La parola a Giansimone Ghiottone, Risk Manager di Banca Popolare di Puglia e Basilicata
November 21, 2017 2022-11-23 11:34La parola a Giansimone Ghiottone, Risk Manager di Banca Popolare di Puglia e Basilicata
Giansimone Ghiottone è Responsabile della Funzione Risk Management in Banca Popolare di Puglia e Basilicata dalla fine del 2014. È lui il protagonista di novembre della rubrica La Parola A e nella sua intervista ci spiega qual è la rilevanza e la dignità del risk manager nell’attuale contesto operativo e istituzionale dell’industria bancaria.
Quali competenze specifiche deve avere un risk manager? Quanto è importante il suo ruolo all’interno della sua banca e in generale nel contesto bancario?
La figura professionale del risk manager nasce in banca alla fine degli anni ’80, parallelamente allo sviluppo e proliferazione di modelli matematici e statistici dedicati alla misurazione dei rischi: sono gli anni in cui si diffonde il modello VAR (valore a rischio, ndr) per la misurazione dei rischi di mercato e che videro diverse banche e società di consulenza protagoniste nell’introduzione di modelli sempre più sofisticati e complessi al servizio delle linee di business. Da quel momento in poi la modellistica e il mercato finanziario andavano sviluppandosi di pari passo: si pensi alla nascita del mercato delle cartolarizzazioni e degli strumenti finanziari derivati, alla revisione dei framework di vigilanza che, segnatamente sul fronte dell’adeguatezza patrimoniale, riconosceva il valore ed il pregio dei modelli interni per la misurazione dei rischi (Basilea 2).
Il tema del risk management e dell’enterprise risk management è tornato alla ribalta con la crisi del 2007/2008, che ha posto in luce diffuse carenze nel processo di assunzione, governo e controllo dei rischi di numerosi intermediari. In effetti, il processo di gestione dei rischi investe in prima battuta la governance aziendale, in quanto spetta al CdA definire gli obiettivi di rischio, monitorarne il raggiungimento e decidere sulla base dei target fissati: non a caso si parla di “appetito al rischio” per definire il framework che informa la corretta declinazione del massimo rischio assumibile in relazione ai risultati attesi, tenuto conto dei principali constraint regolamentari da un lato e delle diverse aspettative degli stakeholder dell’impresa. Dopo lo scoppio della crisi ci si è interrogati sul “fallimento di mercato” del controllore dei rischi: il risk manager, però, non era ancora una figura gerarchicamente indipendente dai risk taker. Oggi, invece, il risk manager (o anche Chief Risk Officer) riveste un ruolo dirigenziale al pari delle funzioni di business, rispondendo del proprio operato direttamente agli organi aziendali (CdA e AD, se previsto).
I principali driver di questa rivoluzione culturale sono riconducibili all’avvento nei modelli organizzativi di una logica di processo che ha investito la funzione di controllo di secondo livello, all’evoluzione del ruolo del risk manager da laboratorio a funzione che partecipa ai processi strategici e ai processi di controllo di gestione e, infine, all’integrazione dei rischi, che ha soppiantato la logica dei “silos” tipica dei moodelli operativi precedenti. La mission del risk manager è, infatti, assicurare il controllo integrato dei rischi aziendali assumendo la responsabilità della corretta individuazione, valutazione, misurazione e mitigazione dei rischi assunti: deve essere dotato pertanto di un rango organizzativo e di indipendenza tali da poter valutare ex-ante gli impatti sulla rischiosità delle scelte aziendali, poter interagire con regolarità e sistematicità con il board e avere un rapporto di parità dialettica sia con gli altri senior manager sia con la filiera commerciale.
Di recente il tema della sicurezza informatica è diventato centrale per le realtà aziendali di tutto il mondo, banche incluse. Il risk management può contribuire a mitigare il rischio di attacchi informatici?
I rischi informatici rappresentano una delle minacce più difficili da affrontare e capaci di produrre ricadute economiche e reputazionali estremamente negative per l’impresa. La natura immateriale e complessa delle minacce informatiche, unitamente alla rapidità di evoluzione che le caratterizza, rendono sempre più difficile individuare efficaci e tempestive misure di remediation, dato che le competenze da una parte e gli strumenti tecnici dall’altra mutano e si evolvono molto più rapidamente dei sistemi di sicurezza. Il cyber risk coinvolge tutte le imprese a prescindere dal loro carattere dimensionale, dal settore di attività o dal territorio di interesse: centrale quindi nel cyber risk management prevedere un articolato processo circolare che miri a identificare le vulnerabilità del sistema informatico, le possibili minacce e la relativa probabilità di accadimento, stimandone i possibili impatti in termini economici, patrimoniali, reputazionali e strategici.
Il contributo che può offrire il risk manager nella mitigazione del rischio di attacchi informatici consiste in primis nell’approccio metodologico ed operativo, che deve essere più ampio e verticale: innanzitutto si deve percorre la via di evitare l’assunzione di certi rischi, segue la possibilità di trasferire in tutto o in parte il rischio ad altri soggetti specializzati, quindi la mitigazione e l’accettazione del rischio e dei costi connessi. Il risk manager può rivestire un ruolo determinante grazie all’esperienza e alle competenze specialistiche nella quantificazione del rischio: pur non essendo uno specialista del comparto IT, il risk manager può fornire un parere esperto (“risk opinion”) a supporto del board e del CEO, lavorando fianco a fianco con l’IT e le altre unità operative (referenti applicativi, utenti di business, etc)., anche attraverso valutazioni basate sugli scenari e sulla conseguente declinazione dei piani di trattamento del rischio residuo rispetto al livello massimo di rischio accettabile.
Come in tutti i settori, anche nel risk management la formazione riveste un ruolo cruciale. Non a caso, lei ha scelto di seguire un master executive in risk management. Come e perché la sua scelta è ricaduta sulla European School of Banking Management?
La scelta di frequentare il Master in Risk Management della European School of Banking Management è riconducibile innanzitutto alla pluriennale esperienza di collaborazione tra BPPB e la ESB, figlia soprattutto della capacità di focalizzarsi sulle tematiche più rilevanti ed innovative rispetto alle quali la conoscenza e l’aggiornamento continuo rappresentano indiscutibili fattori di successo. In riferimento, in particolare, al master sul rischio e la sicurezza informatica, la scelta di frequentare le lezioni si inquadra esattamente in questa prospettiva, con la conoscenza che senza dubbio rappresenta il valore aggiunto primario in un contesto di elevata turbolenza ambientale, discontinuità tecnologica e revisione del ruolo di alcuni settori dell’economia e della finanza. La mia esperienza con i percorsi formativi della ESB è stata molto positiva, tanto da aver spinto molti miei colleghi a intraprendere lo stesso percorso, che mi sento senza dubbio di consigliare.