È sempre più evidente l’impatto dell’AI su i più disparati ambiti della nostra vita. Non fa quindi notizia che i più grandi player nel mercato dei software ERM (IBM, SAP, Oracle, …) abbiano progressivamente introdotto metodologie e modelli AI-driven per poter attuare in modo più efficace processi di enterprise risk management. Analizziamo insieme quali sono gli aspetti su cui l’introduzione di queste tecnologie ha avuto un effetto più dirompente.
Cos’è l’Enterprise Risk Management
L’Enterprise Risk Management (ERP) è una metodologia che analizza il risk management in modo strategico dalla prospettiva di un’intera azienda o organizzazione. Nello specifico, è una strategia top-down che mira ad identificare, valutare e pianificare in relazione a potenziali perdite economiche, pericoli, “scommesse” negli investimenti e altre cause che potrebbero interferire con le operations di un’azienda.
L’approccio seguito è di tipo olistico: il decision-making a livello manageriale a cui si punta potrebbe anche sembrare non ottimale dal punto di vista di un comparto, ma deve esserlo per l’intera azienda. Ad esempio, se un risk manager di una compagnia di investimenti nota che due team hanno delle posizioni con simili esposizioni al rischio, può forzare la chiusura di una delle due (anche se stavano presentando entrambe dei buoni ricavi).
Le sfide più importanti nell’ambito ERM sono:
- rischi definiti in modo inconsistente tra i vari comparti (non usano ad esempio stessi metodi di valutazione o framework simili)
- difficoltà nel reporting dei rischi, specialmente se uno stesso report deve essere chiaro per diverse tipologia di stakeholders
Con l’introduzione di un unico sistema di gestione ERM – magari AI-driven – possiamo andare a risolvere queste problematiche, avendo un insight più consistente sull’intera azienda.
L’introduzione dell’AI nell’ERM
Come per gli altri campi in cui sono stati introdotti modelli AI-based, lo scopo è la ricerca di una soluzione consistente, volta all’ottimizzazione di un certo obiettivo (minimizzare l’enterprise risk) e che possa rendere il decision-making più efficiente e privo di bias personali.
Per arrivare a questo obiettivo, si parte ovviamente da una opportuna raccolta e categorizzazione dei dati. Per iniziare, si può effettuare un’operazione di categorizzazione dei ticket dell’help desk dell’azienda. In questo modo, si ottiene uno spaccato di quelle che sono le problematiche affrontate quotidianamente da clienti, partner e impiegati, suddividendo in temi ed estraendo dati utili tramite tecniche di scraping e sentiment analysis. Questo lavoro, svolto su migliaia di ticket, può essere possibile in maniera efficace solo grazie all’uso di algoritmi e strumenti automatici.
Avendo ottenuto tale risultato intermedio, sarà quindi possibile fornirlo ad analisti umani o usarlo come input per un ulteriore modello che possa raccomandare determinate misure per mitigare i problemi. Non dobbiamo infatti pensare che gli incident che registriamo siano degli unicum: piuttosto, qualche altra azienda (più o meno grande) può aver affrontato questa tipologia di problema e può aver trovato una soluzione efficace, condensata nella base di conoscenza del modello AI.
Oltre a suggerire le potenziali contromisure da applicare, i risk manager avranno anche delle stime relativamente alle potenziali perdite o alla probabilità di occorrenza di una certa problematica (predictive AI).
Altro aspetto da non sottovalutare è il contributo dell’AI nell’identificazione di falle di sicurezza o nell’eseguire altri controlli di business. L’ERM richiede infatti delle attività di auditing svolte dai compliance manager che potrebbero concentrare il loro lavoro su dei report più “concentrati”, alleggeriti da tutte le informazioni di contorno meno rilevanti.
Vale anche la pena focalizzarsi sull’aspetto dell’automazione. Alcune azioni sono tanto più efficaci quanto sono svolte rapidamente rispetto ad un certo evento. Fornire quindi autonomia ad un algoritmo per applicare alcune remediation può aiutare in alcuni casi a snellire lunghi processi. Chiaramente, a quel punto il problema si sposta sul determinare quali sono i boundary dell’autonomia, ovvero capire quando il sistema dovrà semplicemente segnalare un’anomalia ad un analista o quando dovrà effettivamente agire.
È inoltre necessaria, unitamente all’introduzione di questi bot, una opportuna comunicazione per migliorare il modo in cui saranno recepiti dagli stakeholder (che potrebbero vedere come rischiosa l’assenza di un controllo umano diretto) o dagli stessi analisti (che potrebbero temere di essere sostituiti in futuro dal bot).
Infine, l’ultimo spunto di analisi va incentrato sul model risk. Così come i modelli tradizionali hanno portato in passato a stime o decisioni errate, il modello AI non sarà esente da errori. Soprattutto inizialmente, sarà necessaria un’intensa attività di monitoring che è parte del training del modello stesso.