Le grandi imprese attive a livello in­ter­na­zio­na­le sono strut­tu­ra­te in modo complesso e agiscono (se quotate) non solo nel proprio interesse economico, ma anche nell’interesse dei propri azionisti. Ciò richiede una gestione re­spon­sa­bi­le e una coo­pe­ra­zio­ne armoniosa tra grandi di­par­ti­men­ti e varie sedi in patria e all’estero. Il GRC (Go­ver­nan­ce, Risk e Com­plian­ce) ha il compito di mo­ni­to­ra­re tutti questi aspetti e di garantire una gestione aziendale re­spon­sa­bi­le.

Il modello GRC aiuta a mantenere una visione d’insieme dei complessi processi aziendali e a gestirli con coscienza, in modo che l’impresa possa avere successo economico e operare nel rispetto di tutte le normative e dei re­go­la­men­ti.

GRC - De­fi­ni­zio­ne e spie­ga­zio­ne

La corporate go­ver­nan­ce, la gestione del rischio e la com­plian­ce sono tre aspetti della gestione aziendale che spesso guardano alle stesse aree e agli stessi processi da pro­spet­ti­ve diverse, ren­den­do­li quindi dif­fi­cil­men­te di­stin­gui­bi­li tra loro per alcuni aspetti. Il termine “Go­ver­nan­ce, Risk e Com­plian­ce”, o la sua ab­bre­via­zio­ne “GRC”, viene uti­liz­za­to anche in italiano per tutte le misure che ga­ran­ti­sco­no uno svol­gi­men­to corretto, orientato agli obiettivi e le­gal­men­te conforme di tutte le attività im­pren­di­to­ria­li (interne ed esterne).

De­fi­ni­zio­ne

Go­ver­nan­ce, Risk e Com­plian­ce: GRC è il termine generico per tutti i processi e le misure che aiutano un’azienda a rag­giun­ge­re i suoi obiettivi (corporate go­ver­nan­ce), a iden­ti­fi­ca­re e con­tra­sta­re i possibili rischi (gestione del rischio) e ad attuare e ri­spet­ta­re tutte le normative e i re­go­la­men­ti ap­pli­ca­bi­li nella sua attività quo­ti­dia­na (com­plian­ce).

Le misure di Go­ver­nan­ce, Risk e Com­plian­ce non sono solo nell’interesse del ma­na­ge­ment aziendale, ma sono anche richiesti dalla legge. I singoli elementi del GRC sono re­go­la­men­ta­ti da diverse normative, come ad esempio il D.Lgs. 196/03 e il D.Lgs. 231/01, e standard in­ter­na­zio­na­li, come ISO 27001:2005 e BS 25999:2006.

Per com­pren­de­re con maggiore pre­ci­sio­ne quali sono gli obiettivi del GRC e con quali metodi agisce, è utile esaminare in­di­vi­dual­men­te le tre sottoaree.

Corporate go­ver­nan­ce

L’ambito della corporate go­ver­nan­ce fa ri­fe­ri­men­to a una gestione aziendale re­spon­sa­bi­le a beneficio dell’impresa e dei vari gruppi di interesse esterni (ad esempio gli azionisti). Par­ti­co­la­re enfasi è posta sul rispetto delle normative interne ob­bli­ga­to­rie e sull’ap­pli­ca­zio­ne della le­gi­sla­zio­ne nazionale e in­ter­na­zio­na­le.

Con i suoi requisiti di tra­spa­ren­za, ef­fi­cien­za e fiducia, la corporate go­ver­nan­ce co­sti­tui­sce quindi il quadro di ri­fe­ri­men­to per tutte le decisioni ge­stio­na­li, in­di­pen­den­te­men­te dal fatto che si ri­fe­ri­sca­no a processi interni o esterni.

Gestione del rischio

La gestione del rischio ha lo scopo di iden­ti­fi­ca­re pre­co­ce­men­te i rischi che po­treb­be­ro com­pro­met­te­re il rag­giun­gi­men­to degli obiettivi aziendali e di eli­mi­nar­li o almeno limitarli adottando le con­tro­mi­su­re ap­pro­pria­te.

Questi possono essere rischi interni che sorgono, ad esempio, a causa di lacune di co­mu­ni­ca­zio­ne, mancanza di com­pe­ten­za dei di­pen­den­ti o rivalità tra reparti o sedi. La gestione del rischio si occupa anche dei possibili rischi esterni che possono essere causati dai cam­bia­men­ti del mercato (calo della domanda, aumento della con­cor­ren­za, crisi eco­no­mi­che).

L’obiettivo è quello di garantire la so­prav­vi­ven­za e il successo economico dell’azienda a lungo termine.

Com­plian­ce

Anche l’area della com­plian­ce si occupa di normative e re­go­la­men­ti che regolano il flusso di tutti i processi aziendali. Per questo motivo è difficile di­stin­guer­la dalla corporate go­ver­nan­ce e i due termini vengono spesso usati come sinonimi.

A dif­fe­ren­za della go­ver­nan­ce, la com­plian­ce non riguarda solo il rapporto tra aziende e parti in­te­res­sa­te o tra ma­na­ge­ment e di­pen­den­ti, ma l’intero sistema etico e morale dei valori su cui l’azienda fonda la propria attività.

Anche se il rispetto dei requisiti di legge e la pre­ven­zio­ne di pro­ce­di­men­ti penali co­sti­tui­sco­no gli obiettivi prin­ci­pa­li, gioca un ruolo sempre più im­por­tan­te anche la re­spon­sa­bi­li­tà sociale d’impresa. Questo concetto mira a garantire che le imprese si assumono la re­spon­sa­bi­li­tà nei confronti della società e dell’ambiente al di là dei requisiti minimi di legge.

Strumenti di controllo del GRC

All’interno di un’impresa, tutti i di­par­ti­men­ti e i livelli di­ri­gen­zia­li sono tenuti ad agire secondo i principi di Go­ver­nan­ce, Risk e Com­plian­ce. Al di sopra di una certa di­men­sio­ne aziendale c’è tuttavia il rischio che i di­par­ti­men­ti per­se­gua­no i propri interessi o che le in­com­pren­sio­ni nella co­mu­ni­ca­zio­ne causino degli errori. Per mo­ni­to­ra­re e cor­reg­ge­re even­tual­men­te questi aspetti, esiste l’audit interno, che verifica l’andamento ottimale e conforme alle regole di tutti i processi aziendali, comprese le stesse misure del GRC. I di­pen­den­ti in­ca­ri­ca­ti dell’audit interno sono ideal­men­te diretti sot­to­po­sti del ma­na­ge­ment, in modo che possano svolgere il compito in modo neutrale e in­di­pen­den­te dai processi.

Vi preghiamo di osservare la nota legale relativa a questo articolo.

Vai al menu prin­ci­pa­le