La business continuity delle banche alla luce delle nuove disposizioni in termini di sicurezza emanate dalla Banca d’Italia. Ne abbiamo parlato con un Business Continuity Manager di una grande realtà bancaria, che spiega cosa è cambiato.
Domanda: Quale o quali sono state le maggiori difficoltà da lei incontrate?
Risposta: La principale difficoltà, soprattutto per chi opera in una holding, è quella relativa al risk appetite. I parametri dovevano essere pensati per essere armonizzati con tutte le aziende del Gruppo. Questo non è stato facile per la diversità di vedute, per le angolature diverse considerate le specificità. Pertanto lo scoglio più duro è stato proprio mettere d’accordo più teste, con visioni non omogenee.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.
D: Con questa disposizione di Vigilanza, è migliorata la sua attività?
R: Senz’altro si. La Banca d’Italia, quale Organo di Sorveglianza e Vigilanza, interviene quando percepisce che c’è un po’ di confusione. Serviva mettere ordine, ma anche dinamismo.
D: Quindi il suo giudizio è senz’altro positivo, corretto?
R: Confermo.
D: Quando accennava a “un po’ di confusione”, a cosa si riferiva?
R: Serviva un momento di concretezza. Se mi permette, esistono, specialmente nelle organizzazioni finanziarie, una serie di “teorici” che hanno difficoltà a calare le disposizioni nelle proprie organizzazioni. Serviva un momento di concretezza e chiarificazione.
D: Si parla di benefici, e di stimare il rapporto costi/benefici delle soluzioni di mitigazione del rischio. La sua esperienza? Al di là che queste norme di cui parliamo sono obbligatorie, comunque che benefici secondo lei ha ottenuto il Gruppo per il quale opera?
R: Come dicevo, la chiarezza innanzitutto. Poi, mi consenta, dovrebbe essere la stessa Banca d’Italia ad attivarsi per misurare i risultati e quindi verificare se i benefici attesi sono stati raggiunti soprattutto in termini di comprensione ed assimilazione delle indicazioni. L’approccio all’analisi dei rischi, all’introduzione e gestione degli opportuni controlli e piani di continuità, dovrebbero entrare nel DNA di ciascuna organizzazione.
D: Quindi, se ho compreso, non si sa ancora qual è il bilancio dei costi verso i benefici ottenuti.
R: E’ troppo presto.
D: Vi siete avvalsi di società di consulenza esterna?
R: In realtà si, ma purtroppo se ne sono avvalsi in modo “passivo”, con il classico atteggiamento: “l’ha detto il consulente e quindi è senz’altro giusto”. Il rapporto deve essere fra esperti, con reciproco rispetto delle idee; qualora non sia raggiunto un accordo interpretativo, bisogna tenere conto che siamo avvantaggiati avendo come interlocutore la Banca d’Italia alla quale ci si può rivolgere per maggiori chiarimenti. C’è invece chi non vuole farlo…
D: Parlando ancora di Società di consulenza: ha potuto riscontrare che in alcuni casi sono carenti? Se si, in che aree? Bisogna anche considerare che le nuove disposizioni non sono immediatamente assimilabili. L’ABI si fece infatti promotrice di fornire alcuni suggerimenti a tutte le banche.
R: Concordo. Devo solo, ai fini di una completezza della mia risposta, dire che alcune volte si nota come queste Società soffrano degli stessi problemi delle altre aziende: la carenza di personale altamente qualificato. Le problematiche di cui stiamo parlando non sono affatto semplici, e non basta una certificazione agli standard internazionali per saper indirizzare delle realtà complesse quali gli intermediari e gli operatori finanziari.
D: A proposito di certificazione agli standard internazionali: secondo lei, le organizzazioni che si sono certificate, sono state avvantaggiate?
R: Mi viene in mente ad esempio la gestione delle risorse umane: chi ha già affrontato questo tema è stato senz’altro avvantaggiato. Gli altri hanno dovuto affrontare un argomento che era trattato da un’altra Direzione, da altre strutture e quindi ha dovuto affrontare tutto un nuovo tema. Così come ve ne sono altri. La mia risposta è che senz’altro chi è certificato alla ISO 27001 e alla ISO22301 è stato avvantaggiato.
D: Ci sono delle banche giovani, “snelle”, aggressive, che si sono fatte certificare. Ci sono invece delle banche, anche grandi, che non si sono ancora certificate. C’è qualche ragione?
R: Certamente la loro complessità può essere una risposta. Le banche, più sono snelle e meno problemi, complicazioni possono incontrare. Maggiore è la dimensione aziendale, maggiori sono le difficoltà di comunicazione, di fissazione dei parametri comuni, e di arrivare ad un punto di accordo.
D: Quindi, se ho compreso, il ritardo nella certificazione non dipende dal “committment” del Vertice Aziendale.
R: Senz’altro no. Faccio un esempio. La Banca d’Italia chiede che la ripartenza di un processo altamente critico avvenga entro 4 ore dal disastro, tempo comprensivo delle fasi decisionali. Una realtà piccola, nuova, è facilitata nel pervenire a questo obiettivo. Così non è per una grande banca.
D: Sempre a proposito degli standard internazionali. Vi è un ampio ventaglio: dalla ISO31000 sul risk management, a quella su come condurre un risk assessment, o la business continuity e la gestione del personale, la gestione delle esercitazioni, e così via… Li ha consultati, li consulta o si limita a quelli rispetto ai quali deve essere conforme ai fini della certificazione?
R: Li consulto perché trovo inutile scoprire l’acqua calda ogni volta. Anche su un semplice argomento c’è da apprendere e la certificazione non deve essere inseguita solo per avere un “bollino”.
