L’inarrestabile processo di digitalizzazione – accelerato dall’emergenza pandemica – e l’inasprimento della normativa in materia di data protection stanno rendendo i temi legati alla gestione dei non financial risks assolutamente prioritari per il mondo degli istituti di credito.
Si tratta, d’altra parte, di due fenomeni che vanno di pari passo con la crescita esponenziale delle attività di cyber-crime e degli incidenti informatici, che ormai possono determinare impatti critici per qualsiasi tipo di impresa, non limitandosi solo a minacciarne la business continuity, ma minando alla sopravvivenza stessa dell’organizzazione.
In questo contesto non semplice, le banche sono alle prese con una complessa metamorfosi che si muove su due direttrici: a una sempre maggiore concentrazione del mercato infatti corrispondono, sull’onda dell’affermazione delle piattaforme mobile e digitali, la frammentazione dei canali e la comparsa di nuovi partner, che presidiano specifiche fasi della catena del valore facendo leva su competenze specialistiche.
L’operational risk management, dunque, va oggi affrontato a 360 gradi. Le banche hanno bisogno di soluzioni end-to-end, capaci cioè di incorporare strumenti e metodologie in continua evoluzione. L’obiettivo è riuscire a gestire in maniera olistica, attraverso la condivisione della conoscenza, i rischi operativi, informatici e di compliance nell’ambito di un vero e proprio processo di trasformazione della cultura aziendale.
Gli istituti di credito più sensibili all’innovazione si stanno già muovendo in questo senso. Banca Popolare di Puglia e Basilicata, per esempio, ha dedicato gli ultimi anni ad affinare le operazioni da compiere in fase di assessment e mitigazione dei rischi, costruendo un ambiente cooperativo verso cui convergono e si integrano i vari aspetti processuali del risk management.
La partnership con Augeos, in particolare, ha permesso alla Banca di accedere alle competenze e alle tecnologie – ma anche alla flessibilità progettuale – necessarie a mettere in piedi una soluzione ritagliata su misura, in grado di supportare nuovi metodi di lavoro a tutti i livelli dell’organizzazione.
Indice degli argomenti
Un approccio integrato alla compliance in materia di data protection
«Rispetto alla compliance sulla data protection, la prima esigenza era quella di sviluppare una gestione informatica ottimale del registro dei dati personali, che a partire dal 2018, come prescrive il GDPR, è diventato un obbligo per tutte le realtà che trattano le informazioni relative ai cittadini europei», spiega Patrizio Franchini, Head of compliance di Banca Popolare di Puglia e Basilicata.
«Eravamo partiti, in via iniziale, con un approccio meno strutturato, basato sulla compilazione di file Excel che venivano aggiornati di volta in volta per introdurre le modifiche del caso. Con il passare del tempo la necessità di snellire e rendere più efficiente il processo, insieme alla volontà di applicare compiutamente il concetto di accountability, anch’esso previsto dal Gdpr, ci ha spinto a considerare nuovi approcci».
Il pensiero è corso alla partnership con Augeos, che aveva generato un’esperienza positiva sul fronte del risk management, senza contare l’ovvia correlazione tra rischio informatico e strumenti di trattamento dei dati personali tramite applicativi informatici.
«Ci è sembrato naturale rivolgerci a loro, ma per policy aziendale abbiamo comunque indetto una gara semplificata e abbiamo valutato con attenzione le offerte provenienti da altre realtà. La scelta è ricaduta su GRC Governance, Risk Management & Compliance Plus di Augeos, perché oltre a rispondere nel concreto alle esigenze che avevamo manifestato, funge anche da portale unificato a disposizione delle singole funzioni aziendali di controllo. In un certo senso» – continua Franchini – «Augeos aveva anticipato la nostra richiesta di integrazione. Del resto, il tema del trattamento dei dati personali non si ferma solo alla gestione del registro. Lo scopo è quello di allargare lo spettro d’azione rispetto alla Data protection impact analysis, strettamente correlata con il risk management. E nel corso dell’anno, al termine del processo di acquisizione di 26 sportelli UBI, puntiamo ad estendere le funzionalità anche ai processi legati all’esercizio dei diritti sui dati».
Il progetto sviluppato con Augeos ha portato quindi alla semplificazione e alla razionalizzazione di procedure che in precedenza erano sostanzialmente «meno strutturate, meno efficienti ed efficaci» – dice Franchini – «Ora che abbiamo articolato ciascuna fase in un iter standard e condiviso, siamo in grado di scadenzare e controllare in modo sistematico l’intero processo. Questo ci consente di migliorare costantemente la gestione dei tempi, verificandone puntualmente il rispetto e valorizzando le proposte dei singoli owner».
Un corretto approccio alla compliance in materia di data protection implica infatti che gli owner dei vari trattamenti propongano una serie di opzioni per la gestione dei dati che risultino confacenti all’organizzazione aziendale, e che il DPO ne valuti la conformità.
Rendere questo processo il più trasparente e strutturato possibile, con l’opportunità di verificarne l’efficacia passo per passo, ha consentito a Banca Popolare di Puglia e Basilicata di cominciare ad acquisire ed elaborare tutte le informazioni con una metodologia nativamente condivisa da owner dei trattamenti, responsabili della compliance e risk manager.
Un’unica piattaforma per la gestione dei rischi operativi e ICT
L’adozione di GRC Plus per la compliance è stata, come detto, funzionale all’integrazione con la soluzione sviluppata, sempre in collaborazione con Augeos, per la gestione dei rischi operativi e informatici.
Banca Popolare di Puglia e Basilicata aveva bisogno di una soluzione e di una metodologia in grado di mettere a fattor comune le valutazioni quantitative di impatto provenienti da più fonti (rispetto all’approvvigionamento dei dati di scenario per la costruzione di mappe di rischio, la banca lavora con Cedacri, ma fa affidamento anche sui servizi offerti da terze parti, a livello locale e nazionale) e le informazioni ricavate dalle interviste qualitative condotte internamente.
«Per far evolvere in modo armonico e omogeneo la valutazione delle minacce e l’identificazione di adeguate contromisure c’era quindi bisogno di un sistema di reporting standardizzato, che migliorasse l’accountability all’interno dell’organizzazione e che desse la possibilità di tracciare nell’ambito delle rendicontazioni trimestrali l’andamento del rischio per proporre al board piani di trattamento e mitigazione«, racconta Giansimone Ghiottone, Risk manager dell’istituto.
«Non dimentichiamo che il decimo aggiornamento della Circolare 285 della Banca d’Italia rende di fatto il rischio informatico quasi autonomo. E poi c’è il tema della PSD2, che oltre a configurarsi come un fattore abilitante per nuove attività di business, diventa anche un punto di attenzione per la valutazione delle minacce sui sistemi di pagamento. Ecco perché per noi era opportuno far confluire sulla stessa piattaforma anche la valutazione dei processi operativi. Il percorso è stato piuttosto lungo: abbiamo lavorato con Deloitte dal 2012 sul risk assessment, ottenendo un risultato molto apprezzato sul piano governance interna, ma ci mancava una piattaforma integrata che permettesse di censire rischi, valutazioni, interventi, perdite, uno strumento che ci aiutasse a farci evolvere dal modello BIA (Business Impact Analysis) al modello TSA (Traditional Standardised Approach)».
Personalizzazione dei tool di risk management
La suite di Augeos è risultata ottimale per far confluire su un’unica piattaforma i processi di gestione del rischio operativo e quelli relativi all’ICT risk management, con l’obiettivo di accompagnare l’intera organizzazione verso l’adozione del modello TSA per il calcolo del requisito patrimoniale.
Proprio in quest’ottica, la banca ha richiesto ad Augeos una serie di customizzazioni che hanno portato alla realizzazione di un modulo addizionale e all’ingegnerizzazione di un’evoluzione dell’infrastruttura su cui si basavano le procedure.
«Abbiamo registrato un netto miglioramento del funzionamento complessivo del processo, e ora siamo in grado di identificare e orchestrare le varie fasi in modo definito, tracciando ciascuna delle azioni compiute all’interno dei diversi step», dice Ghiottone.
Il maggiore coinvolgimento degli attori sul piano operativo e la standardizzazione nelle attività di raccolta dati ai fini della reportistica hanno generato un forte elemento di discontinuità rispetto a una serie di pratiche che in passato venivano percepite come puri adempimenti burocratici.
«Abbiamo notato un notevole progresso rispetto alla percezione della cultura del rischio in azienda: un vantaggio decisivo se si considera che il fattore umano continua a ricoprire il primo posto tra le minacce e i driver di rischio per l’organizzazione. Il futuro? Quello che ci occorre», chiosa Ghiottone, «è l’integrazione di tutti gli aspetti processuali con l’applicativo. Le ipotesi per i prossimi sviluppi della piattaforma in questo senso vertono principalmente sul tema delle esternalizzazioni e dei rischi legati alle terze parti».
