lavoro.
In pratica, grazie a questi aspetti e in particolare a fronte di una maggiore collaborazione interfunzionale, si ha un radicale cambio di paradigma a fronte della consapevolezza dei vantaggi scaturiti da un approccio più integrato, raggiungendo una visibilità migliore del rischio, un processo decisionale più efficace ed una compliance più strutturata.
Sistemi GRC e il processo di Auditing
La pianificazione e la scelta di framework efficienti sono di assoluta importanza. Questi due aspetti ben si raggiungono grazie ad un’attività di auditing.
Si tratta di un processo volto a:
- valutare l’efficacia dei controlli;
- verificare la compliance, individuando possibili irregolarità;
- monitorare le prestazioni, assicurando agli stakeholder che i controlli e le prassi aziendali siano adeguate e conformi.
Grazie agli audit (prevalentemente di prima e seconda parte nel contesto che ci occupa) eventuali lacune e debolezze vengono di fatto “intercettate” identificando controlli e misure correttive al fine di mitigare i rischi, migliorandone la gestione degli stessi.
Ecco che gli audit costituiscono uno strumento essenziale per garantire l’efficacia di un sistema GRC di un’Organizzazione grazie ai controlli parametrati sullo Schema di riferimento, come sarà accennato più oltre.
Non solo, gli audit consentono di identificare anche le aree di miglioramento, mitigandone i rischi, fornendo allo stesso tempo una “garanzia” agli stakeholder circa l’integrità e l’efficacia dell’Organizzazione coinvolta.
Condurre un audit nello specifico di un sistema GRC significa verificare la correttezza dello stesso rispetto ai requisiti di norma (come ad esempio la ISO/IEC 27001:2022), e richiede una pianificazione attenta a valle della quale ci sono una serie di passaggi chiave come:
- la pianificazione;
- la valutazione, in questo nostro contesto, della governance, dei rischi e delle conformità;
- l’esecuzione;
- la redazione dell’evidenze, dei rilievi /non conformità eventuali e la relazione conclusiva.
A questi step seguono poi il follow-up e il monitoraggio.
Volendo spiegare in breve ciascuno step di cui al punto elenco, partiamo con il dire che nel processo di auditing, occorre anzitutto definire bene l’obiettivo e lo scopo dell’audit GRC. In secondo luogo, determinare il perimetro dell’audit, includendo processi, sistemi/aree aziendali che verranno auditate cioè esaminate. Per poi, identificare le risorse necessarie al fine di condurre l’audit, inclusi il personale, gli strumenti e le informazioni.
Nella valutazione della governance è necessario esaminare la struttura nel senso dell’ossatura organizzativa, partendo dai ruoli e responsabilità chiave dell’Organizzazione. In concreto, è opportuno valutare i processi decisionali, la trasparenza e l’efficacia della gestione dei rischi, e il rispetto delle normative. Non solo, è bene verificare che l’Organizzazione abbia definito politiche e procedure adeguate alla gestione delle attività, la protezione dei dati e la conformità normativa.
Nella valutazione dei rischi, invece, occorre sin da subito identificare i rischi aziendali significativi, compresi quelli cd operativi, finanziari, legali e reputazionali. Parallelamente, occorre valutare la qualità e l’efficacia dei controlli interni sulla base dello Schema di riferimento per gestire e mitigare i rischi identificati. Per poi verificare se e in che misura l’Organizzazione abbia attuato azioni correttive.
Nella valutazione della compliance, invece, occorre verificare che l’Organizzazione sia conforme alle leggi, ai regolamenti e agli standard di settore, grazie alla disamina della documentazione e delle prove di conformità, possibile attraverso politiche e procedure, registrazioni attività ed eventuali certificazioni conseguite. È evidente che l’efficacia dei controlli garantisce una maggiore conformità normativa.
Nell’esecuzione dell’audit, come noto, si conducono le interviste con il personale chiave dell’Organizzazione per ottenere informazioni rilevanti sull’ambiente di controllo, i processi aziendali e la conformità normativa; si eseguono test di controllo volti a verificare l’efficacia dei controlli interni identificando eventuali debolezze o anomalie. Seguono a valle di queste attività la raccolta di evidenze documentali dai report alle registrazioni/politiche/procedure e ulteriore documentazione di conformità.
Nel processo di auditing, da ultimo, sussiste il follow-up e il monitoraggio consistente nel monitorare l’implementazione delle raccomandazioni di audit ovvero nel verificare che le azioni correttive siano state adottate.
Quindi, aggiornare periodicamente l’audit GRC consente di tener conto dei cambiamenti nell’ambiente aziendale, nelle normative e nei rischi.
Audit GRC secondo lo standard ISO/IEC 27001
Quando parliamo di audit GRC secondo uno standard ISO, viene adoperato per (il rilascio o la conferma di) una certificazione.
Vogliamo analizzare, nello specifico, la ISO/IEC 27001 nella sua ultima versione 2022 significando qui le sostanziali differenze rispetto alla versione precedente del 2013 quale standard internazionale che specifica i requisiti al fine di stabilire, implementare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), con l’obiettivo talvolta virtuoso di aiutare le Organizzazioni a proteggere le informazioni/i dati riservati.
Per sottoporsi a un audit GRC secondo questo standard ISO, l’Organizzazione deve seguire il processo di certificazione (audit di terza parte) inclusiva di diverse fasi, tra cui:
- una valutazione iniziale per capire lo stato dell’arte della sicurezza delle informazioni e identificare i rischi associati;
- una implementazione del SGSI in base ai requisiti dello standard ISO/IEC 27001:2022 coinvolgendo tutti i dipendenti e gli interessati coinvolti nella gestione delle informazioni;
- un audit interno periodicamente al fine di valutare l’efficacia del SGSI e identificare eventuali problematiche o aree di miglioramento;
- un audit esterno onde valutare se il SGSI dell’Organizzazione soddisfa tutti i requisiti dello standard ISO;
- l’ottenimento della certificazione, qualora l’Organizzazione superi positivamente l’audit soddisfando tutti i requisiti di cui allo standard ISO di riferimento.
Naturalmente, non esiste solo questo standard internazionale poiché diverse sono le norme di riferimento e linee guida relative alla GRC da potersi utilizzare come punti di riferimento, come ad esempio la ISO 19600, 31000, il COBIT (Control Objectives for Information and Related Technologies) quale framework per il controllo e la gestione dei processi IT; il COSO (Committee of Sponsoring Organizations of the Treadway Commission) altro framework che offre una struttura per la gestione dei rischi aziendali e dei controlli interni.
Conclusioni
In conclusione, dopo aver diffusamente disquisito del sistema GRC notiamo come sia autoevidente la sua essenzialità nella gestione e controllo di attività, rischi e obblighi di compliance.
È un dato di fatto che strategie efficaci di GRC aiutino le Organizzazioni a mantenere standard etici nonché prevenire rischi legali e reputazionali, talvolta peraltro ingenti e incalcolabili in termini di danni, sostenendo le attività.
Per questi motivi, appare fondamentale dedicare il giusto tempo a tutto ciò che importa il processo di auditing contribuendo a definire la mission dell’intero sistema GRC.
Ne consegue che avere un efficace sistema GRC, obiettivo tanto ambizioso quanto virtuoso, senz’altro assicura che un’Organizzazione operi in modo responsabile, gestisca i rischi in maniera appropriata e si conformi adeguatamene alle leggi/regolamenti cogenti e vigenti che la riguardano.
Un approccio integrato dei tre componenti, fin qui esaminati, di Governance Risk e Compliance – GRC, consente quindi di ottimizzare l’efficienza operativa, di prendere contestualmente decisioni più consapevoli e di proteggere l’integrità aziendale. Parametri tutti centrali per il “benessere” di un’Organizzazione aziendale.
Intervento di Chiara PONTI, Avvocato | Advisor Legal & Compliance