La disponibilità di informazioni fruibili, integrate nei workload quotidiani, migliora la resilienza delle aziende perché consente di prendere le migliori decisioni possibili e di ridurre e gestire i rischi, in tempo reale. Per riuscirci è necessario però disporre di un ambiente dati unificato, di strumenti flessibili, ma puntuali, e della visibilità completa su tutti i processi, per affrontare le criticità. Un ambito in cui l’adozione di soluzioni e piattaforme evolute come quella proposta da ServiceNow per governance, compliance e gestione del rischio (GRC) fanno la differenza. Ne parliamo con Rusudan Losaberidze, Risk Solution Sales Manager, Mediterranean per ServiceNow.
Quali sono i punti di forza della proposizione tecnologica GRC di ServiceNow?
ServiceNow offre una soluzione GRC completa che è basata sulla piattaforma ServiceNow, ne sfrutta le funzionalità avanzate (tra cui CMDB, workflow, discovery, integration hub, artificial intelligence/machine learning o virtual agent) e abilita un’integrazione cross-funzionale con le altre soluzioni di ServiceNow. I vantaggi di disporre di un’unica piattaforma ServiceNow sono molteplici:
- CMDB (Configuration Management Database) contiene la mappatura tra servizi e processi critici di business alle entità come applicazioni, asset tecnologici, facilities, fornitori, risorse umane e ciò permette di avere una visibilità di come specifici rischi o fallimento di specifici controlli a livello di un’entità possano impattare i processi e i servizi critici dell’azienda.
- GRC di ServiceNow offre una visione a 360° di rischi e di compliance grazie ad un cruscotto che integra i dati provenienti dall’intera piattaforma. Ad esempio, un Ciso (Chief Information Security Officer) può avere visibilità di tutte le entità e di dati che compongono un sistema informatico, e anche di tutto il software installato (ServiceNow SAM), eventuali vulnerabilità (ServiceNow SecOps), incidenti di sicurezza (SecOps), incidenti IT o change request (ITSM), etc per avere una visione completa dei rischi.
- ServiceNow offre il motore di workflow più potente sul mercato. La nostra soluzione di GRC utilizza questo stesso workflow per automatizzare i flussi di governance, risk and compliance oltre che il monitoraggio dei rischi e dei controlli per l’intera azienda. Inoltre, GRC sfrutta il machine learning/predictive intelligence della piattaforma per aumentare la velocità di risoluzione delle issue critiche suggerendo gli assegnatari più idonei e le soluzioni più adeguate in base allo storico delle informazioni. Le interfacce user-friendly, mobile e virtual agent permettono agli utenti business, che non sono degli esperti tecnologici, di interagire facilmente con la nostra soluzione GRC per creare una issue, richiedere un’eccezione alle policy, rispondere a un questionario di risk assessment o per altre attività.
- L’approccio low-code/no-code di ServiceNow abilita personalizzazioni semplici della nostra soluzione GRC senza sviluppi complessi e senza conoscenze tecniche avanzate.
- ServiceNow investe costantemente nella soluzione GRC rilasciando continuamente nuove funzionalità come ad esempio nuove interfacce GRC per gli utenti business e la mappa geografica con drill-down per la gestione delle crisi – che sono inclusi nella release Rome della Now Platform.
Queste funzionalità offrono ai nostri clienti un ROI accelerato e total cost of ownnership (TCO) notevolmente ridotto rispetto ai nostri concorrenti.
Cosa significa per il mercato italiano la strategia contenuta nel vostro claim “Powering resilient businesses with risk informed decisions” ?
La piattaforma di ServiceNow elimina i silos perché integra le funzioni di customer service management, human resources, IT, security operations e governance, risk e compliance (GRC) grazie ad un’unica architettura ed un unico modello dei dati. Essa permette a tutti gli utenti della prima, seconda e terza linea di difesa di interagire con la stessa soluzione GRC tramite un’interfaccia semplice (Web o mobile) avendo accesso agli stessi dati in tempo reale e alle stesse metriche (l’accesso è ristretto in base ai ruoli e need to know). La soluzione di GRC ha accesso a tutti i dati della piattaforma, comprese le relazioni tra i servizi critici di business e i vari elementi di supporto specificati sopra: IT, fornitori, dipendenti, facilities, etc.. Questo permette di accelerare l’identificazione e la prioritizzazione dei rischi, delle problematiche di compliance, degli incidenti di sicurezza, e delle vulnerabilità, in base ai loro impatti sul business. I controlli possono essere integrati direttamente negli altri workflow di ServiceNow per avere una visibilità in tempo reale dei rischi e dello stato di compliance.
Ad esempio, uno dei temi di grande interesse durante questo periodo di smart working è l’employee compliance: le aziende hanno bisogno di assicurarsi che i dipendenti svolgano le loro mansioni con elevata produttività ma senza creare conflitti di interesse o senza alimentare l’aumento di incidenti di sicurezza nello scenario di costante aumento di vulnerabilità e di attacchi cyber-security. Un efficace processo di Employee Compliance richiede l’integrazione tra:
- IT – strumenti tecnologici utilizzati dai dipendenti possono impattare in maniera significativa la produttività dei dipendenti e il rendimento dell’azienda
- Risorse umane – portale employee per i servizi self-service, processi di addestramento / training per mantenere o elevare gli skill del personale, efficace gestione di presenze e assenze senza impattare produttività business, conformità con le norme anti-COVID per la salvaguardia dei dipendenti, etc
- Compliance & certificazione periodica dei dipendenti – accettazione delle norme e delle procedure aziendali per garantire la conformità alle normative, certificazioni periodiche per identificare e comunicare eventuali conflitti d’interesse, aprire issue o eventi di rischio, etc
Solo una soluzione integrata come ServiceNow può fornire una gestione e visibilità integrata tra tutti i processi di business e di GRC. Infine, workflow, automazione e orchestrazione della piattaforma abilitano una risposta efficace ed efficiente agli eventi avversi. Ad esempio, GRC di ServiceNow abilita il monitoraggio automatico dei controlli tramite indicatori. Se un controllo fallisce la verifica, ServiceNow crea automaticamente una issue che può essere indirizzata agli interlocutori giusti automaticamente grazie al machine learning. Il risultato è un aumento della produttività e il miglioramento dei tempi di risposta grazie alla minimizzazione dei processi manuali.
Serve integrare i dati per avere una visione complessiva dei processi di una azienda. In che modo ServiceNow GRC è “completo” e quali sono i pilastri della proposta? (governance, gestione del rischio, compliance, vendor risk, business continuity e audit..)
ServiceNow rappresenta una ‘piattaforma delle piattaforme’ che integra dati provenienti da centinaia di sistemi e applicazioni di terze parti. I nostri clienti possono facilmente integrare sistemi aggiuntivi e creare nuovi connettori con un approccio low-code/no-code. Tutte le applicazioni di ServiceNow condividono un’unica architettura ed un unico modello dei dati. Tutto ciò che viene alimentato in ServiceNow o tutti i workflow gestiti in ServiceNow sono visibili in tempo reale anche ad applicazioni di GRC. La soluzione GRC di ServiceNow copre le esigenze di GRC a 360° offrendo le funzionalità di policy & compliance, regulatory change management, gestione dei rischi, gestione degli audit, resilienza operativa, business continuity management & disaster recovery, 3rd party risk management, privacy, etc. La soluzione è modulare per permettere alle aziende di partire con le funzionalità GRC base ed integrare moduli aggiuntivi man mano che la maturità dei processi GRC aumenta.
Per spiegare la completezza della nostra soluzione GRC riportiamo un esempio di 3rd party risk management:
- La maggior parte delle aziende ha un sistema come SAP Ariba per la gestione del ciclo di vita dei fornitori. ServiceNow ha uno spoke (connettore nativo) per integrarsi con SAP Ariba per abilitare uno scambio dati bi-direzionale e per portare in ServiceNow i dati essenziali sui fornitori o viceversa fornire informazioni da ServiceNow a SAP Ariba. In questo modo, ogni nuovo fornitore creato in SAP Ariba può far partire il processo di risk assessment in ServiceNow e le informazioni sui rischi o la valutazione del rischio può essere successivamente inviato a SAP Ariba.
- Per capire quali sono i fornitori critici, le aziende devono effettuare un primo step di assessment per analizzare i rischi dei servizi o processi critici e come i fornitori supportano questi servizi e processi critici, qui un CMDB con la sua mappa delle dipendenze è fondamentale.
- Una volta identificati i fornitori critici, le aziende devono essere in grado di valutare l’esposizione a varie tipologie di rischi a cui sono esposti da parte di questi fornitori. Alcuni esempi di rischi sono quelli relativi a cyber-security, SLA / performance, stabilità finanziaria, crimini, rischi reputazionali etc. ServiceNow si integra con sorgenti di intelligence di terze parti tra cui TruSight, BitSight, SecurityScorecard, Interos per ricevere intelligenza sui fornitori in modo tale da permettere i processi decisionali sui fornitorii in base al rischio.
- ServiceNow abilita le aziende a interagire con i loro fornitori tramite un portale per effettuare risk assessment tramite questionari, richiedere evidenze o certificati, gestire eventuali issue.
- Tutte queste funzionalità e dati sono integrati tra di loro per permettere all’executive management di avere una visibilità facile e in tempo reale della situazione dei rischi e di compliance derivanti dai rapporti con terze parti.
Similmente, l’integrazione con altri sistemi e sorgenti dati è fondamentale per migliorare la visibilità e maturità per tutti i processi GRC, non solo di 3rd party risk management.
Cosa vi chiedono le aziende italiane? Sono mature per approcciare un percorso guidato di analisi dei rischi? Come le raggiungete (partership, go to market)?
La maturità delle aziende sul mercato italiano è molto varia. Tuttavia, la stragrande maggioranza delle aziende ha già dei processi basilari definiti per la gestione dei rischi e di compliance ma usano ancora strumenti manuali come Excel o email per la loro gestione. L’emergenza Covid ha aumentato l’attenzione ai temi di GRC e al tema di resilienza operativa e business continuity e tante aziende stanno intraprendendo una strada verso una maggiore maturità ed automazione di GRC. L’ingaggio di ServiceNow con i clienti sui temi GRC segue due canali: accesso diretto o tramite partner. Sul mercato italiano stiamo lavorando con tutte le principali aziende di consulenza GRC.
Come il Cio deve confrontarsi con il Cfo in un progetto di GRC? Quali i vantaggi operativi?
I benefici e vantaggi economici derivanti dall’adozione della GRC di ServiceNow sono molteplici. Secondo uno studio commissionato da ServiceNow a Forrester (Forrester Total Economic Impact 2021) i clienti di ServiceNow GRC raggiungono mediamente un ROI del 235%. Questo studio è accessibile al seguente link:
Secondo questo studio, i clienti che adottano la soluzione GRC di ServiceNow rispondono ad interruzioni business 40% più velocemente, migliorano efficienza di gestione dei rischi del 75% e conducono risk assessment di terze parti in un terzo del tempo precedentemente impiegato.
ServiceNow mette a disposizione di tutti i nostri clienti un servizio consulenziale di Business Value Assessment (BVA), permettendo alle aziende di stimare i benefici economici di adozione ServiceNow in base al loro contesto di business e alle loro esigenze. BVA può essere utilizzato da un CxO per richiedere budget per i programmi di trasformazione digitale che prevede anche un miglioramento dei processi di gestione di governance, risk & compliance.
E’ quella di ServiceNow GRC una proposizione adeguata/adattabile a tutti i vertical di mercato?
Sì, la soluzione GRC di ServiceNow è adatta a tutti i vertical del mercato. Tra i nostri clienti in Italia possiamo annoverare diverse aziende di Energy, Finance/Banche, Manufacturing, Retail, Defense, etc. Questi clienti utilizzano la soluzione GRC di ServiceNow per implementare diversi casi d’uso tra cui IT & Cyber Risk Management, Enterprise Risk Management, Project Risk Management, privacy / GDPR compliance, business continuity & disaster recovery, etc.
Per saperne di più scarica il whitepaper: Governance, Risk, and Compliance use case guide
Non perdere tutti gli approfondimenti della room Digital Workflow by ServiceNow
© RIPRODUZIONE RISERVATA