Gestione del rischio integrale: prevedere tutti i rischi

Attacchi informatici, errori nel disbrigo operativo, prestazioni insufficienti di una società partner o movimenti dei tassi d’interesse che influenzano il capitale proprio e i ricavi della banca: sono tutti rischi con cui gli istituti finanziari devono fare i conti. Istituendo una gestione del rischio, le aziende identificano, valutano, monitorano e gestiscono i rischi per loro rilevanti. Matthias Lips, responsabile Risk Assessment & Control di PostFinance, spiega quali tipologie di rischi deve affrontare l’azienda, come è organizzata internamente la gestione del rischio e come viene sensibilizzato il personale sui rischi nella rispettiva unità.

Quali tipologie di rischi esistono presso PostFinance?

Fondamentalmente distinguiamo tra rischi finanziari, strategici e operativi. Rientrano tra quelli finanziari soprattutto i rischi di liquidità, di mercato, di credito e di oscillazione dei tassi di interesse. I rischi strategici consistono ad esempio nel pericolo che una decisione strategica di addentrarsi in un nuovo mercato si riveli sbagliata a posteriori o in un rischio derivante da cambiamenti dirompenti sui mercati. Nel caso dei rischi operativi, invece, parliamo di una gamma molto ampia di possibili eventi, magari legati a cibercriminalità, partner di sourcing, processi aziendali errati, pandemie o alla gestione dei dati.

Di quali compiti si occupa la tua sezione Risk Assessment & Control, concretamente?

Noi facciamo parte dell’unità Risk Control e assicuriamo l’identificazione, la valutazione e la gestione dei rischi in tutte le unità dell’azienda da un punto di vista integrale e indipendente, concentrandoci sui rischi strategici e operativi per l’intera banca. Ci assicuriamo di identificare tutti i rischi essenziali per PostFinance e che le singole persone responsabili li gestiscano in maniera adeguata.

Fanno parte di Risk Control anche due team di monitoraggio, uno dedicato ai rischi finanziari e l’altro a quelli non finanziari. Entrambi svolgono esami, analisi o verifiche su temi molto specifici correlati ai rischi e ne assicurano la corretta rendicontazione al management. Controllano nel dettaglio che tutti i rischi siano identificati, misurati nel modo giusto e gestiti adeguatamente. Tra i loro compiti rientra, ad esempio, la convalida dei modelli per il calcolo degli indici dei rischi finanziari.

Quali competenze raggruppa la tua sezione?

Poiché da noi le attività sono molto diversificate, nel mio team lavorano persone con bagagli di esperienze estremamente vari. Principalmente assumiamo il ruolo di Single Point of Contact (SPoC), assistendo singole unità, e ciò richiede anche competenze specifiche. Se ad esempio un membro del team è responsabile della business unit Payment Solutions, l’ideale è che abbia alle spalle esperienze nel campo delle soluzioni di pagamento; se ha esperienza nei campi IT e Security, magari assiste le rispettive unità. Il nostro team è dunque molto diversificato e i suoi membri hanno un background in ambito bancario, della sicurezza, della revisione e della rendicontazione finanziaria.

Come si è evoluta la gestione del rischio delle banche, e in particolare di PostFinance, negli ultimi anni?

Negli ultimi anni il livello di professionalità è cresciuto molto. In particolar modo dalla subordinazione alla FINMA e dall’assegnazione della licenza bancaria nel 2013, presso PostFinance si è potuta osservare una forte intensificazione della gestione del rischio; tendenza che si è ulteriormente consolidata con la classificazione quale banca di rilevanza sistemica. Non a caso, una recente circolare della FINMA ha annunciato requisiti aggiuntivi in materia di rischi operativi per tutte le banche, che ci apprestiamo a implementare. Ma anche la digitalizzazione influisce notevolmente sulla qualità della gestione del rischio: tre anni fa abbiamo introdotto nel nostro sistema di controllo interno un nuovo strumento che ci consente di generare in automatico, tramite flussi di lavoro, attività e controlli per i rischi inventariati.

Di quali sfide particolari si occupa la gestione del rischio delle banche di questi tempi?

Da un lato c’è il fatto che le banche sono sempre nel mirino dei cibercriminali; a tal proposito va detto che gli istituti bancari hanno standard di sicurezza informatica e cibernetica di prim’ordine, anche per quanto riguarda la gestione del rischio, e ciononostante dobbiamo acquisire costantemente know-how in questo settore. Dall’altro lato, come tutte le altre aziende, abbiamo a che fare con un a crescente incertezza di mercato, cominciata con il coronavirus e continuata con la guerra tra Russia e Ucraina. In un’epoca di simili incertezze, la gestione del rischio è incredibilmente importante e può essere cruciale per la sopravvivenza di un’azienda. Non va dimenticato, però, che la gestione del rischio è diversa dalla gestione diretta delle crisi. Noi della gestione del rischio cerchiamo di classificare e gestire i rischi in una fase precoce. Per le situazioni di crisi esistono organi appositi, come il nucleo di crisi. Chiaramente siamo rappresentati anche all’interno di questi organi, con cui collaboriamo.

Come riesce PostFinance a consolidare la consapevolezza del rischio di tutto il suo personale?

Sensibilizzando regolarmente collaboratrici e collaboratori e facendo capire loro che conoscere i rischi nel proprio ambito di responsabilità e prevenirne le conseguenze negative richiede meno sforzi rispetto a dover contenere i danni a posteriori. A questo scopo, li informiamo sulle disposizioni corrispondenti e svolgiamo valutazioni del rischio. Inoltre, tutto il personale ha l’obbligo di rinfrescare le proprie conoscenze sul tema a intervalli regolari con un e-learning.

E ora una domanda personale: lavorando come risk manager si diventa critici nei confronti di ogni cosa? Si vedono rischi dappertutto?

Sicuramente, sul lavoro occorre adottare un atteggiamento critico, ma ciò non significa vivere la vita in preda all’ansia. Persino chi lavora come risk manager di tanto in tanto deve lanciarsi! Il nostro compito è fare le domande giuste e riconoscere cosa può andare storto in una situazione realistica nonostante le misure adottate, in particolare tenendo conto del fattore umano. Tocca a noi anche assicurare che simili eventi non si verifichino affatto e trovare modi per eliminare questi rischi o perlomeno ridurli a dimensioni accettabili. In questi casi bisogna rimanere tenaci, anche quando un interlocutore, di fronte a uno scenario di rischio, dice che «non è mai successo nulla di simile». Faccio l’esempio di una banca tedesca che ha trasferito 300 milioni di euro alla Lehman Brothers la mattina stessa della sua bancarotta e dopo che questa era già stata comunicata dai media. Il rimborso atteso di 500 milioni di dollari non è mai arrivato o comunque è confluito nel procedimento di insolvenza. Neanche questa circostanza si era mai verificata prima, eppure si sarebbe potuta evitare.