Gestione del rischio integrale: prevedere tutti i rischi

Attacchi informatici, errori nel disbrigo operativo, prestazioni insufficienti di una società partner o movimenti dei tassi d’interesse che influenzano il capitale proprio e i ricavi della banca: sono tutti rischi con cui gli istituti finanziari devono fare i conti. Istituendo una gestione del rischio, le aziende identificano, valutano, monitorano e gestiscono i rischi per loro rilevanti. Matthias Lips, responsabile Monitoring Operational Risks di PostFinance, spiega quali tipologie di rischi deve affrontare l’azienda, come è organizzata internamente la gestione del rischio e come viene sensibilizzato il personale sui rischi nella rispettiva unità.

Intervista a Matthias Lips, responsabile Monitoring Operational Risks presso PostFinance

Quali sono in concreto i compiti della tua sezione Monitoring Operational Risks?

Matthias Lips: Facciamo parte dell’unità Risk Control e assicuriamo l’identificazione, la valutazione e la gestione dei rischi in tutte le unità dell’azienda da un punto di vista integrale e indipendente. Ci assicuriamo di identificare tutti i rischi essenziali per PostFinance e che le singole persone responsabili li gestiscano in maniera adeguata.

L’unità Risk Control conta tre team dedicati al monitoraggio: uno si occupa di monitorare i rischi finanziari, un altro i rischi informatici e legati ai dati e il mio team gestisce tutti gli altri rischi operativi. Nei nostri ambiti tematici svolgiamo controlli, analisi o verifiche e ne assicuriamo la corretta rendicontazione al management. Controlliamo nel dettaglio che tutti i rischi siano identificati, misurati nel modo giusto e gestiti adeguatamente.

Quali competenze raggruppa la tua sezione?

Poiché da noi le attività sono molto diversificate, nel mio team lavorano persone con bagagli di esperienze estremamente vari. Il nostro team è responsabile di singole categorie di rischio, come ad esempio i rischi di terze parti, di liquidazione, in ambito legale o legati ai pagamenti. Sono quindi richieste anche competenze e conoscenze specifiche. Se ad esempio un membro del team è responsabile dei rischi legati ai pagamenti, l’ideale è che abbia alle spalle esperienze nel campo delle soluzioni di pagamento; se ha esperienza nei campi IT e Security, magari assiste le rispettive unità. Il nostro team è dunque molto diversificato e i suoi membri hanno un background in ambito bancario, della sicurezza, della revisione e della rendicontazione finanziaria.

Come si è evoluta la gestione del rischio delle banche, e in particolare di PostFinance, negli ultimi anni?

Negli ultimi anni il livello di professionalità è cresciuto molto. In particolar modo dalla subordinazione alla FINMA e dall’assegnazione della licenza bancaria nel 2013, presso PostFinance si è potuta osservare una forte intensificazione della gestione del rischio; tendenza che si è ulteriormente consolidata con la classificazione quale banca di rilevanza sistemica. Non a caso, una recente circolare della FINMA ha annunciato requisiti aggiuntivi in materia di rischi operativi per tutte le banche, che ci apprestiamo a implementare. Ma anche la digitalizzazione influisce notevolmente sulla qualità della gestione del rischio: qualche anno fa abbiamo introdotto nel nostro sistema di controllo interno un nuovo strumento che ci consente di generare in automatico, tramite flussi di lavoro, attività e controlli per i rischi inventariati. Nel frattempo questo strumento è stato notevolmente ottimizzato e presenta ora diversi inventari e funzioni supplementari.

Di quali sfide particolari si occupa la gestione del rischio delle banche di questi tempi?

Da un lato c’è il fatto che le banche sono sempre nel mirino dei cibercriminali; a tal proposito va detto che gli istituti bancari hanno standard di sicurezza informatica e cibernetica di prim’ordine, anche per quanto riguarda la gestione del rischio, e ciononostante dobbiamo acquisire costantemente know-how in questo settore. Dall’altro lato, come tutte le altre aziende, abbiamo a che fare con un a crescente incertezza di mercato, cominciata con il coronavirus e continuata con la guerra tra Russia e Ucraina. In un’epoca di simili incertezze, la gestione del rischio è incredibilmente importante e può essere cruciale per la sopravvivenza di un’azienda. Non va dimenticato, però, che la gestione del rischio è diversa dalla gestione diretta delle crisi. Noi della gestione del rischio cerchiamo di classificare e gestire i rischi in una fase precoce. Per le situazioni di crisi esistono organi appositi, come il nucleo di crisi. Chiaramente siamo rappresentati anche all’interno di questi organi, con cui collaboriamo.

PostFinance ricorre già all’intelligenza artificiale per la gestione del rischio e, in caso affermativo, in quali ambiti e con quali risultati?

L’intelligenza artificiale presenta due aspetti che per noi sono rilevanti. Da un lato agisce da fattore di rischio e porta nuovi vettori di attacco per la criminalità o comporta rischi legati all’utilizzo di modelli di IA. Dall’altro lato, migliorando o eseguendo in modo più completo il monitoraggio o il controllo tramite l’intelligenza artificiale è anche possibile ridurre i rischi. L’IA consente ad esempio di analizzare grandi quantità di dati e automatizzare i processi di controllo.

Come riesce PostFinance a consolidare la consapevolezza del rischio di tutto il personale?

Sensibilizzando regolarmente collaboratrici e collaboratori e facendo capire loro che conoscere i rischi nel proprio ambito di responsabilità e prevenirne le conseguenze negative richiede meno sforzi rispetto a dover contenere i danni a posteriori. A questo scopo, li informiamo sulle disposizioni corrispondenti e svolgiamo valutazioni del rischio. Inoltre, tutto il personale ha l’obbligo di rinfrescare le proprie conoscenze sul tema a intervalli regolari con un e-learning.

E ora una domanda personale: lavorando come risk manager si diventa critici nei confronti di ogni cosa? Si vedono rischi dappertutto?

Sicuramente, sul lavoro occorre adottare un atteggiamento critico, ma ciò non significa vivere la vita in preda all’ansia. Persino chi lavora come risk manager di tanto in tanto deve lanciarsi! Il nostro compito è fare le domande giuste e riconoscere cosa può andare storto in una situazione realistica nonostante le misure adottate, in particolare tenendo conto del fattore umano. Tocca a noi anche assicurare che simili eventi non si verifichino affatto e trovare modi per eliminare questi rischi o perlomeno ridurli a dimensioni accettabili. In questi casi bisogna rimanere tenaci, anche quando un interlocutore, di fronte a uno scenario di rischio, dice che «non è mai successo nulla di simile». Faccio l’esempio di una banca tedesca che ha trasferito 300 milioni di euro alla Lehman Brothers la mattina stessa della sua bancarotta e dopo che questa era già stata comunicata dai media. Il rimborso atteso di 500 milioni di dollari non è mai arrivato o comunque è confluito nel procedimento di insolvenza. Neanche questa circostanza si era mai verificata prima, eppure si sarebbe potuta evitare.