Risk & Compliance: collaborazione, confronto, integrazione per una maggiore complementarietà
❝ Le aziende hanno compreso il valore aggiunto che un buon processo ERM può offrire e il rispetto dei requisiti del Codice di Autodisciplina non è stato un mero esercizio di compliance ❞
compliancedesign.it ha intervistato Valentina Paduano, Chief Risk & Compliance Officer Dedalus Group
Quasi 15 anni tra risk e compliance, prima da consulente e poi come manager. Come è cambiato l’approccio alla gestione del rischio nelle organizzazioni?
In Italia, fino al 2012 le aziende dotate di un processo di risk management e quindi di una risorsa dedicata erano davvero poche, sicuramente virtuose, sebbene parliamo di un approccio al rischio tipicamente a silos, non centralizzato e difficilmente con un indirizzo strategico e di governance.
Nel 2012, il Codice di Autodisciplina (oggi Codice di Corporate Governance) ha introdotto per la prima volta il concetto della gestione dei rischi, all’interno di un sistema integrato con il controllo interno. Questa è stata la vera concreta svolta che ha dato il via ad un cambio di passo in materia di risk management: engagement diretto del board, governance chiara e pervasiva lungo tutta l’organizzazione e a tutti i livelli, link con gli obiettivi di performance e quindi visione strategica, necessità di una gestione centralizzata ossia un modello ERM. È aumentato in maniera importante il numero di aziende con risorse e processi di risk management e le aziende con processi esistenti hanno rivisto e ripensato i propri framework.
“Gli strumenti disponibili oggi in grado di intercettare ed analizzare puntualmente una grande quantità di dati, comparandoli su scala globale, consentono il passaggio da un approccio base e statico ad uno dinamico e avanzato“
Le aziende hanno compreso il valore aggiunto che un buon processo ERM può offrire e il rispetto dei requisiti del Codice di Autodisciplina non è stato un mero esercizio di compliance. Tuttavia, dal 2012 ad oggi, le aziende che hanno continuato ad investire sul risk management, con l’obiettivo di far crescere la cultura interna, farlo diventare sempre più pervasivo ed avanzato, sono poche. Ho percepito un po’ di “appiattimento” che si è riflesso nella modalità in cui le aziende hanno gestito la pandemia. La maggioranza ha dimostrato di non aver gestito il rischio, bensì l’emergenza. Tuttavia la pandemia stessa è stato un altro elemento fondamentale di cambiamento perché ha riportato il management sull’importanza di un’efficace processo di risk management e le aziende sono tornate a investire. Lo si vede nella mobilità del mercato del lavoro in questo periodo in ambito risk e nella gestione più preparata rispetto agli ultimi eventi politici.
Risk e compliance due facce della stessa medaglia. Più complementarietà o sovrapposizioni?
Complementarità senza dubbio! Tuttavia difficilmente riflesso nelle realtà aziendali. Spesso viaggiano su binari paralleli e non è necessariamente colpa del management. Chi fa compliance spesso non ha un approccio, una formazione risk e comunque non è disposto a collaborare con i colleghi del risk. Ecco collaborazione, confronto, integrazione sono le parole chiave che dovrebbero guidare verso una maggiore complementarietà.
Aziende diverse, industry diverse, organizzazioni diverse: approccio al rischio e alla compliance necessariamente diverso?
Il filo conduttore è (o dovrebbe essere) l’ERM framework che definisce un chiaro approccio metodologico, operativo e di governance adattabile a qualsiasi industry e dimensione aziendale. Adattabile perché le specifiche del settore, la cultura aziendale e le aspettative del top management sono diverse e indirizzano in modo diverso l’approccio, pur rimanendo nella sua sostanza costante, ovvero un approccio che sia vicino al business, che parli la lingua del business, senza ovviamente venir meno a esigenze normative soprattutto lato compliance.
Risk, compliance e AI-Tech. Quanto l’innovazione tecnologica stan impattando sul ruolo e in che modo?
La tecnologia è sicuramente un altro fattore importante in questo percorso di cambiamento culturale. Gli strumenti disponibili oggi in grado di intercettare ed analizzare puntualmente una grande quantità di dati, comparandoli su scala globale, consentono il passaggio da un approccio base e statico ad uno dinamico e avanzato. Tuttavia, siamo ancora molto lontani da questo traguardo per competenze (sia dei risk manager che dei compliance officer) e per modelli produttivi strutturalmente vecchi che non si prestano per lo sfruttamento tecnologico moderno (si pensi alla media delle fabbriche italiane ed al relativo livello tecnologico!).
❝ un coordinamento centrale e integrato dei diversi profili di rischio che impattano l’organizzazione, il business, la strategia e di conseguenza i processi, è un modello che considero vincente❞
Come pensa debba evolvere il modo del rischio e compliance e (parallelamente) quella dei suoi professionisti nel prossimo futuro?
L’evoluzione deve essere guidata da una sempre maggiore collaborazione e confronto tra le due funzioni e tra settori diversi, un continuo learning. Inoltre, è fondamentale continuare a lavorare sull’importanza strategica di risk e compliance.
Lei si è anche occupata di sostenibilità e environment, a che punto siamo oggi?
C’è tantissimo da fare! La sostenibilità è sempre stata vista come un esercizio di compliance normativo, legato principalmente alla disclosure non finanziaria, non si ha ancora una chiara visione strategica né tantomeno integrazione. La spinta che l’EU sta dando sui temi di sostenibilità tuttavia ha forse invertito la rotta e almeno la consapevolezza che sostenibilità vuol dire business strategy credo che oggi ci sia. Tuttavia, quanto poi le aziende siano disposte a scaricare a terra questa consapevolezza è discutibile.
Uno sguardo all’ultimo incarico appena assunto in Dedalus: qual è la linea guida?
La linea guida è l’approccio risk-based che si traduce nell’analizzare, comprendere il business e le aspettative degli stakeholders (interni ed esterni) ed identificare le priorità di azione. Le risorse sia economiche che di tempo non sono infinite, ed è fondamentale capire su cosa si deve intervenire, quando e come farlo. Analizzare i rischi rispetto al business, al mercato di riferimento, alle aspettative di investitori, board, management, aiuta a definire una roadmap operativa chiara, solida e consistente. Io sto lavorando a questo. Focus sulle priorità di rischio identificate con il top management aziendale rispetto alle strategie perseguite e definizione di un Compliance Program che parte da una risk analysis sui vari topic di compliance di pertinenza del gruppo per definire la corretta modalità di approccio. […] continua a leggere People in Compliance