In un mio precedente articolo pubblicato su Key4biz (“Global Digital transformation: siamo pronti?” dell’11 febbraio 2016) scrivevo che tra i fattori vincenti per un’azienda vi è la necessità di cooperazione tra le diverse business unit, abbandonando la tecnica di metterle in competizione fra di loro.
Una forte collaborazione fra le persone e le funzioni, una adeguata cultura per lo sviluppo agile di nuovi prodotti e servizi, ed una giusta ed equilibrata cultura del rischio (inteso nel saper cogliere le opportunità, e valutare le minacce) sono fra gli elementi indispensabili in questo momento di trasformazione, ma che tuttavia appaiono fra i fattori più trascurati dai vertici delle organizzazioni.
Ricordiamo che le aziende leader si distinguono dalle altre anche in quanto, ad esempio, sanno prendere decisioni robuste e veloci, hanno un link ottimale tra i prodotti di business e la tecnologia, operano una riduzione radicale dei costi, si sono dotate di un’architettura IT a due velocità (innovazione e sistemi digitali etici e sicuri).
Occorre che le aziende conoscano bene quale sia la loro situazione interna nei riguardi della cultura: è questa adeguata ai nuovi tempi, alle nuove esigenze per rimanere in prima linea? Bisogna intervenire nella organizzazione rivedendo i ruoli, le responsabilità ed i processi? E se sì, da dove iniziare?
Siccome parliamo di essere veloci nella innovazione, e di saper cogliere le opportunità che si presentano a fronte delle possibili minacce, l’area della gestione dei rischi appare prioritaria.
Il motto “essere veloci, ma con prudenza” è facile a dirsi, meno a farsi.
C’è chi di fronte alle minacce si ferma, e c‘è chi al contrario le sottovaluta, mettendo a rischio la reputazione e il fatturato di una azienda.
Chi opera in prima linea ha due obiettivi contemporanei: innovare e sviluppare prodotti e servizi rapidamente, ma allo stesso tempo far sì che essi siano “etici e sicuri by design” (come recentemente ci ricorda Accenture).
In considerazione della forte competizione, dell’attenzione del consumatore ai suoi diritti, alle norme, leggi e regolamenti nazionali e internazionali, muoversi in questo mercato non è affatto facile. Se qualcosa va storto, oltre alla stampa, alle associazioni dei consumatori, ecc, c’è una filiera di funzioni e responsabili che avranno da dire la loro: revisori di bilancio, sindaci, CdA, internal audit, il proprio capo, non trascurando il risk management e la compliance.
Ciò che per fortuna si sta verificando in diversi grandi gruppi, è che le funzioni interne, in particolare quelle di staff, tendono sempre più a fornire consulenza a chi opera in prima linea.
Il recente documento di McKinsey & Company dal titolo “A best practice model for bank compliance” dà una risposta precisa a questa necessità.
Mentre lascio al lettore il piacere di leggere l’intero documento, cito solo alcuni punti a chiarimento.
Un modello emergente di best practice per la compliance in banca deve basarsi su tre principi chiave per affrontare le nuove sfide:
- Un ruolo più ampio della compliance, con una effettiva responsabilità del modello interno di rischio e controllo. In pratica, le banche devono trasformare il ruolo delle loro funzioni di compliance da quello di puro consulente ad uno che pone maggiore importanza alla gestione attiva del rischio e al suo monitoraggio, divenendo in tal modo un attivo “comproprietario” dei rischi.
- Trasparenza nella esposizione al rischio residuo ed efficacia dei controlli. Ciò ai fini di evitare puri esercizi meccanici, di omettere importanti rischi di compliance, ed onerose attività interne nella ricerca di identificazione di tutti i possibili rischi e tutti i relativi controlli esistenti. Tutto ciò ha per conseguenza la limitazione nelle possibilità delle prime linee di andare a fondo su ciò che veramente è importante. Il suggerimento fornito da McKinsey consiste nel definire quali rischi sono pertinenti in un determinato processo di business e dove precisamente intervengono nel processo (“breakpoint analysis”). Successivamente, si possono progettare degli appositi indicatori di rischio (KRI) che misurano direttamente il rischio residuo. In questo modo i controlli sono in numero fortemente inferiore.
- Integrazione della compliance con la gestione globale del rischio. La mia esperienza nell’ambito della funzione di risk management del Gruppo ove lavoravo è stata molto intensa, ma troppo breve per consentirmi di esprimere una opinione di un certo peso. Non posso però non commentare con grande favore questo suggerimento (che prenderei a campione per interventi in altre funzioni aziendali) visto che in molte aziende ci sono ampi margini di riduzione di oneri inutili, improduttivi, spesso fuorvianti (in quanto, ad esempio, forniscono una falsa sicurezza) con sottovalutazione del peso reale di alcune minacce (cito a caso: cybercrime, business continuity, crisis management).
Una organizzazione deve essere tutta tesa al supporto di chi opera in prima linea, specialmente in questo momento così complicato. E per fare ciò deve rivedere criticamente i propri processi interni, possibilmente ascoltando chi ne sa di più.