Una risk governance efficace è la premessa per garantire la stabilità e la resilienza di qualsiasi azienda: per contrastare le minacce che possono compromettere la business continuity o provocare danni diretti e indiretti al conto economico, l'unica arma a disposizione delle imprese è la conoscenza. In un contesto economico sempre più complesso e in continua evoluzione, però, implementare strategie di risk governance non vuol dire solo conoscere, intercettare e prevenire i rischi, ma anche limitare i danni procurati da incidenti imprevedibili e ripristinare tempestivamente l'operatività in caso di crisi.
Occorre quindi individuare in modo proattivo le minacce esterne e le vulnerabilità dell'azienda, adottando strategie diversificate e stratificate per minimizzarne gli impatti delle prime e, laddove possibile, risolvere le seconde. Ciascuna azione va intrapresa con un approccio multilivello, ma allo stesso tempo centralizzato e integrato, capace di convergere per l'appunto in una risk governance che sappia spaziare tra diverse discipline: dall'implementazione di robusti sistemi di sicurezza informatica per proteggere i dati sensibili alla realizzazione di analisi approfondite dei rischi operativi, passando per l'identificazione dei potenziali punti deboli nella catena di fornitura e per il monitoraggio delle attività delle terze parti.
Risulta evidente che per raggiungere lo scopo è assolutamente necessario coinvolgere tutte le funzioni aziendali, promuovendo una cultura organizzativa orientata alla trasparenza, e soprattutto basata sulla condivisione delle informazioni utili a potenziare in senso continuativo gli strumenti conoscitivi al servizio della risk governance
Ecco perché occorre istituire procedure univoche e trasparenti di raccolta e analisi dei dati, procedure che non si limitino ad attraversare l'intera organizzazione, ma che mettano anche a fattor comune, aggiornandoli costantemente, gli elementi quanti-qualitativi che connotano i processi operativi in senso stretto e gli input che consentono di costruire KPI efficaci sullo stato di salute delle infrastrutture e delle piattaforme IT.
Solo interpolando le due dimensioni con informazioni qualificate – e superando così gli ostacoli tassonomici e definitori che di solito contraddistinguono le diverse prospettive da cui in azienda si osservano i fenomeni – diventa possibile stabilire relazioni coerenti di causa-effetto tra le minacce individuate e le possibili ricadute sull'operatività, scegliendo di volta in volta le azioni migliori da intraprendere per mitigare i rischi, adattando dinamicamente la catena di controllo e garantendo in ultima analisi la resilienza aziendale.
I risultati della Global Risk Management Survey condotta da Aon evidenziano ampi margini di miglioramento sul fronte del cyber risk: solo il 12% degli istituti coinvolti nel sondaggio dichiara infatti di aver quantificato la propria esposizione in tal senso.
Una risk governance evoluta e centralizzata sul fronte delle terze parti
D'altra parte, i player attivi nel mondo dei servizi finanziari tendono ad avere programmi di gestione del rischio terze parti più maturi rispetto a organizzazioni che operano in altri settori. Sicuramente ciò dipende dalla già citata stretta regolatoria, assente in molti altri verticali. Ma - almeno secondo quanto rilevato dalla 2023 EY Global Third-Party Risk Management Survey – molte delle aziende che si occupano di servizi finanziari utilizzano anche una struttura centralizzata del programma di gestione del rischio terze parti (62% rispetto al 46% dei servizi non finanziari e al 54% degli intervistati in generale).
Mentre la maggior parte delle aziende, nel complesso, non ha sviluppato una chiara tabella di marcia in tal senso, più di un quarto delle organizzazioni del Finance (27%) dichiara di avere un piano pluriennale con tappe e obiettivi definiti.
In generale, comunque, il 90% delle organizzazioni si sta orientando verso una gestione centralizzata del rischio, rispetto all'85% riscontrato dal sondaggio EY condotto nel 2022. Tra gli intervistati, il 54% delle organizzazioni utilizza una gestione centralizzata del rischio (in calo del 6% rispetto al 2021), il 36% utilizza un approccio ibrido (in aumento dell'11% rispetto al 2021) e il 10% utilizza un programma decentralizzato (rispetto al 12% del 2021).
Le aziende che nell'ambito di una risk governance evoluta e integrata sono riuscite a creare casi d'uso specifici per i loro programmi di gestione del rischio terze parti hanno del resto ottenuto significativi benefici diretti e indiretti rispetto all'efficacia complessiva delle proprie strategie. E questo anche al di là della mera riduzione dei costi, potendo per esempio contare su dati più completi e accurati, migliorando la comprensione delle minacce durante il processo decisionale e allineando le competenze presenti all'interno dell'organizzazione.
Potenziare la risk governance e rendere sempre più efficace il processo di individuazione e segnalazione dei rischi tenendo conto delle best practice fin qui evidenziate è possibile solo implementando una piattaforma integrata digitale su cui far convergere le informazioni provenienti da tutti i centri nevralgici – interni ed esterni – dell'impresa.
Oltre a costituire un ambiente condiviso dove i dati e i processi, pur evolvendosi, mantengono una coerenza intrinseca (condicio sine qua non per sviluppare una visuale estesa su tutte le attività dell'organizzazione e della filiera in cui opera), una piattaforma evoluta è infatti anche in grado di generare gli insight indispensabili per supportare gli iter decisionali, e di produrre reportistica accurata per descrivere lo status quo dell'azienda, gli scenari di rischio o le conseguenze di una minaccia che si è avverata.