“Un sistema di controllo interno integrato su una soluzione che consente una strutturata raccolta e valutazione dei rischi rappresenta una reale opportunità per una concreta risposta alle crescenti esigenze di compliance che si devono sposare con le complessità del business. Le funzioni di controllo, a qualsiasi livello, possono contare su un unico ambiente, operare su un unico piano d’azione e mettere a fattor comune le rispettive conoscenze e competenze che, in modo naturale, portano all’ottimizzazione degli interventi e alla crescente copertura dei rischi tramite il consolidamento dei controlli c.d. di primo livello che stanno alla base dell’operatività”  

Compliance Manager

“L’adozione di una soluzione di GRC e di un modulo dedicato coerente con la struttura aziendale, consente al DPO di operare in modo organico sulle specificità che la normativa richiede in una realtà di e-commerce dove la gestione del dato è un elemento chiave” 

DPO


L'esigenza

Disporre di una soluzione integrata in grado di ottimizzare il funzionamento del sistema di controllo interno supportando la definizione di un piano di audit risk based che rispondesse al contempo alle esigenze di compliance ottimizzando la portata degli interventi rispetto a normative chiave come Privacy e 231. 


La Soluzione

Personalizzazione del modulo Privacy e Integrazione con il Modulo IRM 

Grazie alle caratteristiche dell’applicativo KRC® che pone i processi aziendali come chiave per la configurazione dei propri moduli standard, il progetto è stato sviluppato in 2 macro-fasi che hanno progressivamente consentito di traguardare gli obiettivi integrando informazioni, dati ed evidenze prodotte per la compliance al GDPR con i più alti presidi rispetti ai rischi di business. 

La prima parte del progetto ha riguardato:

  • la personalizzazione del flusso privacy standard per l’adeguamento al GDPR attraverso:
    • la configurazione del Contesto con il caricamento delle anagrafiche dei processi aziendali, dei referenti per ruolo, degli asset informatici e delle relative misure di sicurezza (informazioni comuni e trasversali anche per il modulo IRM)
    • il caricamento dei trattamenti 
  • l’analisi attraverso assessment dei singoli trattamenti e la valutazione eseguita sulla base degli standard di riferimento riconosciuti dal Garante 
  • lo svolgimento delle DPIA dove ritenute necessarie
  • la generazione di un Piano d’Azione, utile strumento per la raccolta degli interventi ritenuti necessari per un efficace potenziamento della compliance alla normativa
  • la generazione del Registro dei trattamenti per Titolare e per Responsabile

Parallelamente, attraverso form dedicate, sono state costruite le informative e la procedura Data Breach coerente con le raccomandazioni emanate dal Garante.

L’adozione del Modulo e l’apertura ai diversi responsabili incaricati ha consentito il rispetto dell’accountability, elemento distintivo in un percorso di crescita della cultura aziendale.

La seconda parte del progetto ha riguardato l’estensione delle metodologie di valutazione dei rischi a tutti i rischi di business. In particolare:

  • sono stati caricati il modello dei rischi della società (business risk model) e l’anagrafica del sistema di controllo generale
  • ai rischi sono stati associati i processi e gli obiettivi come definiti nel piano industriale (obiettivi strategici) e dal management (obiettivi operativi)
  • è stata svolta un’attività di risk assessment e di valutazione del rischio inerente e dei presidi di controllo tenuto conto delle misure di sicurezza già mappate nel modulo privacy. 
  • sono state censite tutte le carenze e i punti di miglioramento che hanno alimentato il Piano d’Azione generale con l’indicazione trasversale rispetto alle altre compliance (in particolare 231)
  • il sistema ha prodotto in automatico la valutazione del rischio residuo.

Il modulo consente anche di attivare un valutazione quantitativa dei rischi valutando e simulando gli effetti rispetto alle voci di Conto Economico, di Cash flow o di Danno atteso (simulazione Montecarlo) attraverso l’adozione di logiche di Risk Appetite Framework.


I Benefici

Con l’adozione dei moduli IRM e Privacy, il Cliente dispone di  una soluzione integrata e ingegnerizzata, in linea con le disposizioni normative e con gli standard internazionali riconosciuti capace di:

  • Supportare il percorso di crescita della cultura aziendale del rischio e del controllo
  • Svolgere e aggiornare il risk assessment in modo semplice e strutturato
  • Definire una gap analysis aderente alle esigenze e obiettivi aziendali e disporre di un Piano d’azione che oltre a rispondere alle esigenze di compliance supporti l’intero sistema di controllo interno aziendale
  • Monitorare l’avanzamento delle attività rispetto agli obiettivi di compliance, operativi e strategici
  • Produrre documenti e reporting dinamici coerenti con le analisi e valutazioni fatte
  • Supportare le attività dell’Internal Audit e/o degli altri attori del sistema di controllo interno e canalizzare le richieste in un piano strutturato di miglioramento e di aggiornamento
  • Ottimizzare e ridurre il costo della compliance grazie all'integrazione da e verso il sistema di controllo interno aziendale