Operational risk management framework: indicatori di rischio su misura

Sviluppare un approccio dinamico e realmente adattativo alla gestione del rischio significa oggi dotarsi di un operational risk management framework personalizzato, che concentri cioè su un'unica piattaforma strumenti, indicatori e processi costruiti su misura.

Esistono in effetti diverse soluzioni di mercato che promettono di aiutare le organizzazioni a sviluppare la postura corretta rispetto al tema, sempre più sfaccettato, della gestione del rischio operativo. Ma – proprio perché si tratta di una disciplina di per sé complessa e stratificata, in continuo divenire e che (anche da quando sono balzate agli onori delle cronache le minacce cyber) si connota per fattispecie profondamente differenti da settore a settore – non si può prescindere dall'implementazione di uno schema consolidato, ma in grado di rispondere a requisiti specifici.

Gli addetti ai lavori lo sanno: le parole chiave dell'attuale scenario dell'operational risk management sono governance, monitoraggio, resilienza e reattività. È pur vero che ormai non si può escludere dalla “cassetta degli attrezzi” anche il fondamentale concetto di proattività: ovvero la capacità strategica di muoversi con anticipo, bilanciando cognizione di causa e tempestività, per intervenire su asset, processi, competenze e condotte che, se non adattati rapidamente ai nuovi scenari, potrebbero configurarsi come fonti inedite di rischio per l'operatività dell'organizzazione e della catena del valore in cui è inserita.

Operational risk management framework: colmare i gap e valorizzare le skill

Avere l'ambizione di implementare un operational risk management framework non è però di per sé sufficiente nell'ottica di mettere in campo tutte le risorse necessarie a garantire le linee di azione appena descritte.

Parlando in generale, prima di affrontare un percorso evolutivo di tale portata, le aziende che puntano a un approccio olistico alla gestione del rischio operativo devono colmare una serie di gap e valorizzare (o sviluppare ex novo) skill specifiche.

In particolare, sono tre le direttrici su cui è essenziale muoversi. Bisogna innanzitutto raggiungere un adeguato livello di trasparenza informativa attraverso i vari strati dell'organizzazione, in senso bidirezionale (top-down e bottom-up). Occorre poi promuovere e alimentare metodi nuovi, multidisciplinari, all'analisi delle fattispecie, integrando insight e valutazioni da tutti i centri nevralgici aziendali. Ultimo, ma non per importanza (si potrebbe anzi dire che questo elemento costituisce la vera ossatura di un progetto così complesso), il tema della digitalizzazione dei processi e della condivisione delle informazioni. Serve in altre parole una suite affidabile su cui far convergere tutti i workflow.

Solo a questo punto diventa possibile strutturare un framework di gestione del rischio che aderisca perfettamente alle esigenze dell'organizzazione. Il che vuol dire anche dotarsi degli strumenti e delle interfacce per attivare e gestire set di indicatori ad hoc: premessa indispensabile per migliorare la comprensione dei fenomeni osservati e semplificare i flussi di comunicazione tra risk manager, linee di business e board, con la possibilità quindi di creare report chiari e basati su dati oggettivi e univoci.

Una postura di risk management capace di applicare una governance efficace non può in effetti fare a mano di indicatori di rischio adeguatamente tarati per monitorare macroaree aziendali o di processo sottoposte all’attenzione della dirigenza.

Tali indicatori, oltre ad essere chiari, consistenti e scientificamente disegnati per intercettare fenomeni di rischio in relazione agli ambiti monitorati, devono poter contare sulla capacità di fornire in maniera istantanea una fotografia granulare delle informazioni sulle quali sono costruiti, così da permettere ogni qual volta ve ne sia bisogno una analisi drill-down a completamento della reportistica di partenza.

La roadmap per la creazione di un operational risk management framework

Cosa occorre dunque per implementare correttamente una piattaforma in grado di far convergere su un unico punto di attenzione tutti i flussi dai vari dipartimenti aziendali? La roadmap per la creazione e il mantenimento di un operational risk management framework avanzato si compone essenzialmente di sei step:

1. Identificare e disegnare correttamente indicatori di rischio coerenti con i fenomeni che si intendono monitorare.
2. Mappare tali indicatori all’interno di processi e strutture organizzative aziendali rispetto ai quali agiscono, prevedendo eventuali collegamenti ad altri indicatori per agevolare root-cause-analysis e/o pattern-recognition-analysis.
3. Valutare i dati raccolti adottando sia approcci quantitativi (studio delle tendenze e analisi di attendibilità, adozione di modelli statistici predittivi, analisi di scostamento rispetto a eventi sopra soglie di rischio e di tolleranza, etc.), sia posture qualitative. L'obiettivo è quello di permettere all’esperto di settore di esprimere un giudizio di sintesi capace di integrare il riscontro oggettivo derivante dalla serie di rilevazioni raccolte con la sua capacità interpretativa alla luce di analisi dei pattern, delle cause, degli effetti.
4. Monitorare in maniera completa ed esaustiva il framework di indicatori attraverso un sistema di dashboard interrogabile e proattivo, capace cioè di fornire meccanismi di avviso automatico in caso di fenomeni “extra-soglia”.
5. Mitigare e contrastare, efficacemente e tempestivamente, fenomeni identificati dagli indicatori acquisendo tutte le informazioni essenziali a individuarne le cause, gli effetti, i fenomeni all’interno del perimetro aziendale.
6. Estrarre report di sintesi o analitici di natura gestionale, direzionale o normativa sia in modo estemporaneo che mediante l’utilizzo di schedulazioni periodiche.

Il supporto di Augeos nell'implementazione di un operational risk management framework

Passare dalla teoria alla pratica, e sviluppare le competenze e le procedure necessarie per sprigionare tutto il potenziale di un operational risk management framework vuol dire, oggi, fare affidamento su un partner come Augeos, che combina in un'offerta unica e coerente servizi di consulenza e piattaforme software per la gestione del rischio operativo.

La suite GRC (Governance Risk Management) è stata concepita per aiutare le imprese ad abilitare una gestione integrata del rischio non finanziario (rischi operativi, IT/cyber risk, rischi di compliance, rischi terze parti, ecc.), e viene proposta ai clienti in parallelo a un portfolio di servizi erogati da professionisti in grado di trasmettere:

• Competenze trasversali su macroaree aziendali di interesse per il moderno risk manager: IT & cyber, compliance.
• Competenze di settore in materia di design, impianto, roll-out e monitoraggio di un sistema di indicatori di rischio e performance.
• Competenze analitiche in materia di root-cause-analysis e pattern-recognition-analysis.