Per consuetudine spesso diciamo di voler evitare una scelta che “espone a un rischio” ma raramente superiamo una posizione di pura intuizione e arriviamo a considerare il possibile evento in termini più concreti. L’attenzione al rischio, invece, meglio definita come propensione o addirittura come “appetito” al rischio, vuole esaminare sia gli effetti sia le mitigazioni che con quel rischio permettono di convivere.
L’analisi del rischio, paradossalmente, invita a compiere proprio un esercizio di valutazione della nostra propensione al rischio perché porta ad assumere una decisione nella piena consapevolezza di quello che può accadere, mostrando a priori la probabilità e l’impatto di quell’evento, eventualmente ridotti grazie a interventi di mitigazione, e la misura di esposizione attraverso indicatori o strumenti di monitoraggio e di controllo.
Quelli che seguono sono alcuni spunti di riflessione sulle motivazioni e sugli esiti di un progetto di analisi dei rischi operativi, in particolare di quelli informatici, avviato presso DB Consorzio circa due anni fa con l’obiettivo rispondere a diverse esigenze, principalmente di tipo normativo e organizzativo, nei rapporti con le altre società del Gruppo Deutsche Bank. DB Consorzio è una S.c.a r.l., nata nel 2006 per scorporo da Deutsche Bank Spa dei servizi di infrastruttura tecnologica e di back office operativo che oggi eroga a tutte le società del Gruppo in Italia.
Era apparsa subito chiara la necessità di elaborare una mappatura di dettaglio dei rischi. Se da un lato, infatti, occorreva razionalizzare e trovar ragione di attività e di controlli incrementati nel tempo per rispondere a esigenze via via emerse, dall’altro occorreva smontare le convinzioni che i processi erano implicitamente robusti, che le pratiche erano consolidate e in grado di assicurare piena affidabilità.
Inoltre, non solo nessuno è più disposto a rinunciare a quei controlli che nel tempo sono stati definiti e che costruiscono un patrimonio minimo di tutela (una sorta di barriera poco visibile, perché implicita, alle minacce interne o esterne) ma anzi occorre accrescere la consapevolezza dei controlli e tenerne presenti le implicazioni.
Condizioni preliminari
– Supporto del management e consapevolezza diffusa
Un solido commitment del top management è stato l’arma vincente per il sapiente coinvolgimento delle Direzioni di Settore, di chi poteva dare supporto di metodo e dei referenti esperti della prassi operativa. Si è deciso, inoltre, di far approvare a vari livelli gli esiti intermedi dell’analisi per ottenere una condivisione basata sulla consapevolezza.
La finalità del progetto, di proteggere da eventi di perdita l’azienda o coloro che hanno interessi su di essa, ha dato un ulteriore impulso di consapevolezza a tutti i referenti.
– Interazione continua di settori diversi
L’esigenza di analizzare la prassi operativa e di valutare l’esposizione a possibili minacce e la volontà di trasmettere pratica sensibilità e giusta enfasi ai fattori di rischio rilevati ha richiesto di fissare momenti regolari di interazione tra una funzione di coordinamento e le aree tecniche e operative. Le risorse coinvolte hanno così potuto esprimere la propria competenza specifica e, al tempo stesso, hanno acquisito un comune metodo e un comune linguaggio e hanno condiviso scelte e criteri di analisi.
– Reimpiego di contributi provenienti da precedenti analisi
Un altro elemento vincente è stato il riutilizzo di materiale proveniente da analisi precedenti, anche se diversamente formalizzato, ma utile a quantificare gli effetti. Le attività di Business Impact Analysis (Bia), il piano di Disaster Recovery (Dr) e di Business Continuity Management (Bcm), l’analisi del rischio dei progetti applicativi e dei processi di terziarizzazione hanno permesso di non impegnare risorse per risultati già disponibili e di aggregare contributi che altrimenti sarebbero rimasti isolati.
I risultati hanno poi consentito di soddisfare ulteriori requisiti che comportano evidenze spesso coincidenti: il Documento Programmatico per la Sicurezza (Dps) previsto dalla L.196/2003, il Modello di gestione del rischio rispetto al D.L. 231/2001, il piano dei controlli richiesto dalla Sarbanes Oxley sulla Corporate Governance, l’informativa Icaap per Banca d’Italia, attività di self assessment richieste dall’Audit Interno e dalla Casa Madre.
In questo modo un repository comune, anche se per scopi diversi, che mappa i diversi rischi offre una base informativa per integrare il sistema dei controlli interni.
Elementi di base per l’analisi
Seguono gli elementi sostanziali dell’analisi:
– una robusta impostazione per processi, caratterizzati in termini di area – ufficio – attività, ha permesso di costituire l’ossatura di supporto, una sorta di casellario in cui mappare rischi, eventi negativi, controlli, azioni di mitigazione e indicatori. La suddivisione del processo in componenti di servizio erogate al resto del Gruppo e definite negli Sla, ha poi consentito di individuare le operazioni elementari da sottoporre ad analisi;
– per individuare con rapida intuizione i rischi prioritari, rispetto agli innumerevoli possibili, si è valutata l’esposizione delle componenti operative ai principi di conformità (normativa o contrattuale), di sicurezza delle informazioni (integrità, riservatezza, disponibilità), di sicurezza delle persone (safety) o di salvaguardia del valore dei beni materiali (value). Questo ha consentito un dettaglio equilibrato, evitando il pericolo di una versione eccessivamente analitica ma poco mantenibile e quello di una descrizione generica ma inutile allo scopo;
– si è condotta una valutazione quali-quantitativa del rischio, evidenziando le minacce e le vulnerabilità che concorrono direttamente o indirettamente a un effetto, o impatto, e riferendolo a una tra le possibili classi di probabilità di accadimento e classi di gravità di impatto. Tali impatti sono stati messi in relazione con gli “event type” formulati dal Comitato di Basilea, poi evoluti nella classificazione Orx;
– è stata condotta una descrizione dei controlli, divisi in presidi di primo e di secondo livello, per distinguere la diversa esposizione al rischio attuale (o residuo) rispetto a quello potenziale (o inerente). Questa visione ha consentito di valorizzare l’efficacia degli interventi di mitigazione e delle attività di controllo sulla base della diversa valutazione del rischio nei due momenti;
– sono stati riportati i riferimenti normativi interni ed esterni che richiedono e che contestualizzano l’esecuzione dei controlli;
– è stata avviata la storicizzazione degli incidenti occorsi per avvalorare la continua adeguatezza dell’analisi;
– per i rischi considerati più rilevanti in base a un criterio di priorità, è stata avviata la tracciatura del progresso di nuove azioni di mitigazione per ridurre l’esposizione corrente;
– sono stati individuati o creati nuovi indicatori (Kri), sia per monitorare ex-ante un potenziale decadimento del processo sia per misurare ex-post la numerosità o l’entità degli eventi negativi;
– è stato poi necessario condurre una verifica di fondatezza perché il modello potesse essere considerato attendibile e sostenibile in sede di contraddittorio o di verifica interna o esterna, o perché lo stesso avesse un valore esimente in sede di giudizio.
Quali strumenti
L’iniziativa, avviata come progetto di fattibilità, si è basata su strumenti di informatica individuale per le prime analisi e report. Tuttavia questo esercizio di “umile artigianato” ha permesso di dimostrare la centralità del riesame autocritico del rischio rispetto ad attività, apparentemente isolate, quali la mappatura dei processi, la gestione degli indicatori, la rilevazione degli incidenti, l’elencazione degli adempimenti normativi, lo svolgimento dei controlli, la ricerca di interventi di miglioramento.
Lo strumento usato per la fase iniziale non poteva dunque essere idoneo per completare l’analisi e per gestirla a regime. Un’indagine di mercato ha permesso di individuare tre filoni di sviluppo, comunque basati su sistemi di gestione di basi di dati di tipo relazionale:
– applicazioni realizzate su specifica, con tempi di realizzazione medio-lunghi, poco flessibili in termini di successivi adeguamenti e con requisiti di utilizzo da parte di risorse molto specializzate e dedicate;
– prodotti di informatica individuale, altamente flessibili ma poco rigorosi in termini di sicurezza; utili piuttosto per una migrazione transitoria dei dati;
– prodotti commerciali specializzati nella gestione del rischio ma aperti a funzionalità personalizzate, che favoriscono l’interazione degli utenti secondo una logica a workflow e che consentono di distribuire ai diversi livelli operativi le conoscenze acquisite durante la fase di studio e una più ampia autonomia a svolgere attività decentrate nella fase di mantenimento.
Questa terza soluzione è sembrata vincente sia per un vantaggio di costi rispetto alla prima ipotesi sia per una risposta molto più affidabile ed esaustiva rispetto alla seconda.
Conclusioni
L’attività di analisi e gestione del rischio non raggiunge mai un epilogo conclusivo: serve un continuo lavoro di mantenimento per seguire gli aggiornamenti della struttura organizzativa e dei nuovi indirizzi normativi, per rilevare gli esiti degli accadimenti e per valutare l’efficacia degli interventi di mitigazione o di nuovi controlli. In una fase progredita di gestione del rischio le verifiche periodiche sullo stato di aggiornamento e sulla continua adeguatezza del sistema devono costituire l’impegno prevalente.
Applicando i metodi di valorizzazione quali-quantitativa, la percezione del rischio operativo tende a essere più condivisa, può anzi diventare una componente di intelligenza che fa da driver per la messa a regime e la governance dei processi operativi. Il Risk Management, così, non è più una fase separata svolta da chi mira a comprimere a posteriori i motivi di insuccesso o di disefficienza ma diventa un elemento centrale di valutazione, una sorta di ripensamento autocritico dei processi fin da una fase preliminare in cui serve una misura di efficacia degli esiti rispetto a obiettivi prefissati.
* Enrico Toso è MSU Controlli Interni di DB Consorzio s.c.ar.l.
Gruppo Deutsche Bank
* Mauro Beneduci è amministratore delegato di Sdg Italy
Figura 1 – Struttura del modello di analisi del rischio operativo
(cliccare sull’immagine per visualizzarla correttamente)