Page 66 - Impiantistica Novembre-Dicemvre 2015
P. 66
to. Più nello specifico, sono state selezionate per così quella che è una conoscenza diffusa.
campionamento sia aziende di prodotto che azien- Il risk manager di un’importante azienda italiana di
de di servizi per avere un panel di interviste quanto prodotto ha dichiarato che l’implementazione del
più eterogeneo possibile. (*) GRC nei sistemi informativi aziendali è dovuta prin-
Si riportano di seguito gli elementi principali emersi cipalmente alla ricerca di efficienza nella gestione
dalle interviste effettuate, a scopo di arricchimento della conoscenza, limitando (almeno momentane-
e integrazione del resto del documento. amente) il respiro sui temi di Risk e Compliance
Da un’azienda è stato confermato il beneficio Management: gestione delle transazioni e segrega-
dell’adozione del sistema GRC al fine di abbattere tion of duties sono i due obiettivi per cui il GRC è
i “silos” funzionali riuscendo così ad “avere una vi- stato implementato. Si può dunque dedurre che,
sione più chiara e trasversale dell’azienda” (si veda in questo caso, il GRC non è ancora riconosciuto
la sezione 4.1 per i dettagli). come uno strumento per aumentare l’efficacia del
Alcuni degli intervistati hanno evidenziato l’impor- processo decisionale (si veda la sezione 4.2 per i
tanza della presenza nel GRC di un efficiente pro- dettagli).
cesso di comunicazione e differente profilazione Il fatto più eclatante che emerge dalle interviste è
degli accessi per poter coinvolgere in real-time e in che, quasi paradossalmente, un’azienda può de-
sicurezza tutte quelle figure, ovvero manager, ricon- cidere di adottare un GRC mantenendo, però, una
ducibili ai temi di Governance, Risk e Compliance separazione tra contenuti di basso e di alto livello, in
Management. netto contrasto con il paradigma olistico tipico del
GRC (si veda la sezione 1 per i dettagli). Infatti, la di-
Altri aspetti fondamentali riconosciuti dagli intervi- mensione, la complessità e la staticità dell’azienda
stati, che avvalorano le tesi sostenute, sono i se- possono talvolta essere così elevate da rendere di
guenti: la possibilità offerta dal GRC di garantire fatto impossibile l’adozione di un sistema realmente
elevata sicurezza, requisito fondamentale per la ge- integrato, limitando l’utilizzo della piattaforma solo
stione di informazioni di elevata sensibilità e riser- ai livelli superiori.
vatezza, assicurando così la business continuity (si A quanto appena detto ci si può ricollegare per
veda la sezione 4.2 per i dettagli). La possibilità di riportare una seconda evidenza manifestata dagli
liberare risorse grazie alla capacità del GRC di ac- intervistati: due risk manager di importanti imprese
collarsi tutta la parte operativa di office automation, di servizi hanno dichiarato di essere interessati solo
permettendo ai decisori di dedicarsi in maniera più ed esclusivamente a rischi di altissimo livello, ossia
proattiva alle mansioni di maggiore valore aggiunto a una quindicina di rischi strategici, subordinando la
(si veda la sezione 4.3 per i dettagli). Il vantaggio of- gestione di quelli più operativi alle singole funzioni.
ferto da alcune piattaforme di essere estremamen- Da questo ne deriva che il GRC, per come è attual-
te scalabili dando così la “possibilità di far crescere mente concepito e per come è stato definito nelle
lo strumento (GRC) secondo le necessità e la ma- precedenti sezioni del documento (ovvero come un
turità aziendale” (si veda la sezione 3 per i dettagli). sistema informativo che basa il proprio corretto fun-
D’altra parte, le interviste hanno evidenziato che, zionamento sulla possibilità di descrivere nel detta-
in taluni contesti, i benefici derivanti dall’adozione glio processi, asset e lavoratori), non risponde alle
di una piattaforma GRC non sono sempre piena- loro esigenze relativamente all’attività di Enterprise
mente percepiti e inoltre l’idea di implementare un Risk Manager che, invece, prevede la sola gestione
sistema altamente integrato non rientra necessaria- dei rischi che hanno un impatto diretto sul business
mente nei desideri delle aziende, contraddicendo plan aziendale.
Per differenti motivi, anche un altro intervistato
(CRO di un’azienda di prodotto) ha espresso la
mancanza di particolare interesse nel tenere traccia
della conoscenza aziendale a un livello di dettaglio
“troppo” elevato: una possibile spiegazione potreb-
be risiedere nel fatto che l’azienda opera attraverso
processi talmente standardizzati e consolidati da
non reputare prioritaria la suddetta conoscenza. (*)
(*) per approfondimenti su questo punto si prega di fare
riferimento al documento integrale, con le nuove versioni
e il follow up della ricerca.
Il documento è scaricabile gratuitamente, collegandosi
alla pagina docente di Guido JL Micheli del Dipartimento
di Ingegneria Gestionale (DIG) del Politecnico di Milano,
nella sezione “Governance, Compliance & Risk Manage-
ment white books”:
http://goo.gl/6It6qz5 oppure, cercando “Guido Micheli” in
http://www.dig.polimi.it
64 Impiantistica Italiana - Novembre-Dicembre 2015
