Torno oggi da quattro giorni ad un convegno organizzato da ENISA a Barcellona. Un convegno pieno di spunti dei quali vi racconterò. Nel frattempo smisto arretrati e posta (in albergo volevano 8 euro/ora per la connessione, così mi sono permesso di non leggere mail per quattro giorni…) e nel farlo riporto qualche notizia arretrata anch’essa.
Circa un mese fa ho riportato della comparsa delle prime (??) offerte di prodotti che tengono conto del rating delle aziende rispetto alla rischiosità, secondo i criteri di Basilea II. Nel frattempo ho avuto occasione di vedere alcuni tool di autovalutazione e offerte, ed ho visto che tutti raccoglievano solo dati di bilancio e qualche altro dato economico/finanziario in quanto non direttamente ricavabile dal bilancio. Un paio di settimane fa ho avuto occasione di chiacchierare di uno di questi tool, sviluppato in collaborazione fra un’università ed una banca sulla base di dati reali dei clienti della banca (anonimizzati, ovviamente 😉 ). Anche questo tool non faceva cenno a rischi operativi non solo relativi all’IT, ma nemmeno alla qualità dei processi industriali o a problematiche di business continuity. Incuriosito, ho chiesto chiarimenti, e mi è stato risposto che una volta stabilito il settore in cui l’azienda operava, l’unico fattore che era sembrato interessante era una (generica) “qualità della gestione”, che comunque si riesce ad evidenziare, mi hanno detto, da alcuni dati di bilancio. Ovvero, per come l’ho capita, se il management è “trascurato”, si vede dal bilancio, il che è in generale credibile. Non hanno rilevato che altri fattori fossero rilevanti, a parte appunto la rischiosità del settore in cui opera l’azienda. La cosa lì per lì mi ha colpito, perché naturalmente vuole dire che un’azienda virtuosa nella gestione del rischio operativo, in termini di IT, business continuity ecc., non viene premiata perché, secondo quella valutazione, non ne risulta una riduzione significativa del rischio (della solvibilità, direi) rispetto a fattori rilevabili dal bilancio. Oppure, che una buona gestione del rischio operativo si dovrebbe vedere immediatamente in termini di voci di bilancio. Il che, naturalmente, fa a pugni con il concetto di business continuity, con il quale pure le banche hanno dovuto scontrarsi proprio per essere loro stesse in linea con le indicazioni di Basilea II. Proprio venerdì sentivo un intervento nientemeno che di Edward Humphreys (il “papà” del BS 7799) sugli effetti che un disastro può avere sulle PMI della zona in cui si verifica, e sulle aziende di cui sono fornitori… anche quello basato su casi reali. Mi pare di aver sentito che per alcuni economisti dal bilancio di un’azienda si può capire tutto di quell’azienda: mi domando dove, nel bilancio, si possa vedere la gestione di rischi legati ad eventi che abbiano effetti anche catastrofici ma che non abbiano tempi di ritorno dell’ordine di pochi anni… Il mio dubbio è che le (poche) aziende realmente virtuose o particolarmente trascurate dal punto di vista del rischio operativo siano state considerate trascurabili nella statistica, semplicemente perché i dati necessari per mettere in evidenza la loro peculiarità non erano in possesso della banca, né erano riconosciuti come rilevanti da chi era, a priori, concentrato sui dati di bilancio; magari nell’ipotesi che il “buon manager” avrebbe comunque trattato correttamente questi rischi, e ignorando invece che anche il buon manager spesso questi rischi non li conosce proprio, e quindi in buona fede non li tratta correttamente. Naturalmente, se ho ragione la cosa verrà corretta alla prima catastrofe o serie di incidenti rilevanti… ma la gestione del rischio non dovrebbe servire proprio ad evitare di arrivare impreparati a questi eventi?
Correzione: non è stato Edward Humphreys a fare gli esempi concreti (lui ha parlato dello stato presente e futuro della famiglia di standard ISO 270xx) ma David Reynolds