Una buona gestione del rischio operativo in banca si basa essenzialmente sulla capacità di effettuare controlli sistematici e accurati sui processi da cui dipendono le varie linee di business. Più facile a dirsi che a farsi, soprattutto se i dati e i registri delle transazioni sono generati attraverso strumenti e supporti non strutturati, che non consentono in altre parole una condivisione agevole delle informazioni da analizzare.
La complessità del rischio operativo in banca: i tre livelli di controllo
La faccenda si complica se si considera che le funzioni di controllo sul piano del risk management, per essere realmente efficaci, devono essere svolte su tre livelli, coinvolgendo attori differenti. I controlli di primo livello sono di natura preliminare, e risultano indispensabili per valutare il corretto svolgimento di ciascuna operazione. È infatti compito dei responsabili delle diverse Line of business integrarli nell’operatività quotidiana e nelle procedure informatiche standard, al fine di identificare, monitorare, mitigare e riportare le minacce che ruotano intorno alla struttura.
I controlli di secondo livello hanno invece a che fare con i rischi che l'organizzazione deve affrontare sul piano della compliance, verificando che i limiti operativi assegnati alle varie funzioni siano rispettati in funzione della conformità al framework normativo in cui opera l'istituto. È il motivo per cui le professionalità preposte ai controlli di secondo livello devono essere necessariamente diverse da quelle che si occupano delle verifiche preliminari, in quanto hanno l'onere della definizione dei parametri della risk governance e del processo stesso di risk management.
Ci sono poi i controlli di terzo livello, finalizzati ad attività di revisione interna attraverso sessioni di audit ad hoc. Ancora una volta, si tratta di mettere in campo figure e task differenti, che hanno il compito specifico di individuare eventuali violazioni sul piano procedurale e di valutare con cadenza regolare la completezza, l’adeguatezza, la funzionalità e l’affidabilità dei meccanismi di controllo utilizzati in azienda.
Perché usare Excel non agevola la gestione del rischio operativo in banca
Dovrebbe a questo punto risultare più semplice comprendere perché l'utilizzo di strumenti incapaci di strutturare e mettere a fattor comune le informazioni da convogliare nelle attività di controllo mini alle fondamenta l'efficacia di qualsiasi strategia di gestione del rischio in banca. Soprattutto per un istituto finanziario attivo su più linee di business, da gestire magari a livello internazionale, orchestrare le funzioni di controllo in assenza di piattaforme unificate, omogenee e trasparenti vuol dire fallire la missione prima ancora di portarla a termine.
Basti pensare, banalmente, all'utilizzo che si fa quotidianamente dei fogli Excel. Si tratta di un tool digitale, è vero, disponibile in ambienti collaborativi e con tutta una serie di funzionalità e tassonomie standardizzate. Ma sappiamo tutti, per esperienza diretta, che ciascun utente compila righe e colonne basandosi su criteri personali, o magari ricorrendo a prassi consolidate all'interno della divisione in cui si opera, aggiungendo informazioni con note e link che i colleghi di altri dipartimenti o i revisori potrebbero non cogliere.
Salvo singolari occasioni in cui chi utilizza lo strumento è dotato di competenze di alto livello, è praticamente impossibile gestire il versioning dei contenuti di un Excel condiviso, e spesso è difficile identificare con precisione l’ownership delle modifiche, anche se si è posto rimedio all'assenza di skill. Parliamo quindi di dati che potrebbero essere esclusi dalle attività di controllo, o non compresi appieno, non solo creando lacune informative o peggio incongruenze nelle analisi e nella formulazione delle mappe di rischio, ma impedendo una gestione oggettiva ed esaustiva delle attività di reporting: si richiedono dunque interventi obbligati di bonifica per rimediare a questo ulteriore problema, e di fatto i contenuti vengono modificati da parte delle funzioni di secondo livello, lasciando spazio agli utenti di primo livello di contestare i risultati e/o disconoscerne la paternità.
Le nuove sfide dei risk manager: perché occorre una piattaforma unificata
Va inoltre precisato che la mitigazione del rischio operativo in banca non dipende solo dalla capacità dei risk manager di migliorare i processi e tutelare gli asset in funzione delle minacce identificate, ma sempre più anche dal coinvolgimento di funzioni e ruoli che normalmente esulano dalle operazioni di assessment. Occorre infatti sviluppare una visione più ampia e dinamica possibile dell'intera organizzazione per identificare le aree di intervento con un approccio diacronico.
In quest'ottica, la raccolta, l'elaborazione e la condivisione delle informazioni lungo la struttura implica due potenziali criticità. La prima, come detto, riguarda la partecipazione ai progetti di risk management non solo degli owner di processo, ma anche di tutti gli attori inclusi nella filiera di processo. La seconda e ancora più importante risiede nella difficoltà per l'appunto di creare un linguaggio comune, sia per definire in maniera univoca gli elementi al centro delle analisi, sia per arrivare a una sola “versione della verità”.
Affrontare queste criticità vuol dire superare la logica dei fogli Excel personalizzati e adottare una piattaforma unificata che consenta di far convergere tutti i punti di vista degli attori aziendali.
Una soluzione che aiuti anche operatori non specializzati a condividere con semplicità e precisione il patrimonio informativo che gestiscono, e che soprattutto che permetta ai risk manager di misurare l'entità delle potenziali minacce in una mappa in grado di contestualizzare e gerarchizzare con criteri obiettivi i vari input. Un approccio del genere si rivela essenziale non solo per gestire il rischio operativo in banca rispetto all'ordinaria amministrazione, ma anche nell'ottica di fornire in tempi rapidi una definizione chiara e univoca dei potenziali impatti connessi alla startup di un nuovo modello di business o al lancio di un nuovo prodotto sul mercato.
Topic: Gestione rischio operativo
Post Correlati
