Il Risk Based Approach costituisce oggi la prima linea d'azione per valutare i rischi in banca. Sia sul piano finanziario, sia su quello operativo. La metodologia risulta particolarmente efficace quando viene applicata allo studio dei rischi operativi riconducibili all’ambito IT. L'approccio basato sul rischio è generalmente utilizzato nel momento in cui si vogliono dettagliare le metodologie di analisi individuando potenziali vulnerabilità e aree non opportunamente presidiate anche tramite workflow distribuiti.
Un approccio basato sul rischio implica la capacità, da parte di un'organizzazione, di identificare, valutare e comprendere i fattori che minano la sua continuità operativa, rendendo prioritarie tutte le azioni che migliorano il risk management. Pertanto, per essere definito tale, un approccio basato sul rischio deve poter fare leva su strumenti e metodologie che abilitino un monitoraggio accurato delle minacce e favoriscano l'agilità di reazione nel momento in cui queste si avverano. Il tutto deve innestarsi su quattro fasi specifiche: individuazione e registrazione degli eventi potenzialmente sfavorevoli; valutazione degli eventi per determinarne la rischiosità; identificazione delle misure di prevenzione, protezione e reazione; attuazione delle misure.
È importante sottolineare che la fase di valutazione del rischio comprende anche sessioni di due diligence sulle terze parti e attività di monitoraggio dei cambiamenti normativi condotte in modo metodico e costante.
Uno degli aspetti essenziali dell'approccio basato sul rischio riguarda l'affinamento delle procedure di analisi della conformità dei processi interni all'azienda. Nuove linee di prodotto, nuovi sistemi di remunerazione degli incentivi, nuovi sistemi informatici, nuove partnership, nuovi incarichi devoluti a terze parti: tutti questi fattori possono infatti influire sul livello dei rischi di compliance, senza che vi siano cambiamenti esogeni.
Si tratta, come evidente, di una trasformazione complessa, che comporta una completa riorganizzazione delle strutture preposte al Risk Management . Ma i vantaggi che si possono ottenere grazie all'adozione di un approccio basato sul rischio sono diversi, e immediatamente riscontrabili:
Grazie alla natura frequente degli audit implicati da un approccio basato sul rischio, si possono colmare le lacune di conoscenza del personale che gestisce quotidianamente i controlli. Inoltre, l'istituzione di rapporti regolari contribuisce a rendere le attività di risk management una priorità, invece di essere una serie di report annuali che vengono rapidamente dimenticate.
Diventa molto più facile identificare la priorità dei rischi sulla base di indicatori quali la velocità e la gravità delle minacce. Ciò consente alle banche di comprendere le conseguenze delle loro azioni in relazione a ciascun rischio e di individuare le opportunità di avanzamento per mitigare eventuali rischi futuri.
Un approccio basato sul rischio è un alleato prezioso soprattutto nei momenti di incertezza, in quanto consente alle banche di adattarsi più facilmente a condizioni mutevoli grazie a una metodologia coerente e completa che punta a predire scenari futuri.
Contrariamente ai metodi di audit interno tradizionali, il Risk Based Approach implica un'allocazione delle risorse più mirata, poiché la pianificazione delle iniziative è determinata dalla gravità e dal volume dei rischi per i quali il top management richiede garanzie.
Un approccio basato sul rischio combina tutti gli aspetti dell'universo del risk management. Il che consente di evidenziare anche gli obiettivi di business minacciati da scenari sfavorevoli. In questo modo si possono stabilire rapidamente le misure per mitigare il rischio prima che questo generi un impatto sulla capacità dell'organizzazione di raggiungere gli obiettivi.
Come accennato, le componenti del Risk Based Approach sono diverse, e vanno dall'individuazione degli asset IT aziendali, dei processi e delle minacce correlate, passando per la mappatura e la valutazione dei controlli basati sul rischio, fino alla realizzazione di piani di azione per la mitigazione degli incidenti una volta che sono avvenuti. Perché – è bene ricordarlo – lo scopo del risk management non è solo controllare e mitigare i fattori di rischio, che nell'era digitale diventano sempre più numerosi e imprevedibili, ma anche supportare strategie di risposta a eventi che possono alterare i processi aziendali, provocando danni per il business. D'altra parte, l'obiettivo delle organizzazioni che adottano il Risk Based Approach è essenzialmente costruire un sistema a prova di audit, sfruttando statistiche e KRI (Key Risk Indicator) in grado di quantificare con la massima precisione possibile ciascuna autovalutazione. Ed è a partire da queste valutazioni che si possono mettere in campo strumenti e buone pratiche per fronteggiare o mitigare le minacce.
Attenzione però: le operazioni di risk assessment di una banca non devono essere necessariamente complesse, devono essere piuttosto commisurate alla natura e alle dimensioni dell'attività della società e della sua infrastruttura IT. Fondamentale però è integrarle con le valutazioni degli esperti aziendali e dei consulenti esterni e con le informazioni ottenute da fonti autorevoli, come organizzazioni internazionali intergovernative e governi nazionali. Perché il Risk Based Approach sortisca i risultati attesi, inoltre, le banche dovrebbero rivedere la loro valutazione periodicamente, e in ogni caso quando le circostanze cambiano o emergono nuove minacce rilevanti.
L'adozione di un approccio basato sul rischio costituisce una valida premessa per introdurre in azienda il concetto di gestione dinamica delle minacce. Secondo la definizione riportata nella norma ISO 31000, che delinea la metodologia, sono tre gli elementi che concorrono a formare il rischio: gli obiettivi da raggiungere, la minaccia che ne impedisce il perseguimento e la probabilità che quella minaccia si avveri. In quest'ottica, per gestire il rischio in maniera dinamica bisogna governare i processi orientandoli al raggiungimento effettivo degli obiettivi tenendo conto di tutti gli eventi che potrebbero alterarne il percorso: studiare i task, le interazioni e le modalità operative per comprendere quali elementi portano effettivamente al raggiungimento degli obiettivi e quali invece generano difformità permette non solo di mitigare i fattori di rischio, ma anche di ottimizzare i risultati. Il Risk Based Approach permette per l'appunto alle banche di creare rappresentazioni della realtà aziendale orientate al Rischio, ovvero mappe di rischio accurate – in grado cioè di evidenziare area per area quali sono i danni potenziali rispetto a determinate scelte e azioni – e di incorporare appositi KRI per predire gli effetti generati da cyber attacchi e incidenti IT, attribuendo nella misura corretta le co-responsabilità agli attori coinvolti e assegnando presidi di controllo coerenti con ciascun ruolo e con ciascuna funzione.
Topic: Risk Management, Banking