Pomer: “Grazie al Grc efficienze e nuove opportunità per le aziende” - Riskmanagement

L'INTERVISTA

Pomer: “Grazie al Grc efficienze e nuove opportunità per le aziende”

Il business development manager di Stratos Analytics: “Il Governance, Risk & Compliance è un’area sempre più rilevante. Le società che devono adeguarsi alle norme possono sfruttare l’occasione per rinnovare i processi e per gestire i rischi nel modo più efficiente grazie alle nuove piattaforme informatiche”

26 Gen 2021

Antonello Salerno

Il settore della Governance, Risk & Compliance è stato finora considerato dalle aziende come uno di quelli “a basso valore aggiunto”. In parole povere un insieme di obblighi, spesso dettati da normative stringenti, a cui le imprese di ogni dimensione sono state chiamate ad adeguarsi a seconda delle prescrizioni di governi e authority, dal trattamento dei dati alla prevenzione dei rischi informatici. Nell’ultimo periodo, però, se da una parte le leggi in materia sono diventate sempre più stringenti, tanto da far lievitare il valore degli investimenti delle aziende nel settore, anche a fronte di sanzioni comminate sempre più rilevanti, dall’altra le tecnologie digitali hanno aperto nuovi scenari e nuove opportunità di business. Le aziende cioè che sono in grado di gestire i processi di GRC – grazie al digitale e all’analisi dei dati – possono sfruttare l’occasione per portare innovazione all’interno dei propri processi di gestione, razionalizzando i costi e indirizzando gli investimenti proprio dove è più utile per ridurre il rischio operativo o per aumentare il controllo. Per riuscirci, però, hanno bisogno di competenze e tecnologie che difficilmente trovano “in casa”, ma che possono essere fornite da operatori specializzati con cui dare vita a vere e proprie partnership. A “prendere al volo” questa opportunità offerta dal mercato e a mettere a disposizione le proprie competenze è Stratos Analytics, azienda specializzata da 20 anni nell’analisi dei dati, come spiega in un’intervista a RiskManagement360 Mauro Pomer, partner della società, in cui ricopre il ruolo di Business development manager.

Qual è il percorso che ha portato Stratos Analytics a mettere a punto un’offerta specifica nel campo del Governance, Risk & Compliance? Quali competenze e quali esperienze convergono in questa scelta?

Stratos lavora nell’ecosistema di IBM da più di 10 anni, e si è sempre guadagnata la fama di avere una spiccata capacità di adottare tecnologie nuove con grande rapidità, arrivando a padroneggiarle in pochissimo tempo. Questa nostra attitudine è stata particolarmente preziosa nel caso di OpenPages, prodotto IBM ideato per gestire progetti GRC, che in Italia era poco conosciuto. Da qui è nata un’opportunità, perché IBM ci ha individuato come la realtà che avrebbe potuto affiancarla, in Italia e non solo, per la diffusione di questo strumento. Così abbiamo iniziato a esplorare più in profondità il mercato specifico, e ci siamo resi conto che era una possibilità di business estremamente interessante, dal momento che proprio in questi anni assistiamo a un aumento deciso di norme e regolamenti a cui le aziende sono chiamate ad adeguarsi. Si tratta di un universo contiguo alle “competenze base” di Stratos, quello dei controlli di gestione, per cui abbiamo valutato che fosse un’occasione da cogliere al volo e su cui investire. Una volta acquisite le competenze tecnologiche abbiamo puntato ad aumentare le nostre competenze funzionali, e siamo arrivati a essere riconosciuti a livello internazionale come uno dei pochi partner di IBM che dispone di tutte le certificazioni necessarie per lavorare in questo ambito.

Quali sono i cardini del vostro approccio metodologico al GRC, e quali aziende possono avvantaggiarsene maggiormente?

Sul mercato a cui noi ci rivolgiamo queste tematiche sono già affrontate dalle aziende. Le regole ci sono, il controllo dei rischi è fondamentale, e le imprese con il passare del tempo si sono attrezzate. Il nostro compito principale è di aiutarle a sistematizzare il loro approccio tramite una piattaforma tecnologica che consenta di non dover ricominciare da zero liberandosi di quello che avevano già implementato, ma aprendo a un approccio integrato che consente di razionalizzare i costi e di dare efficienza ai processi. Ma non trascuriamo i casi di altre aziende che si affacciano su questa realtà per la prima volta: a loro disposizione mettiamo un team di consulenza che le aiuta a disegnare i processi di controllo più utili ed efficienti a seconda delle situazioni. Il punto di partenza è che tutte le aziende corrono dei rischi: alcune li gestiscono e altre no. Ovviamente poi dove esiste una regolamentazione più stringente si è anche obbligati: è il caso – per fare qualche esempio concreto – di banche, assicurazioni, tlc, utilities, mondo farmaceutico, Oil&Gas.

In passato il risk management veniva gestito principalmente in modo centralizzato. Oggi invece coinvolge spesso anche le prime linee di difesa, fino agli operatori di prima linea, quelli agli sportelli ad esempio: si tratta potenzialmente di migliaia di persone. Qual è l’importanza della vostra proposta in quest’ottica?

All’inizio la gestione dei rischi era organizzata a livello centralizzato, perché si trattava di una novità e non se ne capiva ancora il valore strategico. Era una sorta di “toppa” che si doveva mettere per essere al sicuro in caso di controlli, una seccatura necessaria. I processi venivano disegnati in modo che rispondessero alle esigenze dei risk manager, ma non erano adatti a essere usati dalle prime linee di difesa. Poi si è capito che i rischi non devono soltanto essere rilevati, ma che sarebbe molto più utile intercettarli quando nascono, grazie a un coinvolgimento ampio. Si è trattato così di dare ai dipendenti uno strumento disegnato secondo le loro esigenze, con una user experience semplice e immediata, che potesse essere adottata quasi senza training. Questo è stato l’impegno di IBM con OpenPages: ogni dipendente ha visibilità immediata dei controlli che deve fare e delle cose da tenere d’occhio, con task dedicati. Il risultato è che la seconda linea di difesa ha una mole di informazioni molto più ampia, che prima non aveva, con la possibilità di trarne maggiori benefici.

A livello di top management rimane però la necessità di avere una visione di sintesi di ciò che succede, e che questo quadro sia il più possibile semplice da interpretare. Come si riesce ad assicurare questo risultato?

Quando si coinvolgono tanti utenti, come dicevamo, si genera un volume di informazioni grande, rispetto al quale per avere una visione di sintesi utile bisogna poter contare anche su uno strumento che consenta di sintetizzare e di interpretare nel modo più utile. Per questo IBM OpenPages è integrato con Cognos Analytics, che legge tutte le informazioni generate ed è in grado di generare cruscotti e report che danno una visione efficace dei rischi che si corrono, suggerendo le azioni da implementare per affrontare la situazione e minimizzare i pericoli, grazie anche all’utilizzo di un algoritmo di intelligenza artificiale. Questo consente di rendere semplice un processo che altrimenti sarebbe stato farraginoso e molto difficile da affrontare.

Il GRC non si limita ovviamente al risk management: la vostra offerta comprende anche soluzioni per Compliance e Internal Audit e IT Governance: quali sono i vantaggi di una gestione integrata, superando la logica dei silos?

Nel campo della compliance parliamo di norme che impongono controlli e gestione dei rischi. Nel campo del risk management il contesto di base è lo stesso, come avviene anche per l’IT Governance. In tutti e tre i casi l’obiettivo è di gestire livelli di rischio: agendo per silos, separando i tre settori, si potrebbe verificare il problema di mappare lo stesso rischio tre volte, con controlli e prospetti di sintesi diversi, duplicando così una serie di informazioni, sprecando tempo e risorse. Contando invece su un’unica piattaforma è possibile gestire tutti i controlli facendo riferimento a un unico ambiente. L’esempio classico è quello di una banca, dove un utente potrebbe entrare hackerando user name e password. Il problema è gestito dall’IT, ma riguarda ovviamente anche il risk manager, e ci sono norme di compliance da rispettare per evitare accessi non autorizzati. Il fatto di avere un’unica piattaforma di GRC consente di trattare l’intrusione in maniera integrata, senza moltiplicare gli alert e le procedure di risposta.

IBM vi ha identificato come partner di riferimento per l’Italia nel GRC. Qual è il valore aggiunto di questa alleanza?

Noi non siamo un’azienda di tuttologi. Abbiamo scelto alcune piattaforme, e su quelle operiamo con la massima competenza, sviluppando tutte le competenze funzionali del caso. Questo è un tipo di approccio che Ibm ha dimostrato di apprezzare in modo particolare, e quindi siamo diventati interlocutori privilegiati, lavoriamo con i loro venditori. C’è una comunanza forte con l’area commerciale di IBM, con cui ci concentriamo su piattaforme che nel quadrante Gartner sono considerate le principali anche se in Italia non sono ancora così diffuse come in altri Paesi.

Come state programmando il futuro rispetto alle vostre attività nel GRC?

Il mercato italiano, come spesso succede nel campo dell’informatica, è un po’ meno maturo di quelli, ad esempio, dei Paesi del Nord Europa: questo non vuol dire che in Italia non si gestisce il risk management, ma che spesso lo si fa con tecnologie più datate: significa che il mercato potenziale è molto grande. Oggi è in corso la fase dell’evangelizzazione, per rendere evidenti quali sono le nuove funzionalità che possono essere introdotte per portare grande efficienza nei processi. Il nostro obiettivo è di rimanere posizionati come partner di riferimento, mantenendo risorse e competenze e riuscendo a coinvolgere clienti nuovi, facendo muovere il mercato, ed essendo pronti a supportare IBM nelle fasi di prevendita. E poi ci sono da presidiare anche i mercati che oggi sono meno normati, ma ai quali questo genere di approccio farebbe porterebbe di sicuro vantaggi: basterebbe pensare a quali opportunità avrebbe aperto affrontare con questo approccio la stesura del piano pandemico nazionale: non si tratta di nient’altro che di un piano di rischio in caso di pandemia, per capire quali sono i rischi e quali i controlli e le azioni necessari per minimizzarli. Se le Regioni o i ministeri avessero avuto a disposizione uno strumento per vedere in tempo reale cosa era stato fatto e cosa c’era ancora da fare forse ci saremmo fatti trovare un po’ più pronti già all’inizio dell’emergenza.

Come sta rispondendo il mercato alle vostre proposte nel GRC?

Uno dei motivi per cui abbiamo scelto di essere presenti in questo mercato è che abbiamo riscontrato fin dall’inizio che la percentuale delle aziende che rispondono “non mi interessa” è molto più bassa che in altri ambiti. Molti ci dicono che “è un tema caldo” che devono affrontare, altre che magari non hanno budget in questo momento ma che hanno ben presente la situazione. In alcuni casi la partenza è più lenta perché molte aziende hanno preso questa occasione per ridisegnare i processi in maniera più ampia. Più in generale, gli step di maturazione di questo mercato sono essenzialmente due: il primo è stato quello dell’arrivo delle nuove norme, come ad esempio il Gdpr. Questo ha portato a livello globale a una moltiplicazione per sette delle sanzioni, senza contare il danno reputazionale che ne è derivato. Il successivo sarà quello del “new normal”, dell’uscita dalla pandemia. Solo per fare un esempio: prima o poi dovremo gestire il rientro in ufficio di un gran numero di dipendenti secondo norme e modelli nuovi, e avere un sistema che consenta di farlo nel massimo della sicurezza sarà importante soprattutto per le grandi aziende con un gran numero di dipendenti, che dovranno essere pronte a gestire rischi, controlli e remediation plan.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4