Nel corso di una recente conferenza del Cetif sul tema “Introduzione della funzione di compliance nelle compagnie di assicurazione: preparare cultura e organizzazione”, ZeroUno ha avuto modo di incontrare e intervistare Gianpiero Brignoli, Risk management e Compliance Officer di Zurich Insurance Italia il cui intervento, a nostro avviso, più ha riflesso esperienza organizzativa sul campo ed espresso valenze per alcuni versi indipendenti dallo specifico settore assicurativo. Non è incidentale precisare che il suo “risk management e compliance office” è un’entità che fornisce servizi “cross” ai vari rami del gruppo, incluse consociate estere, con enti regolatori diversi rispetto all’Italiana Isvap.
Un "office" di risk management e compliance
Un ruolo indubbiamente emergente in ambito di governance delle aziende finanziarie, cioé di risk management e compliance, è il costituirsi di una entità organizzativa autonoma: un “office” appunto che ai processi di business offra un supporto e servizi terzi rispetto al tradizionale rapporto tra Cfo e linee di business (nel mondo assicurativo è esclusa la possibilità di riferire a ruoli operativi per il risk manager e, dal 26 marzo scorso, anche per il compliance officer come lo era per l’internal audit). La figura 1 mostra la “vista” con cui Brignoli ha strutturato il suo ufficio facendo una scelta finalizzata a “specializzare le funzioni e quindi le competenze e caratteristiche delle persone preposte”.
Figura 1: Il modello di “Risk Management e Compliance Office” adottato da Zurich (cliccare sull'immagine per visualizzarla correttamente)
“Gli spazi di funzionali e le attività in naturale interazione tra loro devono essere raccordate in modo da considerare competenze e attività “core” di ciascuno. In Zurich le attività di risk management e compliance sono state affidate ad un unico responsabile (Brignoli, appunto), insieme a una terza unità, Icf – Internal Controls Framework parte dell’Enterprise Risk Management Framework e simile alla piattaforma per la Sarbanes-Oxley. L’Icf si occupa del self-assessment sull’impianto dei controlli nel loro insieme. “Tale unità – spiega Brignoli – affianca ogni responsabile di processo (process owner o Po in figura 1), attraverso un riesame periodico dei controlli che presiedono i rischi operativi indirizzati. “Questa assurance granulare e collaborativa tra responsabili dei processi e funzione Icf – precisa Brignoli – permette di capire se l’impianto dei controlli realizzato si mantiene nel tempo adeguato ai rischi affrontati. La verifica audit arriva dopo, come terza “opinione” indipendente, per testare il funzionamento efficace dell’impianto dei controlli, e validare definitivamente il self-assessment”.
Figura 2: Assessment, Mitigation and Control, Assurance: il processo che seguono le attività delle divisioni Zurich nella gestione del rischio e del controllo (cliccare sull'immagine per visualizzarla correttamente)
Ma quale processo seguono le attività dei tre uffici nella gestione del rischio e del controllo? Un processo in tre fasi: di assessment, mitigazione e controllo, e assurance (vedi figura 2).
“Nella fase di assessment si identificano i rischi, se ne valuta l’impatto e si posizionano su una matrice, misurandoli in scala composta di severità e probabilità: qui servono capacità di analisi e di estrapolazione”, dice Brignoli. “Nella fase successiva di mitigazione ci si concentra sui sistemi di mitigazione e controllo, identificando e attivando ogni misura utile ad abbattere la probabilità e/o ridurre la severità; si crea qui l’ambiente che controlla il rischio: occorrono capacità e tecniche di controllo, ma il passo più difficile è quello di creare una cultura del controllo d’insieme, che comprenda ed accetti tutte le fasi del controllo in modo proattivo. Nella terza fase c’è la verifica dell’efficacia; in altre parole, si vede se l’ambiente funziona secondo le attese. Partendo da questo processo logico e dalla suddivisione nelle tre fasi fondamentali è più agevole posizionare persone e competenze, nonché le scelte organizzative in accordo alla complessità ed alle risorse disponibili in azienda”.
Il valore del servizio, invariante al settore
“Si può certo arrivare a scelte strutturali diverse”, dice Brignoli, “ma i compiti fondamentali di un office risk management e compliance, verticale per funzioni e competenza del personale preposto, è estrapolabile non solo nel mondo delle assicurazioni ma anche ad altre industrie”. Cambierà col tipo di industria solo la tipologia dei rischi “significativi”: nel mondo industriale, la discontinuità operativa; in un’azienda finanziaria, il rischio finanziario; in una società di telecomunicazioni il rischio Ict. L’esperienza di Brignoli, oggi un Risk e Compliance officer assicurativo, proviene da un’esperienza di sette anni di analisi del rischio nell’industria petrolchimica e manifatturiera. “La priorità del rischio “top” può essere influenzata anche dalle dimensioni dell’azienda: una società finanziaria con piccolo capitale da gestire non avrà un’analisi di rischio così articolata come una banca primaria. Si può semmai seguire un modello simile; il consiglio diventa semmai che ciascuna azienda faccia nel suo settore e in base alle sue dimensioni un’analisi e uno sforzo di corretto dimensionamento dei rischi ma anche delle risorse per gestirli e mitigarli”.
Azienda collaborativa per il risk management distribuito
Ma oltre al dimensionamento dell’office, il vero sforzo da fare è realizzare un’assurance granulare e collaborativa tra i responsabili di processo e la funzione Icf, garante dell’impianto dei controlli nel loro insieme.
“Scontati i controlli routinari ed operativi insiti negli scopi delle varie linee di business (controllare che le polizze siano corrette, che un bilancio quadri, che la benzina esca come previsto dai serbatoi, ecc.) – dice Brignoli – il process owner è tenuto a fare la sua parte nel processo di controllo previsto dall’Icf: un 10% della sua testa va dedicato a verificare che l’impianto dei controlli funzioni nel sottoinsieme del business che lo riguarda. Il che lo porta a fare anche i controlli su situazioni più rare in termini di probabilità ma più gravi in termini di severità (ad esempio, possibilità di non riconciliazione tra conti, errori operativi, interruzioni di processo e sistemi, potenziale frode, ecc.)”.
Capita quindi che la reazione iniziale sia “mi stai chiedendo di fare un lavoro non mio” ed è per questo fondamentale accrescere la consapevolezza delle persone per far comprendere che “se ognuno si limita al proprio lavoro, qualcosa ogni tanto può andare seriamente storto e per prevenirlo non c’è che riservare una parte di tempi, comportamenti e capacità manageriali al controllo delle situazioni non ripetitive”, dice Brignoli. “L’office in fondo non è che un secondo livello di difesa verso i rischi: il vero risk management deve essere fatto dal process owner, con il supporto e le metodologie dell’officer e dello staff dell’office stesso. Insomma, la gestione diffusa del rischio aziendale impone un’azienda collaborativa, lasciando il 90% del lavoro del process owner ai suoi obiettivi di business, ma riservando un 10% ai controlli strutturati.
“Serve un faticoso cambiamento culturale affinché i process owner recepiscano la strategia di compliance non solo come insieme di regole, ma come modo nuovo di interagire con la struttura di management”, precisa Brignoli. “È quindi necessario un percorso che parte dai valori, codici di condotta e specifiche policy applicative della strategia di compliance calino su tutta la catena del valore e le sue componenti, inclusi i suoi clienti e azionisti, le strutture interne ed esterne” (come esposto nella figura 3). Col prerequisito di questi passaggi relazionali, ad un processo di generazione di una strategia aziendale di compliance, “i nove mesi concessi dall’Isvap (l’ente regolatore assicurativo) probabilmente non bastano – dice Brignoli. – Occorre qualche anno per fare calare la cultura dei controlli e della gestione dei rischi nella struttura operativa”.
I manager si devono confrontare con una molteplicità di rischi che, nella metodologia Zurich, vengono riassunti in uno strumento chiamato Risk Profile, il diagramma severità-probabilità che individua la posizione reciproca dei rischi (di business, di compliance, di Ict, ecc.). La loro priorità è inoltre figlia, oltre che della loro specifica valutazione, delle opportunità che li hanno generati : è quindi importante che se ne tenga conto nel confrontare due diverse soluzioni alla realizzazione di un progetto o di una decisione importante.
Figura 3: Il Compliance Framework di Zurich: Roadmap applicativa (cliccare sull'immagine per visualizzarla correttamente)
Ciclo di vita del servizio tra opportunità e decisione
La catena del valore che dai clienti arriva agli azionisti (figura 3) è servita controllando una gestione di rischi per una rete sia interna (vendita) che estesa (intermediari) che di terze parti tutte esterne (liquidatori), come ben esposto nella figura 4.
Figura 4: Compliance: secondo l'esperienza Zurich bisogna fare attenzione alle componenti esterne dell'impresa (cliccare sull'immagine per visualizzarla correttamente)
Su tutte queste componenti si applica il framework di gestione dei rischi. “Aziendalmente si attiva un vero e proprio ciclo di vita processuale (vedi figura 5), articolato in componente strutturale top down (in cui l’adeguamento alla strategia di compliance si sviluppa per i rami aziendali attraverso fasi di consapevolezza, conoscenza e applicazione di norme interne ed esterne) e in componente operativa bottom up, cioé un supporto decisionale basato sulla discussione dei casi specifici e delle decisioni operative”, precisa Brignoli.
Figura 5: Ciclo di vita processuale in ambito risk management e compliance: l'interazione con i processi è fondamentale (Compliance operation) (cliccare sull'immagine per visualizzarla correttamente)
In altre parole in Zurich, si sta compiendo uno sforzo organizzativo per coniugare opportunità decisioni (valutando consapevolmente i rischi), attraverso un bilanciamento di due processi: applicazione delle strategie di risk management e di conformità dei comportamenti alle normative interne ed esterne (compliance) e le valutazioni di opportunità/rischio che vengono in prima istanza dall’esperienza della linea di business.
È un’innovazione collaborativa che genera valore, anche se, lascia intendere Brignoli, incontra inevitabilmente e periodicamente alcune resistenze e si cimenta con le tatnte priorità sul tavolo delle persone di business. Per questo è molto importante la comunicazione e sforzarsi di fare comprendere non solo la regola ma le ragioni sottostanti di essa.
La "difficile" piattaforma aziendale It
L’office di risk management (Rm) e compliance fruisce di “diverse piattaforme It”, nate in momenti diversi, e fornite dalla casa madre svizzera: una piattaforma di Enterprise Rm, una di audit e una per il progetto Icf-Sox, su cui si consolidano rispettivamente valutazioni di risk analysis, issue di audit, e il lavoro di self-assessment trimestrale dei manager, dopo validazione a livello locale.
La parte compliance ha solo procedure basate sui report dell’office ma il ruolo dell’It nel risk management e nella compliance è visto sotto due aspetti: una piattaforma unica che deve essere sufficientemente snella per poter effettuare la fase di analisi (ricavare le informazioni e i dati che servono alle varie funzioni, compliance, risk management e audit), e, al tempo stesso, sufficientemente dettagliata per poter seguire il piano di remediation, che magari ha 300 o 400 linee di issue da seguire per un’azienda come Zurich, per ciascuna delle quali qualcuno trimestralmente deve gestire l’aggiornamento (cancellare, rimediare, riassessare, dare un rating o un progress diverso). “Di fatto la parte per così dire “più facile” è quella di analisi, e le varie piattaforme non sono un problema, anzi l’agevolano; i guai cominciano in effetti quando confluiscono tutte nel piano complessivo di remediation, dato che la parte difficile è quella di fare convergere i vari punti di vista ed il progress effettuato in momenti e da persone diverse (il follow-up)”, conclude Brignoli.
L'esperienza di Zurich è inserita all'interno del Security Web Journal, l’area di ZeroUnoWeb focalizzata sull’analisi di ogni fenomeno tipico dell’informatizzazione di impresa dalla prospettiva della security. Un’area ricca di approfondimenti, white paper, disamine tecnologiche, scenari di mercato, confronti in modalità “tavola rotonda virtuale”, link utili, filmati, ecc.