Qual è oggi il ruolo dell'IT nella governance del Risk Management? Rispondere non è semplice. Le tecnologie e le reti digitali hanno stravolto il modo in cui un'impresa si interfaccia con i temi della produttività e della comunicazione, permettendo di dare vita a processi molto più efficienti, ma, allo stesso tempo, generando all'interno dei sistemi e sulla superficie aziendale una serie di complessità e vulnerabilità legate alla moltiplicazione dei touch point. L'efficienza di processo garantita dall'introduzione dei network informatici e dall'utilizzo di applicazioni digitali nell'ordinaria amministrazione – a prescindere dal fatto che si tratti di attività periferiche o mission critical – espone le organizzazioni, anche quelle di dimensioni minori, a una nuova e sempre più aggressiva tipologia di minacce, quelle cyber.
Paradossalmente, però, la digitalizzazione dei processi è anche alla base di una serie di meccanismi che aiutano le imprese ad affrontare con maggior consapevolezza e con strumenti migliori il Risk Management, specialmente in ambito operativo. È infatti attraverso l'analisi dei dati generati da interazioni e procedure digitalizzate che le imprese possono comprendere come funzionano in profondità i processi, quali prassi – interne o esterne – mettono in pericolo gli asset dell'organizzazione e quali eventi, tra quelli che influiscono sull'ecosistema in cui opera l'impresa, rischiano di alterare i risultati attesi nel breve periodo e gli obiettivi di business previsti dai piani di medio e lungo termine. Da questo discendono nuovi ruoli e nuove responsabilità per gli IT Manager.
Bisogna specificare che la componente IT nell'Operational Risk Management non attiene soltanto alla cosiddetta Cybersecurity, intesa come l'insieme di soluzioni e competenze necessarie per preservare l'integrità dei network aziendali. La difesa dei perimetri dell'impresa e le strategie volte a evitare la perdita di dati in seguito a incidenti o disservizi sono solo due delle molteplici componenti su cui fa leva la gestione del Cyber risk. Basti pensare a cosa ha comportato l'introduzione del GDPR (General Data Protection Regulation), che ha imposto ai Chief Information Officer nuovi elementi d'attenzione sul fronte della sicurezza IT, e sulla sua stessa definizione: il regolamento diventato esecutivo nel maggio del 2018, infatti, stabilisce che qualsiasi ente non deve più limitarsi a proteggere i dati personali dei clienti cittadini europei. Le informazioni vanno anche raccolte, conservate e trattate secondo precise disposizioni che di fatto riportano al centro il legittimo titolare dei dati. Si tratta di uno stravolgimento del paradigma adottato fino a pochi anni fa, anche perché numerose linee guida del GDPR sono fondate sul concetto di “accountability”: su richiesta delle Autorità, ciascun attore coinvolto nella predisposizione degli strumenti di protezione dei dati personali dei cittadini europei deve essere in grado di motivare le proprie scelte in fatto di metodologie, soluzioni e tecnologie.
Il Cyber risk, inteso come capitolo specifico dell'Operational Risk Management, deve quindi prendere in considerazione aree d'azione completamente nuove. Questo perché, per esempio, contravvenire a quanto prescritto dal GDPR può provocare – oltre a data breach causati dalla negligenza nell'applicazione delle linee guida – anche sanzioni da parte delle Autorità e danni sul piano reputazionale.
In tal senso, alle responsabilità dell'IT Manager si aggiunge anche quella di mettere a disposizione dell'organizzazione, e in particolare del Risk Manager, i dati necessari a individuare e comprendere le correlazioni tra gestione operativa ed eventi imprevisti. La parola d'ordine di questo binomio? Collaborazione: sia con i partner del mondo IT (system integrator e vendor tecnologici), sia con i consulenti del versante Risk Management, sia soprattutto con le figure aziendali preposte a disegnare i processi in funzione delle potenziali criticità che emergono dalle mappe di rischio. All'IT Manager è dunque richiesto di prendere l'iniziativa, di superare la propria classica prospettiva, che per anni è stata essenzialmente operativa, per abbracciare una visione più estesa, addirittura strategica degli effetti generati dal proprio operato.