In cosa consiste Governance, Risk e Compliance (GRC)?
Le grandi imprese attive a livello internazionale sono strutturate in modo complesso e agiscono (se quotate) non solo nel proprio interesse economico, ma anche nell’interesse dei propri azionisti. Ciò richiede una gestione responsabile e una cooperazione armoniosa tra grandi dipartimenti e varie sedi in patria e all’estero. Il GRC (Governance, Risk e Compliance) ha il compito di monitorare tutti questi aspetti e di garantire una gestione aziendale responsabile.
Il modello GRC aiuta a mantenere una visione d’insieme dei complessi processi aziendali e a gestirli con coscienza, in modo che l’impresa possa avere successo economico e operare nel rispetto di tutte le normative e dei regolamenti.
GRC - Definizione e spiegazione
La corporate governance, la gestione del rischio e la compliance sono tre aspetti della gestione aziendale che spesso guardano alle stesse aree e agli stessi processi da prospettive diverse, rendendoli quindi difficilmente distinguibili tra loro per alcuni aspetti. Il termine “Governance, Risk e Compliance”, o la sua abbreviazione “GRC”, viene utilizzato anche in italiano per tutte le misure che garantiscono uno svolgimento corretto, orientato agli obiettivi e legalmente conforme di tutte le attività imprenditoriali (interne ed esterne).
Governance, Risk e Compliance: GRC è il termine generico per tutti i processi e le misure che aiutano un’azienda a raggiungere i suoi obiettivi (corporate governance), a identificare e contrastare i possibili rischi (gestione del rischio) e ad attuare e rispettare tutte le normative e i regolamenti applicabili nella sua attività quotidiana (compliance).
Le misure di Governance, Risk e Compliance non sono solo nell’interesse del management aziendale, ma sono anche richiesti dalla legge. I singoli elementi del GRC sono regolamentati da diverse normative, come ad esempio il D.Lgs. 196/03 e il D.Lgs. 231/01, e standard internazionali, come ISO 27001:2005 e BS 25999:2006.
Per comprendere con maggiore precisione quali sono gli obiettivi del GRC e con quali metodi agisce, è utile esaminare individualmente le tre sottoaree.
Corporate governance
L’ambito della corporate governance fa riferimento a una gestione aziendale responsabile a beneficio dell’impresa e dei vari gruppi di interesse esterni (ad esempio gli azionisti). Particolare enfasi è posta sul rispetto delle normative interne obbligatorie e sull’applicazione della legislazione nazionale e internazionale.
Con i suoi requisiti di trasparenza, efficienza e fiducia, la corporate governance costituisce quindi il quadro di riferimento per tutte le decisioni gestionali, indipendentemente dal fatto che si riferiscano a processi interni o esterni.
Gestione del rischio
La gestione del rischio ha lo scopo di identificare precocemente i rischi che potrebbero compromettere il raggiungimento degli obiettivi aziendali e di eliminarli o almeno limitarli adottando le contromisure appropriate.
Questi possono essere rischi interni che sorgono, ad esempio, a causa di lacune di comunicazione, mancanza di competenza dei dipendenti o rivalità tra reparti o sedi. La gestione del rischio si occupa anche dei possibili rischi esterni che possono essere causati dai cambiamenti del mercato (calo della domanda, aumento della concorrenza, crisi economiche).
L’obiettivo è quello di garantire la sopravvivenza e il successo economico dell’azienda a lungo termine.
Compliance
Anche l’area della compliance si occupa di normative e regolamenti che regolano il flusso di tutti i processi aziendali. Per questo motivo è difficile distinguerla dalla corporate governance e i due termini vengono spesso usati come sinonimi.
A differenza della governance, la compliance non riguarda solo il rapporto tra aziende e parti interessate o tra management e dipendenti, ma l’intero sistema etico e morale dei valori su cui l’azienda fonda la propria attività.
Anche se il rispetto dei requisiti di legge e la prevenzione di procedimenti penali costituiscono gli obiettivi principali, gioca un ruolo sempre più importante anche la responsabilità sociale d’impresa. Questo concetto mira a garantire che le imprese si assumono la responsabilità nei confronti della società e dell’ambiente al di là dei requisiti minimi di legge.
Strumenti di controllo del GRC
All’interno di un’impresa, tutti i dipartimenti e i livelli dirigenziali sono tenuti ad agire secondo i principi di Governance, Risk e Compliance. Al di sopra di una certa dimensione aziendale c’è tuttavia il rischio che i dipartimenti perseguano i propri interessi o che le incomprensioni nella comunicazione causino degli errori. Per monitorare e correggere eventualmente questi aspetti, esiste l’audit interno, che verifica l’andamento ottimale e conforme alle regole di tutti i processi aziendali, comprese le stesse misure del GRC. I dipendenti incaricati dell’audit interno sono idealmente diretti sottoposti del management, in modo che possano svolgere il compito in modo neutrale e indipendente dai processi.
Vi preghiamo di osservare la nota legale relativa a questo articolo.