IT Policy Compliance Group ha annunciato l’edizione 2008 della ricerca annuale dal titolo "IT Governance, Risk and Compliance - Improving business results and mitigating financial risk" che illustra come sia possibile ottimizzare i risultati di business e limitare il rischio finanziario ricorrendo alle pratiche GRC in ambito IT. L'approccio IT Governance, Risk and Compliance (IT GRC) riguarda, infatti, la capacità di raggiungere un equilibrio ideale fra rischi e benefici di business. È emerso come il livello di maturità e di capacità delle procedure IT GRC influenzi in maniera diretta l'andamento economico delle aziende.
Dallo studio realizzato da IT Policy Compliance Group è risultato, inoltre, come il modo ottimale per aumentare i risultati di business e ridurre il rischio finanziario, le perdite e le spese, sia quello di incrementare o ottimizzare le competenze, le metodologie e le capacità atte a gestire l'uso e la fruizione delle risorse IT. Il report, che riporta il feedback di oltre 2.600 imprese globali, misura l'impatto che i miglioramenti in termini di protezione dati, conformità normativa e resilienza del livello di servizio IT producono sui risultati di business, fra cui: soddisfazione e fidelizzazione della clientela, fatturato, spese e profitti.
I dati emersi dal sondaggio indicano chiaramente che le aziende con risultati IT GRC migliori riescono a raggiungere performance migliori rispetto alle altre imprese in termini di soddisfazione e fidelizzazione della clientela, aumento di fatturato e profitti. Come confermato dai risultati, le principali funzioni organizzative che fanno davvero la differenza nel miglioramento del livello di maturità dell'IT GRC includono senior management, manager e direttori in ambito IT, ufficio legale e comitato incaricato delle verifiche.
Risultati di business ottenuti dalle aziende con le procedure più mature:
• 17% in più di fatturato • 14% in più di utili • 18% in più di livello di soddisfazione della clientela • 17% in più di livello di fidelizzazione della clientela • 96% in meno di perdite finanziarie derivanti dallo smarrimento o dal furto di dati della clientela • 50 volte in meno di probabilità di perdita o furto delle informazioni dei clienti • 50% in meno di spese annue dedicate alla conformità normativa
Principali suggerimenti
• Uso di Balanced Scorecard per migliorare il valore ricavato dall'IT • Formare il comitato di governance con esponenti senior delle aree business, finanza, legale, IT, normative e comitato di verifica • Gestire i miglioramenti in termini di risultati di business con un programma di qualità continuativo e misurabile che abbracci tutto l'IT • Prediligere misurazioni e reporting mensili per promuovere i miglioramenti • Aumentare e automatizzare i controlli tecnologici per mitigare ed evitare il rischio finanziario, i danni di immagine e le problematiche di business • Ottimizzare le competenze e automatizzare le attività nell'ambito della gestione del rischio, della verifica e della garanzia IT • Segmentare e limitare l'accesso ai dati sensibili, laddove possibile, per ridurre l'esposizione e i costi • Gestire il change management e la prevenzione di cambiamenti non autorizzati per evitare rischi finanziari maggiori e inefficienze economiche • Misurare ininterrottamente l'efficacia dei controlli per garantire il mantenimento di un giusto equilibrio fra rischi e benefici.
Unitamente al presente report, IT Policy Compliance Group ha utilizzato i dati dei più importanti benchmark raccolti nel corso degli ultimi due anni per creare un GRC Capability Maturity Model: si tratta di uno strumento che le aziende possono utilizzare per valutare i livelli di maturità e le pratiche, le competenze e le capacità specifiche di ogni singolo livello di maturità.
Citazioni
• "Le pratiche IT GRC includono la gestione dell'IT, incluse le attività top-line e bottom-line correlate", ha commentato Jim Hurley, Managing Director di IT Policy Compliance Group e Principal Research Manager di Symantec. "L'ultima ricerca di IT Policy Compliance Group, focalizzata sui risultati di business, offre una base di riferimento concreta per valutare il livello di maturità delle procedure correnti, i risultati di business inerenti le procedure esistenti e la capacità di identificare in maniera affidabile le procedure e le capacità in grado di erogare il massimo valore possibile".
• "Fondamentalmente l'IT GRC si pone due obiettivi: conferire valore al business e mitigare i rischi di business associati all'IT", ha evidenziato Everett Johnson, CPA, Presidente uscente di ISACA e di IT Governance Institute. "Le imprese di successo raggiungono questi obiettivi attraverso l'allineamento delle strategie di business e di quelle IT, oltre che integrando il valore della responsabilità per un IT efficace all'interno dell'organizzazione, a iniziare dai vertici".
“Questi risultati rafforzano la convinzione che la sicurezza e la tutela delle informazioni costituiscono aspetti di business critici, la cui gestione ottimale è possibile solo se vengono implementati e ben gestiti i programmi di IT compliance”, ha spiegato Rocco Grillo, Managing Director della IT Security Practice di Protiviti. “Quanto emerso dallo studio supporta in maniera empirica la nostra visione del mercato, quella secondo la quale proteggere i dati sensibili sta diventando una delle maggiori priorità nel segmento dell'IT compliance. Senza dubbio questa consapevolezza deriva da costosi episodi di falle nella sicurezza e successivi adeguamenti dei sistemi, oltre alla normativa PCI e altri requisiti di conformità”.
“Questo studio è perfettamente in linea con quanto la IIA ha compreso essere una realtà: le aziende mature stanno adottando nelle loro attività di verifica un approccio top-down basato sul rischio che consente loro di essere più efficienti ed efficaci in termini di pratiche di gestione del rischio e della conformità”, ha sottolineato Heriot Prentice, Direttore IIA Standards and Guidance, MIIA, FIIA, QiCA. “Le imprese cosiddette ‘best in class’ si impegnano al massimo per agire efficacemente da subito; investire adeguatamente sui controlli interni efficaci è poi senz'altro un'altra pratica che aiuta a proteggere i dati, ridurre il rischio finanziario e aumentare la redditività”.
Link pertinenti
Per avere maggiori informazioni sull'IT GRC è possibile visitare i seguenti link: • IT Policy Compliance Group Research Center • IT GRC Maturity Model Assessment Tool • ITPCG Blog • Wikipedia: GRC
La Ricerca Gli argomenti oggetto di studio da parte dell’IT Policy Compliance Group rientrano in un calendario di tematiche di ricerca proposte dai membri sponsor, membri del consultivo, e dai soci generali oltre che a seguito dei risultati ottenuti dai report recenti. I benchmark più aggiornati inclusi nello studio, sono stati condotti tra i mesi di dicembre 2007 e marzo 2008 con 558 organizzazioni qualificate. I risultati più rilevanti, relativi alle domande provenienti dai benchmark di 2,608 aziende, preventivamente condotti tra i mesi di giugno 2007 e marzo 2008, sono stati inclusi nello studio, ma solo quando il margine di errore non si discostava in modo significativo dalla ricerca. La maggioranza delle organizzazioni (90%) che ha partecipato ai benchmark ha sede negli Stati Uniti, il restante 10%è suddiviso tra gli altri Paesi: Africa, Asia Pacifica, Europa, Medio Oriente e Sud America.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!