di Gianmaria Francesconi
Sistemi & Impresa - n° 1 - Gennaio 2009
Mega, recentemente premiata dalla società di ricerca indipendente Yphise come Best Solution per la gestione integrata di rischi e controlli, è riconosciuta come uno dei maggiori attori sul mercato dell’analisi e modellazione dei processi, consulenza organizzativa, gestione di Risk, Audit e Compliance e per l’allineamento dell’It agli obiettivi di business.
Come si concretizza il supporto di Mega verso i clienti? In che modo le soluzioni Mega migliorano l’efficienza organizzativa?
Ne abbiamo parlato con Antonello di Vittorio, Amministratore Delegato di Mega Italia.
Dottor di Vittorio, come si concretizza il supporto che potete fornire alle imprese?
Il supporto che forniamo tramite i nostri consulenti è di due tipi: metodologico, per aiutare i clienti a definire e costruire un modello di lavoro adatto alla loro realtà aziendale e di ingegneria prodotto e training, per adattare lo strumento alle necessità dei clienti e formarli all’utilizzo.
L’obiettivo portante del nostro approccio consulenziale è quello di mettere il cliente in grado di operare in autonomia nei nuovi contesti nati dall’intreccio delle necessità dell’organizzazione con quelle delle funzioni di Audit, Risk e Compliance.
La difficoltà principale che aiutiamo a superare è quella di costruire un metodo di lavoro, un modello metodologico, che permetta a ogni funzione di esercitare le sue prerogative ed adempiere alle sue responsabilità in un contesto coerente di collaborazione con le altre funzioni (che a loro volta hanno altre priorità sulla gestione delle stesse informazioni).
Quando poi il cliente ha deciso di utilizzare gli applicativi Mega per la modellazione e per Governance, Risk e Compliance, il nostro supporto copre la messa in opera iniziale e la formazione a tutti i livelli per mettere il cliente in grado di utilizzare in completa autonomia lo strumento per le necessità individuate.
La nostra epoca è caratterizzata dal cambiamento. Le soluzioni Mega migliorano l’efficienza organizzativa mantenendo in relazione i rapidi cambiamenti dei processi operativi con gli sforzi di sviluppo dell’It. Ci può approfondire questo tema?
Attraverso le soluzioni di Mega, diventa possibile l’obiettivo di una effettiva integrazione dei modelli di analisi propri delle diverse funzioni aziendali.
La descrizione dei processi, l’analisi dei rischi e dei controlli e la loro valutazione da una parte, dall’altra l’analisi del parco e dell’infrastruttura applicativa insieme a un corretto It planning formano, per Mega, un tutt’uno organizzativo dove i cambiamenti in un contesto dell’azienda devono poter essere valutati a tutti i livelli; dove le modifiche a un business process devono poter essere misurabili immediatamente dai sistemi informativi e, viceversa, eventuali evoluzioni sul lato It devono avere un impatto sempre misurabile sui processi aziendali.
Questo modello integrato, questa descrizione di Enterprise Architecture, può portare a una straordinaria ottimizzazione del processo di cambiamento attraverso l’analisi a priori del cambiamento nel suo complesso. Con l’attenzione che si deve porre al fatto che queste integrazioni devono anche portare a un cambio di paradigma nelle interazioni fra le funzioni aziendali, dove la collaborazione rende necessaria anche la concessione, da parte di ogni funzione aziendale, che alcune attività, fino al momento prerogative proprie, diventino responsabilità di altre funzioni o richiedano una gestione comune (per fare un esempio: quando un processo descritto diventa ‘ufficiale’? Quando l’organizzazione ha terminato il disegno? O quando il risk management ha descritto i rischi a questo sottesi? O, ancora, quando i controlli descritti sono stati validati? C’è qualcuno che ha l’ultima parola o si può pensare a una pubblicazione parziale?).
I temi di governance e compliance coinvolgono ormai tutte le organizzazioni. In che modo MEGA può aiutare le organizzazioni a ottimizzare le proprie attività e, soprattutto, a minimizzare i rischi?
Come ho già detto, l’analisi di processo, fino a oggi propria della funzione organizzazione, e spesso confinata al suo interno, è diventata il cardine delle attività di governance e compliance.
Naturalmente questo comporta una revisione del modello descrittivo di processo e richiede un’analisi avanzata di processo su cui possano essere innestati sistemi efficienti per la valutazione e l’assessment del rischio.
Questo modello, a sua volta, permette l’identificazione e la gestione dei sistemi di controllo interno e la gestione integrata delle richieste e delle necessità dell’audit e della compliance.
In sintesi, un modello integrato senza il quale le diverse funzioni sarebbero costrette ad analisi specifiche su cui poggiare le loro necessità, con il facile rischio di una non necessaria ridondanza di informazione e di una pressione aumentata sulle strutture operative che si vedrebbero a rispondere alle stesse domande, ogni volta per una funzione differente.
La gestione della complessità è un tema attuale, che riguarda tutte le organizzazioni. La parola chiave per gestirla è ‘controllo’. Ce ne può parlare?
Il passaggio logico, da una descrizione dei controlli operativi alla definizione e descrizione dei ‘sistemi di controllo’ e a una caratterizzazione dei controlli su diversi livelli per distinguerne significato e responsabilità, è sempre più necessario nei contesti aziendali coinvolti dalle tematiche di Governance e di Compliance.
Nei modelli di gestione dell’organizzazione si sta cercando di passare da una logica di descrizione pura dei processi, al più, legati a un’identificazione delle tipologie di rischio a questi processi riconducibili, a un modello che, appoggiandosi sui processi operativi, vede esplicitamente nei controlli la risposta ai rischi dell’azienda.
È quindi necessario definire una forte categorizzazione e un modello identificativo per questi controlli, sia per distinguere quello che è il controllo operativo dai controlli in atto per esigenze specifiche di Audit e Compliance, sia per permettere un modello di analisi che sia in grado di misurare correttamente i possibili effetti di un controllo, o di una serie di controlli, sui rischi dell’azienda.
Aumenta la complessità e aumentano anche le esigenze di compliance e sicurezza. Quale la risposta di Mega?
Conoscenza dell’azienda e ottimizzazione del modello operativo sono sempre i fattori chiave per affrontare l’aumento di complessità dovuto a esigenze interne o esterne. Conoscenza dell’azienda, perché questo porta a una comprensione delle possibili difficoltà e dei possibili ostacoli che si possono incontrare e permette, quindi, di prevenire piuttosto che di correggere a posteriori.
Ottimizzazione, perché in un contesto aziendale, complesso ma efficiente, non ci sono più spazi per azioni duplicate o fatte tre volte.
MEGA, attraverso i suoi servizi di consulenza e le sue soluzioni applicative, vuole fornire un supporto forte in questa direzione.
Strumenti che permettono la condivisione dei modelli IT, di processo, di rischio e di controllo nella Modeling Suite; accesso in tempo reale all’interno dell’azienda ai modelli definiti e ai dashboard conseguenti tramite il tool di Advisor; la possibilità di effettuare audit e controlli di compliance, assessment di rischio e loss data collection a tutti i livelli con la GRC Suite.
Il tutto in un contesto perfettamente integrato.
Rispetto agli scenari che si prospettano, quali gli errori che dovrebbe evitare chi guida un’organizzazione e quali invece i passi da compiere senza esitazione?
Porre l’organizzazione sempre al centro delle diverse funzioni che hanno bisogno di una analisi di processo per agire al meglio e renderla, per queste funzioni, un facilitatore, una guida per un modello metodologico integrato.
Allo stesso modo, l’Organizzazione deve assolutamente evitare di essere un freno, tenendo sempre presente che deve essere in grado di reagire alle diverse velocità evolutive delle diverse funzioni (quando, spesso, oggi l’Organizzazione è ancora la funzione più ‘statica’, con meno evoluzione nel tempo).
www.mega.com