Augeos Point of View

Rischi terze parti, ecco cosa cambia per le banche

Con l’entrata in vigore delle linee guida dell’EBA relative alle esternalizzazioni, gli istituti di credito dovranno sviluppare strumenti e competenze che agevolino la condivisione di informazioni accurate in uno scenario, quello dominato da cloud e Open banking, in continua evoluzione

Pubblicato il 17 Giu 2021

Cloud-provider

Come è destinato a cambiare il risk management che ruota intorno al tema delle esternalizzazioni? Le situazioni potenzialmente rischiose che le aziende, e in particolare le banche, devono considerare nel momento in cui si affidano a terze parti per la gestione di funzioni specialistiche (anche core business) aumentano infatti a ritmi vertiginosi. Da una parte si moltiplicano le partnership abilitate dalla rivoluzione digitale e dall’introduzione della PSD2, dall’altra cresce il numero di servizi affidati in outsourcing: alla ricerca della massima efficienza e di un sempre migliore equilibrio tra performance, resilienza e flessibilità, le organizzazioni che lavorano nel mondo del Finance stanno puntando sul cloud in modo massiccio. Di certo non manca la consapevolezza delle misure che bisogna prendere per dormire sonni tranquilli in questa nuova dimensione, e sono allo studio molti progetti per evitare che una grande opportunità si trasformi in una altrettanto grande minaccia. Ma, come spesso accade, a dare impulso alle nuove iniziative è la prossima entrata in vigore del quadro normativo entro cui dovranno muoversi gli istituti di credito.

L’entrata in vigore delle linee guida EBA sulle esternalizzazioni

La scadenza è fissata per il 31 dicembre 2021, data entro la quale le banche dovranno adeguarsi alle linee guida indicate dall’EBA (European Bank Authority) e recepite dalla Banca d’Italia. Una serie di prescrizioni che punta a fornire un filo conduttore coerente in materia per uniformare la disciplina a livello comunitario. Le linee guida, in realtà, non rappresentano una novità dirompente: il tema delle esternalizzazioni è già stato affrontato nella circolare 285 del 2013, ed è addirittura presente nel Tub, il Testo unico bancario, che risale a quasi trent’anni fa. Quindi, parliamo di un fenomeno ben conosciuto e sottoposto alla normativa di settore. Ma in un mondo in continuo cambiamento, in cui l’outsourcing è destinato a essere sempre più preponderante, è lecito pensare che le funzioni aziendali demandate a soggetti esterni alle banche continueranno ad aumentare, coinvolgendo anche processi critici. Sarà dunque essenziale essere in grado di ricostruire tutti i passaggi che portano i dati (degli istituti, dei loro partner e dei loro clienti) e le attività fuori dai perimetri aziendali, in ottica sia di operational risk management, sia di compliance, sia di audit interno.

Il cloud e la gestione del rischio delle terze parti

Rispetto all’adozione delle soluzioni cloud, EBA e Banca d’Italia hanno tanto per cominciare dato l’indicazione di dettagliare con puntualità le caratteristiche che contraddistinguono gli accordi di esternalizzazione con i provider. Le linee guida ben evidenziano le informazioni relative al fornitore che ogni istituto bancario deve puntualmente raccogliere nel momento in cui decide di esternalizzare parte dell’IT governance o del parco applicativo. Ciò non solo è essenziale per semplificare l’analisi del rischio delle terze parti, ma agevola anche l’assessment rispetto ad altre categorie di rischi, a partire dal vastissimo, magmatico ambito del GDPR (General Data Protection Regulation). Conoscere per esempio l’esatta localizzazione delle strutture all’interno delle quali vengono conservati i dati è uno dei requisiti che soddisfano entrambi gli impianti normativi.

Il cloud, infine, è – come molte organizzazioni hanno già potuto toccare con mano – una rivoluzione che se ben cavalcata genera molteplici benefici. Ma non bisogna dimenticare che bisogna imparare a gestire anche gli inevitabili effetti collaterali di una trasformazione tanto radicale dei modelli operativi. Per indirizzare le possibili criticità in tal senso, si devono ideare, laddove non siano già presenti, o reingegnerizzare processi aziendali con specifiche attribuzioni di responsabilità per ciascuna delle figure coinvolte.

Il registro degli accordi di esternalizzazione: una sfida da non sottovalutare

Il nuovo impianto prevede poi la compilazione e l’aggiornamento del registro degli accordi di esternalizzazione. Un elemento basilare per effettuare le valutazioni di rischio, che presuppone la capacità dell’istituto di raccogliere e archiviare in modo continuativo le informazioni legate a ciascuna partnership. Le linee guida hanno di fatto trasformato in formalismo quella che fino a ora era stata una best practice adottata da poche banche. E in effetti, per quanto ai non addetti ai lavori possa sembrare una banalità, la corretta redazione del registro degli accordi è uno degli aspetti che preoccupa di più le aziende del settore. Questo dipende dal fatto che purtroppo, più spesso di quanto si possa immaginare, i record in possesso dei diretti interessati non sono aggiornati, puntuali e granulari, e non è semplice impostare da zero un metodo di lavoro efficace sulla data governance.

L’Open banking: come affrontare scenari di rischio del tutto nuovi

Entrando nel merito delle esternalizzazioni su cui le banche possono fare leva per mettere a frutto il quadro regolatorio della PSD2, e in particolare le opportunità offerte dal cosiddetto Open banking, si aprono scenari ancora più complessi. Nell’analisi dei rischi delle terze parti è necessario inserire il monitoraggio dello svolgimento di attività in outsourcing che implicano funzioni fondamentali per l’operatività dell’istituto. In alcuni casi, sarà addirittura il core business a reggersi su processi gestiti da fornitori che mettono a disposizione delle banche servizi e competenze peculiari. Basti pensare agli strumenti di mobile payment, ai digital wallet o alle piattaforme di micro-credito. Gli operatori che fanno largo uso di soluzioni Fintech, in particolare, avranno un impatto rilevante rispetto alla valutazione del rischio connesso a questo genere di attività: incidenti informatici, data breach e altri eventi in grado di ridurre l’operatività del fornitore possono avere conseguenze estremamente gravi per la banca.

La nuova dimensione della governance dei rischi

Si entra quindi in una nuova dimensione, in cui l’ownership dei processi coinvolge più attori che, pur essendo attivi su diversi piani e in differenti strutture, diventano co-titolari e co-responsabili all’interno di un’unica filiera senza soluzione di continuità. Ancor più che in altri segmenti, nel settore finanziario servono metodologie e approcci in grado di favorire la collaborazione attiva tra soggetti che, ciascuno operando nel proprio perimetro, devono poter contribuire all’individuazione e alla condivisione delle informazioni necessarie a compiere una valutazione a 360 gradi dei rischi. Le parole d’ordine sono convergenza, poliedricità, sensibilità. Nel momento in cui esistono già sistemi di raccolta e analisi dei dati a cavallo delle varie divisioni (dall’ufficio acquisti all’IT, passando per le HR) della banca, questi devono essere raccordati tra di loro. L’obiettivo è generare una visione olistica della situazione, in base alla quale si formuleranno i criteri per impostare la governance dei rischi rispetto a processi e asset affidati alle terze parti.

Bisogna infine sottolineare che per soddisfare i requisiti contenuti nelle linee guida dell’EBA, le organizzazioni bancarie dovranno maturare la giusta flessibilità per svolgere in modo continuo sessioni di valutazione accurate. Si tratta di un cambio di passo necessario, perché come abbiamo tutti sperimentato con la crisi pandemica, in un mondo interconnesso come quello di oggi l’ordinaria amministrazione può essere stravolta da un giorno all’altro. A ben vedere, in realtà, bisogna solo rafforzare un principio che dovrebbe valere sempre: maggiore è la frequenza con cui si fotografano i livelli di rischio, migliore è la qualità delle informazioni che possono aiutare a prevenirli.
Clicca qui per scaricare il case study: "Operational Risk Management"

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Domenico Aliperto

Articoli correlati

Articolo 1 di 4