Integrare la gestione del rischio nei processi di gestione

La complessità sta aumentando; sia a causa del panorama dei processi interni sia a causa dei requisiti che vengono posti alle aziende dall'esterno (come i regolamenti e le norme).

È difficile orientarsi in questa marea di dati e trarre le giuste conclusioni e sviluppare strategie dalla ricchezza di informazioni che ne risulta. Così, i sistemi per l'elaborazione della conoscenza stanno diventando sempre più importanti. Anche la gestione del rischio dovrebbe essere integrata in questi processi. Tuttavia, questo dà anche origine a una serie di domande.

Lo scopo di questo articolo è di determinare la misura in cui la business intelligence (BI) può sostenere la gestione del rischio (RM) a livello esecutivo. Quali rischi sono rilevanti per il top management? C'è bisogno di un proprio reparto rischi?

È possibile gestire il rischio usando solo procedure automatizzate? Non sarebbe più obiettivo che affidarsi alla valutazione di esperti? Dove si possono usare bene i prodotti software e dove sono i limiti di tali applicazioni? Quali aree di applicazione della gestione del rischio possono essere mappate con loro?

Chi si occupa della gestione del rischio?

RM è sulla bocca di tutti. Si ha l'impressione che quasi tutti nell'azienda stiano facendo RM. Ogni dipartimento: Controlling, Sicurezza, Legale, Conformità, Business Development, IT, i project manager fino al CFO, il CEO e il Consiglio di Amministrazione. Perché abbiamo bisogno di un RM e di un risk manager separati? Tutti i rischi sembrano essere gestiti già diverse volte. O no?

Con così tanta protezione dai rischi, si può capire se a livello di gestione nasce l'opinione che si può fare altrettanto bene senza il proprio RM.

Tuttavia, si dovrebbe fare una distinzione precisa tra la consapevolezza del rischio dei singoli dipartimenti e il compito di un RM neutrale indipendente.

Un processo di gestione appartiene ai processi di gestione e influenza e definisce i processi principali. Questo include anche la gestione del rischio.

RM automatizzato - un'alternativa?

Parole d'ordine come Intelligenza Artificiale (AI) o "Gestione del rischio informatico su larga scala", processi robotici, ecc. suggeriscono che con il software appropriato installato, i rischi possono essere tenuti sotto controllo.

Alcune soluzioni software sostengono che il management può vedere immediatamente i KPI rilevanti o le esposizioni al rischio in un "cockpit del rischio" con un clic del mouse. Questo sembra allettante, ma richiede molto sforzo e preparazione.

E niente funziona da solo. Il funzionamento continuo richiede manutenzione, adattamento, ulteriore sviluppo e controlli di plausibilità. Dopo tutto, i dati non possono essere semplicemente ripresi, ma devono essere inseriti in un contesto significativo. Altrimenti, il sistema utilizzato diventa esso stesso un rischio che suggerisce una precisione fasulla.

"Ogni strumento ha bisogno del suo sciocco"; come si dice così succintamente nei circoli del software. È quindi importante che qualcuno sia responsabile della manutenzione degli strumenti e prenda sul serio questo compito. Senza prendere in considerazione la manutenzione dei dati e i controlli di plausibilità, si può generare molta spazzatura di dati. Questo fenomeno è ripreso nella cosiddetta frase GIGO in informatica - "garbage in - garbage out". E infine, dovrebbe essere possibile interpretare correttamente i risultati: "Uno sciocco con uno strumento è sempre uno sciocco".

Chiunque abbia mai programmato conosce il principio che le istruzioni sotto forma di codice macchina sono necessarie per ottenere un risultato dai programmi. Una fonte di errore si trova già nella cattura del problema. Qual è l'obiettivo desiderato? L'interpretazione dei dati contiene già la prossima domanda: qual è il significato dei risultati?

Quanto bene si adattano le interfacce al panorama informatico esistente o a fonti esterne (come i prezzi di borsa, le curve di prezzo) e quanto bene il sistema riconosce gli errori di input? C'è molto da analizzare, anche con soluzioni software standard.

Questo non è banale. Diventa chiaro che le informazioni possono essere incomplete o errate, che i cambiamenti e le estensioni non sono sempre facilmente possibili e possono portare a costi elevati.

Gli errori nei sistemi possono provenire da diverse aree: dall'acquisizione del compito, dalla logica del programma, dalla sintassi, dalle interfacce con altri sistemi, da errori di input degli utenti fino a problemi hardware.

Anche i sistemi informatici più potenti non ne sono immuni. I processi di trasformazione digitale sono costosi, ma possono anche portare un alto valore aggiunto se sono sensatamente integrati nell'azienda.

Quando ha senso l'automazione? E quando no?

L'automazione nel RM è indispensabile per la gestione di grandi volumi di dati, come nel settore finanziario ("price forward curves", "ratings", controlli di plausibilità, ecc.) o per i meccanismi di controllo interno. I meccanismi utilizzati sono estremamente importanti per aree come la gestione della liquidità, la gestione del FX e il monitoraggio finanziario.

Gli strumenti utilizzati possono rilevare anomalie (per esempio nelle transazioni di pagamento), mettere in moto meccanismi di "stop loss" e inviare avvertimenti.

Ma ci sono certamente dei limiti all'automazione.

Cosa significa questo per il Corporate Risk Management (CRM)? Il compito del Corporate Risk Manager è quello di portare i rischi che minacciano l'esistenza dell'azienda all'attenzione del top management e di tracciare le misure per la loro gestione. Questo compito include la considerazione di tutti i rischi; sia quelli operativi che quelli strategici. I colloqui con gli esperti si sono dimostrati estremamente preziosi ed efficaci nel determinare la situazione generale del rischio.

Anche se i dati possono certamente essere catturati in strumenti RM per eseguire simulazioni e calcoli analitici, il grado di automazione è basso. Registrare e descrivere i rischi è di solito responsabilità del risk manager o di esperti di rischio selezionati. Si tratta piuttosto di memorizzare i rischi rilevanti in un modo a prova di revisione, analizzarli e prepararli, e generare un rapporto sui rischi.

Requisiti RM

La competenza in RM è ovviamente anche significativamente coinvolta nel successo del processo di rischio. I requisiti (normativi ed economici) possono essere molto diversi da azienda ad azienda. L'elaborazione rigorosa secondo un modello può solo soddisfare gli obblighi normativi, ma a parte il carico di lavoro aggiuntivo e la frustrazione, non porta molto alle unità operative e alla gestione dell'azienda.

L'arte del risk manager consiste nell'operare con meticolosità, astuzia, analisi e sistematicità da un lato, e dall'altro nell'applicare il buon senso e la diplomazia. Conoscenze specialistiche approfondite, flessibilità, resistenza e un alto livello di tolleranza alla frustrazione completano il profilo dei requisiti. Naturalmente, il risk manager dovrebbe anche avere integrità e lealtà e non essere un destinatario volontario di ordini. Infine, è anche importante avere la capacità di filtrare i pericoli importanti che minacciano l'esistenza dell'azienda dall'abbondanza di informazioni in modo plausibile e documentarli.

Conclusione

Business Intelligence non significa che tutto può essere mappato in processi standard. In particolare nell'area del rischio, possono sorgere pericoli specifici dell'azienda che non rientrano in uno schema e che possono acquisire improvvisamente importanza a causa di un ambiente cambiato. La crisi finanziaria con i suoi effetti devastanti può ovviamente essere presa come esempio. Ma di solito gli effetti non sono così onnicomprensivi, ma riguardano solo un'azienda o un settore. La BI non comprende solo l'installazione di una soluzione software, ma anche la capacità dei dipendenti in materia di collaborazione, analisi e interrogazione critica costante, ma anche un'azione mirata orientata alla soluzione. In RM, i sistemi significano un grande e in parte indispensabile supporto, se si è consapevoli dei limiti e dei pericoli.

Le prestazioni dei sistemi informatici sono in costante aumento; in questo contesto, per esempio, c'è lo sviluppo dei computer quantistici, che, con la loro potenza di calcolo, possono rendere obsoleti i metodi di crittografia di oggi in pochi anni, poiché possono eseguire operazioni di calcolo milioni di volte più velocemente dei computer convenzionali.

Tuttavia, la sfida di trarre le giuste conclusioni da una tale ricchezza di informazioni è anche in aumento. Le false certezze possono causare grandi danni. La responsabilità delle decisioni e delle misure strategiche spetta ancora al top management, e questo non sarà assunto da nessun supercomputer.