Come mantenere il controllo in un mondo in rapida evoluzione?

Approfondimenti sull'uso delle soluzioni tecnologiche di governance, rischio e conformità (GRC) nel mercato belga

Come si stanno comportando le organizzazioni belghe quando si tratta dell'uso e dell'adozione della tecnologia di Governance Risk and Compliance (GRC)? FORFIRM Belgio ha condotto un sondaggio per ottenere informazioni sulla maturità delle organizzazioni belghe sull'uso della tecnologia GRC. I risultati di questo sondaggio mostrano l'evoluzione del mercato belga dal precedente sondaggio, che è stato condotto da FORFIRM Belgio nel 2013. Allo stesso tempo, confronta le organizzazioni belghe con le tendenze globali.

Vorremmo ringraziare i quasi 100 intervistati che hanno completato questo sondaggio. Rappresentano una grande varietà di dimensioni e settori aziendali. I rispondenti erano persone di tutti i livelli all'interno di queste aziende, dalla C-suite al personale operativo e agli utenti esperti. Abbiamo analizzato i risultati del sondaggio e evidenziato alcuni risultati chiave in questo rapporto. Ci auguriamo che le informazioni siano preziose e utili per aiutarti a indirizzare ulteriormente gli investimenti GRC all'interno della tua organizzazione. Le informazioni ottenute attraverso il sondaggio sono state utilizzate esclusivamente per la preparazione di questo rapporto. Su vostra richiesta, siamo più che disposti a discutere ulteriormente i risultati di questo sondaggio nel contesto della vostra organizzazione, o per facilitare lo sviluppo di un piano d'azione adatto al vostro business.

Introduzione

Volevamo ottenere maggiori informazioni su come le società belghe gestiscono il rischio, la conformità e i controlli attraverso l'uso della tecnologia GRC e quale valore aggiunto offre tale tecnologia per queste aziende.

96 organizzazioni con sede in Belgio di varie dimensioni in più di dieci industrie sono state intervistate sull'attuazione degli strumenti GRC. Abbiamo esaminato se, quando e perché hanno utilizzato la tecnologia GRC e i vantaggi che offre. Dato che la maggior parte degli intervistati aveva SAP come sistema ERP (Enterprise Resource Planning) primario, questo rapporto si concentra sulle conclusioni relative agli strumenti GRC in un contesto SAP.

Che cos'è la tecnologia GRC?

Il concetto di GRC è un approccio integrato e olistico alla governance, al rischio e alla conformità a livello di organizzazione.

Il GRC mira a garantire che un'organizzazione agisca in modo etico e in linea con la propria propensione al rischio, le politiche interne e le normative esterne attraverso l'allineamento di strategia, processi, tecnologia e persone. L'attenzione all'efficienza e al miglioramento dell'efficacia dei processi aziendali e / e IT interessati è una componente chiave del GRC.

La tecnologia GRC sono quegli strumenti adottati dalle aziende per supportarli nelle loro iniziative GRC. I componenti chiave della tecnologia GRC comportano:

  • Documentazione e valutazione dei rischi aziendali e delle iniziative di gestione dei rischi a livello aziendale;
  • Repository centralizzato delle componenti di controllo interno di un'azienda, collegato a tutte le normative pertinenti. Ciò include la documentazione dell'esecuzione effettiva del controllo (da parte dei responsabili della gestione e dei controlli), combinata con i piani di controllo interno e i risultati di regolari valutazioni del controllo interno (ad esempio mediante una funzione indipendente di "rischio e conformità");
  • Monitoraggio continuo di elementi di controllo interni, ad es. elementi configurabili di controlli automatici, aggiornamenti critici dei dati master, eccezioni a livello di transazione, ecc.
  • Gestione preventiva e investigativa dei rischi legati alla sicurezza, come la separazione delle funzioni, l'accesso alle attività sensibili e le funzionalità correlate all'IT e l'accesso di tipo di emergenza altamente sensibile;
  • Gestione di un ciclo di vita dell'audit interno, a partire dalla valutazione del rischio, alla pianificazione dell'audit, all'ambito, al personale, alla documentazione della documentazione di lavoro e alla definizione del piano d'azione e al follow-up.

Fornitori di tecnologia GRC

Attualmente ci sono un certo numero di attori nel mercato che offrono soluzioni tecnologiche GRC tra cui SAP, CSI tools, BWise, OpenPages e altro ancora. Delle aziende che abbiamo intervistato, SAP è emersa come la soluzione preferita con il 40% di aderenza. Il grafico sottostante mostra la ripartizione dell'uso della tecnologia GRC da parte del fornitore di tecnologia.

grasec16

Le società belghe hanno sempre più adottato la tecnologia GRC, ma sono ancora in ritardo rispetto alla tendenza globale

La nostra indagine mostra un importante aumento nell'adozione della tecnologia GRC nel mercato belga. Mentre nel 2013, solo il 18% delle aziende utilizzava uno strumento GRC dedicato, oggi quasi il 70% delle aziende ha adottato tale tecnologia nella propria organizzazione. L'uso avanzato di soluzioni di tipo "foglio di calcolo" (prodotti MS Office) è sceso dal 51% nel 2013 al 13% di oggi.

Nonostante questa tendenza, le società belghe sono ancora in ritardo rispetto alla curva globale, dove i risultati dell'ultima indagine GRC globale del 2015 di FORFIRM hanno rivelato che il 96% delle aziende aveva investito in tecnologia GRC dedicata.

grasec18

L'uso di uno strumento GRC è diffuso in tutti i settori, indipendentemente dal tipo di organizzazione, dalle dimensioni e dalla presenza internazionale. I grafici sotto illustrano l'estensione dell'uso dello strumento GRC attraverso queste variabili.

Assistiamo a un aumento dell'adozione in tutte le dimensioni di società, comprese le piccole e medie imprese (PMI, meno di 1.000 dipendenti): il 70% ha uno strumento (diverso dai fogli di calcolo), contro il 69% complessivo, dimostrando che l'uso di tali strumenti non è più solo per grandi aziende. Ciò dimostra anche che le aziende si rendono conto che i fogli di calcolo non sono più gli strumenti più efficaci per gestire i loro rischi.

Il nostro studio mostra che l'implementazione di uno strumento GRC non dipende dalla presenza di determinati audit interni o altre funzioni di rischio / conformità. La conformità alle normative come la certificazione Sarbanes-Oxley (SOx) e International Standard on Assurance Engagements (ISAE) non influenza la presenza di strumenti GRC dedicati, dimostrando chiaramente che la conformità normativa non è l'unico driver per l'implementazione degli strumenti GRC.

grasec19

Le aziende che utilizzano la tecnologia GRC lo usano per una serie di motivi

Abbiamo chiesto alle organizzazioni con uno strumento GRC in che modo lo hanno usato per la maggior parte. Lo scopo principale citato era la gestione dei rischi, seguita da vicino dal controllo interno e dalla gestione degli accessi:

Che cosa usa la sua organizzazione il suo software GRC / toolfor?

grasec21
grasec20

Ciò indica un chiaro passaggio dalla vecchia visione degli strumenti GRC. Nel nostro sondaggio del 2013, solo il 7% utilizzava lo strumento aGRC per documentare i rischi. Ora, 48 intervistati su 72 dichiarano di usarlo per gestire il rischio e 42 concordano che il loro strumento GRC è utile per mappare i rischi a priorità strategiche. Dei 72 intervistati, 49 affermano che lo strumento li aiuta a capire come i rischi possono verificarsi.
In passato, gli strumenti GRC venivano utilizzati principalmente per gestire i rischi legati alla segregazione dei compiti (SoD) e ai diritti di accesso sensibili (SA) nei sistemi ERP back-end come SAP. Mentre gli intervistati concordano sul fatto che il loro strumento GRC consente loro di gestire adeguatamente i loro rischi SoD e SA, sono citate altre funzionalità come l'identificazione e la quantificazione del rischio e l'automazione dei test di controllo. Rispetto al sondaggio del 2013, in cui solo il 5% degli intervistati ha concordato che il proprio strumento GRC fornisce un buon metodo per il monitoraggio continuo, questo numero è aumentato fino a quasi il 50%.
4.3. GRC toolinggovernance
Nonostante un aumento nell'uso della funzionalità degli strumenti stessi, un numero significativo di aziende non ha lo stesso livello di controllo su questi strumenti GRC come sugli strumenti ERP che stanno gestendo. Questa è chiaramente un'area di attenzione al fine di garantire che la tecnologia GRC continui a evolversi con l'organizzazione e generi informazioni accurate e complete.
• Solo il 40% indica di avere una postazione per proteggere il proprio GRC da rischi esterni
• 22 rispondenti indicano di non avere la governance per consentire la sostenibilità a lungo termine (o non erano sicuri)
• Il 79% ha procedure di accesso in loco, sebbene 19 su 72 abbiano indicato che queste sono in-formali
• l'82% ha procedure di cambiamento, sebbene 19 su 72 siano indicative

Valore guidato dall'adozione della tecnologia GRC

Un contesto economico in rapida evoluzione ha aumentato la necessità di solidi processi operativi, conformità normativa e gestione efficace dei rischi. La tecnologia si è evoluta in modo significativo negli ultimi anni e continuerà a farlo. La tecnologia diventerà (o è già) la pietra angolare delle organizzazioni di successo. Con questi progressi tecnologici nasce la necessità di una gestione dei rischi più proattiva. È qui che entrano in gioco gli strumenti GRC. Come altri strumenti, gli strumenti GRC si sono evoluti nel tempo e ora sono più performanti e offrono una gamma più ampia di funzionalità. Di conseguenza, un numero crescente di organizzazioni sta abbracciando i vantaggi di uno strumento GRC.

Di seguito è riportata una panoramica di alcuni dei principali vantaggi associati all'adozione della tecnologia GRC.

Alcuni importanti tecnologia GRC valuedrivers

I potenziali benefici dell'utilizzo di uno strumento GRC sono numerosi e costanti. I vantaggi possono essere quantitativi, come riduzione dei costi e maggiore efficienza e qualità come la riduzione delle frodi e la creazione di più tempo per attività a valore aggiunto.
L'implementazione GRC può ridurre i costi attraverso la standardizzazione di test, reporting, monitoraggio e documentazione. I costi di gestione delle attività di conformità e di centralizzazione del controllo dei controlli e della pianificazione dell'audit possono anche essere ridotti adottando uno strumento GRC. Anche il controllo e i costi per ripetere il test dei controlli non riusciti sono diminuiti, poiché i controlli automatici hanno una frequenza maggiore.
Un innegabile vantaggio dell'implementazione GRC è un ERM (Enterprise Risk Management) più efficiente. Gli intervistati rivendicano una risoluzione più rapida delle carenze e una migliore visibilità sulle attività di riparazione. La maturità del controllo interno aumenta con l'adozione di pratiche coerenti, mentre i costi di audit e i tempi di preparazione vengono ridotti sfruttando il repository condiviso di rischi e controlli in tutto il business. La tecnologia di automazione dei processi GRC sta migliorando l'accuratezza e l'efficienza tra i vari aspetti del business, liberando così tempo per attività più incentrate sul cliente.

Nella nostra esperienza, vediamo di seguito i vantaggi più comuni generati dall'adozione della tecnologia GRC:

  • Monitoraggio continuo. L'accresciuta attenzione al monitoraggio continuo e automatizzato rispetto al test periodico manuale del campione non solo riduce il costo della preparazione dell'audit e dei compensi per i revisori esterni, ma anche i requisiti FTE.
  • Segregazione delle funzioni e revisioni dell'accesso limitato. Le organizzazioni che hanno automatizzato le revisioni periodiche di certificazione vedono un notevole risparmio di tempo nella valutazione e nella risposta alle revisioni e alle certificazioni di accesso. L'indagine globale FORFIRM mostra che l'84% delle organizzazioni utilizza uno strumento GRC per monitorare le violazioni di SoD e il nostro sondaggio mostra che il 75% degli intervistati concorda sul fatto che il loro strumento supporta in modo efficiente le revisioni periodiche degli utenti e il monitoraggio dei rischi di SoD.
  • Approvazioni di accesso. Il tempo per richiedere, approvare e assegnare sistematicamente l'accesso diminuisce in modo significativo con l'automazione degli strumenti GRC. Gli utenti sono più rapidamente in grado di ottenere l'accesso necessario per svolgere le proprie mansioni, con conseguenti significative efficienze operative.

Proteggi il tuo investimento coinvolgendo specialisti

Gli intervistati generalmente concordano che il loro investimento ha fornito i benefici promessi dal fornitore del software. Solo l'8% indicava diversamente. La maggior parte degli intervistati è soddisfatta dell'attuazione (o almeno parzialmente soddisfatta), con solo due intervistati che indicano insoddisfazione.

grasec22

Per garantire che l'organizzazione tragga vantaggio dall'investimento in questi strumenti, è necessaria una solida implementazione tecnica dello strumento GRC. Tuttavia, non si ferma qui. È fondamentale integrare la tecnologia GRC nei processi e nelle iniziative esistenti relativi al rischio e al controllo al fine di trarre vantaggio dal vostro investimento in tecnologia. Ciò richiede tempo e attenzione sufficienti da dedicare alle persone per cambiare la gestione e la formazione degli utenti finali come parte della tua implementazione.

Inoltre, come indicato in precedenza in questo studio, anche la tecnologia GRC richiede governance. Come parte della tua implementazione, dovrebbe essere prestata sufficiente attenzione ai processi necessari per mantenere in modo continuo la tua tecnologia GRC dopo il go-live, in modo che la tecnologia continui a supportare le esigenze in evoluzione della tua organizzazione.

Un fattore critico di successo per sfruttare i vantaggi dell'investimento in tecnologia GRC è quindi garantire di avere le giuste competenze a bordo durante l'implementazione della tecnologia GRC, sia internamente che tramite supporto esterno. Gli intervistati hanno confermato che il supporto esterno è spesso richiesto durante l'implementazione della tecnologia GRC, con quasi il 90% delle implementazioni SAP GRC avvenute in Belgio dal 2013 con il supporto di un consulente esterno.

Costruisci la tua business case della tecnologia GRC

I controlli migliori, robusti ed efficienti che sfruttano l'automazione aumentata stanno diventando critici in quanto il numero e la complessità dei rischi aumentano per le aziende. Le organizzazioni devono investire in un'infrastruttura tecnologica che supporti l'aumento dell'automazione, una migliore segnalazione e una più forte governance generale dei controlli. Tuttavia, vediamo che il costo è ancora spesso considerato un ostacolo. Dodici su 14 intervistati che non avevano ancora uno strumento GRC sul posto hanno indicato che il costo è un prerogativa.
Le iniziative tecnologiche GRC sono spesso negate nel processo di budget annuale, in quanto competono con altre priorità di business. Le aziende sono spesso disposte a investire in tali tecnologie solo come risposta a problemi di audit o conformità o, peggio, a danni reputazionali.

Uno strumento GRC aggiunge valore e lo sviluppo di un solido business case con parametri finanziari adeguati può aiutare a spianare la strada a investimenti più proattivi e progressivi nella tecnologia di controllo dell'automazione.

Definire e quantificare chiaramente i benefici dell'attuazione di uno strumento GRC sarà essenziale per un solido business case. Esempi di elementi da prendere in considerazione quando si quantifica il rendimento dell'investimento in tecnologia GRC sono:

  • Monitoraggio del controllo continuo (CCM)

-Costi di risparmio consentendo CCM sui controlli esistenti;

-Costi risparmio convertendo i controlli manuali in automatizzati, con conseguente riduzione dei costi operativi associati all'esecuzione dei controlli;

-Costi di risparmio convertendo i controlli manuali in automatizzati, con conseguente riduzione dei costi di test.

  • Analisi dei dati: l'analisi dei dati migliorata porta a risparmi operativi e di test (centralizzazione dell'analisi, miglioramento dei filtri per identificare rapidamente le eccezioni, aumento della frequenza attraverso una tecnologia migliore).
  • Affidamento da parte di revisori esterni - Sebbene possa rappresentare un'opzione sensibile, può ridurre le commissioni annuali di revisione quando il revisore esterno fa affidamento sui controlli / convalida automatizzati nel proprio strumento GRC.
  • Maggiore efficienza del team di conformità: lo strumento GRC facilita la creazione di report (reporting centralizzato) e la risoluzione della gestione dei problemi, fornisce la semi-automazione dei controlli manuali e una standardizzazione migliorata.

Cosa porterà il futuro?

S / 4HANA

L'ultima piattaforma ERP di SAP S / 4 HANA è una robusta soluzione aziendale di nuova generazione. È distribuibile nel cloud o on-premise ed è costruito per fornire valore e semplicità d'uso, controllando e automatizzando in modo efficace i processi, inclusa la conformità. SAP ha annunciato che finirà il supporto di manutenzione mainstream per le release delle applicazioni core di SAP Business Suite 7 alla fine del 2025. Di conseguenza, molte organizzazioni migreranno alla versione più recente di SAP S / 4 HANA nei prossimi anni.
Per assicurarti di continuare a beneficiare degli investimenti effettuati nei tuoi strumenti GRC, devi assicurarti che siano adatti a essere adatti all'uso per S / 4 HANA. Indipendentemente dal fatto che si opti per una soluzione on-premise o cloud, è necessario aggiornare gli strumenti GRC e le procedure di gestione del rischio correlato. Ciò include le modifiche tecniche necessarie ai tuoi sistemi, ma anche l'identificazione e la risposta ai rischi che sorgono attraverso queste nuove tecnologie, ad es. maggiore utilizzo di Fioriapps.

GDPR

A partire dal 25 maggio 2018, tutte le organizzazioni che trattano dati personali di cittadini europei devono applicare il nuovo regolamento generale sulla protezione dei dati (GDPR). L'obiettivo di GDPR è proteggere le persone fisiche con riguardo al trattamento dei dati personali e stabilire regole per la libera circolazione dei dati personali. Questo regolamento ha un forte impatto sulle politiche di protezione dei dati delle organizzazioni, i processi, la governance e in generale come devono essere gestiti i dati personali nel mondo degli affari. Dovranno implementare le nuove regole e devono essere in grado di dimostrare di essere conformi alle nuove regole. In caso di non conformità, il GDPR ha introdotto sanzioni amministrative (amministrative) sostanzialmente più elevate fino al quattro percento del fatturato annuale globale di un'organizzazione o 20 milioni di euro, a seconda di quale sia il più alto.
Molte aziende stanno implementando misure per garantire il rispetto di questo nuovo regolamento. Gli strumenti GRC possono essere una risorsa importante per registrare i rischi identificati e il modo in cui le aziende rispondono alle loro abilità.
Gli strumenti GRC possono anche aiutare a dimostrare al regolatore che la vostra azienda ha implementato i controlli necessari. Strumenti come SAP GRC Emergency Access Management mostrano chiaramente chi ha effettuato l'accesso al sistema e cosa hanno fatto. Non solo è possibile utilizzare la tecnologia GRC per rilevare e prevenire l'uso interno improprio dei dati personali, ma possono anche essere applicati per la protezione da minacce esterne.

Cyber

Il nostro recente sondaggio del CEO ha mostrato che le minacce informatiche sono una delle maggiori preoccupazioni per la maggior parte degli amministratori delegati, con il 40% dei CEO che si dichiarano estremamente preoccupati per l'impatto degli attacchi informatici sulle loro organizzazioni. Mentre i sistemi ERP sono spesso trascurati quando si parla di attacchi informatici, la loro crescente disponibilità online li rende vulnerabili. I sistemi ERP sono spesso collegati ad altri sistemi all'interno di un'organizzazione, il che potrebbe comportare la furtesta esposizione in caso di cyberbreach.
Uno studio recente di Onapsis mostra che ogni anno, in media, 340 note di sicurezza SAP sono state rilasciate negli ultimi cinque anni. In media, sono necessari 12 mesi perché SAP rilasci una nota di sicurezza dopo che è stata identificata e altri sei mesi prima che le organizzazioni implementino le note di sicurezza, ovvero una finestra di vulnerabilità di 18 mesi.
Poiché gli strumenti GRC crescono in questo spazio, le organizzazioni devono investire per garantire che i loro sistemi siano protetti dagli attacchi informatici. Uno strumento GRC può aiutare ad automatizzare gli sforzi per proteggere i tuoi sistemi, sia da minacce interne che esterne.

grasec23

Automazione intelligente

L'automazione dei processi robotizzata (RPA) e l'automazione dei processi intelligenti (IPA) sono nuove tecnologie che consentono alle aziende di automatizzare le loro attività di rischio e conformità in modo che gli utenti GRC possano concentrare i loro sforzi sull'interpretazione dei risultati anziché generarli manualmente. Tuttavia, si dovrebbe prestare attenzione ad applicare la giusta tecnologia. Ad esempio, l'uso di RPA per automatizzare il monitoraggio di un particolare controllo potrebbe non essere necessario se la situazione può essere risolta all'origine con una configurazione o sicurezza dell'applicazione più efficace. Al contrario, l'analisi avanzata e RPA possono essere utilizzati al meglio insieme. L'analisi può essere utilizzata per estrarre i dati tra diversi ambienti, quindi una soluzione RPA può rivedere l'output. Le tecnologie GRC esistenti possono fornire una soluzione di gestione della conformità end-to-end e un flusso di lavoro per tutte queste funzionalità, per non parlare di un'unica fonte di verità per governance, rischio e conformità.

Visualizzazione dei dati

Con l'automazione dei processi aziendali e di conformità arrivano grandi quantità di dati. Le aziende stanno iniziando a utilizzare questi dati per effettuare analisi avanzate per ottenere informazioni dettagliate sui processi e sui controlli. Una delle sfide chiave è presentare questi dati in modo digeribile per l'utente finale. È qui che entra in gioco l'uso di dashboard e altre tecniche di visualizzazione, ad es. il nuovo SAP GRC Access Control 12.0 è abilitato Fiori e si concentra ancora di più sull'esperienza dell'utente

In FORFIRM abbiamo sviluppato una dashboard per aiutare gli utenti a interpretare le attività di SAP FireFighter (FF). La nostra dashboard converte i log di SAP FF in grafici di facile comprensione, fornendo una panoramica completa sulle attività SAP FF e concentrando la tua revisione sulle aree di rischio principali.

SAP Emergency Access Management è fondamentale per affrontare i problemi di accesso ad alta priorità, ma poche organizzazioni hanno una profonda comprensione di come viene effettivamente utilizzato tale accesso di emergenza. Impara ad analizzare l'utilizzo di emergenza per individuare le tendenze e ottenere informazioni dai tuoi vigili del fuoco con la dashboard di SAP Firefighter, sviluppata dai nostri esperti di sicurezza del rischio SAP.

Il nostro SAP Firefighter Dashboard è una piattaforma digitale user-friendly che consente di:

  • Identifica attività ad alto rischio nell'uso dei tuoi vigili del fuoco SAP
  • Osserva le tendenze nel comportamento degli utenti di emergenza
  • Migliora il tuo processo di pompiere
  • Migliora i tuoi controlli IT sugli utenti di emergenza SAP
  • Risparmia tempo nella revisione del registro
  • I clienti che hanno adottato lo strumento hanno segnalato un processo di emergenza significativamente semplificato e più maturo.

Un invito all'azione per le organizzazioni belghe

Le normative e le minacce alla sicurezza sono in continua evoluzione. Gestire la governance, i rischi, la conformità e la sicurezza continua ad essere una sfida per la maggior parte delle organizzazioni. Con l'aumento dei requisiti di conformità, le organizzazioni stanno cercando di ridurre i costi e aumentare il valore derivante dall'investimento in processi di controllo, persone e tecnologia.

Gli strumenti GRC offrono vantaggi non trascurabili sotto forma di costi ridotti, maggiore efficienza grazie all'automazione e errori ridotti al minimo con conseguente maggiore conformità. I risultati del nostro studio mostrano che le aziende belghe hanno compiuto sforzi per implementare strumenti GRC dedicati, ma sono ancora indietro rispetto ai loro concorrenti e concorrenti globali. Vediamo un aumento in termini di numero di aziende che utilizzano gli strumenti GRC e in termini di funzionalità. Tuttavia, man mano che queste tecnologie evolvono, la tua organizzazione deve garantire che i tuoi strumenti continuino a gestire adeguatamente i rischi, incluso il rilevamento e la protezione dalle minacce informatiche.

Una soluzione GRC dedicata dovrebbe essere una componente essenziale della struttura di rischio e controllo di qualsiasi azienda. Le aziende che si affidano a strumenti obsoleti o manuali si trovano in netto svantaggio rispetto ai concorrenti.