Governance, Risk & Compliance management,
   strumento di valutazione delle minacce
        e delle opportunità di business

Il Governance, Risk & Compliance management (GRC) è venuto alla ribalta come un
elemento essenziale per la comprensione e la valutazione delle minacce e delle opportunità
di business, e il loro impatto sulla creazione di valore, e sulla sua preservazione. In tal senso,
esso è ampiamente riconosciuto come parte integrante della gestione del business ed è
concepito come un processo che mira a superare i tradizionali approcci di gestione con
l’introduzione di un sistema olistico che attraversa l’intera organizzazione e integra diverse
unità e livelli organizzativi.
Questa idea di gestione è stata rapidamente accettata da diversi soggetti economici, tra cui
le autorità di regolamentazione. Tuttavia, se guardiamo i casi di applicazione, ci sono solo
pochi esempi in cui il GRC in realtà è riuscito a lasciare il livello di governo aziendale, pene-
trando davvero a livello operativo le organizzazioni.
L’interesse per questa tematica per le aziende del settore dell’Engineering, Procurement &
Construction (EPC) – interesse esteso a tutte le relative filiere - risulta ancora più forte, es-
sendo il settore caratterizzato da progetti sempre più complessi e articolati, in ultima analisi,
più sfidanti a livello di organizzazione, a dispetto di una progressiva riduzione dei margini di
profitto. Caratteristiche che portano ad affrontare una serie di sfide interne, quali l’interdi-
pendenza delle attività, la sovrapposizione delle fasi, la frammentazione del lavoro, la com-
plessità della struttura organizzativa, e l’incertezza della previsione dei risultati desiderati e la
lista potrebbe andare avanti per pagine intere. Inoltre, le aziende del settore hanno a che fare
con un insieme emergente di rischi esterni, legati a catene di approvvigionamento sempre
più in rete, l’esposizione ai rischi politici regionali o nazionali, scioperi e gli eventi naturali,
che rendono le filiere EPC luoghi privilegiati di applicazione di tali sistemi.

                                                        ***
Si riportano di seguito l’executive summary e alcuni estratti dell’intero documento – risultato
della prima parte di una ricerca più estesa sul tema del GRC – che vuole rispondere al crescente
interesse da parte delle aziende ai sistemi di GRC.
Tale documento, nella sua struttura, delinea i contenuti base e identifica criticamente delle op-
portunità e delle problematiche associate. Nella sua forma, si presenta come un white book
(gratuito) e come un working paper, destinato a raccogliere commenti e osservazioni (autore
referente: guido.micheli@polimi.it) e a essere integrato nel tempo, per supportare aziende e uni-
versità nello studio mirato di questo importante fenomeno e nel rispettivo uso efficace attraverso
la divulgazione gratuita dei contenuti.

Executive Summary                                         tunità di uno strumento, quale il GRC, che forni-
                                                          sca in tempi molto rapidi informazioni sul contesto
Molto spesso i top manager delle aziende asso-            esterno e interno all’azienda, siano esse di elevato
ciano a uno strumento/sistema di Governance,              dettaglio o aggregate, che supporti il lavoro di rac-
Risk and Compliance management (GRC) prima-               colta, gestione e analisi di dette informazioni e che
riamente una sensazione di grande complessità. In         capitalizzi la knowledge aziendale per ottimizzare le
realtà, la complessità è insita nella situazione in cui   decisioni future.
le aziende operano, e non necessariamente nello           La maggior parte delle imprese affronta il rischio e
strumento/sistema; se è vero che è buona norma            la Compliance normativa in maniera alquanto de-
adottare strumenti semplici, è vero anche che essi        strutturata e, quasi sempre, solo quando si presen-
non devono “semplificare” i problemi al punto tale        ta un aumento di complessità dovuto a un progres-
da renderli di fatto dei problemi “diversi” – e, quindi,  sivo percorso di crescita o di cambiamento, decide
non rappresentativi – da quelli che le aziende devo-      di implementare internamente un GRC (scelta di
no realmente affrontare.                                  tipo “make”), pensando in tal modo di contenere i
Questa complessità insita nel contesto in cui le          costi e di poterlo plasmare sulle proprie necessità.
aziende operano è ormai costantemente crescente           In realtà, una scelta di questo tipo spesso rispon-
e – di fronte a questo trend – per poter prendere         de a necessità impellenti di una singola funzione
decisioni bilanciate e sostenibili, è evidente l’oppor-

                                                          Impiantistica Italiana - Novembre-Dicembre 2015 59