Tutto ciò che devi sapere sul Risk Management bancario - Il blog di Augeos

I tre rischi operativi del 2020 da tenere sotto controllo

Scritto da Augeos | 2 aprile 2020

I rischi operativi di un'impresa sono, per definizione, in costante evoluzione: in azienda operazioni, task, processi si trasformano continuamente non solo per assecondare i cambiamenti dell'organizzazione e la ridefinizione degli obiettivi di business, ma anche per reagire alle variabili che mutano i contesti macroeconomici e gli scenari competitivi. Basta pensare a come l'intero sistema produttivo, a livello globale, si sta adattando per fronteggiare l'emergenza Coronavirus, rivedendo molti dei fondamentali considerati inalterabili fino a pochissime settimane fa. Cambiando dunque il modo di agire, cambiano anche i rischi connessi e generati dalle nuove prassi. E, di conseguenza, deve cambiare anche l'approccio al risk management.

La straordinaria amministrazione che comportano le azioni di contenimento del contagio da Covid-19 non fa però che accentuare, sotto il profilo della gestione dei rischi operativi, un trend che si stava consolidando in maniera autonoma: quello della digitalizzazione dei processi, che genera frammentazione e remotizzazione delle operazioni oltre i classici perimetri aziendali, le quali, a loro volta implicano minacce su tre ambiti specifici. Vediamo quali, con maggiore probabilità, caratterizzeranno il 2020.

 

La cybersecurity mette i rischi operativi informatici in evidenza

Tra i maggiori rischi operativi, ci sono senz'altro quelli legati alla gestione dei sistemi IT. Non c'è qui bisogno di ricordare l'accelerazione che sul piano quantitativo e qualitativo stanno facendo registrare sia gli attacchi informatici opportunistici sia quelli mirati. Tecniche sempre più raffinate, che si basano sul social engineering e sulle soluzioni di Intelligenza artificiale, rendono la difesa dei network aziendali un elemento basilare per qualsiasi strategia di operational risk management in tutti i settori. Tanto più se si considera che lo smart working e il lavoro da remoto non solo stanno contribuendo a moltiplicare il numero di connessioni e touch point potenzialmente esposti alle iniziative malevoli dei cybercriminali, ma creano anche più occasioni perché si verifichino errori umani, nella stragrande maggioranza dei casi all'origine degli incidenti informatici e dei data breach. Sono tutte situazioni che devono essere contemplate nel momento in cui si valutano il cyber risk per adattare i processi al nuovo scenario.

 

Gestire i rischi in ecosistemi di partner sempre più complessi

Senza contare che in ogni caso è sempre più difficile parlare di perimetri aziendali. Le imprese agiscono ormai in ecosistemi complessi, all'interno dei quali per raggiungere economie di scala, efficacia ed efficienza nei processi di trasformazione è necessario mettere in condivisione strumenti, professionalità, piattaforme logistiche, software e, soprattutto, dati. Non è ormai pensabile di attivare piani di risk management senza tenere in considerazione il peso delle attività non direttamente gestite dall'organizzazione o addirittura affidate in outsourcing. Il vulnus – inteso come perdite derivate da possibili data breach o come diminuzione di fatturato o anche di competitività – potrebbe infatti derivare dalla cattiva pianificazione o esecuzione dei task da parte di fornitori e partner. Per questo è indispensabile allargare il raggio delle analisi ben oltre i tradizionali confini dell'organizzazione.

 

Il Gdpr entra nel vivo: la sfida della compliance

La verifica della conformità – dell'organizzazione e dell'ecosistema a cui appartiene – al framework normativo è una naturale conseguenza di quanto detto finora. Soprattutto sul fronte della tutela delle informazioni personali, le imprese devono oggi garantire massima tracciabilità e trasparenza rispetto a raccolta, trattamento e finalità dell'utilizzo dei dati lungo l'intera filiera. Rispetto al 2018, quando il dispositivo è diventato esecutivo, si parla molto meno di GDPR, nonostante di moltiplichino i casi di inottemperanza, a cui seguono le – spesso pesanti – sanzioni previste dal regolamento. I controlli sull'applicazione del General Data Protection Regulation sono infatti entrati a regime, e molto probabilmente il 2020 sarà l'anno spartiacque per l'affermazione del principio di accountability stabilito dal codice: le aziende, e in particolar modo i Chief Risk Officer, dovranno essere in grado di motivare le scelte che hanno portato ad adottare una strategia piuttosto che l'altra nella definizione e nella mitigazione dei rischi legati alla gestione e alla condivisione dei dati di clienti, partner e fornitori.