Risk Management e Data Modeling, una sinergia irrinunciabile
Appare oramai sempre più chiaro che, nelle organizzazioni, il risk management è un elemento irrinunciabile per l’attuazione di strategie di governance aziendale coerenti con il contesto, per la prevenzione di violazioni dei requisiti di compliance e per una preparazione efficace alla gestione degli incidenti. Di fatto, l’approccio GRCI – per l’appunto Governance, Risk Management, Compliance, Incident Handling – si configura come un utile modello a supporto del principio di accountability, che pervade le normative cogenti e volontarie a presidio di differenti materie con le quali le organizzazioni sono chiamate a confrontarsi. Basti pensare alla regolamentazione relativa alla responsabilità amministrativa per le organizzazioni, alla tutela dell’ambiente, alla salute e sicurezza sul lavoro, alla protezione dei dati personali, alla prevenzione dei reati informatici e alle best practices finalizzate a garantire la continuità operativa. Tutti ambiti in cui la gestione del rischio gioca un ruolo fondamentale.
Le aree critiche del risk management
Nonostante il risk management sia entrato a pieno titolo nella sfera della cogenza normativa, in alcuni casi ormai da molti anni, seguita però a rappresentare motivo di tentennamento per molte organizzazioni, che si arenano del tutto, oppure subiscono un rallentamento cronico nell’attuazione del processo. Ciò, a sua volta, genera un disallineamento tra l’attualità del contesto aziendale e l’output restituito dal processo stesso, perennemente anacronistico o comunque spesso un passo indietro.
Le ragioni sono spesso riconducibili ad alcune argomentazioni ricorrenti. Al primo posto bisogna annoverare l’incapacità delle metodologie diffuse di fornire rappresentazioni concrete, attraverso l’espressione del rischio in formato economico. Le scale qualitative spesso impiegate risultano poco comprensibili o attraenti per i soggetti che invece godono dell’autorità di spesa; insomma manca quasi sempre l’ultima cifra in basso a destra, che AD e CDA ben comprendono. Poi c’è il problema della verosimiglianza del concretizzarsi degli scenari di rischio presi in esame. Elemento che se da un lato soffre una profonda differenza di interpretazione tra il management ed i vertici aziendali, dall’altro è ingiustamente considerato quale peso di paritaria importanza rispetto alla gravità di accadimento di eventi dannosi, generando enfasi o deresponsabilizzazioni ai limiti del ridicolo. Leve, queste, solitamente impiegate per screditare la valenza dell’attività stessa.
Doveroso segnalare anche la profonda frattura tra le indicazioni normative fornite circa il risk management e le metodologie di riferimento da impiegare. Di fatto l’incarico di colmare questo divario è demandato ai poli formativi (università, centri di formazione) associazioni e ai consulenti, troppo spesso, più o meno bene preparati sulla specifica materia oggetto di riflessione, ma un po’ impacciati sul risk management.
Così procedendo, tempi e costi di attuazione del processo lievitano, rendendo quasi plausibile l’affermazione scellerata, ma da molti sposata, secondo la quale possa costar meno pagare la sanzione oppure i danni dell’incidente piuttosto che cercare di prevenirli.
Zone d’ombra dei sistemi tecnologici di supporto e proposte risolutive
Ma in tutto questo, la tecnologia che fine ha fatto? Praticamente, non pervenuta. Il mercato offre prodotti di risk management che possono essere più o meno classificabili secondo tre categorie principali: i gratuiti o low cost, in alcuni casi così semplici(stici) negli aspetti presi in considerazione, tanto da risultare praticamente inutili, i tool a pagamento (con costo ancora accessibile) che però sono molto difficilmente personalizzabili al contesto e alle caratteristiche dell’organizzazione che intende utilizzarli e difficilmente impiegabili per adottare un approccio olistico alla gestione del rischio, ed in ultimo i tool a pagamento (dal costo inaccessibile), ovviamente riservati solo alle grandi organizzazioni. Risultato? Un foglio di calcolo singolo, con poche tabelle regna sovrano, con risultati anche in questo caso pressoché inutili.
Quindi risulterebbe nient’affatto deprecabile l’ipotesi secondo cui sarebbe meglio che ciascuna organizzazione pensasse a sviluppare la propria soluzione. Ma perché ciò possa essere realizzabile, producendo risultati utili, occorre tenere bene in considerazione un aspetto fondamentale: la metodologia di valutazione e trattamento del rischio impiegata non può esimersi dallo sconfinare e cooperare con la definizione del data modeling che le sarà di supporto; pena la rigidità del risultato – in caso di prevalenza del metodo – o la depersonalizzazione del metodo impiegato – in caso di prevalenza della struttura dei dati adottata dallo strumento. Errore, questo, non così poco diffuso e che, nel corso dell’ultimo ventennio, ha notevolmente contribuito ad indebolire la consapevolezza circa il fatto che la tecnologia impiegata, perché risulti proficua, deve essere piegata al processo progettato. Quindi, le caratteristiche che la contraddistinguono, non dovrebbero mai finire per modificare o alterare il processo in questione.
Multidimensionalità dell’informazione e conclusioni
La realtà si esprime con dati. E insieme di dati costituiscono informazioni, utili per capire e decidere le azioni da intraprendere. Tanto più i set di dati sono organizzati in entità ben stabilite, correlate tra loro attraverso vincoli espliciti e arricchite per mezzo di molteplici attributi, tanto più tenderanno a raccontare la realtà in modo completo e comprensibile. La nostra geometria ci insegna a descrivere oggettivamente un ambiente con tre dimensioni: lunghezza, altezza e profondità. Ma se cambiamo il punto di vista nello spazio abbiamo la possibilità di ottenere differenti declinazioni dello stesso ambiente. Basti pensare alle informazioni relative ai rischi come un cubo. Ognuna delle sei facce consente di inquadrare “il problema” da un punto di vista differente. Coloro i quali hanno conservato qualche reminiscenza degli studi di filosofia ricorderanno il mito della caverna di Platone: la realtà è una copia di un’idea originaria, visione parziale vincolata al punto di vista occupato da colui che la percepisce. In modo più concreto, analizzando ad esempio i rischi sulla sicurezza di un cluster omogeneo di informazioni, i process owner vorranno comprendere la situazione adottando una visione per processo, l’IT tenterà di avere una visione per asset fisici – “pezzi di ferro” -, un DPO vorrà vedere se e quali rischi riguardano i trattamenti di dati personali. Tutti punti di vista differenti ma legittimi. Però, in assenza di un coordinamento sul data modeling di supporto, il processo rischia di essere attuato in modo indipendente da tutti gli attori coinvolti, con duplicazioni rischiose in termini di efficienza ed incoerenze di input ed output resi inefficaci.
Se attualmente risulta complesso plasmare conoscenze e competenze per un risk manager, immaginiamo quanto potrà essere complesso integrarle con quelle che appartengono al mondo del data management. Ma non impossibile; piuttosto, doveroso. Nel mentre, in attesa di framework tecnico-operativi attendibili e più attenti alla modellazione dei dati, il tentativo di prendere un po’ di confidenza con le tabelle pivot di Excel, sarebbe un primo significativo passo in avanti.
Articolo a cura di Alberto Buzzoli
Promuove sinergia, creatività ed innovazione progettando metodologie e strumenti per connettere strategie di business, modelli d’organizzazione, sistemi di gestione e tecnologie dell’informazione. Si occupa di governance aziendale, risk management, compliance e incident handling – formazione specialistica e comunicazione incluse – in ambito di sicurezza integrata, con particolare approfondimento in materia di sicurezza delle informazioni e protezione dei dati personali.
E’ specializzato nella progettazione e nell’auditing di servizi CRM per il mercato bancario, assicurativo e finanziario.
Nel 2012 ha fondato la community di professionisti INTOUT – In Mind Innovation, con l’obiettivo di integrare know how eterogenei in un unico centro di competenza, favorendo lo sviluppo e la divulgazione di soluzioni sempre nuove ed utili, volte ad incrementare la cultura delle organizzazioni e la maturità dei modelli impiegati nei processi di analisi e gestione dei rischi.
