Al recente Ca Day 2008 dedicato allo stato dell’arte dell’It Governance, un modello di approccio olistico ai vari tipi di rischio aziendale è stato presentato da Leonardo Nobile, direttore di Deloitte Enterprise Risk Services, società di consulenza, audit e servizi finanziari del gruppo Deloitte & Touche (www.deloitte.com). Il modello mette in un contesto di riferimento i rischi aziendali e propone una metodologia di Risk Intelligence dei fattori esterni e interni di rischio, con un ciclo di governo per ciascun rischio identificato. Il modello posiziona i rischi generali e di processo rispetto alla tecnologia di Governance, Risk & Compliance, proposta da Ca (ca.com/it).
Con riferimento iniziale, e storico, al mondo bancario e al settore assicurativo, ma senza limitarvisi, la capacità di gestire i rischi aziendali si compone in un quadro che struttura un’azienda su tre livelli: una base infrastrutturale costituita dall’organizzazione It, su cui poggiano e con cui interagiscono processi aziendali specifici, ciclo attivo e passivo di business. L’insieme dell’organizzazione deve poi far fronte a rischi generali di business e d’ambiente (vedi figura 1).
A presidio e mitigazione dei rischi aziendali (di livello enterprise, specifici di processo e infrastrutturali It), deve essere definito e dispiegato un “sistema di controlli”, rispettivamente a cura di “alta direzione”, “process owner” e “dipartimento It”. Naturalmente, i rischi processuali possono ripercuotersi sui rischi It e viceversa, e/o risentire dei rischi di livello enterprise o influenzarli (vedi ancora figura 1).
La metodologia sviluppata da Deloitte dà per scontato una sufficiente consapevolezza aziendale acquisita e il riconoscimento della necessità di dotarsi, in un ambiente caratterizzato da rischi/opportunità, di una struttura (Office di Risk Management globale) che assista le linee di business nel gestire i loro rischi in maniera efficace sotto il profilo di asset esistenti e di potenziale di crescita futura.
La mappa del rischio
Il framework di Risk Intelligence prevede un ambito di “rischi esterni”, uno di “rischi interni” e un “ciclo di gestione” delle varie tipologie di rischio identificate, in sette passi operativi (vedi figura 2).
I fattori esterni vanno catalogati in una “mappa del rischio” che permette di individuare e censire le diverse nature di rischio che dall’ambiente insistono sull’azienda. Vanno catalogate, ad esempio, le preferenze dei clienti e loro modifiche, le pressioni politiche, i requisiti normativi, le azioni della concorrenza. La mappa del rischio facilita un processo di identificazione, prioritizzazione, discussione e consapevolezza pervasiva, determinazione di come i rischi sono gestiti nei vari silos organizzativi e individuazione di potenziali interazioni tra rischi, verifica dell’utilizzo di un approccio aziendale e della coerenza in termini di semantica, approccio e metriche, definizione dello scenario di pianificazione.
I fattori interni di rischio sono associati agli attori stessi che li gestiscono: la struttura di governance, le persone, i processi e le tecnologie. La struttura di governance, capace di prendere decisioni tenendo in considerazione il rischio, comprende ruoli e responsabilità a tutti i livelli dell’organizzazione. Per quanto riguarda le persone, il framework tiene conto della capacità di gestione dei rischi in termini di numero adeguato di risorse, competenze, training, consapevolezza (e rischio della singola persona). Per la parte dei processi di business, operativi e infrastrutturali, il modello esamina come operare in maniera efficiente ed efficace e creare/proteggere il valore (e rischio specifico associato). Dal punto di vista delle tecnologie, il framework propone sistemi per analizzare e comunicare le informazioni di rischio in tutta l’organizzazione e consentire decisioni calcolate in base al rischio (e rischi associati al loro utilizzo). Da ultimo, il ciclo di governo dei singoli rischi, identificati in sette passi operativi: sviluppare e implementare le strategie; identificare i rischi; valutare e misurare i rischi (inerenti e residui); risposte ai rischi (piano di mitigazione); progettazione e test dei controlli; monitoraggio, assurance ed escalation; continuo supporto e miglioramento.
Primo obiettivo, è un sistema di controlli efficiente, a costi minori. Serve anche un governo dei rischi proattivo (Governance) e non reattivo (Compliance); un approccio integrato alla gestione dei rischi (diverse normative hanno spesso requisiti comuni; è necessario un sistema di controllo unico, integrato e dinamico di gestione dei rischi che aggreghi i requisiti di compliance, elimini l’approccio a Silos, riduca la complessità, ottimizzi le risorse e generi un minor costo).
Non mancano problemi e punti caldi: nelle zone di frontiera fra processi, se correlate solo a posteriori, si annida un incompleto presidio del rischio; i riassetti organizzativi di processi inducono manutenzioni del sistema di controllo assai onerose; nella realtà aziendale odierna, i sistemi di controllo a presidio dei rischi presentano ancora differenti livelli di analisi, dispersi fra soggetti intercorrelati e agenti con diversi gradi di autonomia (per cui viene meno una vista aggregata e centralizzata degli indicatori sia di rischio che di controllo).
Secondo Deloitte, serve uno strumento automatico per il governo dei rischi in tempo reale, che consenta: registrazione e prioritizzazione dei rischi; registrazione e monitoraggio dei piani di test, controlli e rimedi; registrazione dell’evidenza dei controlli (con metriche event-driven); cruscotto e allarmi per l’Enterprise Governance, Risk & Compliance (Grc).
Dal punto di vista tecnologico, Deloitte ha sviluppato in Usa (e sta “trapiantando” in Europa) una Enterprise Business Security Optimization (Ebso) che, con molteplici casi utente, focalizza le aree cruciali dell’It Governance: Identity & Access Management (Iam), Project and portfolio mgmt (Ppm), Application performance mgmt (Apm), Risk & control mgmt.