L'analisi

AssetProtection. I Sistemi ERM e quel rischio di tramutarsi in zombie

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

I sistemi di Enterprise Risk Management risultano spesso estremamente allettanti, per la gestione del rischio da parte delle aziende. Ma è meglio disporre di un sistema basato sull’interazione efficiente di intelligenza umana?

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

E’ oramai chiaro che la governance aziendale è sempre più centrata su un approccio orientato alla gestione del rischio. In parte per rispondere in modo adeguato alla mutevolezza dei mercati e del contesto nel quale si è chiamati ad operare,  in parte per rispondere alle esigenze correlate alla compliance. Le vigenti normative infatti stanno anch’esse finalmente familiarizzando con un approccio fondato sulla gestione del rischio, includendo nei testi chiari requisiti al riguardo.

Ma in questo meccanismo volto alla gestione di continui cambiamenti, in alcuni casi prevedibili, in altri no, si insinua un pericoloso virus concettuale che rischia di tramutare un motore dinamico, vitale, in un avvilente scenario popolato di zombie.

Ce ne siamo già occupati in passato, ma in considerazione dei segnali che alcuni mercati specifici inviano, è forse il caso di tornarne a parlare, speriamo in modo ancor più chiaro ed esaustivo. I pericoli sono essenzialmente due: il primo riguarda la possibilità di confondere l’attività di consulenza organizzativa con l’impiego di un software di supporto, il secondo quello di scegliere un sistema informativo ingessato, statico.

I sistemi di Enterprise Risk Management risultano spesso estremamente allettanti. E le strade commerciali percorse per promuoverli convergono un po’ tutte nella stessa direzione. Check list dettagliate già belle e pronte, registrazione di mancati incidenti, incidenti e non conformità, archiviazione dei verbali di audit sono gli elementi che li caratterizzano. Per non parlare poi dell’eterna promessa del tutto integrato con i moduli (acquistabili separatamente) di formazione e valutazione del personale e di gestione e valutazione dei fornitori. Insomma, commercialmente parlando, rispondono in modo letterale ai requisiti normativi obbligatori e, con brevissimi periodi di settaggio, permettono di creare veri e propri sistemi di gestione per le certificazioni volontarie.

Prima considerazione: il percorso di applicazione di qualsiasi normativa obbligatoria oppure facoltativa (tra gli standard internazionali) ha inizio dall’analisi del contesto e delle parti interessate. In base alle risultanze dell’analisi del contesto, ha inizio la fase di identificazione dei rischi. Ogni volta che varia il contesto e le parti interessate, possono variare anche i rischi identificati. Su queste basi, come può un software aggiornare tempestivamente le check list se non con un intervento umano?

Seconda considerazione: nonostante alcuni personaggi abbiano profondamente (e negativamente) segnato il mercato della consulenza organizzativa, presentandosi come dispensatori di procedure e check list già pronte, i veri professionisti del settore operano secondo altri obiettivi: avvisare, supportare e controllare. In quest’ottica, un sistema software di ERM non risulta quindi complementare piuttosto che alternativo, anche in base a quanto rilevato nella precedente considerazione?

Terza considerazione: L’analisi del rischio è suscettibile di subire continue oscillazioni, al variare dei rischi identificati, al variare della frequenza di accadimento di determinate tipologie di eventi, al variare delle contromisure adottate e delle attività di controllo condotte (inclusi audit e due diligence). Molti di questi elementi vengono però interpretati dal software come registrazioni da archiviare, che non rientrano automaticamente in circolo per proporre risultati aggiornati della situazione del rischio. Quindi per mantenere i sistemi aggiornati, è necessario ricompilare le check list sulla base di ciò che è stato archiviato?

Queste tre considerazioni dovrebbero essere sufficienti per giungere a due conclusioni. I software ERM non possono essere considerati come un investimento sostitutivo rispetto a quello legato alla consulenza. Senza l’azione intelligente dell’uomo, il sistema ERM muore, proiettando fantastiche dashboard colorate con dati né aggiornati né realistici. Quasi come fossero morti non morti.

Resta ovviamente una scelta di manager e imprenditori quella di credere di aver tagliato costi inutili (legati alla consulenza), di aver promosso investimenti vantaggiosi (correlati all’acquisizione di prodotti ERM) oppure di avere il diritto ed il dovere (per compliance) di disporre di un sistema basato sull’interazione efficiente di intelligenza umana e capacità di calcolo del software.