In avvio lo step 2 del progetto di evoluzione della funzione di Operational & IT Risk management del Gruppo Bancario Cooperativo per migliorare l’efficacia gestionale del presidio sui rischi operativi e informatici, in conformità con le evoluzioni normative e in linea con le migliori prassi
Iccrea Banca, capogruppo dell’omonimo Gruppo Bancario, indirizza e coordina le società del Gruppo. Presidia e gestisce le attività bancarie, finanziarie e di servizio nei confronti delle Banche di Credito Cooperativo (BCC) aderenti. «Con l’autorizzazione del Gruppo Bancario Cooperativo da parte della BCE le banche aderenti, in aggiunta alle società prodotto o di servizi già facenti parte dell’ex Gruppo Iccrea, sono supportate dalle attività di indirizzo e coordinamento proprie della capogruppo. Inoltre, le funzioni aziendali di controllo – tra cui la funzione di risk management – sono svolte direttamente dalla capogruppo a beneficio di tutte le società del Gruppo stesso» – spiega Renato Alessandroni, head of Operational & IT Risk Management di Iccrea Banca.
In questo panorama evolutivo del Gruppo, la stessa Iccrea Banca ha conosciuto una significativa trasformazione. «Gli ultimi tre anni sono stati caratterizzati da una consistente revisione dell’assetto organizzativo e dell’organizzazione dei processi» – continua Alessandroni. «Inoltre, dall’inizio di quest’anno, la struttura di risk management della capogruppo si è organizzata per coordinare le attività di risk management presso le singole banche affiliate». Nel perimetro di indirizzo e coordinamento della Capogruppo rientrano oggi circa 140 Banche di Credito Cooperativo. «L’accentramento della risk function ha richiesto, oltre alla necessaria riorganizzazione interna, l’arricchimento delle competenze e l’accelerazione dell’automazione dei processi».
Lo sviluppo della gestione del rischio
Le attività di gestione del rischio hanno un ruolo centrale nelle istituzioni finanziarie e sono oggetto di regolamentazione nazionale e internazionale. Allo stesso tempo, l’apertura delle banche verso l’esterno e la recrudescenza delle minacce cyber ha fatto lievitare l’attenzione degli attori del settore verso i rischi operativi e IT. «Per tutti gli operatori è diventato obbligatorio individuare dove possono annidarsi i rischi in sistemi e processi» – conferma Claudio Ruffini, fondatore e presidente di Augeos. «Un complesso di attività che richiede sia la valutazione del loro impatto che l’implementazione di adeguati controlli per mitigarne gli effetti».
Nello specifico, il Gruppo Iccrea, classificato sin dal 2014 “Ente significativo”, è incluso nel perimetro di vigilanza della Banca Centrale Europea e pertanto assoggettato a specifici processi di vigilanza prudenziale. «La gestione del rischio permea i processi bancari» – riprende Alessandroni – «e l’obiettivo è quello di supportare tale gestione con soluzioni di automazione in grado di mettere a disposizione di tutti gli attori coinvolti workflow efficaci e robusti processi di rilevazione e valutazione dei rischi». In quest’ottica, nel corso del 2018 – prosegue Alessandroni – «abbiamo avviato una progettualità in area risk management, con l’obiettivo di far evolvere ed integrare i framework di Operational e IT Risk management. Revisione che, garantendo la compliance normativa, abilitasse la componente gestionale dei processi dei due framework». In tutto questo – rileva Alessandroni – «particolare attenzione è stata posta alla individuazione delle soluzioni di automazione».
La collaborazione con Augeos
Da queste considerazioni è partito il processo di selezione del partner per accompagnare Iccrea Banca e il Gruppo lungo il percorso di sviluppo. «Abbiamo identificato i soggetti più interessanti in una shortlist. La ricerca è stata orientata all’individuazione di una soluzione software e, soprattutto, di una partnership» – ricorda Alessandroni. «Un partner che sapesse non solo sviluppare una soluzione di automazione ma anche in grado di contribuire alle nostre esigenze di soluzioni di processo».
Su queste basi, si è avviata la collaborazione con Augeos, concretizzatasi con l’adozione delle soluzioni Risk Shelter e AIT Risk. «Risk Shelter in particolare consente la rilevazione, il monitoraggio e la mitigazione dei rischi operativi, l’archiviazione e l’analisi degli eventi di perdita e la gestione dei piani di azione» – spiega Ruffini. «AIT Risk invece è la nostra soluzione focalizzata sugli asset IT, utilizza un framework conforme con la disciplina contenuta nella Circolare 285 di Banca d’Italia ed è compatibile con COBIT 5, ISO27001 e Basilea. Aree queste su cui stiamo investendo molto. E il successo della nostra suite GRC, quale risposta italiana alle proposte che arrivano dall’estero, ci sprona a continuare su questa strada». Nell’implementazione dei moduli, la scelta è stata quella di procedere per step – «con l’obiettivo di accendere da subito solo una parte delle funzionalità presenti nei moduli al fine di garantire il rapido consolidamento di queste componenti» – riprende Alessandroni. «Anche per essere certi di mettere a disposizione del Gruppo una soluzione con un adeguato grado di flessibilità, capace di rispondere alle esigenze di società e banche del Gruppo di dimensioni anche diverse. Augeos inoltre – sottolinea Alessandroni – portando una pregressa specifica competenza, con la sua soluzione ci ha permesso di concentrare gli impegni sulle attività core dei processi di gestione del rischio operativo e del rischio informatico».
Operatività e deployment
Tutte le operazioni previste hanno raggiunto i loro obiettivi e si sono svolte nel rispetto dei tempi. Riducendo al minimo l’impatto sull’operatività dell’azienda. «Nel confronto preliminare con Augeos, abbiamo apprezzato le competenze e le esperienze specifiche nel settore. Ma anche le capacità organizzative e di progetto» – continua Alessandroni. «Augeos ha dedicato al progetto un responsabile diretto in grado di fare da “cinghia di trasmissione” e non solo da interfaccia, per gestire le problematiche di coinvolgimento e di organizzazione nelle diverse fasi di progetto: analisi, sviluppo, test, collaudo e formazione. Il tutto come se fosse un unico team». Anche la responsività di Augeos, a fronte del processo in corso di riorganizzazione interno, è stato un elemento valutato positivamente. «Abbiamo sperimentato fasi di “instabilità”, durante le quali si sono registrate accelerazioni significative. In questo contesto, abbiamo sempre avuto da Augeos una pronta capacità di risposta sia nel comprendere le nostre esigenze sia nell’adattare le attività progettuali al fine di centrare gli obiettivi in termini di scadenze e delivery attese».
Competenza, condivisione dei task e orientamento alla delivery hanno creato la “chimica” giusta all’interno del gruppo di lavoro. «Abbiamo mantenuto un contatto continuo e abbiamo tenuto traccia di tutte le issues a livello progettuale – tempistiche, implementazione, caratteristiche della delivery – in modo da intervenire rapidamente. Non ci sono state situazioni critiche nell’attività progettuale, ma come in ogni progetto di sviluppo, è stato necessario in alcuni casi ricalibrare l’effort su aree che sembravano inizialmente più easy. In questi casi la decisione è stata presa a valle del confronto, anche delle issues emerse».
La prossima fase progettuale – come ci anticipa Alessandroni – prevede l’implementazione delle componenti non core. «Ci aspettiamo ancora un 2020 di significativa progettualità e di consolidamento sia del workflow che dei diversi motori di calcolo. Entro lo stesso anno l’obiettivo è di portare a maturità la soluzione applicativa. La disponibilità di informazioni organizzate e strutturate – prevede Alessandroni – permetterà di identificare nuove opportunità di intervento sui processi e sull’organizzazione aziendale, consentendo altresì di migliorare gli stessi framework di gestione dei rischi».