In un mondo in cui le filiere diventano veri e propri ecosistemi interdipendenti, le esternalizzazioni devono essere considerate alla stregua di processi interni sotto molti profili, compreso quello della compliance risk governance. Una falla lungo le procedure in seno alle attività affidate a un partner o a un fornitore, infatti, può avere dirette ripercussioni non soltanto sull'organizzazione che esternalizza i task, ma pure sull'intera catena del valore: sia in termini di possibili sanzioni per la mancata conformità, sia sul piano reputazionale, sia infine rispetto a potenziali minacce per l'operatività quotidiana. Non bisogna infatti mai dimenticare che le regole esistono prima di ogni altra cosa con lo scopo di mettere in sicurezza l'ordinaria amministrazione di un'impresa.
Tutto ciò è ancora più vero se si restringe il campo alla compliance risk governance del settore finanziario, dove la normativa nazionale e i framework internazionali continuano a evolversi sulla scia dell'aumento delle minacce e, di conseguenza, della ricerca di una sempre maggiore e più efficace tutela dei clienti finali, oltre che del sistema nella sua interezza.
Compliance risk governance: una normativa estremamente articolata
Nel mondo del Finance, infatti il livello di consapevolezza rispetto a queste fattispecie di rischio è piuttosto elevato, e sono diversi anni che la normativa prescrive, in riferimento al tema delle esternalizzazioni, comportamenti e precauzioni in modo puntuale.
Per delineare il perimetro della compliance risk governance, è sufficiente pensare alle prerogative della Banca d'Italia - a cui gli articoli 51 e 53 del Testo Unico Bancario conferiscono poteri di vigilanza e regolamentari - che con la Circolare 285 del 2013, disciplina, tra le altre cose, le esternalizzazioni di funzioni aziendali all'esterno del perimetro bancario e l'outsourcing dei sistemi informativi. Anche l'EBA, in particolare nelle Linee Guida del 25 febbraio 2019 con oggetto “Orientamenti in materia di esternalizzazioni”, dedica ampio spazio al tema, non solo verso soggetti terzi, ma pure all’interno dello stesso gruppo bancario. C'è poi il regolamento Dora - Digital Operational Resilience Act, che affronta la questione della resilienza operativa digitale per il comparto nel suo complesso, e che dedica un intero capitolo alla gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione in uso da terze parti.
Alle normative di settore, naturalmente, bisogna infine aggiungere il corpus di leggi che regolano il mercato in modo trasversale, come quella sulla Privacy e il Regolamento Generale sulla Protezione dei Dati (GDPR).
La rilevanza del tema delle esternalizzazioni nella compliance risk governance
Oggi una corretta gestione della privacy, il trattamento a norma dei dati e il controllo accurato delle dinamiche di esternalizzazione infragruppo devono diventare elementi fondamentali della compliance risk governance: in generale, si registra un impegno ancora insufficiente quando si tratta di implementare procedure aziendali in grado di monitorare e valutare non solo i soggetti esterni coinvolti nei propri processi, ma anche e soprattutto il ruolo assunto dalla banca stessa nelle catene di fornitura. Troppo spesso, infatti, vige l'idea che l'istituto finanziario sia sempre e solo un soggetto che affida a terzi i propri processi e i propri trattamenti, quando invece bisogna prendere in considerazione la molteplicità dei ruoli che un soggetto può svolgere contemporaneamente. Basti pensare, per esempio in ambito privacy, alla differenza che corre tra titolare e responsabile dei dati da raccogliere, trattare e conservare.
La catena di fornitura, inoltre, può essere molto articolata ed estesa: di conseguenza, la compliance risk governance (che include la mappatura dei rischi, la loro valutazione e il loro presidio) non può basarsi su semplici elenchi di fornitori, ma deve essere sviluppata su strumenti e metodologie in grado di far convergere e integrare tutte le informazioni su un unico punto di attenzione.
Una piattaforma unificata per minimizzare il rischio nelle esternalizzazioni
Occorre in altre parole introdurre in azienda una piattaforma che aiuti i vari dipartimenti della banca a occuparsi di compliance risk governance non più in qualità di entità separate, ma piuttosto come un solo organismo, all'interno del quale devono essere condivisi senza soluzione di continuità dati, report e meccanismi analitici capaci di produrre informazioni coerenti e univoche. Ogni settore dell'istituto deve quindi disporre non solo di un'unica versione della verità capace di evidenziare, a seconda del punto di vista adottato, le potenziali vulnerabilità dei processi esternalizzati, ma anche degli strumenti e delle metodologie indispensabili per far fronte alle minacce e per mitigare gli effetti degli incidenti.
Un ambiente di lavoro pensato per una compliance risk governance evoluta dovrà dunque mettere a disposizione di risk manager e owner di processo un database accentrato e unificato, da utilizzare, ovviamente con funzionalità e ruoli diversi, per introdurre input, attingere informazioni e generare insight accurati nell'ottica di sviluppare una visione a 360 gradi degli scenari di rischio.
Per semplificare le operazioni e abilitare una user experience allargata, la piattaforma dovrebbe inoltre essere implementata in cloud a partire da un software web based, ovvero accessibile ovunque, a prescindere dal luogo in cui si trova l'utente e dal tipo di dispositivo che ha in mano. Del resto, è la rapida condivisione di comunicazioni e documenti a garantire un monitoraggio efficace della situazione, offrendo la possibilità di ottimizzare in tempo reale i processi, in particolar modo quelli relativi agli audit e quelli di gestione dei piani di remediation.
Toccare con mano la flessibilità e la praticità di una piattaforma web based significa infine poter contare su uno strumento costantemente aggiornato con le ultime novità sul piano normativo: la banca può così rimanere sempre al passo con l'evoluzione delle discipline alla base della compliance risk governance ed essere in grado di verificare l'effettivo svolgimento di tutti gli adempimenti previsti.
Topic: Risk Governance
Post Correlati
