Per allineare correttamente il business ai criteri ESG (Environmental, Social, Governance) non è sufficiente elaborare bilanci di sostenibilità e verificare in maniera puntuale i KPI che descrivono l’aderenza dei processi agli obiettivi del management.
È, prima di ogni altra, necessario imparare a governare i fattori di rischio collegati a qualsiasi attività aziendale.
D’altra parte, minimizzare l’impatto dell’organizzazione sull’ecosistema in cui opera, generando al tempo stesso valore per i suoi stakeholder, vuol dire individuare le minacce che avverandosi possono in qualche modo alterare i risultati attesi e preparare strumenti e metodologie in grado di mitigarne gli effetti.
“Tutto ciò vale sia sul piano operativo, sia su quello cyber, sia su quello informatico” spiega Andrea Violato, Product Owner di Augeos società specializzata nelle soluzioni di risk management con forte focus sul settore bancario.
“Non sfugge naturalmente il fatto che le teorie e le prassi della gestione del rischio legate ai temi ESG siano ancora pionieristiche, e quindi in piena espansione ed evoluzione – dice Violato – E lo stesso si può dire delle competenze e soprattutto delle professionalità che ruotano intorno al mondo della sostenibilità. Lavorando a contatto con diverse banche, posso però dire che un forte ancoraggio a framework normativi e regolamentari, tipico per l’appunto del comparto finanziario, può costituire un valido punto di partenza per delineare una prima roadmap”.
Fattori di rischio ESG: occorrono visioni più ampie e concrete sull’impatto dei processi
A prescindere dal settore in cui si opera, Violato sottolinea che per determinare i fattori di rischio ESG occorre poi sviluppare una visione più ampia e più concreta dell’impatto che i vari processi e singoli task aziendali possono avere sul proprio contesto “Anche in questo caso, mi sento di proporre come esempio quello del settore finanziario, che per sua natura è sistemico e quindi sensibile alla definizione di regole che permettono di descrivere in termini estremamente accurati i legami tra emittenti, intermediari e utenti finali, prevedendo in maniera granulare le ricadute generate da ciascuna transazione su ogni livello d’interazione”.
In quest’ottica, il risk management imperniato sui criteri ESG potrebbe quindi essere interpretato come una naturale estensione delle pratiche di autoregolamentazione, a cui corrispondere un attento studio dei rischi diretti e indiretti che gravano sui differenti attori della catena del valore “Ciò implica anche la capacità di superare la logica dell’assessment tradizionale: se rimane indispensabile effettuare serie slegate di analisi dei processi, a differenza di altre metodologie che fanno leva su logiche a silos – e che convergono a posteriori per generare una mappa complessiva degli scenari di rischio – l’ambito ESG impone da subito la creazione di una visione olistica”, spiega Violato.
E invita a sviluppare strumenti e criteri per governare le varie tematiche in chiave top-down, coinvolgendo i diversi settori aziendali e inquadrando un perimetro di massima per effettuare uno o più assessment “Fondamentale che l’approccio sia uniforme, generalizzato, in modo da evidenziare con il medesimo rigore sfumature che possono cambiare a seconda dei processi e delle dimensioni operative sotto osservazione”.
Considerare i rischi it e cyber come componenti della sfera ESG
La sfida si fa ancora più complessa nel momento in cui si affrontano i rischi cyber e informatici “Qui purtroppo in qualche caso c’è ancora da comprendere la vera dimensione delle possibili criticità derivate dall’avverarsi di una minaccia, vista la natura astratta del tema e l’impreparazione di molte imprese, che non tengono conto di molti dei fattori di rischio reputazionale”, nota Violato.
“Le situazioni che impensieriscono maggiormente, quando si parla di cyber risk, sono quelle che riguardano eventuali cali di operatività o addirittura fermi macchina. Mentre ancora troppo poco risalto viene dato alle situazioni che si sostanziano in data breach“.
Eventi che vengono generalmente scoperti a distanza di tempo dall’attacco, e che possono generare danni consistenti sul piano della proprietà intellettuale, quando la perdita riguarda informazioni relative a brevetti e segreti industriali, e sul piano della privacy, quando invece i dati sottratti appartengono a clienti o a partner dell’impresa.
“Forse non è immediatamente evidente, ma qui si tratta di fattori di rischio che rientrano a pieno titolo nell’ambito ESG, e come tali vanno affrontati. La sicurezza è essenzialmente un tema di governance, e proprio come è successo in altri contesti e altre epoche rispetto alla gestione del rischio operativo, anche da questo punto di vista il mondo bancario, in quanto iper-regolamentato, può essere nuovamente considerato un punto di riferimento, un vero e proprio pivot, per altri settori. È qualcosa a cui si assiste già nel mondo dell’intermediazione finanziaria e assicurativa: nel momento in cui si stipula un contratto, è interesse dell’istituto valutare anche la dimensione informatica per verificare le possibili ripercussioni sulle transazioni in caso di incidenti cyber. Come detto, non si tratta di un semplice assessment, ma di una serie di controlli che attengono a un contesto più ampio, all’interno del quale si interseca una moltitudine di aspetti, che danno vita al combinato contenuto nell’acronimo ESG”.
Coinvolgere per conoscere, rafforzando la governance
Nonostante gli esempi virtuosi mutuabili dal Finance, maturare una nuova e più elevata prospettiva su queste tematiche non è affatto semplice, nemmeno per le imprese più strutturate sul fronte del risk management.
“Ecco perché, per definire in modo appropriato l’impatto – reale e percepito – dei fattori di rischio ESG, è consigliabile prendere in considerazione anche la possibilità di ricorrere all’esterno“, dice Violato.
“Rimarcando la rilevanza delle policy, degli strumenti di autoregolamentazione e dei framework internazionali, si può per esempio provare a intraprendere iter per il conseguimento di certificazioni specifiche, in modo da adottare metodologie e prassi che contribuiscano a fornire un giudizio di qualità più oggettivo sulla compliance.
L’altro versante è quello dei propri stakeholder: parliamo dei clienti, naturalmente, ma non solo. Riuscire a identificare e prevedere gli scenari di rischio ESG potrebbe anche voler dire rivolgersi a utenti interni, partner ed enti di controllo, i quali sono in grado di trasmettere feedback puntuali sugli effetti che genera la condotta dell’istituto sull’ambiente circostante, anche in relazione a fattori esogeni concomitanti“.
Nel secondo caso, aumentando i soggetti che vengono coinvolti nei processi di valutazione del rischio, bisognerà tenere conto di due ulteriori criticità. Una platea numerosa, anche quando ben determinata e messa in condizione di esprimere giudizi sereni, fornirà comunque pareri soggettivi, e in molti casi sarà composta da attori nuovi alla disciplina dell’analisi del rischio.
“Per ovviare a questo problema, il suggerimento è quello di mantenere il governo delle sessioni di valutazione strettamente nelle mani delle figure aziendali preposte alle attività di risk management”, raccomanda Violato. “Sarà in ogni caso uno scenario nuovo anche per i professionisti, che dovranno imparare a gestire una pluralità di informazioni quantitativamente onerose da analizzare, soprattutto se consideriamo la componente informatica, che sarà sempre più preponderante. I responsabili HR? Sicuramente sono attori importanti e ricopriranno un ruolo di rilievo nei prossimi anni. Ciascuna organizzazione troverà un modo peculiare per far convergere queste opportunità in un’analisi estesa dei fattori di rischio ESG“, chiosa Violato, “ma è essenziale sottolineare la centralità della componente antropologica in qualsiasi tipo di valutazione: è un aspetto imprescindibile nello sviluppo di un nuovo approccio alla disciplina del risk management“.
