Il Risk Based Approach costituisce oggi la prima linea d'azione per valutare i rischi in banca. Sia sul piano finanziario, sia su quello operativo. La metodologia risulta particolarmente efficace quando viene applicata alla studio dei rischi operativi riconducibili all’ambito IT. L'approccio è generalmente utilizzato nel momento in cui si vogliono dettagliare le metodologie di analisi individuando potenziali vulnerabilità e aree non opportunamente presidiate anche tramite workflow distribuiti.
Le componenti del Risk Based Approach sono diverse, e vanno dall'individuazione degli asset IT aziendali, dei processi e delle minacce correlate, passando per la mappatura e la valutazione dei controlli basati sul rischio, fino alla realizzazione di piani di azione per la mitigazione degli incidenti una volta che sono avvenuti. Perché – è bene ricordarlo – lo scopo del risk management non è solo controllare e mitigare i fattori di rischio, che nell'era digitale diventano sempre più numerosi e imprevedibili, ma anche supportare strategie di risposta a eventi che possono alterare i processi aziendali, provocando danni per il business. D'altra parte, l'obiettivo delle organizzazioni che adottano il Risk Based Approach è essenzialmente costruire un sistema a prova di audit, sfruttando statistiche e KRI (Key Risk Indicator) in grado di quantificare con la massima precisione possibile ciascuna autovalutazione. Ed è a partire da queste valutazioni che si possono mettere in campo strumenti e buone pratiche per fronteggiare o mitigare le minacce.
Attenzione però: le operazioni di risk assessment di una banca non devono essere necessariamente complesse, devono essere piuttosto commisurate alla natura e alle dimensioni dell'attività della società e della sua infrastruttura IT. Fondamentale però è integrarle con le valutazioni degli esperti aziendali e dei consulenti esterni e con le informazioni ottenute da fonti autorevoli, come organizzazioni internazionali intergovernative e governi nazionali. Perché il Risk Based Approach sortisca i risultati attesi, inoltre, le banche dovrebbero rivedere la loro valutazione periodicamente, e in ogni caso quando le circostanze cambiano o emergono nuove minacce rilevanti.
L'adozione del Risk Based Approach costituisce una valida premessa per introdurre in azienda il concetto di gestione dinamica del rischio. Secondo la definizione riportata nella norma ISO 31000, che delinea la metodologia, sono tre gli elementi che concorrono a formare il rischio: gli obiettivi da raggiungere, la minaccia che ne impedisce il perseguimento e la probabilità che quella minaccia si avveri. In quest'ottica, per gestire il rischio in maniera dinamica bisogna governare i processi orientandoli al raggiungimento effettivo degli obiettivi tenendo conto di tutti gli eventi che potrebbero alterarne il percorso: studiare i task, le interazioni e le modalità operative per comprendere quali elementi portano effettivamente al raggiungimento degli obiettivi e quali invece generano difformità permette non solo di mitigare i fattori di rischio, ma anche di ottimizzare i risultati. Il Risk Based Approach permette per l'appunto alle banche di creare rappresentazioni della realtà aziendale orientate al Rischio, ovvero mappe di rischio accurate – in grado cioè di evidenziare area per area quali sono i danni potenziali rispetto a determinate scelte e azioni – e di incorporare appositi KRI per predire gli effetti generati da cyber attacchi e incidenti IT, attribuendo nella misura corretta le co-responsabilità agli attori coinvolti e assegnando presidi di controllo coerenti con ciascun ruolo e con ciascuna funzione.
Topic: Risk Management, Banking