Digitalizzare i processi di audit, risk management e complianceArticolo a cura di Alessandro Salibra Bove, Partner
Le opportunità della digitalizzazione dei processi
- Il ruolo dei dati nella gestione dei processi di controllo
- Quali strumenti supportano i process-owner
- Perché digitalizzare i processi con le soluzioni No-code
- I campi di applicazione della tecnologia no-code in azienda
- I fattori critici di successo nella digitalizzazione dei processi
La sfida di una crescente complessità di dati e informazioni
I processi di controllo nelle aziende sono da sempre caratterizzati da complessità e criticità. Ma il sempre maggiore impiego dell’information technology in ogni area delle organizzazioni – dai canali di contatto con la clientela alla gestione dei fornitori, dal supporto ai processi interni agli adempimenti normativi – aggiunge nuove e importanti sfide per chi è chiamato a gestire le attività di controllo all’interno della propria azienda.
Il volume di dati e informazioni a disposizione cresce esponenzialmente, così come il numero e le differenti tipologie di attori coinvolti nei processi operativi. Per non parlare della complessità delle tecnologie impiegate.
Cosa può comportare tutto questo? Sicuramente un’attività di raccolta e verifica dati inefficiente che distoglie dalle attività a valore aggiunto, ma non solo. I rischi sulla scarsa qualità dei dati e sull’inefficacia del reporting sono sempre dietro l’angolo, così come quelli della mancata conformità delle attività di gestione dei dati e controllo.
Su quest’ultimo punto l’attenzione delle autorità di vigilanza nazionali ed europee è massima; basti citare, tra gli altri provvedimenti, l’ultimo aggiornamento alle Disposizioni di vigilanza emanato da Banca d’Italia[1] e la pervasività delle Linee guida in materia di gestione dei rischi ICT e di sicurezza emanate principali autorità di vigilanza europee[2].
Dunque, quali opzioni hanno a disposizione i responsabili delle funzioni di audit, risk management e compliance per raccogliere al meglio tutte queste sfide?
Le opzioni a disposizione
Poter disporre di soluzioni applicative che forniscano il massimo supporto alle attività di raccolta, verifica, analisi e reporting dei dati è senz’altro l’auspicio di chiunque abbia la responsabilità di una funzione di controllo all’interno delle aziende.
Purtroppo, però, l’esperienza di molti insegna che le opzioni a disposizione non sono sempre all’altezza delle circostanze:
- l’utilizzo di file Excel condivisi via email o in cartelle di rete può apparire inizialmente molto flessibile e di rapida adozione, ma con il tempo non fornisce garanzie adeguate sulla qualità dei dati e sul controllo delle attività di verifica e analisi, finendo per rallentare sempre di più tutto il processo;
- la realizzazione di soluzioni applicative ad-hoc può consentire la massima personalizzazione delle funzionalità rispetto alle proprie esigenze, ma trovare il partner tecnologico adeguato o la disponibilità del team interno di sviluppo può essere un’impresa complicata;
- infine, l’acquisto e la personalizzazione di soluzioni applicative di mercato può permettere l’adozione di best practice in termini di metodologie e processi di controllo, ma la valutazione iniziale delle soluzioni e la successiva personalizzazione è il più delle volte un processo lungo, costoso e dall’esito incerto.
Fortunatamente, oggi abbiamo a disposizione una nuova opzione per l’adozione di soluzioni applicative agili e solide al tempo stesso, che possano supportare con efficacia anche i fabbisogni peculiari di molti dei processi di controllo.
L’opzione in più si basa sulla tecnologia No-code (niente codice di programmazione) – vediamo di cosa si tratta.
Cos’è il No-code
Disegnare un processo di risk assessment
Facciamo un esempio: devo supportare un processo di risk assessment, cosa dovrei fare?
- Innanzi tutto, devo definire la struttura dei dati che mi occorre: processi, rischi, controlli e altre eventuali tabelle. Poi stabilisco le possibili relazioni tra queste tabelle (es. su ogni processo possono insistere più rischi) e le loro colonne (ogni processo ha un nome, un owner, ecc.).
- Subito dopo posso definire la logica di calcolo del rischio lordo (es. prodotto tra le colonne probabilità e impatto).
- Infine, stabilisco che l’applicazione verrà utilizzata da due profili di utenti: risk manager, che ha accesso a tutti i dati e funzionalità e risk owner, che ha accesso ai soli processi e rischi di propria competenza. Stabilisco anche che il risk owner potrà procedere alla propria valutazione del rischio solo quando il risk manager avrà completato la sua attività di mappatura iniziale dei rischi.
Dopo aver disegnato con il mouse questi diagrammi e tabelle e aver fatto clic su salva, sulla intranet aziendale o sul web verrà pubblicata in tempo reale la mia nuova applicazione, pronta per poter essere utilizzata dagli utenti.
Da dove cominciare? E come?
Tutte quelle attività che richiedono manualità, un grande impegno operativo e che – pur essendo necessarie – non aggiungono particolare valore, sono spesso un buon indicatore del possibile punto di partenza per migliorare l’operatività. Vediamo alcuni esempi:
- raccolta dati e informazioni presso i process owner
- verifiche sulla correttezza di dati e informazioni
- versionamento di documenti e fogli di calcolo
- predisposizione di reporting ad-hoc
- invio, ricezione e archiviazione di flussi informativi trasmessi per email
In tutti questi casi è possibile valutare l’automazione parziale o complessiva delle attività attraverso il disegno di una soluzione No-code.
La possibilità per le funzioni di controllo di assumere – anche – il ruolo di consulente all’interno della propria organizzazione, passa per la loro capacità di individuare con tempestività fenomeni e informazioni rilevanti, a partire dalla crescente mole di dati a disposizione. La digitalizzazione dei propri processi assume dunque un’importanza sempre maggiore.
Alessandro Salibra Bove
Partner
RICHIEDI UN INCONTRO
Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?