Sistemi di governance, risk e compliance management : dallo studio dei potenziali benefici, una nuova proposta di classificazione

The concept of an integrated management of Governance, Risk and Compliance (GRC) is being paid more and more attention by companies worldwide, within several industries, as well as the related IT systems, known as “GRC systems” or “GRC platforms”. Nonetheless, the state-of-the-art still lacks a complete view on the whole potential - in terms of benefits – such systems can provide. Stemming from the definition of what a GRC is, from what the main differences with respect to the ERM are, and from why it is usually advisable to “buy” such a software instead of “making” it, the first section of the present document aims at providing the reader with detailed and systematic information about the key benefits from the adoption of a GRC solution. Afterwards, hints about the use (or not use) of GRC systems from a set of interviews with Risk Managers of important Italian companies, are reported. Within the second section, a new assessment and classification system for GRC software is conceived. This system aspires to offer a more technical and complete support than current classification standards; it is based on the analysis of the three following criteria: the contents offered by GRC platforms, the intrinsic quality of each software and the reliability of the supply offered by the vendors. The results of the classifications are showed by matrices that have as axes of analysis the three criteria concerning the contents (split into the dimensions Knowledge Management & Governance, Risk Management and Compliance Management), the software and the supply. The third and final section concerns the application of the new assessment and classification system to GRC platforms that are directly acquirable in Italy. In order to highlight the strengths of each platform and to perform an unbiased evaluation, the assessment has been done by “very satisfied users” whose names were provided by each GRC vendor.

Il concetto di una gestione integrata di Governance, Risk e Compliance Management (GRC) è oggetto di un sempre maggior interesse a livello globale, così come i relativi sistemi informatici conosciuti con i nomi di “sistemi GRC” o “piattaforme GRC”. Ciononostante, in letteratura manca ancora una completa visione delle piene potenzialità – in termini di benefici – che tali sistemi possono avere. Partendo dalla definizione di GRC, dalle sue principali differenze rispetto ai sistemi ERM e dal perché è consigliabile l’acquisto (opzione “buy”) piuttosto che una sua realizzazione interna all’azienda (opzione “make”), la prima sezione della presente ricerca ambisce a offrire una descrizione dettagliata e sistematica dei benefici derivanti dall’adozione di una soluzione GRC, riportando in seguito le evidenze che emergono da interviste a Risk Manager di importanti realtà aziendali operanti in Italia. Nella seconda sezione viene concepito un nuovo sistema di valutazione e classificazione per piattaforme GRC che aspira a fornire un punto di vista più tecnico e completo di quanto ad oggi disponibile e che si fonda sull’analisi dei tre seguenti criteri: i contenuti offerti da ciascun sistema, la qualità intrinseca del software e l’affidabilità della fornitura offerta dal vendor. I risultati delle classificazioni così ottenute sono esplicitati per mezzo di matrici aventi come assi di analisi i tre criteri relativi ai contenuti (suddiviso a sua volta tra Knowledge Management & Governance, Risk Management e Compliance Management), al software e alla fornitura. La terza e ultima sezione è dedicata all’applicazione del nuovo sistema di valutazione e classificazione a piattaforme GRC direttamente acquistabili sul territorio nazionale. Al fine di mettere in luce i punti di forza di ciascun sistema e di fornirne una valutazione il più possibile imparziale, sono stati intervistati gli “utilizzatori particolarmente soddisfatti” i cui nominativi sono stati forniti direttamente dai GRC vendor.