In un'epoca in cui gli scenari di rischio continuano ad allargarsi e a intersecarsi occorre maturare un nuovo assetto nella gestione del risk management. Proprio così: una gestione nella gestione, che consenta alle imprese di trasformare una funzione per anni considerata a sé in una serie di processi strutturati e profondamente integrati con ciascuno dei task e degli obiettivi aziendali.
Ripensare la gestione del risk management significa quindi evolvere da modelli sostanzialmente reattivi a un vero e proprio approccio risk-based, che contempli cioè nella progettazione, nell'orchestrazione e nella continua ottimizzazione di tutti i processi di business la componente di rischio intrinsecamente correlata a ciascuna gamma di attività.
Appare sempre più evidente, del resto, che sebbene innestata sulla raccolta di enormi volumi di dati la gestione del rischio debba essere – forse paradossalmente – focalizzata più su posture qualitative che quantitative. In altre parole, non ci si può illudere che il risk management possa basarsi esclusivamente sul processamento automatico di grandi moli di informazioni che alimentano sofisticati sistemi di KRI e KPI: occorre che vi siano anche competenze, capacità e soluzioni in grado di contestualizzarli e interpretarli correttamente.
Le tecnologie digitali, oggi, costituiscono un indubbio vantaggio per le organizzazioni che decidono di prendere di petto questa sfida: i cruscotti per l'analisi dei dati, gli strumenti di automazione e gli ambienti di collaboration negli ultimi anni sono diventati ampiamente accessibili, e rappresentano un ottimo punto di partenza per abilitare una gestione del risk management che faccia leva su una logica data-driven.
Ma tutto ciò non è sufficiente se questi strumenti non vengono messi a fattor comune e se in azienda non si alimenta una vera cultura del dato. Bisogna in altre parole innestare soluzioni, esperienze e conoscenze su una piattaforma centralizzata che garantisca visibilità sull'intero ecosistema e che, conseguentemente, offra la possibilità di intervenire in modalità end-to-end e proattiva quando si tratta di intercettare una minaccia e correggere i processi (interni o esterni all'organizzazione) potenzialmente esposti.
Parlare di ecosistema e di processi (anche) esterni è imprescindibile quando si affronta il tema della gestione del risk management orientata alla resilienza del business. Sull'onda della digitalizzazione, infatti, le filiere sono sempre più strettamente interconnesse. Questo implica che un rischio che riguarda l'operatività di un partner o di un fornitore può ripercuotersi negativamente anche sugli output di un'altra impresa della catena del valore, nonostante quest'ultima abbia sviluppato internamente un approccio efficace al rischio.
Del resto in alcuni settori critici e su aree particolarmente vulnerabili, quella che per la maggior parte delle aziende è soltanto una raccomandazione sta per diventare un obbligo di legge. Il comparto finanziario si sta in effetti preparando a una rivoluzione che nel giro di pochi mesi ridefinirà il concetto stesso di ICT risk management. Facciamo ovviamente riferimento al Regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 16 gennaio 2023 e vincolante dal 17 gennaio 2025. Il framework ha infatti l'obiettivo dichiarato di standardizzare i protocolli di sicurezza digitale nelle organizzazioni finanziarie rafforzando la resilienza cyber e la gestione del risk management attraverso un corpus di requisiti che coprono tutte le fattispecie relative alle tecnologie dell'informazione e della comunicazione.
In questo caso una piattaforma unificata, che aiuti risk manager e owner di processo a convogliare tutte le informazioni utili a definire una mappa del rischio, è semplicemente essenziale. Nell'ottica non solo di risultare conformi alle nuove regole nell'interazione con fornitori di servizi tecnologici terzi, ma anche di garantire la massima accuratezza nelle segnalazioni obbligatorie degli incidenti informatici e nella redazione di linee guida per la costruzione di test di resilienza adeguati.
Che rientrino o meno nelle casistiche previste dal Regolamento DORA, le imprese che vogliono ottenere questi risultati non possono limitarsi a implementare strumenti e processi che abilitino un approccio integrato alla tutela della resilienza operativa: devono, prima ancora, sviluppare un modello organizzativo che favorisca, facendo leva sulla cultura del dato, la trasparenza e la condivisione delle informazioni finalizzate a una corretta gestione del risk management lungo tutta la filiera.
Augeos è il partner ideale per intraprendere questo percorso. Come software house specializzata nell'implementazione di soluzioni per il risk management e la gestione di reference data, Augeos è infatti in grado di proporre una piattaforma integrata, personalizzabile e modulare che accorpa tutte le funzioni di cui le imprese, e in particolare gli enti finanziari, hanno bisogno per raccogliere ed elaborare le informazioni indispensabili per mappare gli scenari di rischio e per impostare piani di prevenzione e mitigazione delle minacce.
La soluzione è nativamente in grado di aprirsi ai flussi informativi disponibili all'organizzazione (compresi quelli provenienti dall'esterno), o diventare essa stessa fonte di dati qualificati per gli altri sistemi, così da garantire una governance a 360 gradi.
All'offerta tecnologica si aggiunge un'esperienza pluridecennale maturata al fianco dei principali istituti di credito italiani: Augeos dispone quindi di una profonda conoscenza dei processi e delle dinamiche che contraddistinguono realtà estremamente strutturate e complesse. Una expertise che si traduce in un'offerta consulenziale e di professionalità in grado di aiutare le imprese a individuare le soluzioni e le best practice che meglio rispondono alle specifiche esigenze del business.
Topic: Gestione rischio operativo