L’elemento che per antonomasia più incide sul rischio operativo (o operational risk) è uno scenario di mercato incerto. Non sapendo quale direzione potranno prendere i contesti commerciale e competitivo in cui l’azienda opera, la probabilità che l’impresa o la banca registri delle perdite oppure che queste siano superiori alle attese è più alta
Ne consegue un atteggiamento difensivo ma anche proattivo da parte dell’azienda, che deve poter prevedere quali processi interni siano più sensibili ai mutamenti dello scenario oltre a innestare meccanismi di controllo e di verifica delle procedure e della regolamentazione.
Per evitare le perdite, occorre insomma correggere in anticipo i processi. Un'organizzazione economica è come una grande nave. Se vede in anticipo la tempesta di fronte a sé, può avvertire l’equipaggio di cambiare rotta. Ma per farlo ha bisogno di una pianificazione preventiva, di un’accurata organizzazione e degli strumenti utili che permettano di far funzionare a dovere l’intero assetto e di muovere tempestivamente l’imbarcazione. Deve, in altre parole, definire cos'è il rischio operativo rispetto al tipo di business che conduce e individuare soluzioni, competenze e procedure atte a gestirlo correttamente.
Prima di ogni altra cosa, dunque, è bene fornire una definizione il più completa possibile di cos'è il rischio operativo. L'operational risk riassume le incertezze e i rischi che un'azienda deve affrontare quando tenta di svolgere le sue attività commerciali quotidiane all'interno di un determinato settore. I rischi possono derivare da colli di bottiglia lungo procedure interne, da errori commessi da persone o da avarie di sistemi, ma anche da problemi connaturati a forze esterne, come eventi politici o economici, disastri naturali oppure come fenomeni inerenti all'intero mercato o a specifici segmenti di mercato. In questi ultimi casi si parla di rischio sistematico. In tal senso, il rischio operativo può anche essere classificato come una specifica varietà di rischio non sistematico, ovvero unico per una specifica azienda o settore.
Il rischio operativo si concentra dunque sul modo in cui beni, servizi e processi prendono vita all'interno di una determinata organizzazione ed è per questo spesso associato a decisioni relative al funzionamento stesso dell'organizzazione e alle sue priorità strategiche in relazione all'evoluzione degli scenari. Sebbene non sia garantito che i rischi si traducano in effetti negativi per l'output dell'impresa, devono essere comunque conosciuti, valutati e presi in considerazione in ciascuna delle decisioni di gestione interna.
Fatta questa premessa, ridurre il rischio operativo significa riorganizzare i processi di controllo interni dell’azienda in modo da rispondere in maniera puntuale ed efficace ai mutamenti di mercato. Le aziende devono quindi poter riconoscere i segnali di un’anomalia e di un incidente in rotta di collisione con l’impresa.
Ciò implica, innanzitutto, identificare i Key Risk Indicators che permettano di monitorare regolarmente i fattori che più influenzano l’andamento dell’azienda o della banca e che quindi abilitino una prospettiva ad ampio raggio su cosa funziona e cosa invece va corretto.
I Key Risk Indicators sono dinamici: soprattutto in un momento di profondo cambiamento sociale, urbanistico ed economico, devono essere aggiornati per ridefinire le priorità degli istituti bancari e delle imprese. Sfruttando avanzati algoritmi, le aziende possono prevenire le situazioni più complesse, che non possono essere analizzate da un essere umano senza l’ausilio di un software di gestione del rischio evoluto. Quest’ultimo è fondamentale per muovere la realtà aziendale nella direzione corretta e, soprattutto, per fare in modo che tutti gli stakeholder interessati possano lavorare correttamente per ridurre il rischio operativo attraverso un archivio di informazioni comune e un cruscotto unificato.
Un’azienda, e in particolare una banca, non può plasmare lo scenario attorno a sé, ma può continuamente rinnovare sé stessa per essere pronta a reagire agli incidenti e ottenere la flessibilità che serve per rivedere i suoi processi. A tal fine, urge definire un framework, quindi un insieme di regole, misurazioni e procedure di verifica, per la gestione del rischio operativo: in questo modo l’azienda potrà equilibrare l’esigenza di perseguire i suoi obiettivi di business e di crescita con i rischi che ne derivano.
Per un corretto Operational Risk Management, le aziende devono studiare accuratamente la fisionomia di ogni operazione e dare vita a cicliche fasi di valutazione per rivedere le priorità, se necessario, e ottimizzare i processi per ridurre il più possibile il divario fra i risultati ottenuti e quelli previsti, anche quando lo scenario che si realizza è quello peggiore. L’azienda deve, inoltre, saper riconoscere tutte le sfumature derivanti dall’introduzione delle nuove normative. La Payment Services Directive 2 (meglio nota come PSD2), per esempio, continua a rappresentare una sfida per le banche perché tocca diversi ambiti (informatici, normativi e di data management) con possibili ricadute anche sulla reputazione dell’azienda. Un approccio Risk Based integrato con modelli efficaci di governo della privacy permette di ridurre il rischio operativo derivante da un incidente informatico.
Per sua natura, il rischio è qualcosa che continua a evolvere e ciò significa che le banche e le imprese devono continuamente ottimizzare i processi per rispondere in maniera agile. Non soltanto mitigando i fattori di rischio, ma anche supportando valide e pervasive strategie di risposta agli eventi che possono alterare i processi aziendali impattando negativamente il business.