Analisi

Risk management plan: come fa il CIO a farsi capire dal board?

La conformità rispetto a normative che impongono controlli stringenti in materia di gestione dei rischi ha spinto molti CIO a rivedere il proprio approccio al risk management. In questo articolo, un esperto ci spiega come presentare al CdA un risk management plan comprensibile

Pubblicato il 26 Nov 2013

risk-management-150310133936

Negli ultimi anni, l’obbligo per le aziende di garantire la conformità ad alcune normative che impongono controlli particolarmente stringenti in materia di gestione dei rischi, come la Sarbanes- Oxley, ha spinto molti CIO a intraprendere una nuova strada, nel tentativo di migliorare la gestione complessiva del rischio aziendale.

“Le autorità che regolamentano questa materia stanno mettendo pressione sui Consigli di Amministrazione per migliorare la loro vigilanza sul rischio, con l’obiettivo di favorire la comprensione dell’impresa in generale rispetto alla propria esposizione al rischio e alle minacce agli obiettivi strategici. Ciò significa che ai CIO e ai gestori del rischio IT, come CSO e CISO, sempre più spesso viene chiesto di dimostrare con precisione come la gestione complessiva sia legata ai rischi aziendali”, esordisce French Caldwell, vice president di Gartner.

In un recente sondaggio di Gartner che verteva sul risk management, circa il 43 % degli intervistati ha dichiarato che i dati di gestione del rischio che fornisce il dipartimento IT non hanno alcuna influenza sul processo decisionale a livello di board. Non solo, ma alcuni degli intervistati hanno anche messo in dubbio che il board abbia compreso i dati che l’IT gli ha sottoposto. Questo non significa che le aziende non siano più preoccupate per il rischio che corrono le risorse IT, ma significa piuttosto che il board sta guardando a questo fenomeno in termini di processi che in qualche modo si scontrano contro gli obiettivi di business.

Ecco perché i CIO hanno bisogno di migliorare la comunicazione tra IT e business line e tra business line, IT e CdA, sostiene Caldwell. Per cominciare, il CIO dovrà avere ben chiaro in mente quali sono i ruoli del Consiglio di Amministrazione, del CIO e degli altri dirigenti rispetto alla gestione del rischio.

Caldwell ha sottolineato che il CIO dovrà attenersi a due principi guida:
Gli obiettivi aziendali sono obiettivi IT. In sostanza, quindi, l’organizzazione IT e le business line condividono, almeno in parte, gli stessi obiettivi di business . Questo si può ottenere solo se tutti si muovono nella stessa direzione.
I rischi IT sono rischi aziendali. Se si stabilisce che business e IT condividono gli stessi obiettivi, ne consegue che i rischi IT sono anche rischi per il business. Questo aiuta a definire un obiettivo comune rispetto ai risultati di business.

Anzitutto, si dovrebbe comprendere che il board di per sé non è un organo deputato a gestire il rischio, mette in guardia Caldwell , perché “il ruolo del CdA nella gestione del rischio è quello di assicurarsi che ci sia un piano di risk management efficace in atto e che la società lo stia attuando in concreto. In pratica, si tratta di un ruolo di supervisione”.

Alla luce di questi fatti, i CIO devono comprendere gli indicatori di rischio IT che potrebbero impedire o ostacolare il business nel raggiungimento dei suoi obiettivi strategici. La distinzione è importante perché piuttosto che concentrarsi sui rischi per gli asset IT, il focus dei CIO dovrà spostarsi sui rischi che si riflettono sulle performance delle attività d’impresa, rischi nei quali la tecnologia gioca un ruolo fondamentale.

“Questo non significa che non siamo più preoccupati per il rischio relativo alla compromissione degli asset IT, ma che stiamo guardando a questi fenomeni in termini di processi che ci portano a performance non in linea con gli obiettivi di business stati stabiliti dal Consiglio di Amministrazione – sostiene Caldwell -. È questa revisione delle prestazioni di business che i CIO devono portare avanti quando vanno a riferire al CdA”.

Il momento del confronto

Al momento della presentazione del proprio operato al board, i CIO dovrebbero tenere a mente che avranno solo circa 15 minuti per esprimersi e che questa potrebbe essere l’unica occasione formale di farlo nel corso di tutto l’anno. Ecco perché il Chief Risk Officer (CRO), il Chief Financial Officer (CFO), il CEO e i membri del consiglio dovrebbero sapere in anticipo quello di cui il CIO parlerà.

La presentazione vera dovrebbe consistere idealmente in sole quattro diapositive. È questo il consiglio dell’esperto di Gartner:
Slide 1: indicazione di un elenco breve (da 3 a 6 voci) degli obiettivi aziendali strategici.
Slide 2: identificare i rischi IT che hanno il maggior impatto su ciascuno degli obiettivi strategici di cui sopra.
Slide 3: descrivere le iniziative di gestione del rischio attualmente in essere in azienda.
Slide 4: revisione e conclusioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati