GRC, Trasformazione digitale e IT

Con la trasformazione digitale la quantità di dati è aumentata, e così anche gli ecosistemi che sono in continua evoluzione e sempre più distribuiti. La necessità di collegare i punti per stabilire una struttura di data governance che aiuti le decisioni aziendali, e protegga anche le organizzazioni, sta diventando di grande priorità per le aziende. Questo documento illustra come un approccio di data governance connesso che promuove la collaborazione tra la comunità che utilizzano dati e le business unit, insieme alle prospettive IT e di rischio, sia fondamentale per promuovere il valore del business.

Le crisi finanziarie, sanitarie o geopolitiche sembrano susseguirsi, spesso con conseguenze sistematiche. Oltre a farne una questione di sopravvivenza, le aziende devono essere in grado di adattarsi rapidamente e in maniera efficace a questo ambiente in continua evoluzione. Garantire la resilienza operativa con “Business Continuity Plans” (BCP) solidi è diventato l'obiettivo strategico del Risk Management.

Meno emblematiche della diversità o degli aspetti di genere, le questioni generazionali sono spesso ignorate nelle aziende, ma rimangono un aspetto importante della politica di parità. Le aziende hanno tutto da guadagnare dal rafforzamento della collaborazione tra le diverse generazioni.

La trasformazione digitale, unita ad un importante periodo di crisi che ha accelerato la digitalizzazione nelle organizzazioni, ha dato nuovo slancio a concetti come agilità, resilienza, design thinking e intelligenza collettiva, grazie alla collaborazione tra i diversi silos. Concetti che definiscono l'organizzazione del XXI secolo e che pongono tutti i settori di fronte alla necessità di far evolvere il loro sistema informatico, in modo da integrare questi nuovi paradigmi della governance moderna.

Quadrant Knowledge Solutions ha appena rilasciato il report SPARK Matrix per le soluzioni di Governance, Risk & Compliance (GRC) per il 2022. Tra le analisi dettagliate, la ricerca sottolinea il fatto che le organizzazioni sono sempre più alla ricerca di soluzioni GRC integrate in grado di fornire una visione olistica del loro panorama di rischio. Una necessità urgente nell'ambiente VUCA di oggi.

Con nuovi usi di applicazioni mobile, software liberi e maggiore agilità negli sviluppi IT, Shadow IT e Shadow SaaS tendono a crescere. Anche se una maggiore agilità e apertura può essere una leva di innovazione per le figure business, questa incontrollata e persino sconosciuta Shadow IT sfugge alle buone regole di governance IT delle organizzazioni e, se non controllata, può presentare nuovi rischi e minacce.

Considerati fonte di innovazione e valore aggiunto, i dati sono un elemento ancora difficilmente valorizzabile nelle aziende, nonostante negli ultimi anni ci siano state numerose iniziative in merito e la consapevolezza sia decisamente cresciuta.

In effetti, la condivisione dei dati nelle organizzazioni non è sicuramente scontata, andrebbe infatti proposta e incoraggiata, in modo che i dipendenti possano lavorare fianco a fianco e raggiungere risultati migliori.

Le ragioni per condividere i dati sono semplici: la conformità normativa è obbligatoria per tutti gli attori, ma è soprattutto l'innovazione che consente una costante crescita e miglioramenti a livello di performance. Tuttavia, il processo per adottare una pratica integrata di Data Governance rimane complesso, con la presenza di importanti sfide da superare. 

L'ecosistema aziendale sta diventando sempre più complesso e ogni organizzazione deve evolversi per rimanere competitiva visti i molteplici cambiamenti: aspettative dei clienti, nuovi concorrenti, tecnologie emergenti, nuovi regolamenti e qualsiasi cambiamento nel mondo. L'Enterprise Architecture (EA) è fondamentale per supportare questa trasformazione, nonostante le complessità.

Il valore dell’Enterprise Architecture per accelerare la trasformazione del business

Con l'accelerazione del passaggio all'economia digitale, è cresciuta la necessità di pensare sempre di più ad un'impresa a prova di futuro, adattabile ai cambiamenti e ben strutturata. Le attività di Enterprise Architecture (EA) si stanno focalizzando sempre più sulle esigenze di business, per soddisfare le necessità di trasformazione aziendale che le imprese hanno, cambiando così anche il ruolo dell’architetto aziendale, intento ad aiutare le organizzazioni a diventare più snelle, agili e resilienti.

Questo documento spiega come un’attività EA connesa, che allinea prospettive di business, IT, dati e rischi, sia fondamentale per guidare le iniziative di trasformazione promuovendo la comunicazione e la collaborazione tra l'IT e il business, ma anche consentendo agli architetti aziendali di concentrarsi sull'analisi degli impatti del cambiamento e fornire informazioni su come l'organizzazione debba evolversi e adattarsi alle aspettative dei clienti, alle minacce competitive o ai cambiamenti del mercato.

Questo cambiamento richiede una nuova generazione di strumenti EA in grado di supportare le nuove sfide dei nostri architetti.

In un'epoca in cui esiste una maggiore consapevolezza sulle conseguenze e i rischi che comporta una mancata gestione in caso di cambiamenti inaspettati o eventi inattesi, è essenziale per i decision-maker garantire la continuità e l'agilità del business. Trattando questi argomenti nel particolare periodo storico che stiamo vivendo, uno dei principali eventi catastrofici degli ultimi anni è stata senza dubbio la pandemia globale causata dal Covid-19 e tutti i relativi cambiamenti che questa ha introdotto nella nostra quotidianità, quali il bisogno di adottare una modalità di lavoro da remoto e i conseguenti rischi operativi e quelli legati alla sicurezza. Più recentemente, è risultato fondamentale delineare i rischi geopolitici e le minacce alla sicurezza informatica causati dall'attuale situazione in Ucraina.

Per resistere allo tsunami di rischi che si profila all'orizzonte, i professionisti del GRC (risk manager, compliance officer e auditor) non hanno altra alternativa che adottare un approccio strutturato alla gestione dei rischi e dei controlli, facendo leva sulle informazioni aziendali chiave. Tuttavia, la visibilità limitata sui processi aziendali fa sì che questo approccio fondamentale sembri spesso impossibile da raggiungere.

Dal 2020, MEGA è partner di JEBO (Junior Enterprise Bologna) come parte del MEGA University program. JEBO, un'organizzazione no-profit gestita interamente da studenti, fa parte di un più ampio network di Junior Enterprise in Italia con l'obiettivo comune di coltivare una varietà di competenze imprenditoriali, manageriali e professionali attraverso l'esecuzione e lo sviluppo di progetti reali in collaborazione con diverse organizzazioni e professionisti del settore.  

Le imprese si affidano ai processi, come gli chef si affidano alle ricette. Tuttavia, non importa quanti dettagli vengono forniti, gli esseri umani non sono robot e i processi non garantiscono che le istruzioni vengano eseguite con precisione e coerenza. Anche i processi, come le ricette, non sono statici. Si evolvono nel tempo quando cambiano i fornitori o i regolamenti. Rapidamente, i processi possono svanire o alterarsi, il che può mettere un'organizzazione a rischio. È quindi essenziale implementare dei guardrail intorno ai processi e controllarne poi lo stato di salute. L'efficienza e l'efficacia dipendono dai processi, e devono essere aggiornati costantemente per garantirne l'operatività.

Questi sono tempi difficili per i dipartimenti IT di oggi. Da un lato si trovano a dover affrontare le crescenti minacce di attacchi informatici alle loro risorse digitali, e allo stesso tempo devono conformarsi a una miriade di regolamenti IT e standard di settore: PCI DSS, HIPAA, SOX, NIST, ISO 27001, COBIT, GDPR, solo per citarne alcuni.