Tutto ciò che devi sapere sul Risk Management bancario - Il blog di Augeos

Gestione rischio operativo: la chiave per la resilienza contro le minacce cyber

Scritto da Augeos | 11 luglio 2024

La gestione del rischio operativo sta vivendo una seconda giovinezza. E il merito – qualcuno direbbe paradossalmente – è del cyber risk, che fino a qualche tempo fa sembrava aver fatto imboccare a questa disciplina il viale del tramonto.

Diciamo la verità: fattispecie sempre più stravaganti da valutare, iscrivere a registro e contrastare hanno, per qualche tempo, rubato la scena a quelle solitamente indirizzate dalle metodologie classiche di gestione del rischio operativo. Mancava probabilmente la giusta tassonomia, ma c'erano anche esperienze da vivere e maturare, nuovi concetti da assimilare e soprattutto strumenti e processi inediti da implementare e adottare. Quindi non stupisce che per molti addetti ai lavori il cyber risk abbia rappresentato, quanto meno nei primi anni, un capitolo completamente differente rispetto ai temi principali dell'operational risk management.

Ora, però, c'è maggiore familiarità con questa dimensione e le teorie e le tecniche della gestione del rischio operativo stanno tornando a essere il riferimento anche nel contrasto alle fattispecie più recenti. Almeno, questo è quanto si riscontra nel contatto quotidiano con i clienti, soprattutto del settore finanziario.

 

La gestione del rischio operativo non è mai stata così attuale

 

Di sicuro a far riconquistare la ribalta alle cosiddette metodologie tradizionali hanno contribuito anche le ultime iniziative dei legislatori e delle authority: dovendo prendere di petto i temi della resilienza  e della continuità operativa, messe sempre più in discussione dalla crescita esponenziale delle minacce cyber, chi ha stabilito le nuove linee guida ha definito le fattispecie di rischio emergenti come “prospettive di eventi di perdita determinati da almeno quattro fattori: processi, persone, sistemi interni o fattori esogeni”. È sostanzialmente il concetto che descrive il caro vecchio rischio operativo. L'approccio, dunque, non solo è sopravvissuto ai suoi tempi, ma ha pure assunto ulteriori significati.

D'altra parte, tutto quello che le organizzazioni hanno cominciato a sperimentare, anche e soprattutto sul fronte digitale, sta permettendo di dettagliare meglio la capacità e la funzione della risk analysis, rendendo sempre più chiara la differenza tra rischio informatico tout court, che riguarda gli eventi legati ai sistemi interni, e rischio cyber, che ha una portata molto più estesa.

In quest'ottica, la gestione del rischio operativo diventa a tutti gli effetti una categoria di livello superiore, un contenitore che ingloba le altre discipline. Impossibile non notare, infatti, che sta diventando sempre più comune la prassi di inserire tecniche di valutazione dei fattori di rischio operativo nelle analisi di cyber risk. Si tratta di un'opzione che quasi nessuno considerava fino all'anno scorso: si preferiva analizzare l'impatto di una minaccia sulla base di altre premesse, a partire dagli asset e dai processi IT.

Ora che bisogna ragionare nella multidimensionalità dell'ambito cyber, il fattore di rischio operativo diventa un elemento trasversale, trasformandosi in un driver comune, utile quando occorre predisporre report estesi e sintetici. La visione olistica tipica della gestione del rischio operativo rende infatti più semplice l'identificazione di legami di causa-effetto non immediati, e costituisce un pivot per analizzare le root-causes più frequenti su più livelli e più processi.

 

L'importanza di usare una tassonomia condivisa e avviare azioni trasversali

 

C'è un altro aspetto positivo nel tornare a parlare di gestione del rischio operativo: adottando una tassonomia condivisa, si facilita il confronto con chi si occupa direttamente di questioni negli ambiti della cyber e dell'IT security, non solo migliorando la qualità della risposta dell'organizzazione su fattori di rischio specifici, ma anche aumentando la comprensione dei fenomeni da parte del risk manager, che poi ha il compito di tirare le somme, estrapolare insight e strategie, e soprattutto riportare al cda in modo chiaro qual è la situazione dell'azienda e quali investimenti occorrono.

A questo proposito, va detto che, tornata in auge, la gestione del rischio operativo aiuta a declinare i nuovi fattori su una pluralità di livelli, più o meno densi. Il che consente tra le altre cose di ottimizzare i costi e massimizzare gli effetti delle azioni di rimedio. Più nello specifico, questo approccio permette di agire in modo trasversale, multifunzionale e multistruttura, grazie all'adozione delle medesime metriche per individuare univocamente cause di molteplici rischi. Non è un caso che il metodo sia menzionato anche dal Regolamento Dora come buona prassi per comprendere, a valle del verificarsi di una minaccia, quali sono state le cause, e quali azioni bisogna intraprendere per diminuire la probabilità che si verifichino di nuovo.