La gestione della governance, del rischio e della conformità alle normative è uno degli aspetti più importanti all’interno di SAP. Adottare soluzioni di questo tipo consente di avere un approccio strutturato per allineare l’IT agli obiettivi di business, riducendo la frammentazione tra divisioni e dipartimenti in una visione olistica dell’azienda e aumentando la consapevolezza, la responsabilità del rischio, oltre a migliorare il processo decisionale aziendale.
Per aiutare le organizzazioni in questo percorso di digital transformation, Data Network Consulting, società torinese presente sul mercato da oltre 20 anni, mette a disposizione dei propri clienti know-how per scegliere e adattare soluzioni SAP GRC in base alle diverse esigenze.
SAP GRC: quanto è importante per le aziende
Fin dai primi anni 2000 si è assistito a una progressiva emanazione di normative per una più severa regolamentazione dei processi. Questa evoluzione della legislazione ha causato la crescente necessità di adottare strategie GRC attraverso soluzioni tecnologiche dedicate, sia al back office dei processi, ma anche per le decisioni di rischio, che incidono notevolmente sugli obiettivi quotidiani.
«Un importante riferimento legislativo – spiega Domenico Rotundo, SAP Security Specialist di DNC – è presente nel Dlgs 231/01, articolo 6 comma 2, che riporta la necessità di studiare i processi aziendali e tutte le attività da cui potrebbero scaturire eventuali reati. Norme successive, invece, hanno riguardato il recepimento in Italia della SOX attraverso la legge 262/05. A livello europeo, tra le ultime normative vi è il GDPR, attraverso cui si stabiliscono regole precise per il possesso e la gestione dei dati personali. Avere strumenti GRC è diventato un requisito fondamentale».
Who's Who
Domenico Rotundo
SAP Security Specialist di DNC
Sulla base delle norme giuridiche, gli strumenti per la gestione dei vari aspetti del GRC dovrebbero essere diffusi in quasi tutte le aziende, ma non è così.
«Nella realtà, – sottolinea Domenico Rotundo – questi vengono frequentemente posti di fianco alla voce costi, senza analizzarne i benefici effettivi. Avere a propria disposizione strumenti di governance consente di comprendere più rapidamente quali potrebbero essere le aree esposte ad eventuali frodi. Soprattutto, in un periodo storico in cui gli asset strategici sono sempre più digitali, è necessario proteggere ciò che è dematerializzato e non viene percepito tale sia dal singolo dipendente, ma anche dall’organizzazione stessa».
Prevenzione frodi e minacce interne
Dunque, l’assenza di controllo causata dalla mancata applicazione di soluzioni GRC o dal non rispetto delle procedure si riflette sull’azienda stessa con un potenziale aumento di frodi. Un danno economico tangibile, ma di cui molto spesso non si viene a conoscenza.
«Mediamente, un’organizzazione perde circa il 5% dei ricavi come conseguenza delle frodi per un totale di 6 miliardi di dollari a livello mondiale. Non solo, più della metà non vengono intercettate. È necessario un salto culturale in cui l’essere sottoposti ad audit e regolamentare i processi non è considerato un semplice costo, bensì è a tutti gli effetti un investimento per salvaguardare da minacce maggiori».
Rotundo porta all’attenzione quanto il rischio di frodi tenda ad aumentare nei periodi di crisi economica. I dati del Global Economic Crime and Froud Survey 2020 evidenziano, infatti, il fatto che circa il 47% delle aziende abbia registrato frodi negli ultimi 24 mesi, con un valore medio di 6 attacchi per azienda. Tuttavia, le minacce non sono solamente esterne: tra i principali autori troviamo il personale interno, soprattutto con posizioni all’interno del middle management. Proprio per questo motivo, spiega il manager, «parlare di GRC in ambiente SAP è dovuto, per buona parte, dalla necessità di prevenire frodi, che risultano essere sempre più frequenti e più complesse da identificare. Attraverso soluzioni ad-hoc, l’organizzazione può rispondere attivamente alla maggior parte di esse, invece di subirne solamente le conseguenze».
Know-how e soluzioni su misura per le PMI
In Italia, in particolar modo, il tessuto imprenditoriale è per lo più costituito da piccole e medie imprese. Parlare di GRC in questo caso si traduce in una più che evidente necessità di soluzioni realizzate sulla base delle specifiche esigenze. In passato, le aziende hanno sottovalutato il monitoraggio dei processi aziendali per migliorare il flusso di gestione delle informazioni, i controlli interni e combattere sia le frodi che la corruzione. Oggi, invece, tutto ciò si è reso indispensabile e il corretto sviluppo di soluzioni su misura richiede anche un grande bagaglio di competenze.
«Data Network Consulting – evidenzia Rotundo – ha iniziato a lavorare nel GRC più di 15 anni fa quando SAP GRC non era ancora realtà e la soluzione GRC per eccellenza dell’epoca si chiamava Virsa. Il know-how acquisito in questi anni ha reso possibile anche la collaborazione tra DNC e SAP per la stesura delle prime matrici SoD e le relative best practice. Un bagaglio importante che mettiamo a disposizione di tutti i nostri clienti al fine di scegliere le soluzioni più idonee. Al nostro interno abbiamo team eterogenei capaci di fornire soluzioni in ogni ambito, sia a livello tecnico che di auditing».
Perciò, la domanda sorge spontanea: qual è il metodo che si adotta nelle fasi di sviluppo di strumenti GRC per le PMI italiane, con tutti gli aspetti che ne seguono quali mappatura dei processi, integrazione e sviluppo di matrici SoD?
«Per noi, i singoli processi non devono essere guidati dell’IT, bensì a livello business. Dove l’IT gioca un ruolo fondamentale è quando si parla di supporto e implementazione. Pertanto, l’applicazione di Governance, Risk e Compliance richiede un cambiamento nella cultura aziendale. Si tratta, infatti, di stabilire un approccio che assicuri che le persone giuste ottengano le informazioni giuste al momento giusto, che siano stabiliti i giusti obiettivi e che siano messe in atto giuste azioni e controlli per affrontare l’incertezza e agire con integrità».
È innegabile quale sia l’importanza che riveste una corretta implementazione del GRC. Sicuramente, oggi e in futuro, le aziende dovranno porre l’attenzione nella creazione di un sistema e una cultura conformi al rispetto di norme esogene, rafforzando le policy interne e automatizzando la gestione del rischio. Solo così potranno perseguire gli obiettivi di successo nel mondo globalizzato.