L’innovazione digitale sta cambiando profondamente l’approccio al Compliance e Risk Management favorendo un fenomeno che avvicina sempre di più al business le attività e gli investimenti legati agli adempimenti normativi. Grazie alla crescente disponibilità di nuove fonti di dati, come IoT e wearable solo per fare due esempi, di strumenti data analytics e di machine learning, la gestione della Compliance da una parte e del Risk Management dall’altra, assumono un ruolo di crescente importanza e influenzano ormai direttamente le decisioni e le azioni di business. Siamo in una nuova “stagione” che guarda in modo più pragmatico e “business-oriented” all’adempimento normativo e agli strumenti per la gestione dei rischi.
Abbiamo voluto affrontare questa prospettiva con Carlo Körner Consigliere Delegato KEISDATA, azienda specializzata nella progettazione, implementazione e gestione di progetti e sistemi informatici di Knowledge, Risk Management, Compliance e Governance aziendale.
Da una Compliance vissuta come “fastidio” alla Compliance come fonte di idee di business
La Compliance sta assumendo sempre più un ruolo fondamentale, sempre più collegato allo sviluppo del business. Il principio che sta alla base di questo passaggio comporta un importante evoluzione anche culturale: la gestione degli adempimenti normativi e la corretta gestione dei fattori di rischio, in qualsiasi contesto, rappresentano una nuova importante fonte di conoscenza per le imprese. Stiamo parlando di un patrimonio di dati e di analisi che, se ben valorizzato, permette al Top Management di indirizzare in modo più preciso le proprie decisioni riducendo le incertezze e le probabilità di errore o di fallimento dei progetti.
“L’enfasi sulle norme – osserva Körner – deve essere sempre più spesso basata sulla conoscenza: se si valuta bene il rischio lo si riesce a prevenire e a gestire, sino ad arrivare a definire quello che può essere definito come una sorta di “rischio residuo” (Risk Tolerance). La gestione del rischio dovrebbe così entrare a tutti gli effetti nei processi decisionali e per le aziende oggi la sfida è proprio quella di dotarsi di sistemi informatici e di una organizzazione che consentano di misurare le dimensioni e le evoluzioni dei fattori di rischio e di gestire la Compliance in chiave di opportunità”.
La Data Analytics al servizio del Risk Management
Il passaggio dal Risk Management e dalla Compliance tradizionale un po’ “passiva” a questa dimensione dinamica e propositiva ha le sue basi nella disponibilità di dati, di strumenti di data analytics, di attivazione di nuove fonti di conoscenza sul territorio, di provenienza dalle persone come i dati del mondo dei device mobili e tutto il grandissimo fenomeno dell’Internet of Things, come pure i wearable. Dunque, accesso e possibilità di disporre di nuove informazioni in modo sempre più preciso e puntuale da una parte e possibilità computazionali più importanti grazie a soluzioni di intelligenza artificiale e machine learning più accessibili dall’altra per sviluppare una capacità previsionale sempre più precisa e mirata.
“Tutto questo – precisa Körner – favorisce dalla crescita di una sensibilità che orienta la Compliance e il Risk Management al mantenimento e allo sviluppo del business, perché si passa da una gestione del rischio basata su ipotesi costruite sui dati del passato a un Risk Management che presenta scenari futuri e permette di valutare le possibili conseguenze per il business”.
Il punto di partenza? Assessment orientato allo sviluppo
Il punto di partenza per le aziende che scelgono di gestire il rischio in termini di opportunità nasce e parte prima di tutto dalla capacità di dare vita a una fase di assessment completa e già chiaramente orientata allo sviluppo.
“Molto spesso le aziende si affidano a consulenti che gestiscono il rischio solo dopo che si è verificato un evento critico – spiega Körner -. Sono più numerose le aziende che si trovano in questa situazione rispetto a quelle dotate di veri e propri piani di prevenzione, che per essere effettivamente efficaci, richiedono una forte conoscenza delle evoluzioni del business”.
E qui c’è un altro punto chiave del passaggio verso una Compliance di business: “Il consulente che si occupa di adempimenti – prosegue Körner – molte volte non accede alle informazioni contenute nel piano strategico”. E dispone di una conoscenza dei fattori che possono incidere sul business che è limitata ai “rischi conosciuti” e allo storico aziendale. L’azienda soffre le conseguenze di una mancanza di collegamento tra chi si occupa di Compliance e gestione dei rischi e i piani alti dove si definiscono le strategie e dove si “prendono le decisioni di business”. “Un gap – sottolinea Körner – che va colmato, sia per aumentare l’efficacia dell’azione di Risk Management e Compliance. Perché il business ha bisogno di conoscere in dettaglio e con la massima precisione gli scenari che arrivano dal Risk Management”.
Per ottenere questo risultato serve una crescente consapevolezza e una “knowledge” specifica da parte di chi deve occuparsi di fattori di rischio. L’azione non può e non deve più essere limitata ai “vecchi” perimetri del passato, ma deve essere estesa a tutta l’azienda e a tutti i sistemi di relazione dell’azienda, nel caso, come vedremo, anche ai partner dell’azienda stessa.
Il Risk Management è nei dati e nella loro trasformazione in conoscenza
Ma qual è l’incidenza del digitale dal punto di vista dei nuovi fattori di conoscenza e come può permettere di aumentare la capacità di azione sul Risk Management? Il digitale, come è stato osservato, mette a disposizione fonti e strumenti, ma serve anche un nuovo approccio. “I rischi emergenti – analizza Körner – nascono anche e soprattutto da una grande capacità di osservare fenomeni al di fuori dell’azienda. Il contesto di ciascuna azienda è inevitabilmente più ampio, più ricco e più complesso del passato ed è popolato da fenomeni che potrebbero nel tempo influenzare la strategia. Il punto chiave è nella necessità di un monitoraggio continuo, costante. Anche sfruttando mezzi o strumenti, che magari sono già presenti nelle organizzazioni come ad esempio, i Big Data.
Se si guarda alle situazioni di utilizzo di tool di Big Data in azienda, si nota che questi strumenti vengono utilizzati prevalentemente dalle funzioni di marketing. Ma quelle piattaforme e spesso quegli stessi dati possono essere messi in relazione con i fenomeni che sono sotto osservazione da parte del Risk Management e possono delineare scenari fondamentali per il business. Ecco che torniamo al tema culturale del Risk Management, ovvero della necessità di valorizzare il patrimonio di conoscenza sia interna all’organizzazione e sia esterna, che può portare in azienda per superare il concetto di gestione dei rischi come adempimento burocratico.
Il mondo enterprise misura il rischio su tutto l’ecosistema
“Questo approccio sta emergendo presso le grandi corporation, in modo strutturale e certamente molto diffuso – osserva Körner -. La funzione di procurement in molte grandi realtà, per fare un esempio, sta imponendo ai fornitori, anche di piccole dimensioni, standard, certificazioni, modelli organizzativi e previsionali per portare “in-house” la conoscenza dei fattori di rischio anche esterni. Le grandi imprese hanno capito che per ridurre i fattori di rischio che incidono sul loro business, devono conoscere e gestire l’ecosistema nel quale operano. L’assessment dei fornitori è fondamentale ed è strategica la conoscenza precisa dei fattori di rischio di ciascun fornitore. La corretta valutazione delle probabilità che un provider non riesca a consegnare il prodotto nelle forme e nei tempi stabiliti, o la valutazione dei possibili problemi di qualità che possono sorgere, sono elementi di assoluta e primaria importanza nella gestione della produzione e, come appare evidente, incidono direttamente sul business.
Se pensiamo poi a un paese come l’Italia popolato prevalentemente da piccole aziende che operano nella stragrande maggioranza dei casi in contesti di ecosistema, ovvero in ambiti in cui il rischio di un soggetto si ripercuote direttamente su altri soggetti, ecco che la conoscenza del rischio per tutti gli attori è un fattore strategico che non si può fermare alle sole figure di responsabilità nell’ambito della gestione dei rischi.
Compliance e Risk Management devono entrare nei prodotti e nei servizi in fase progettuale
Di fronte ad uno scenario di prevenzione, la struttura imprenditoriale italiana, fatta di tantissime imprese di piccole e piccolissime dimensioni, appare oggi debole sotto questo profilo. Una grande azienda per gestire il proprio rischio deve valutare il rischio di filiera e deve farsi carico di gestire le informazioni legate alle filiere e alle imprese impegnate nel processo produttivo e distributivo. Nel momento in cui una impresa affronta questa sfida in modo tradizionale ha la necessità di sostenere oneri molto importanti in termini di gestione delle fonti e di analisi. Ecco che nasce la necessità di un modello più efficace e più sostenibile.
“I principi che stanno alla base della Compliance aziendale devono essere parte integrante dello sviluppo progettuale dell’azienda. Cambiano anche i tempi – aggiunge Körner –. Si deve pensare alla Compliance subito e non quando il business è già stato definito. È cioè necessario portare ad un livello più alto questi temi in modo che siano parte viva della stessa visione di business, già in fase di progettazione”.
Ma ci sono anche i “rischi” del Risk Management?
Ma quali sono i percorsi e gli ostacoli nella realizzazione di questa prospettiva? Il problema principale di questa logica sta nel fatto che il Risk Manager che porta le sue considerazioni al vertice, sull’opportunità di intervenire su un servizio o su un prodotto in funzione dei fattori di rischio, non viene ancora ascoltato adeguatamente. Nello stesso tempo il vertice aziendale tende a privilegiare un approccio che punta sulle logiche di produttività con un forte committment nel raggiungimento di obiettivi, senza necessariamente considerare la dimensione legata alle variabili di rischio.
Ma ci sono aree di mercato o funzioni aziendali che questa sensibilità la stanno sviluppando più di altri e stanno capendo la portata di questo approccio. Nelle multinazionali questa consapevolezza sta diventando orizzontale: la maturità cresce presso diverse funzioni: nella produzione, nella finanza, nelle risorse umane, nell’IT.
Le aziende italiane, viceversa, sono a macchia di leopardo: con l’inserimento di manager che provengono da multinazionali o da società di consulenza dispongono di questa cultura, ma nei ruoli tradizionali, se mancano le persone con questa sensibilità, non si riesce ad attivare questo tipo di processi. Si rimane a una lettura del rischio circoscritta a una specifica funzione, come può essere il caso degli acquisti IT che nel risk assessment si limitano spesso solo a un assessment tecnologico, importante certamente ma che è solo una parte di quell’ecosistema.
KEISDATA e P4I: ecco come avvicinare Compliance e business
In questo scenario si colloca la collaborazione tra KEISDATA e P4I, che si pone l’obiettivo di permettere alle imprese di facilitare la implementazione e la diffusione di Compliance e Risk Management in forma sempre più intelligente e accessibile.
P4I è impegnata e focalizzata su azioni di advisory, KEISDATA a sua volta punta a abilitare e rafforzare la conoscenza del cliente per renderlo sempre più autonomo e libero tramite una piattaforma digitale.
Tra KEISDATA e P4I è nato un rapporto basato sulla comune visione sul fatto che presso le aziende possa crescere una cultura proprietaria della Compliance e del Risk Management più evoluta e servano dunque nuovi strumenti per sviluppare e sostenere l’autonomia del management aziendale.
Grazie anche a quella che nei mesi scorsi è stata a tutti gli effetti una vera e propria “killer application” nella forma di Privacy e GDPR in particolare, la Compliance è arrivata spesso e in modo srutturale all’attenzione del top management.
C’è poi una “sensibilità” di settore che pesa sugli sviluppi del settore. Per le aziende che vendono prevalentemente tramite web, o che basano su Internet una componente importante del business, la limitazione dei fattori di rischio collegati alla perdita dei dati o all’uso dei dati stessi è evidentemente e direttamente collegata al business. Per queste aziende la Compliance è sinonimo di “fatturato”. E lo è anche per le aziende che operano con loro, che le riforniscono o che collaborano in varie modalità.
Compliance e Risk Management come lavoro di team
Nello stesso tempo anche i temi della cybersecurity e in generale della sicurezza IT hanno contribuito a far crescere un approccio al Risk Management più articolato. La sensibilità generale a temi come la custodia e governance dei dati e all’attenzione al valore del dato sta diventando un connotato di qualità del brand e un valore per l’azienda.
Ma non ci si deve fermare solo ai rischi cyber, occorre alzare il livello di considerazione delle aziende sui nuovi rischi o su rischi che un tempo non appartenevano agli ambiti in cui ciascuna azienda opera tradizionalmente. Ci sono rischi nuovi o ci sono rischi che a loro volta arrivano dalle logiche di ecosistema di un’azienda. I social media ad esempio possono portare rischi di tipo reputazionale che possono incidere in modo anche molto grave sul business delle imprese. Proprio per questo – conclude Körner – Compliance e Risk Management dovranno essere il frutto di un lavoro di team e dovranno vedere la collaborazione tra Legal, IT, HR e business in modo sempre più strutturale”.