Imprese e organizzazioni sono chiamate a gestire le loro attività in un contesto di mercato e ambientale che è sempre più caratterizzato da nuovi fattori di rischio e da nuove variabili. Davanti a questa realtà l’innovazione digitale sta assumendo un ruolo sempre più strategico, mettendo a disposizione nuove forme di conoscenza e nuovi strumenti che aumentano la precisione nella individuazione delle minacce, nell’analisi degli impatti e nella valutazione delle conseguenze. Per il Risk Management siamo di fatto davanti a uno scenario che pone questa disciplina nella condizione di incidere direttamente sui risultati delle aziende e sulla qualità dei prodotti e dei servizi.
Il digitale in particolare sta cambiando le logiche e le metodiche del Risk Management. Il fattore chiave, che sta alla base di questa evoluzione, è da individuare nell’approccio data driven, ovvero nella crescente disponibilità di dati e nella possibilità di strumenti per gestire e valutare costantemente nuove informazioni.
Una valutazione del rischio che nasce dalla disponibilità di nuove fonti di dati
L’Internet of Things è ampiamente presente in tanti contesti e tante situazioni e sta “facendo parlare” edifici, infrastrutture, impianti di produzione, stabilimenti. È un dato di fatto che l’IoT oggi è una tecnologia sempre più diffusa nelle città e nelle abitazioni: dall’illuminazione allo smart metering, dall’IoT per la sicurezza ai rilevatori della qualità dell’aria. Gli esempi sono innumerevoli e in molti casi si tratta di installazioni nate per uno scopo che non comprendeva, almeno non in forma nativa, la gestione di tematiche legate alla sicurezza. La disponibilità di soluzioni di big data e data analytics sta permettendo di valorizzare i dati di questi apparati anche per aumentare il livello di conoscenza collegata alla sicurezza di ambienti, di fenomeni e di comportamenti, consegnando una aumentata capacità di intercettare minacce e rischi. IoT e wearable sono, per tornare all’esempio, due fonti di dati che grazie alla data analytics permettono di aumentare la capacità di mettere in relazioni segnali e variabili e di conoscere i fattori di rischio prima ancora che possano diventare vere e proprie minacce, ovvero consentono di gestire in modo innovativo, imprese, infrastrutture, organizzazioni.
Aumentare la conoscenza per rendere più precisa la valutazione dei rischi
Il motore di questa evoluzione è rappresentato in larga parte dagli strumenti dell’innovazione digitale che stanno permettendo al Risk Management di disporre di queste nuove risorse e di aumentare la propria pervasività e la propria precisione. Ed è anche sulla base di queste premesse che il Risk Management sta entrando sempre di più nella “stanza dei bottoni“, ovvero sui tavoli del top management che vedono negli strumenti innovativi di gestione dei rischi una leva fondamentale che impatta direttamente sui risultati di business.
Questo Risk Management si sviluppa grazie al nuovo patrimonio di dati e di analisi che permette alle imprese e alle organizzazioni di indirizzare in modo più preciso le proprie decisioni, aumentando enormemente la conoscenza delle variabili che possono incidere sul successo dei progetti, riducendo dunque le probabilità di errore e permettendo di indirizzare in modo più efficace lo sviluppo dei progetti.
Conoscere i fattori di rischio e mappare le minacce
Gli strumenti digitali permettono innanzitutto di categorizzare i fattori di rischio, di mappare le minacce e di disporre di una visione più ampia e completa delle variabili che influenzano lo sviluppo di qualsiasi progetto. Se si analizzano alcune delle evidenze del report “The Global Risks Report 2019” del World Economic Forum ( QUI il report originale) si può osservare che il “Global Risk Landscape” è purtroppo sempre più popolato da variabili che possono incidere direttamente o indirettamente sulla “vita” e sul lavoro delle organizzazioni. Se da una parte il digitale ha aperto innumerevoli prospettive di sviluppo, grazie a nuove forme di interazione (basti pensare a fenomeni come Smart City, Industria 4.0, Smart Building etc), dall’altra ha anche esposto progetti e infrastrutture a nuove minacce. Nel report si può individuare una relazione in termini di interazione tra i fenomeni che stanno alla base di nuove opportunità di sviluppo e la crescita di nuove minacce o fattori di rischio potenziale. In questa mappa si può osservare che i rischi economici sono sempre più direttamente collegati ai rischi ambientali, ai rischi di evoluzione o involuzione geopolitica, ai rischi che attengono alle organizzazioni e alle relazioni sociali e, non ultimo, anche ai rischi collegati all’innovazione tecnologica. Non esiste la possibilità di “alzare steccati“, la “connessione” digitale permette di superare i confini, ed è, soprattutto e nello stesso tempo, uno straordinario strumento per governare in modo nuovo la conoscenza di queste relazioni e per ridurre i rischi stessi.
I fattori di rischio si misurano, sempre più frequentemente, su scala globale
Un’altra evidenza del report è che la volontà sociale e politica di “gestire il controllo” deve misurarsi concretamente con la consapevolezza che tutti i fenomeni che concorrono a creare fattori di rischio sono globali e come tali hanno bisogno di strumenti e di risorse in grado di gestire fattori di conoscenza sempre più numerosi e complessi. Il punto di approdo è nelle soluzioni digitali, anche perché consentono alle imprese e alle organizzazioni di disegnare una propria mappa di rischi e di gestire un proprio percorso di conoscenza tra i fenomeni che concorrono a determinare le minacce.
Grazie a questi strumenti la gestione del rischio può entrare nei processi decisionali per mettere a disposizione scenari di rischio specifici per le imprese, con una stima delle variabili che popolano ciascun scenario e con la precisa identificazione delle azioni più appropriate per affrontare questi rischi o per gestirne le conseguenze.
Da una valutazione dei rischi basata sul passato a una lettura basata sul futuro
In questo senso la Data Analytics si mette al servizio del Risk Management e permette di creare un approccio più dinamico e più propositivo passando da una gestione del rischio basata su scenari che nascono dall’esperienza a un Risk Management che nasce dall’analisi di dati in real-time.
Il digitale dunque come fattore abilitante di una gestione dei rischi sempre più orientata al business, a sua volta accompagnata da un approccio al business che tiene sempre più in considerazione gli strumenti e le competenze per la gestione delle possibili minacce già nella fase di assessment dei progetti. Il Risk Management inizia cioè ad essere una componente chiave già nella fase del processo di sviluppo di progetti innovativi, con una ulteriore importante evoluzione rispetto al passato, quando entrava in gioco sui progetti in delivery o in produzione. Ed è su queste basi che si apre all’orizzonte uno scenario che vede lo sviluppo di forme di “Native Risk Management” con progetti e iniziative che portano la conoscenza degli scenari di rischio nei quali si collocano prodotti e servizi innovativi già in fase di design, per integrare nei valori del progetto comportamenti e azioni appropriate per affrontare le possibili minacce a cui possono andare incontro.
Verso un Risk Management attivo già in fase progettuale
Ecco che il Risk Assessment assume una doppia valenza e, accanto a quella tradizionale della valutazione dei fattori di rischio di un progetto, cresce anche quella legata alla valutazione dei fattori di rischio che un progetto o un prodotto possono incontrare nella loro “vita” sul mercato o presso i clienti.
E questo passaggio rappresenta l’altro grande driver che sta avvicinando il Risk Management al business anche dal punto di vista culturale, con la necessità di mettere i temi della gestione del rischio in stretta relazione con il Piano Strategico dell’azienda.
Appare determinante, nell’accezione di integrare il Risk Management con il business, la gestione di questo passaggio senza fermarsi, all’osservazione dei “rischi conosciuti” in relazione dello storico aziendale, ma mettersi nella condizione di valutare e gestire i “nuovi rischi”, anche in merito al futuro aziendale. E i nuovi rischi si gestiscono anche grazie alla capacità di analizzare i fenomeni all’esterno dell’azienda, partendo dal presupposto che l’ambiente nel quale operano aziende e organizzazioni è inevitabilmente molto più esteso e complesso rispetto al passato e soggetto a cambiamenti molto più veloci e profondi.
La valutazione del rischio a livello di ecosistema
Il contesto nel quale operano le imprese è appunto un altro fattore chiave. Le aziende sono sempre più spesso parte di filiere, di supply chain estese, di business community e per questa ragione il Risk Management deve prepararsi a scalare a sua volta verso una dimensione di ecosistema. Pensiamo ad esempio al fatto che le grandi corporation stanno da tempo gestendo il rischio di procurement con un fortissimo coinvolgimento dei fornitori a prescindere dalle dimensioni e dalla localizzazione geografica. Se esiste un rischio di fornitura e può impattare sul business, ciascun attore deve saper agire per minimizzarlo o per consentire la attivazione di “Piani B” e per questo una delle tendenze è quella di lavorare su modelli organizzativi e previsionali, ancora una volta fortemente basati sul digitale, per portare “in-house” la conoscenza dei fattori di rischio “esterni” che possono manifestarsi nell’ambito di una filiera.
È questo un ulteriore modo per ridurre i rischi che incidono sul business, con il coinvolgimento coordinato dell’ecosistema nel quale operano, ed è un componente chiave che porta la fase di assessment della gestione del rischio a livello di ecosistema. Un approccio questo che tiene conto delle conseguenze sul risultato di business di variabili e di minacce correlate ad aziende partner che magari operano in modo indiretto, ma che a fronte di un “semplice” incidente possono introdurre un fattore di squilibrio nell’ecosistema produttivo.
In questo senso l’altro aspetto che incide sull’efficacia di questo “Nuovo Risk Management” è legata al coinvolgimento di più aree e risorse aziendali, ovvero non più solo un orientamento alla intelligenza sui rischi da parte di figure espressamente dedicate o dell’area Finance che più tipicamente è coinvolta su questi temi, ma una maturità e un impegno che vede il ruolo di competenze e funzioni aziendali, dalle risorse umane, alla produzione, dalle vendite, all’area legal oltre ovviamente e soprattutto, all’IT. Una prospettiva che conferma sempre di più che il Risk Management è a tutti gli effetti un gioco di squadra.
Con i CRO (Chief Risk Officer) il Risk Management al lavoro con LOB e Top management
E questo gioco di squadra si confronta anche con l’evoluzione di figure aziendali sempre più competenti anche a livello manageriale nella partita di un Risk Management direttamente correlato al business. Lo studio e l’analisi dei rischi e le previsioni per comprendere e gestire gli scenari nei quali si muovono imprese e organizzazioni rappresentano un valore di crescente importanza che incide sulla competitività delle imprese stesse. In questo senso per molte realtà il “rischio” è un fattore chiave e da presidiare a livello di executive ed è sulla base di questa convinzione, che appare sempre più rilevante anche la figura del CRO, acronimo di Chief Risk Officer, vale a dire la figura cui è affidato il compito di gestire il Risk Management sempre più in chiave data driven, svolgendo attività di analisi, di individuazione, di studio dei rischi e delle conseguenze delle possibili “minacce al business”, sia a livello di rischi interni all’azienda, sia per quanto attiene quelli esterni. Proprio grazie agli strumenti del digitale il CRO è una figura che si trova ad agire su più ambiti con competenze sempre più raffinate e precise considerando sostanzialmente quattro grandi aree di riferimento:
- Tecnica e tecnologica, in riferimento anche l’innovazione di ciascuna azienda
- Normativa e legale
- Privacy e gestione dati personali
- Sviluppo delle competenze aziendali in merito al coordinamento di tutti i fattori che concorrono alla conoscenza e alla gestione dei rischi
Si può forse aggiungere che il Chief Risk Officer è direttamente impegnato nel disegno e nello sviluppo della governance aziendale e dei fattori che concorrono alla gestione dei rischi, alla loro prevenzione e alla gestione delle eventuali conseguenze in tutte le varie declinazioni in cui si sviluppano le attività aziendali.
Augeos: la gestione dei rischi fa bene al business di tutte le imprese
Il grande valore delle soluzioni e delle imprese è nella capacità di unire competenze su tutti i domini che possono incidere sui fattori di rischio con il valore dell’esperienza sul campo, anche perché sono tante e diverse le imprese e i settori che possono trarre vantaggio da una corretta strategia e azione di Risk Management. Un esempio in questo senso arriva dalle realtà di diversi settori che hanno scelto di adottare le soluzioni Augeos per la Governance, il Risk Management e la Compliance (GRC), non solo nel rispetto di adempimenti, ma con un chiaro e forte orientamento al risultato e al miglioramento delle performance complessive.
Claudio Ruffini, Presidente di Augeos sottolinea che alla base di questa evoluzione nelle imprese ci stanno diversi fattori, come una maggiore convergenza a livello di normative, sempre meno settoriali, come ad esempio nel caso del GDPR, e una loro maggiore e diretta incidenza sul business. Accanto a questo c’è anche il tema della maggiore dinamicità di una proposta di gestione di questi fattori che viene disegnata proprio per adattarsi e per svilupparsi in funzione del contesto in cui opera ciascuna azienda.
In questo senso Augeos può contare sul valore di una importante esperienza in soluzioni per l’innovazione dei processi aziendali sviluppate sulla base di una metodologia rigorosa che arriva anche da competenze consolidate presso le imprese e da competenze specifiche sui temi del GRC.
In questo senso si colloca la soluzione GRC di Augeos per la gestione dei rischi aziendali che mette a disposizione delle imprese la possibilità di plasmare un piano d’azione in termini di governance dei rischi, di gestione dei rischi operativi, dei rischi informatici e dei rischi di conformità e privacy.
Il valore dei casi concreti e delle competenze sviluppate anche sul campo
Ruffini mette poi in evidenza il valore dei casi e delle esperienze Augeos che permettono di contare su sempre maggiori competenze come nel caso di Directa SIM, una delle società di riferimento nel trading online mondiale che ha scelto la soluzione Augeos per la gestione del registro dei trattamenti e dell’analisi di impatto del rischio previsti dal regolamento europeo in materia di Protezione dei Dati.
Nell’ambito del rischio informatico un altro caso è rappresentato dall’Università degli Studi di Torino, che con la scelta di Augeos è la prima Università nel nostro paese a dotarsi di un modello di gestione dell’IT Risk.
Nel mondo bancario ci sono poi tre nomi che possono rappresentare diverse realtà e diverse strategie. ICCREA Banca ha scelto di affrontare la gestione integrata della Loss Data Collection di Gruppo con la piattaforma di Augeos e ha scelto il modulo di IT Risk per il rischio informatico.
Banca d’Alba, ha deciso di affrontare i rischi operativi grazie ad Augeos con una Loss Data Collection strutturata e con il modulo di Risk Self Assessment e ha poi voluto affrontare i rischi informatici con un registro degli incidenti accentrato e il modulo di Risk Self Assessment. A tutto questo ha poi aggiunto la gestione dei rischi di conformità ex GDPR, con un registro dei trattamenti, il modulo di Data Protection Impact Assessment e la Data Quality.
Infine, la Cassa di Risparmio di Bolzano – Sparkasse ha a sua volta avviato l’integrazione della piattaforma per il GRC di Augeos con il modulo di Loss Data Collection (comprendente eventi operativi, rimborsi da errore operativo e differenze di cassa/bancomat), il Risk Self Assessment e l’analisi.
Il ruolo di Augeos in questi progetti, oltre che nelle competenze sviluppate nel tempo e nella disponibilità di strumenti innovativi, può contare anche su una capacità di gestione completa del non-financial risk e sulla possibilità di realizzare analisi di tipo “Stress Test” gestendo logiche basate sui limiti RAF (Risk Appetite Framework) e di adottare modelli di Capability Maturity Approach nella gestione dei controlli (NIST; ISO) e nella gestione completa dei Key Risk Indicator. (Maggiori informazioni e dettagli su soluzioni e casi al sito QUI)