La definizione dell’acronimo GRC risale probabilmente all’inizio di questo secolo e ha iniziato a circolare in una cerchia ristretta di professionisti aziendali almeno una decina di anni fa: ma da qualche anno la notorietà di questa sigla è cresciuta decisamente, anche perché riguarda tematiche che impattano molteplici strutture, le quali sono chiamate a interagire tra di loro e a non operare come dei singoli silos. Le tre lettere si riferiscono a Governance, Risk e Compliance e comprendono tutte quelle attività orientate a guidare un’impresa, a gestire e a minimizzare i rischi, a seguire quelle norme e una serie di regole che orientano al raggiungimento degli obiettivi aziendali, oltre che al benessere dell’organizzazione e di chi vi lavora. Oggi si è tutti concordi nel sostenere che una corretta strategia di GRC risulta estremamente utile per aziende di qualsiasi dimensioni, indipendentemente dal settore di appartenenza: la grande novità riguarda la gestione coordinata di questi tre ambiti, che prima erano attività separate che solo qualche impresa virtuosa aveva svolto con efficacia. Una gestione integrata risulta oggi in grado di migliorare le prestazioni delle persone, delle procedure aziendali e delle risorse.
La gestione integrata, un vantaggio superiore alla somma delle parti
Si parla spesso di “Corporate Governance”, tradotta solitamente con gestione d’impresa, che indica tutte quelle procedure e regole che caratterizzano un’organizzazione e che indicano le modalità per essere conforme alle strategie aziendali e ai piani di sviluppo. In altre parole, una governance valida definisce le responsabilità di ogni dipendente come pure i ruoli decisionali del management, in modo da esplicitare con chiarezza i compiti di ognuno.
Il Risk Management, ovvero la gestione del rischio, riguarda tutte le attività con le quali vengono identificati i rischi a cui un’impresa può essere soggetta, individuando le contromisure da adottare. Tali rischi variano a seconda della tipologia di settore in cui un’azienda opera, ma non vanno trascurati anche altri aspetti che vanno dalla sicurezza informatica, a fattori economici di instabilità che caratterizzano determinate nazioni, senza dimenticare ulteriori fattori quali catastrofi naturali e, ahimè, conflitti.
Con Compliance si intende la conformità di un’organizzazione a una serie di regole e di normative, sia obbligatorie che standard, che decide di seguire, allo scopo di raggiungere determinati obiettivi.
Qual è allora la modalità migliore affinché i tre ambiti appena descritti possano interagire con efficacia, superando i potenziali problemi organizzativi? La collaborazione fra le diverse divisioni aziendali è un prerequisito necessario, ma non sufficiente; il management ha qui un ruolo chiave, sia nel farsi promotore del cambiamento, sia nel viverlo in prima persona e quindi incoraggiarlo nel proprio team. Di conseguenza, ogni dipendente diventa così protagonista di una sorta di cooperazione comune, che ha come obiettivo il benessere personale e aziendale.
Quando la strategia GRC viene attuata correttamente, porta come conseguenza numerosi vantaggi:
- Gestione ottimizzata di risorse umane, tecnologia e processi: ogni impresa ha degli obiettivi da raggiungere, ma spesso vengono solo applicate procedure, senza verificare se esse servono realmente a raggiungere “la meta”. La tecnologia non è che un mezzo a servizio delle persone per arrivare al traguardo
- Drastica riduzione di inefficienze: se i “silos” a cui si accennava in precedenza comunicano fra di loro si possono individuare facilmente i potenziali margini di miglioramento, da cui si ottengono risparmi di tempo, denaro e quindi ottimizzazione delle risorse
- La collaborazione genera valore: ci sono funzioni che gestiscono aspetti differenti di uno stesso oggetto. L’esempio che spesso viene citato riguarda la privacy e la protezione dei dati, solitamente responsabilità dei dipartimenti IT e legali: è stato ampiamente dimostrato che quando le due funzioni interagiscono fra di loro risultano efficaci e instaurano quella cooperazione che riduce i rischi complessivi
- Limitazione dei rischi e dei costi associati: avere procedure condivise in tutta l’organizzazione consente la prevenzione di situazioni critiche o di pericolo, potendo affrontare efficacemente gli imprevisti e riducendo i relativi danni
- Il rispetto delle normative evita sanzioni: si tratta di un aspetto particolarmente importante, specie per le multinazionali. Pur rimanendo ancora “aree grigie”, è altrettanto vero che esistono già norme che l’Unione Europea o altri enti hanno diramato, proprio nell’ottica di definire standard di comportamento e di utilizzo delle risorse, in particolare in ambito produttivo. Qui il tema della “Compliance” è centrale e dunque una strategia GRC integrata risulta vincente
- Fiducia dagli investitori: coloro che investono il proprio capitale in un’impresa lo fanno affinché questo cresca e quindi si aspettano che i rischi siano minimizzati, che tutti i processi siano efficienti con l’adozione di politiche appropriate da parte delle organizzazioni
- Reputazione sul mercato: una realtà che risulta virtuosa non può che avere un impatto positivo, in termini di considerazione e di fiducia dei clienti. Oggi più che mai sono fattori che fanno la differenza, che nessun manager può ignorare; anzi, chi dimostra di saper fronteggiare e superare problematiche, criticità, anche errori che possono emergere in un’azienda, riceve un giudizio favorevole che si ripercuote nell’atteggiamento dei consumatori finali
- Sostenibilità e responsabilità sociale d’impresa: è sempre più forte la consapevolezza che il successo a lungo termine di un’impresa non può prescindere da investimenti nella sicurezza dei lavoratori e da politiche di tutela dell’ambiente, come pure delle comunità dove le imprese stesse operano.
L’ultimo punto in particolare pone l’accento su un atteggiamento che si sta, fortunatamente, diffondendo fra gli utenti: che sono sempre meno disposti a rivolgersi e ad acquistare prodotti e servizi da realtà che per produrre infrangono regole, sfruttano persone o danneggiano il territorio e l’ecosistema. Poiché inevitabilmente ognuno a un certo momento assume il ruolo di consumatore, diventando quindi parte del business dell’azienda di cui acquista, o non acquista, i prodotti.
Adottare quindi una corretta strategia GRC non è più un’opzione o un qualcosa da fare, solo per distinguersi dalla concorrenza: è un elemento di business destinato a fare la differenza. Si tratta di un cambio di prospettiva quanto mai auspicabile, poiché l’impegno richiesto nel perseguire tale direzione è pienamente ripagato dai benefici che ne derivano.