Risk, Audit e Compliance: un’alleanza necessaria per affrontare i nuovi scenari di rischio: De Felice
Secondo Alessandro De Felice, Chief Risk Officer Prysmian Group e Presidente ANRA, è essenziale una stretta e fattiva collaborazione tra le funzioni Audit, Compliance e Risk Management, nell’ottica di affrontare efficacemente il difficile scenario attuale. De Felice l’ha sottolineato durante la recente tavola rotonda “Role of GRC during crisis, recovery and reinvention” organizzata il 16 novembre da Metricstream, società internazionale con sede in California che realizza software per la governance, il reporting e la compliance.
La sessione, moderata da Marco Icardi, Presidente Europa Metricstream, si è concentrata anche sulla necessità di affrontare l’aumento delle esposizioni cyber e il ruolo cruciale dei rischi strategici, un’azione che necessita il supporto di piattaforme di rischio integrate e dell’Intelligenza Artificiale (AI).
I membri del panel hanno convenuto che l’attuale pandemia sta avendo un impatto dirompente su ogni aspetto delle attività e sta anche rivoluzionando profondamente il ruolo della governance, della gestione del rischio e della compliance. Dal momento che le imprese operano in ambienti altamente dinamici, caratterizzati da crescenti rischi non finanziari e difficoltà economiche, devono investire in programmi di gestione del rischio innovativi e integrati che possono aiutarle ad adattarsi ai nuovi scenari e a perseguire nuove opportunità strategiche senza compromettere la solidità del business. Come conciliare la gestione di uno scenario con rischi sempre più sfidanti con il rispetto dei cambiamenti normativi?
E’ questo il tema su cui si sono confrontati Icardi e De Felice insieme a Sven Hirsekorn, Chief Audit Executive HHLA Hamburger Hafen e Logistic AG in Germania ed Enric Llaudet, Europe Digital Risk Leader Schneider Electric, con sede in Francia.
Secondo De Felice, per fronteggiare un ambiente in così rapida evoluzione, una società multinazionale deve adottare un approccio GRC integrato e garantire una stretta collaborazione tra le funzioni di Audit, Risk Management e Compliance. In Prysmian queste funzioni si scambiano continuamente informazioni, ovviamente ognuna mantenendo la responsabilità delle proprie attività – vale a dire la corporate governance e il controllo per l’audit, la conduzione del business con un approccio risk based per l’ERM, e la conformità a leggi e normative per la compliance. Molti rischi sono interfunzionali e devono pertanto essere valutati e gestiti sotto diversi aspetti: la funzione ERM deve identificare e valutare l’impatto su scala finanziaria ed economica e le implicazioni per il business e la strategie, l’Audit ha lo scopo di assicurare costantemente un adeguato livello di controllo e responsabilità, mentre la Compliance ha una visione del tutto indipendente dalla valutazione economica, perché un rischio di compliance è per definizione fuori dalla propensione al rischio e con tolleranza zero. Al termine del processo però questi rischi devono essere riportati al Board con una visione unitaria. Pertanto, una piattaforma di rischio integrata che consenta alle tre funzioni di lavorare in un unico ambiente pur avendo punti di Data entry individuali potrebbe rappresentare una soluzione efficace.
Anche la funzione di Audit ha affrontato scenari difficili in questi mesi. Secondo Sven Hirsekorn l’ostacolo più grande sono state le restrizioni di viaggio: i Big Data e le interviste online possono essere eseguite da remoto, ma non sono sufficienti, perchè per verificare l’accuratezza delle informazioni e garantire una valutazione davvero efficace è necessario vedere il sito e interagire con le persone. Per gestire i prossimi mesi, secondo Hirsekorn la chiave è pianificare in modo diverso, più che impostare un recovery plan, il che significa essere più flessibili, concentrarsi sui siti raggiungibili e trovare partner locali a cui affidare i sopralluoghi lontani. Dunque affidarsi di più all’outsourcing, ricordando sempre che questi collaboratori devono essere formati accuratamente, dal momento che non hanno una profonda conoscenza dell’azienda. Le best practice che hanno garantito la qualità dell’Audit negli anni passati devono essere riadattate al nuovo contesto.
Con milioni di persone improvvisamente costrette a lavorare da remoto, uno dei rischi che ha registrato la maggiore accelerazione è sicuramente quello digitale, cyber, IT. Come ha spiegato Enric Llaudet, con l’aumento esponenziale di piattaforme e dispositivi connessi è diventato molto più complicato monitorare il traffico, controllare la provenienza delle informazioni, verificarne l’affidabilità. Di conseguenza, c’è stata anche una massiccia crescita del numero di ransomware e attacchi di phishing. Per gestire questi rischi, il primo passo è aumentare la consapevolezza dei lavoratori e degli stakeholder. Inoltre, le organizzazioni devono implementare sistemi di sicurezza informatica più rapidi e integrare i processi di gestione delle crisi e di sicurezza IT nel framework GRC, al fine non solo di evitare incidenti ma anche di utilizzare questi elementi come supporto per le decisioni aziendali.
Un grande aiuto può arrivare dall’Intelligenza Artificiale e dai Big Data, come conferma Alessandro De Felice: il Risk Management si sta evolvendo e si sta concentrando maggiormente sui rischi strategici, per cui la qualità delle analisi e delle informazioni è fondamentale. Non è infatti possibile avere una visione completa di uno scenario così complicato e soprattutto ottenere dei risultati affidabili se non si hanno a disposizione fonti di dati di qualità e strumenti che aiutino i Risk Manager nella loro elaborazione. Un’altra area cruciale di applicazione dei Big Data sono la Sostenibilità e l’ESG, al fine di consentire previsioni quantitative corrette o almeno accettabili, ormai necessarie in affiancamento alle analisi qualitative. Per valutare il reale impatto sul business del cambiamento climatico, ad esempio, tali strumenti sono l’unica soluzione per incrociare cambiamenti sociali, modifiche normative, misure locali, sostenibilità della supply chain e tutti gli altri fattori che concorrono al risultato finale.
