Banche e Risk Management: nuovi strumenti e nuove competenze per affrontare la sfida digitale - Riskmanagement

Augeos Point of View

Banche e Risk Management: nuovi strumenti e nuove competenze per affrontare la sfida digitale

Oggi il settore finanziario deve confrontarsi in modo innovativo con i temi della gestione dei rischi, dell’evoluzione della regolamentazione e delle strategie di redditività, identificando paradigmi utili ad affrontare il post-Covid. Il punto di vista di Andrea Violato, Product Owner di Augeos

09 Nov 2021

Domenico Aliperto

Nel loro processo di modernizzazione le banche non devono affrontare sfide di rilievo solo rispetto ai temi organizzativi, alla visione strategica e all’integrazione delle tecnologie digitali. Parallelamente, intersecato con ciascuno di questi aspetti, c’è anche il fronte del risk management, che non può prescindere a sua volta da una profonda revisione metodologica.

Serve una trasformazione che, facendo leva sulle piattaforme di intelligenza artificiale e di data analytics, aiuti l’intera organizzazione a maturare piena consapevolezza dei rischi connessi all’adozione delle nuove tecnologie, promuovendo la collaborazione di tutti gli attori coinvolti e la creazione di profili con competenze sempre più trasversali.

Oltre la standardizzazione: aumentare la qualità del controllo aziendale

Oggi è fondamentale utilizzare strumenti basati sull’AI e sul Machine learning per misurare i rischi operativi e, d’altra parte, è necessario al tempo stesso indirizzare i nuovi rischi operativi connessi all’uso integrato di questo tipo di applicazioni. Il tema, quindi, ha una doppia sfaccettatura. Ed è così rilevante da essere stato anche al centro dell’ultima edizione di “Supervision, Risks & Profitability”, l’appuntamento che ABI dedica ogni anno alla gestione dei rischi, all’evoluzione della regolamentazione e alle strategie di redditività. Ma non è l’unico driver di cambiamento di questi tempi.

“Anche l’emergenza sanitaria, con la serie di limitazioni imposte dalle autorità, ha inciso pesantemente sull’evoluzione del rischio cyber e informatico nel mondo finanziario”, spiega Andrea Violato, Product Owner di Augeos, software house italiana specializzata nella progettazione di soluzioni per il settore Banking & Finance negli ambiti della Compliance, dei Reference Data e, per l’appunto, del Risk Management. Violato, che la scorsa estate ha preso parte come relatore a “Supervision, Risks & Profitability”, precisa prima di ogni altra cosa che “il controllo aziendale, a differenza di due anni fa, sta diventando nel mondo finanziario un oggetto sempre meno numerico. Comprendere appieno il contesto in cui opera il business vuol dire oggi evitare l’errore di affidarsi esclusivamente a standard internazionali o a best practice consolidate e di limitarsi a implementarne le prescrizioni in modo monolitico. L’ISO 27001 o il framework Nist, per esempio, portano vero valore al risk management solo se una banca ha sviluppato la piena maturità rispetto alla complessità che deve affrontare, ed è disposta a seguirne le linee guida in modo razionale, con l’obiettivo di migliorare costantemente ciascun elemento in base a parametri di giustezza e conformità da adeguare allo status quo”.

Un risk management capace di muoversi su una doppia prospettiva

Secondo Violato, quindi, occorre dare vita a un risk management che tenga conto di una doppia chiave di lettura: da un lato c’è l’importanza di sapersi dotare di un metodo, di un approccio formale che diventi fulcro delle policy aziendali; dall’altro occorre sapersi muovere con un approccio pragmatico, con una metodologia specifica che tenga conto di cosa c’è effettivamente da fare rispetto alle specificità dell’organizzazione e dei suoi obiettivi di business.

“Attenzione però: una metodologia che non è supportata da strumenti adeguati non funziona”, avverte l’esperto di Augeos. “È necessario inoltre dare enfasi non soltanto al rischio in sé, ma anche e soprattutto all’apparato di controllo. Limitarsi a valutare solo le fattispecie di rischio senza effettuare verifiche rigorose sull’efficacia delle contromisure, oggi, vuol dire gestire le minacce in maniera miope. Lo dimostrano le statistiche, e i casi di cronaca: essere vittima di attacco cyber è ormai un fatto scontato”.

Il problema di base è che, rispetto ai controlli che occorre mettere in campo, la banca deve sostenere operazioni molto complesse, individuare molteplici fonti di informazioni e, come detto, sviluppare un approccio pragmatico, calato sulla propria realtà.

“In questo senso la fase di assessment si rivela fondamentale per due motivi: evidenzia parametri utilissimi per migliorare l’adattamento della struttura agli scenari di rischio e di fatto rappresenta lo strumento che ci permette di individuare eventuali falle di sicurezza, indirizzando efficacemente le minacce”, dice Violato. “Non esiste un sistema di controlli perfetto, e monitorando costantemente anche le risposte agli stimoli esterni, l’assessment aiuta la realtà aziendale a mettere a fuoco i margini di miglioramento per ciascuna area”.

La filosofia (e la piattaforma) messa a punto da Augeos

Per consentire agli istituti finanziari di effettuare una mappatura a 360 gradi, Augeos ha sviluppato una piattaforma modulare in grado di coinvolgere tutti gli attori della catena del valore, di raccogliere in maniera sistematica i dati relativi ad asset, contromisure attivate, serie storiche degli incidenti e strumenti a disposizione delle banche, e quindi di monitorare step by step tutte le informazioni, storicizzandole.

“Per fare un quadro completo della situazione bisogna intervistare una pluralità di soggetti differenti, ognuno con una propria visione soggettiva del contesto aziendale”, sottolinea Violato. “Proprio per questo motivo, il nostro strumento è stato progettato per mediare tra i contributi di chi ha una valutazione più orientata al business e quelli di chi invece osserva la situazione da una prospettiva eminentemente tecnologica. Mettendo a fattor comune background eterogenei, è così possibile prevedere contromisure basate su approcci tecnici, standard o best practice che, pur traendo origine dalla profonda conoscenza della tecnologia digitale, devono necessariamente passare da una visione di business. Il classico esempio è quello della gestione delle password: in fase di assessment l’utente business la giudica con criteri estremamente diversi da quelli che usa il tecnico. Rimappare i giudizi in termini di conformità di un modello olistico permette di bypassare questo genere di divari e identificare la soluzione ottimale”.

Seguendo lo schema dell’approccio descritto da Violato, all’assessment segue la fase della detection, ovvero del monitoraggio vero e proprio della situazione, in funzione di quanto si rivela efficace il sistema di controlli messo appunto. Nel momento in cui si ha l’impressione che ci siano aspetti deficitari, è possibile intercettarli in modo pragmatico e celere, colmando dei gap che con un approccio diverso vengono tipicamente ignorati.

“Non si tratta di pure simulazioni”, continua Violato, “ma di strategie che aiutano le banche anche a sviluppare la capacità di rispondere a situazioni di rischio estremo, specialmente quando il sistema dei controlli è sotto stress. Saper rimediare nel più breve tempo possibile a una minaccia che si avvera significa governare ciascuno degli aspetti legati alla definizione di piani d’azione che vanno necessariamente integrati a cavallo di più uffici, coinvolgendo colleghi con differenti expertise. Anche il tempo, non bisogna dimenticarlo, è uno di questi fattori. I nostri moduli consentono per esempio di coordinare vari team di lavoro, valutando l’effort richiesto su ogni risorsa. Sapere che un elemento fondamentale della squadra non potrà essere coinvolto nella predisposizione delle attività perché impegnato su altri fronti permette di prendere in considerazione anche vulnerabilità di questo genere”.

Il risk management del futuro ha bisogno di figure trasversali

“Oggi più che mai si va nella direzione di avere in banca figure professionali ibride, formate sia tenendo in considerazione gli aspetti tradizionali delle discipline economico-giuridiche, sia dando spazio alla crescita dei profili tecnici. Tutte le aziende dovrebbero dare sempre maggiore importanza a figure trasversali: la complessità del mondo che abbiamo di fronte richiede sensibilità diverse per eliminare i gap che tutt’ora sussistono nelle procedure di analisi del rischio di troppe banche”.

New call-to-action
@RIPRODUZIONE RISERVATA
A
Domenico Aliperto

Articolo 1 di 5