Partiamo da una evidenza: i rischi che un’impresa (qualunque impresa) deve oggi fronteggiare sono tanti, per numero e complessità, con un trend in crescita rispetto solo a pochi anni fa (e non smettono di crescere).

Le tecnologie digitali, non da oggi, permettono un salto di qualità nella gestione e nella mitigazione dei rischi. In linea teorica, almeno. In questa intervista Cristina Peano, Managing Director di Protiviti, spiega che possono dare benefici ma solo se precedute, o accompagnate, da un cambio culturale nel funzionamento dell’organizzazione. Obiettivo: creare una sinergia tra i professionisti del controllo e le funzioni di business. Oggi la sinergia tra funzioni che perseguono istituzionalmente finalità diverse (p.e. business e controlli) è ancora l’eccezione più che la regola. Per invertire la tendenza, serve, anzitutto, fiducia e collaborazione reciproca. Chi gestisce rischi e compliance deve imparare ad ascoltare chi è sul campo che, a sua volta, deve essere aperto al cambiamento delle modalità operative a fronte di rischi concreti.

Rischi e relativi controlli sono un tema centrale per le aziende. In quali ambiti?

In tutti. Non c’è un solo settore dell’attività aziendale dove i rischi siano assenti, probabilmente non c’è mai stato. Certo, gli equilibri alla base dei risultati aziendali sono oggi particolarmente delicati e qualunque dettaglio vada diversamente da quanto pianificato può ostacolare il business con le relative ricadute. Questo dipende da diversi fattori: la maggiore concorrenza; la crescente attenzione non solo dei consumatori, ma anche di legislatori e autorità di mercato; la rapidità dell’evoluzione degli scenari di mercato. Vale sempre quel che disse qualche anno fa Leonardo Del Vecchio: l’ambiente imprenditoriale è cambiato negli ultimi 10 anni più che nei precedenti 60.

Nella gestione dei rischi e dei controlli la digitalizzazione promette risultati di per sé, oppure è efficace solo in presenza di determinate premesse organizzative?

Le tecnologie digitali, per quanto utili, non sono una bacchetta magica. Le premesse da fare sono molte. Anzitutto, la tecnologia non è gratis. Mentre, quindi, sostenendo il mero costo del personale le organizzazioni possono fare molte cose, per la tecnologia non è così: la si deve selezionare, comprare, installare e poi fare in modo che le persone la usino. La seconda premessa è che bisogna utilizzarla sì, ma con consapevolezza e in una logica di cambiamento. L’errore che vediamo più spesso nelle aziende è la digitalizzazione del modo in cui già si lavora. Certo, la tecnologia in sé dà valore (per esempio, permette la tracciabilità e responsabilizza) ma, appunto, non è la bacchetta magica e quindi non risolve tutti i problemi.

Per esempio?

Se esistono delle barriere nel funzionamento dell’organizzazione, non è il digitale che può eliminarle. In concreto, se due funzioni non dialogano non è certo la tecnologia che cambia la situazione. Ancora, se un rischio non è conosciuto e presidiato, non è la tecnologia in sé a istituire il presidio. 

L’importante, insomma, è il cambiamento che deve ingenerarsi a livello organizzativo, di cui la tecnologia può essere un abilitatore, una spinta, ma non l’unica: è parte di un ingranaggio che deve funzionare, e non sempre funziona. Non tutti sono aperti allo stesso modo al cambiamento, c’è chi può viverlo come una limitazione della propria autonomia. Sono inoltre possibili scelte sbagliate: scegliere la tecnologia non è come scegliere un’automobile. È un’operazione più delicata e complessa.

Come procedete quando supportate un’impresa nella digitalizzazione dei controlli?

Ascoltiamo. Per quanto questi processi possano sembrare standard, ogni realtà ha una propria storia e specifiche esigenze. Raccogliamo il bisogno di partenza della funzione richiedente (tipicamente di business o di controllo interno), ma non ci limitiamo a questo: insistiamo affinché sia fin da subito coinvolta anche la funzione IT o la figura che definisce le strategie tecnologiche, infrastrutturali, digitali. Questo per evitare che le funzioni aziendali si muovano in maniera non coordinata rispetto alla strategia IT, creando così più danni che benefici.

È solo una questione di tecnologia?

Al di là delle sue specificità, conta molto come la tecnologia è gestita. Se ne scelgo una che deve essere gestita internamente dall’organizzazione, ci vuole una persona che abbia le competenze per metterci le mani, manutenerla e farla evolvere, se no dopo un po’ si ferma tutto. Se, invece, scelgo una tecnologia che viene gestita in outsourcing da un provider terzo (per esempio, nel caso della modalità As a Service), non bisogna preoccuparsi internamente di manutenerla o di farla evolvere perché lo fa il fornitore. L’azienda deve comunque governare gli applicativi per sapere in quale direzione vanno le modifiche evolutive. Sono scelte organizzative, strategiche e fattuali necessarie per un governo efficace.

Le tecnologie low code/no code, più semplici da usare, sono applicabili al controllo dei rischi?

In fase di avvio di progetti di digitalizzazione dei controlli, cerchiamo di suggerire all’azienda la tecnologia più adatta per raggiungere l’obiettivo. Oggi le tecnologie low code o no code offrono grandi vantaggi.

Idealmente, il sogno è di costruire, attraverso la tecnologica, un portale unico che supporti le organizzazioni (il suo management e il personale) nella gestione integrata dei rischi, della compliance e dei sottostanti controlli.

Come effettuate la scelta?

Intanto puntando su applicativi che rispondano a tutte le esigenze funzionali. In secondo luogo, tenendo in considerazione non solo il pricing, ma anche la roadmap evolutiva della soluzione e, ovviamente, la sicurezza. Meglio privilegiare i vendor che garantiscono elevati standard di sicurezza cyber, così come quelli che, grazie alla roadmap evolutiva degli applicativi proposti, non invecchiano troppo in fretta, per esempio quelli che introducono progressivamente le funzionalità d’intelligenza artificiale.

Ci sono ambiti nei quali la digitalizzazione dei controlli comporta particolari vantaggi?

Direi un po’ tutti. Sono utilissimi, per esempio, per avere piena consapevolezza della catena di fornitura. Tenerla sotto controllo manualmente è impossibile: bisogna comprendere chi sono i nostri fornitori e con chi a loro volta lavorano, ma anche se nel Paese di provenienza c’è una guerra e, quindi, una possibile sanzione, oppure se i soci / rappresentanti aziendali sono persone di dubbia reputazione. Queste informazioni (e molte altre) sono molto importanti per capire se intrattenere o meno relazioni di business. Non dimentichiamo anche la conformità ai princìpi di sostenibilità ed etici delle singole organizzazioni. Per scegliere consapevolmente mitigando i rischi insiti in qualsiasi decisione di business, c’è bisogno di dati e informazioni. Occorrono sistemi e tecnologie che permettano a chi guida il business di avere alert automatici a fronte di determinate circostanze rischiose, ovvero blocchi automatici nei casi più rischiosi. Poter contare su questi sistemi può fare la differenza tra un business resiliente e sostenibile, ed uno invece che subisce aumento di costi, contestazioni o stop anche importanti dell’operatività (ad esempio, perché la merce viene bloccata in dogana, oppure perché viene comminata una sanzione a fronte di operazioni che violano regolamenti su Conflict Minerals, Human Rights, Anticorruption e Trade). Senza contare i possibili impatti reputazionali e il tempo che il management deve sottrarre al business per gestire le emergenze.