Risk Management: un nuovo approccio per fronteggiare scenari sempre più erratici

Uno scenario pieno di rischi

La pandemia COVID-19 ha creato un momento di cambiamento senza precedenti per le organizzazioni pubbliche e private di tutto il mondo. Dirigenti e consigli di amministrazione sono stati costretti a reagire prontamente per affrontare le minacce, i rischi e gestire i punti di cedimento, cogliendo – ove possibile – le opportunità per proteggere la salute e la sicurezza dei dipendenti e dei clienti e, al contempo, evolversi per far fronte alle sfide contingenti e agli eventi dirompenti che possono compromettere irreversibilmente l’organizzazione.

Abbiamo preso consapevolezza di quanto sia importante diffondere all’interno delle organizzazioni una forte cultura del rischio e della resilienza. Inoltre, è risaputo che le organizzazioni che hanno sviluppato tale cultura  hanno dimostrato una migliore performance in periodi di crisi; senza dimenticare come i processi di digitalizzazione e automazione in atto stiano impattando sulle organizzazioni e comportino, per esse, ulteriori rischi.

Il Risk Management sotto la lente d’ingrandimento

Secondo quanto emerge dall’edizione 2020 dello “European Risk Manager Report” – realizzato da FERMA (Federazione delle Associazioni europee di Risk Management) e PWC, presentato lo scorso ottobre nel corso di un recente webinar dal titolo “I Risk e Insurance Manager in Europa e in Italia, tra ruolo presente e prospettive future” di ANRA (Associazione Nazionale dei Risk Manager) – questa figura è in continua evoluzione: essa deve dimostrarsi sufficientemente “agile” nell’adeguarsi al cambiamento dei rischi e alle loro priorità. L’emergenza COVID-19 ha contribuito ad evidenziare queste caratteristiche, facendo comprendere come per le aziende sia, sempre più, una necessità imprescindibile poter contare su una corretta mappatura dei rischi sia nel breve sia nel lungo periodo.

Come si evince dal report di FERMA, nei prossimi anni assisteremo a uno scenario di rischi in continua evoluzione: al primo posto troveremo i rischi relativi alle incertezze sulla crescita economica, seguite dalla iper-regolamentazione e dalla velocità dei cambiamenti tecnologici, oltre alle implicazioni che, inevitabilmente, deriveranno dagli effetti della pandemia globale. Le organizzazioni dovranno, pertanto, affrontare i rischi legati a: il cambiamento nelle abitudini dei consumatori; le sempre più importanti tematiche legate ad ambiente e sostenibilità; l’adozione delle politiche europee “green” e dei principi di ESG (i.e. Environmental, Social e Governance).

Lessons Learned: cosa è destinato a cambiare

Il Risk Manager dovrà, come un “camaleonte saggio”, evolvere per dimostrarsi in grado di gestire il cosiddetto mondo V.U.C.A. – un mondo caratterizzato cioè da volatilità (Volatility), incertezza (Uncertainty), complessità (Complexity) e ambiguità (Ambiguity) – e assumerà un ruolo sempre più strategico, all’interno di un framework olistico, coadiuvato dal Business Continuity Manager e dalle altre funzioni di Security. In questo modo sarà possibile garantire la resilienza organizzativa e, al contempo, essere in grado di individuare tempestivamente i rischi e di gestirli efficacemente.

Durante la pandemia, i Risk Manager hanno imparato che le organizzazioni devono diventare più “intelligenti” in termini di rischio, utilizzando gli strumenti e le informazioni di cui già dispongono in modo più strategico e rapido in modo da poter reagire prontamente. Di fatto, nessuna azienda tornerà a operare come prima e la resilienza di molte aziende sarà ulteriormente messa alla prova.

Il Risk Manager – unitamente alle altre funzioni di Security – dovrà analizzare ciò che ha o non ha funzionato e cosa andrebbe migliorato o considerato in futuro.
Pertanto, sarà necessario creare un framework che non solo possa proteggere l’azienda dal fallimento, ma contribuisca anche a prepararla a future opportunità e modalità di lavoro.

La funzione di Risk Management dovrà, pertanto, dimostrare di essere più efficiente ed efficace nel:

• Riprogettare e semplificare i processi di gestione del rischio, contemplando anche la loro automatizzazione – I processi di gestione del rischio sono diventati una necessità per la sopravvivenza aziendale, sia in una prospettiva a breve che in una prospettiva a lungo termine.
  Se da un lato Intelligenza Artificiale (IA), Machine Learning (ML) e Robotic Process Automation (RPA) saranno sempre più utilizzati come prima linea di difesa per anticipare e mitigare i rischi emergenti, dall’altro lato i Risk Manager dovranno garantire una maggiore responsabilità e abilità nella valutazione del rischio, oltre ad allinearsi a tale prima linea nell’identificazione, valutazione e previsione dei rischi. Ovvero i Risk Manager, essendo la seconda linea di difesa, devono concentrarsi sull’introduzione di una maggiore automazione per guidare il monitoraggio del rischio in tempo reale e garantire che dati di previsione del rischio siano affidabili, anziché che presentare dati retrospettivi per la gestione del rischio.

• Migliorare il monitoraggio e visibilità dei rischi – I Risk Manager dovranno avere visibilità del rischio a livello aziendale e istituire meccanismi per una gestione efficace dei rischi, sia a livello intermedio (dipartimento) che a livello aziendale, i.e. dovranno lavorare in modo efficace per garantire che l’intera organizzazione possa fornire rapidamente informazioni, metriche o report istantanei.
• Ottimizzare e automatizzare il reporting – La rendicontazione del rischio, che include i risultati e le metriche del rischio, avrà bisogno di un maggiore allineamento con la resilienza e gli obiettivi strategici in modo da essere maggiormente preparati a rispondere rapidamente a qualsiasi pandemia simile o altri scenari di crisi. Il processo dovrà essere più agile e in grado di fornire al Top Management la visione in tempo (quasi) reale dell’esposizione al rischio.
• Apportare le modifiche necessarie al framework di gestione del rischio, garantendo un approccio olistico all’organizzazione e alla governance – Il Risk Manager dovrà dare sempre più priorità alle aree strategiche dell’organizzazione e, al contempo, garantirne una maggiore resilienza; in tale ottica sarà necessario considerare i rischi tecnologici, di terze parti e di processo. Pertanto, i Risk Manager dovranno sempre più focalizzarsi su: miglioramento della comunicazione; condivisione delle informazioni tra le varie funzioni e il Top Management; processi più agili, per garantire che le revisioni del rischio e i rapporti di valutazione vengano consegnati a un ritmo più rapido, investendo in software in grado di ottimizzare i tempi di analisi e valutazione del rischio.

Tutto ciò partendo dal presupposto che non possiamo predire il futuro semplicemente rivedendo il passato e, considerando che la fragilità dei nostri sistemi globali è aumentata, la cosa fondamentale di cui abbiamo bisogno – in termini di sistema di resilienza aziendale – è avere una conoscenza e consapevolezza di ciò che sta succedendo in tempo reale e aggiornare costantemente le nostre previsioni in modo da agire tempestivamente prima che un grave rischio si verifichi.

Un framework integrato e costantemente aggiornato a supporto del Risk Manager

Il sistema di resilienza aziendale deve, quindi, essere adattivo nel modo in cui supporta il processo decisionale. È giunto il momento di passare da risposte gestionali stereotipate – basate su registri di rischio statici – a un regime decisionale attivo basato su dati costantemente aggiornati riferiti ai KRI (Key Risk Index). Pertanto, sarà compito del Risk Manager aggiornare costantemente il Top Management e supportarlo nell’attuare le strategie di gestione a livello operativo e verificare l’idoneità dei piani di Business Continuity, Disaster Recovery e Crisis Management, ogni volta che si verifica un cambiamento nel modello operativo.

Un sistema integrato che includa la gestione del rischio, la gestione della continuità operativa e il recupero dalle crisi garantirà che vi sia un approccio olistico per l’analisi dei dati e per i piani di risposta, che dovranno essere aggiornati con l’evolversi dei profili di rischio. Solo in questo modo sarà possibile raggiungere un giusto equilibrio tra ritenzione, mitigazione e strategie di trasferimento del rischio, contribuendo così al miglioramento delle prestazioni aziendali a lungo termine.

Fornire report a un ritmo più veloce è possibile solo se viene eseguita anche una valutazione del rischio a un ritmo altrettanto veloce. Pertanto, i Risk Manager hanno bisogno di un modo per comunicare con il resto dell’organizzazione al fine di valutare i rischi, oltre che di uno strumento automatizzato che possa rendere più veloce la visibilità, l’analisi e la valutazione dei rischi.

Riflessioni

Un vecchio proverbio afferma: “la necessità aguzza l’ingegno”. Partendo dalla crisi pandemica che ci ha colpito, le aziende esamineranno più attentamente le situazioni, riconsiderando il proprio livello di tolleranza al rischio. Ne consegue che le organizzazioni e le funzioni di Risk Management saranno costrette a essere più innovative per risolvere problemi più complessi. La leva dell’innovazione ci porterà a “sfruttare” la tecnologia per promuovere l’efficienza dei nostri processi, dato che oggi la chiave del successo – quando non della stessa sopravvivenza – è essere flessibili guardando ai rischi emergenti da più angolazioni per trovare i “luoghi” per l’innovazione.

La gestione del rischio sta rapidamente diventando una pratica sempre più dipendente dai dati: i giorni delle semplicistiche tecniche di valutazione del rischio stanno volgendo al termine, dato che le organizzazioni faranno sempre più affidamento su valutazioni basate sui big data per guidare le valutazioni del rischio e le procedure di risposta. Ne conseguirà la necessità di garantire una sempre più calibrata sintesi tra gestione del rischio e utilizzo della tecnologia di elaborazione dei dati per guidare un’azione informata e tempestiva, atta a prende decisioni migliori e garantire la sopravvivenza organizzativa.

Il mantra del futuro sarà: abbattere i silos, pensare collettivamente e agire in modo collaborativo. Le organizzazioni dovranno concentrarsi sulla creazione di una base di informazioni condivise in grado di espandersi all’intera organizzazione, oltre a collegare e integrare i diversi programmi di gestioni, tra cui: rischio operativo, rischio di terze parti, gestione degli incidenti, ripristino di emergenza e continuità aziendale. L’eliminazione dei silos favorirà la comunicazione tra i programmi di gestione, non solo attraverso la tecnologia e i dati condivisi, ma anche attraverso le “conversazioni” con le parti interessate.

Ricordiamo che il destino di un’organizzazione non è questione di fortuna, bensì di scelte: non è una cosa da aspettarsi ma da raggiungere.
Pertanto, anticipiamo il rischio, non subiamolo.

Articolo a cura di Federica Maria Rita Livelli