Suggerimenti per evitare un approccio “standard” nella gestione dei rischi di Compliance

11 novembre 2020

di Marco AVANZI

Come professionista nel campo della Compliance e del Risk Management, capita molto spesso di sentire le persone parlare di “best practice di compliance” o “approccio standard” per dare una soluzione rapida e semplice al quesito: come gestire il rischio di compliance all’interno delle organizzazioni?

Normalmente questi approcci sono seguiti dal consueto “Top 10 Risk /Top 50 Risk” e da richiami a linee guida, standard internazionali e così via.

Ciò accade di frequente, a mio avviso, quando le tematiche di risk & compliance vengono trattate da professionisti con focus mono settoriali, solo legali e meno aziendalistiche o di processo, oppure da professionisti dal profilo tecnico economico ma senza una visione anche degli impatti normativi o giudiziari del tema.

Probabilmente la soluzione migliore rimane pur sempre nel mezzo (anche se chi scrive non è un fan del concetto di “media”). Le competenze multidisciplinari e la conoscenza multilaterale sono il modo migliore per gestire questi argomenti specialmente quando le tematiche, come la gestione del rischio e della compliance, trovano soluzioni in più discipline e diverse logiche e approcci, nonché in una realtà da comprendere in modo multidisciplinare. Così pure per l’approccio metodologico. Un giusto bilanciamento tra standardizzazione e analisi ad hoc permette di raggiungere efficaci risultati.

Da questa premessa qui di seguito alcuni dei possibili “Don’ts” nella gestione dei rischi che si possono comunemente osservare e che mi permetto di suggerire:

  1. Implementare unicamente policies e regole basate su standard e descrizioni “comuni”.
  2. Concentrarsi unicamente sulla creazione di linee guida e non sul controllare come funzionano le regole e le misure implementate.
  3. Concentrarsi sullo “scenario standard” (cosa può accadere in generale) evitando la valutazione ad hoc del potenziale scenario estremo o di eventi “non standard”
  4. Concentrarsi sulla valutazione dell’ambiente interno evitando analisi dell’ambiente esterno
  5. Concentrarsi sulle informazioni passate e storiche del rischio evitando di guardare al trend e all’evoluzione futura dei fenomeni.
  6. Preoccuparsi di fornire solamente “rating di rischio” basati su valori medi (average valuation) omettendo di andare oltre nell’analisi dei singoli eventi (singular valuation).

Le ragioni per evitare questi approcci?

Prima di tutto il mondo reale non è standardizzato. Ricordiamocelo.
Se devi affrontare i rischi di compliance, inizia a pensare a dove possono sorgere e manifestarsi questi rischi e non alle regole da adottare in azienda. Analizza la realtà.
Il rischio di violazione delle regole all’interno di un’organizzazione si basa su una serie di concetti; prima di tutto sulle “regole”. Queste regole sono “formule” per gestire situazioni concrete e reali di rischio. Sappiamo tutti che la realtà cambia (così pure le aziende). Quindi inizia a pensare a come una regola (esterna o interna) si adatta al mondo reale (e alla tua azienda).

Un esempio. Se devo affrontare il rischio di riciclaggio di denaro e decido di analizzare solo i partner commerciali con cui ho transazioni elevate, questo potrebbero funzionare solo se queste transazioni elevate fossero collocate su mercati ad alto rischio di criminalità. L’approccio standard che si legge o che va per la maggiore propone: “prenditi cura delle transazioni di alto valore ”. Chi segue questo approccio forse non ha letto l’evoluzione degli ultimi dieci anni della criminalità economica. Questo mostra come le organizzazioni criminali si infiltrino nei mercati molto spesso inserendosi in flussi economici con caratteristiche di continuità, di valore non elevato e in ambiti scarsamente regolamentati. (i.e. l’economia comune)

Quindi inizia a pensare al mondo reale ed evita concetti standard senza prima aver verificato che la “regola” si adatti effettivamente alla tua organizzazione.

I rischi non sono una valutazione di “media” perché il mondo reale non è solamente una distribuzione “normale” (Gauss). Succede che potremmo cadere nella tentazione di pensare ai rischi in termini di distribuzione media o concetto puramente statistico.   Considera:

  • La probabilità di un fenomeno dipende anche dalla attualità e quantità di osservazioni effettuate nelle stesse condizioni. Ricorda che valutando i rischi di compliance stai valutando qualcosa alle condizioni reali. Se ti affidi a dati statistici o alla frequenza degli eventi di un qualcosa degli ultimi 40 anni, probabilmente ti stai confrontando con un mercato/ambiente che è stato osservato quando Internet non era sviluppato, quando l’economia globale non era stata colpita da una crisi o quando il mercato UE non lo era agli attuali sviluppi.
  • Attenzione ad applicare la legge di Pareto dell’80 (perdite)/ 20 (rischi) all’analisi dei rischi. Per agire in questo modo devo essere sicuro che l’ambiente di osservazione non cambierà o in minima parte. Questo perché probabilmente è applicabile solo oggi con le stesse condizioni interne ed esterne. Ma supponendo che le cose cambino costantemente, devo concentrarmi sull’adattamento dei miei “20” giorno per giorno.
  • Attenzione al concentrarsi solo sui rischi o sulle perdite medio / standard nel mercato. Con questo punto di vista presumo che le “code” di una distribuzione normale non possano accadere nella mia organizzazione aziendale. Prima di tutto le cose stanno cambiando (e velocemente negli ultimi anni) e in secondo luogo la mia organizzazione non è necessariamente come le altre. Inoltre, ricorda che non necessariamente i rischi potenzialmente più frequenti siano i rischi più problematici. Infine, se alcuni rischi non si sono sviluppati in passato ciò potrebbe significare che in passato non erano così diffuse le condizioni per permettere a questo rischio di manifestarsi. Come detto prima, le cose cambiano costantemente. Oggi puoi avere determinate condizioni (diverse da anni fa) e potresti essere nell’ultima coda della distribuzione normale.
  • Attenzione a fare il reporting solamente della valutazione del rischio medio. Partendo dai presupposti per i quali:

i. gli scenari esterni e le organizzazioni cambiano continuamente e

ii. non solo i rischi più standard e comuni sono i più pericolosi, probabilmente sto rischiando di cadere in una panoramica parziale dei rischi. Il rischio che considero e valuto potrebbe avere una minima rilevanza oggi ma potrebbe svilupparsi in futuro in forza di cambiamenti in corso.

È necessario, per permettere a chi deve decidere in azienda, fornire anche informazioni integrative su:

a. cosa sta succedendo nel mercato o ad altre società di business simili o in mercati simili (e domandarsi: le cose stanno cambiando all’esterno?)

b. se proprio non voglio rinunciare ad una valutazione media o aggregata, qual è la tendenza esterna e interna del rischio considerato? (sta migliorando o peggiorando?)

c. quali sono le aspettative? (in termini di trend e sviluppi generali)

Il suggerimento è di adottare un approccio misto; il mondo reale non può sempre essere compreso in numeri, cluster e rating; dai spazio alla valutazione personale e presenta le osservazioni e le analisi che permettono di avere una visione più ampia e prospettica.

  • Attenzione a concentrarsi solamente sulla “causa” di un rischio evitando di lavorare sulle “condizioni”. Le condizioni solo gli elementi fattuali o di processo che consentono ad una causa/pericolo di diventare un rischio reale. Questo è l’errore comune che spesso si può trovare in un’analisi dei rischi. Mi concentro sul rischio (es. Riciclaggio di denaro) e non analizzo le condizioni fattuali che possono permettere a questo rischio di manifestarsi.

Così facendo imposto la probabilità di una causa / minaccia come frequenza media di un fenomeno nel mondo esterno o come il frutto di statistiche estranee e decontestualizzate. Al termine di ciò seleziono una minaccia che osservo avere maggiore frequenza sulla base della mia analisi e tratto, di rimando, i rischi conseguenti evitando di concentrarmi, ad esempio, su altri rischi meno frequenti ma potenzialmente che trovano le loro condizioni di manifestazione nella mia organizzazione/azienda (applicazione errata della legge di Pareto ai rischi).

Questo comportamento si basa su alcuni preconcetti errati in cui si rischia di cadere:

  1. causa / minaccia sono l’unico fattore per analizzare un rischio (es. nella valutazione del rischio Health & Safety (Salute&Sicurezza) analizzo solo la frequenza degli infortuni in un dato mercato per capire la mia esposizione generale.) Ricorda che ogni rischio necessita di causa / minaccia ma anche di condizioni. Queste ultime sono le situazioni in cui una causa / minaccia può svilupparsi in un evento di rischio e conseguentemente di danno. Se ometto di analizzare l’evoluzione dell’ambiente esterno e interno, (i.e. le condizioni) ho perso un fattore fondamentale della mia valutazione (Per spiegare è come se avessi una fiamma e della benzina ma non avessi ossigeno, cioè la condizione. Come farò ad avere un incendio? (rischio));
  2. seleziono il rischio più rilevante che si manifesta nel mercato più frequentemente. Onestamente, con questo approccio ho fatto una cc.dd. “selezione inversa”. Vorrei considerare i rischi più importanti per la mia organizzazione ma in realtà considero solo gli eventi più frequenti nel mercato alle condizioni “medie” di mercato. Rischio di perdere le minacce più pericolose per la mia organizzazione in forza della mia osservazione ancora una volta, di “media”.

In conclusione e sulla base delle considerazioni fatte i possibili suggerimenti sono:

  • guardare all’ambiente reale oltre che agli eventi passati e alle osservazioni standard; concentrarsi anche sui trend principali e sulle evoluzioni generali dei fenomeni per anticipare la potenziale evoluzione di un rischio o di una normativa;
  • analizzare le cause / le minacce ma concentrarsi anche sulle “condizioni” del rischio. Queste ultime sono i risultati di svariati fenomeni; dello sviluppo delle politiche e della situazione etica di un’organizzazione, dell’evoluzione del mercato, di come operano i singoli processi in azienda e come stanno cambiando, di come le persone percepiscono un rischio.
  • valuta e procedi con un assessment ogni volta che lo ritieni. Le cose stanno cambiando, esternamente e internamente. La tua valutazione non è attuale senza una continua rivalutazione di condizioni, cause e minacce;
  • controllo: se la probabilità di un rischio dipendono dalle condizioni (principalmente) e le condizioni sono, tra le tante, gli output del processo di elaborazione delle politiche interne, i comportamenti aziendali, l’etica e la cultura del rischio (principalmente), è necessario verificare se il piano di compliance funzioni correttamente e in modo efficiente;
  • smettila di pensare ai rischi medi. Il rischio delle code potrebbe avere più probabilità di quanto pensi. Pensa anche a quei rischi che trovano molto spesso ratio nell’evoluzione esterna ed interna della realtà. Crea scenari nuovi e ipotizza le condizioni per cui possano avverarsi.
  • smettila di dare solo “rating” ma dai anche “valutazioni”: ogni rating di rischio deve essere contestualizzato in termini di condizioni attuali e trend di sviluppo futuri.

 

Intervento del Dott. Marco AVANZI, Compliance & Data Protection Manager, OdV Member ℅ ALDI S.r.l.

 

Related Items

OneTrust Software GRCIn che modo la privacy delle informazioni migliora il rischio di governance e il software di conformità
Continua a leggere
Thinking RobotGRC (Governance, Risk, Compliance): perché serve l'approccio integrato
Continua a leggere
Compliance ManagerEssere Compliance Manager a 360 gradi
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *