Corporate Governance in action!

04 Apr 2022 08:00 AM By itSMF Staff

Il ciclo di vita di ogni azienda si evolve nel tempo definendo ed aggiornando i propri obiettivi e controllando periodicamente il loro raggiungimento.

Tra questi spiccano sempre quelli che riguardano i risultati economici, il rispetto di tutte le norme vigenti a cui è soggetta l’azienda in base alla sede ed ai mercati (Paese e settore) in cui opera, la gestione e la crescita delle risorse umane, la sostenibilità ambientale, l’evoluzione della tecnologia utilizzata e molti altri temi più specifici del proprio business.

Questi obiettivi vengono poi declinati in politiche aziendali e linee guida che determinano le modalità atte a raggiungerli. Queste ultime vengono poi dettagliate, con le modalità utilizzate per applicarle nelle attività operative quotidiane, nelle procedure e, nel migliore dei casi, nelle istruzioni.

Ovviamente tutto quanto sopra descritto è soggetto a verifiche periodiche (audit) puntuali o a campione e ad attività di valutazione dei rischi globali e normativi, azioni messe in atto dalle funzioni del Sistema dei Controlli Interni (SCI).

Tutte queste attività sono quelle che si possono definire come le principali “azioni” che vengono svolte per la corporate governance.

Col tempo si tende a creare un proprio modello interno personalizzato con spunti da esperienze altrui, migliori pratiche varie o affidandosi ai modelli proprietari proposti dai produttori di soluzioni GRC (qualora si utilizzi un tale tipo di strumento di supporto), vincolandosi ad uno specifico approccio che per quanto valido non necessariamente corrisponde alla soluzione migliore.

I modelli proprietari di governance sono ormai superati dagli standard ISO. L’adozione del modello ISO per la governance consente un’operatività integrata di tutte le funzioni, secondo uno standard riconosciuto a livello internazionale e certificabile.

Tra i principali riferimenti normativi ISO per le funzioni di controllo che sono stati aggiornati molto di recente, a manifesto della grossa sensibilità anche degli enti di regolamentazione su tali argomenti, troviamo:

✔️ISO 37000:2021 per la Governance;

✔️ISO 37001:2016 per l’Anti-Bribery;

✔️ ISO 37301:2021 per la Compliance;

✔️ISO 37002:2021 per il Whistleblowing;

✔️ISO 19011 per l’Audit;

✔️ISO 31000 per il Risk Management;

✔️ISO 26000 per SDG.

Tutti questi standard sono inoltre accomunati dall’avere la stessa struttura, anche essa definita dall’ISO e denominata High Level Structure (HLS). Ciò si traduce nella possibilità di disporre di un unico sistema di gestione integrato, anziché diversi sistemi monotematici separati e da integrare, direttamente utilizzabile per l’ottenimento delle varie certificazioni.

Nella quasi totalità dei casi le aziende gestiscono tutto questo con strumenti tradizionali documentali basati su file, l’effetto pratico principale di tale modalità di gestione delle regole basata su informazioni in formato tradizionale (non basta che siano su un documento elettronico per essere considerate digitali) è la sia nel mantenimento che la mancanza del controllo sulla reale applicazione delle regole, se non con controlli a campione e a posteriori su cui basare la valutazione dell’efficacia delle regole stesse.

La digitalizzazione della governance consente di modificare tale scenario.
I principi e le attività di definizione della corporate governance rimangono gli stessi ma la loro realizzazione e applicazione cambiano completamente. Immaginate dunque di definire tutti gli elementi direttamente in uno strumento che vi guida nella compilazione di informazioni organizzate e strutturate e che vi consente di collegare tra di loro normative, processi, strutture organizzative, asset, strumenti informatici, politiche, procedure, istruzioni, controlli, standard, stakeholder.

Questo consente di controllare in ogni istante qualsiasi aspetto e capire ad ogni singola variazione di un elemento l’impatto su tutti gli altri. Ad esempio, se cambia una normativa si può sapere subito su quali processi, ruoli, sistemi informatici, procedure etc. ci sono effetti da gestire. E se ci sono delle istruzioni operative, modificando le regole in base a questi cambiamenti si avrà l’immediata certezza del rispetto delle nuove regole.

Allo stesso modo, ad esempio, se si rileva una vulnerabilità su un sistema IT si potrà sapere immediatamente su quali processi di business (eventualmente con degli avvisi nel caso di prioritari) ha impatto, a quali fornitori doversi rivolgere, quali attività coinvolge etc.

Insomma, si può avere così il controllo in tempo reale della propria azienda.

L’approccio migliore per digitalizzare la governance è quello di attuare la digitalizzazione per piccoli passi e su processi completi e prevedere fin da subito la definizione di tutti gli aspetti e la soddisfazione ed il coinvolgimento degli utenti interessati sui tre macro-livelli organizzativi:

↗️board
↗️management
↗️operations 

L’approccio incrementale consente di ottenere una serie di benefici, tra cui il raggiungimento di risultati concreti in poco tempo e quindi un ROI a breve termine, la progressiva naturale promozione della cultura della digitalizzazione sulla base dei successi interni ottenuti e della soddisfazione degli utenti, l’adattamento progressivo degli utenti alle nuove modalità di lavoro.

Ogni azienda ed ente anche pubblico è soggetta in continuazione a spinte evolutive sia interne (riorganizzazioni, evoluzione del business, cambi tecnologici) che provenienti dall’esterno (es. normative, richieste clienti, evoluzione fornitori) che richiedono sempre maggiori sforzi di adeguamento.
Con la corporate governance digitalizzata tali sforzi vengono significativamente ridotti e i tempi di reazione compressi in maniera significativa rendendo l’azienda più adattiva, competitiva e resiliente.

Arrivare alla completa digitalizzazione della governance non è un processo immediato, ma progressivo; tuttavia, i benefici si possono raccogliere fin dalle prime implementazioni pratiche.

Alcuni casi d’uso esemplificativi da usare come spunti per l’analisi sulla propria realtà possono essere quelle operazioni svolte internamente che potrebbero essere eseguite invece dagli stakeholder (clienti, fornitori, agenti) in modalità self-service. Un classico esempio è la valutazione dei fornitori, che sempre più spesso viene realizzata richiedendo il caricamento di documenti e dati direttamente su appositi portali, evitando una gestione interna manuale e lo scambio di e-mail ed informazioni non strutturate. Questo modello può essere però applicato anche in molti altri contesti, ovviamente se si dispone degli strumenti applicativi adeguati che consentano di implementare rapidamente ed in maniera personalizzata e completa le funzionalità richieste per la specifica gestione e di renderle accessibile in modalità sicura agli attori esterni coinvolti.

Pieralberto Nati – CEO & Founder Advanced CGS Group SA
con il supporto della redazione di itSMF Switterland

 

Need to know more about it?

Click on one of the options below to enter in the itSMF Enviroment and for being updated the way which is best for you.

Subscribe to itSMF Newsletter
CONTACT US TO SEND YOUR MESSAGE
DISCOVER OUR EVENT CALENDAR
Get the benefits of Membership Program