2021: Una questione di Risk Management
A che punto eravamo
Il 2020 è stato dominato dal Covid-19. Un anno unico nel suo genere. A metà febbraio 2020, focolai in alcune parti d’Europa segnalavano che questo nuovo virus poteva diventare una crisi globale. L’Organizzazione Mondiale della Sanità (OMS) ha successivamente dichiarato la pandemia globale ufficiale l’11 marzo. Ad oggi il Covid-19 sta ancora imperversando, mietendo vittime, oltre ad essere causa di interruzioni di molte attività.
Siamo di fronte a uno scenario globale volatile, caratterizzato da uno scenario di rischio più ampio ed impegnativo e da nuovi rischi, senza contare quelli pre-esistenti scaturiti dalla Brexit, dalle elezioni negli Stati Uniti, dalla criminalità informatica, dai cambiamenti climatici e dalle perturbazioni economiche, fattori che, in molti casi, sono diventati ancora più gravi durante questi mesi.
Secondo un’indagine di AuditBoard (i.e. società creatrice della principale piattaforma basata sul cloud che trasforma il modo in cui le aziende automatizzano, collaborano e segnalano i rischi), la maggior parte dei professionisti di Audit e Risk Management ritiene che, nel 2021, avremo a che fare con uno scenario di rischio dinamico e imprevedibile, anziché tornare a condizioni pre-pandemiche più stabili.
Si prevedono: condizioni economiche incerte ed erratiche che incideranno sulla crescita delle organizzazioni; minacce sempre più crescenti alla cyber security considerando anche che l’esecuzione di attività di controllo e gestione dei rischi in un ambiente remoto è una sfida significativa senza l’ausilio di una tecnologia moderna e collaborativa; ripetute sfide in termini di continuità aziendale e risposta alle crisi che continueranno a susseguirsi a fronte dell’andamento ondivago della pandemia qualora non sarà rallentata dal vaccino. Gli intervistati ritengono, altresì, che la protezione dei dati/privacy e le frodi saranno aree di rischio significative che perdureranno nel 2021
Molte organizzazioni erano preparate ad affrontare gli impatti più tangibili delle restrizioni relative al Covid-19; tuttavia, è stato trascurato l’aspetto “più umano” della pandemia, ovvero il benessere della forza lavoro, particolarmente colpito, con i dipendenti costretti a lavorare da remoto, al di fuori dal loro ambiente di lavoro abituale.
Tutto ciò ha avuto un impattato sulle prestazioni dei lavoratori oltre a rappresentare una minaccia per il livello di prestazioni dell’azienda.
Inoltre, il rapido ritmo di cambiamento all’interno dei mercati ha reso difficile per molte aziende aumentare la propria produttività con il rischio di perdere quote di mercato a favore di concorrenti più agili e reattivi. Anche le catene di approvvigionamento sono state colpite dalla natura globale della pandemia, inclusa la fornitura e l’approvvigionamento di merci a livello internazionale in un momento in cui molti confini sono rimasti chiusi.
Una questione di Risk Management
Per affrontare questo scenario erratico ed in divenire, è necessario un approccio più coerente e integrato della gestione dei rischi attraverso un processo decisionale più informato ed una visione olistica. Pertanto, se da un lato l’inizio della pandemia ha causato molte importanti sfide – a breve termine – per grande parte delle aziende di tutto il mondo, dall’altro lato le conseguenze – a lungo termine – hanno appena iniziato a manifestarsi Le organizzazioni che hanno adottato un approccio dinamico e più puntuale della gestione del rischio sono quelle che probabilmente hanno ottenuto risultati migliori e sono uscite quasi indenni dalle sfide contingenti della pandemia in atto. Inoltre, è evidente come quelle aziende che tengono conto non solo dei rischi di alto livello, ma anche dei successivi impatti più granulari in ogni area della loro attività, potranno godere, in futuro, di un maggiore vantaggio competitivo, grazie alla capacità di reagire meglio e più rapidamente ai momenti di interruzione dell’attività.
Gli empasse causati dalla pandemia sono stati un banco di prova, a tal punto, da convertirsi in lessons learned preziose in un’ottica di miglioramento della gestione dei rischi e garanzia di una maggiore resilienza da parte delle organizzazioni nell’affrontare le sfide future.
L’integrazione del rischio è la via da perseguire
Nello scenario in cui viviamo – e che è destinato a protrarsi per tutto il 2021 – diventa strategica e fondamentale la gestione integrata dei rischi (Integrated Risk Management), ovvero considerare il rischio come parte integrante del modo in cui operano le organizzazioni. Pertanto, le organizzazioni dovranno sempre più identificare e valutare i rischi nel contesto del valore che stanno cercando di creare, piuttosto che del valore che vogliono proteggere. I principi di Risk Management dovranno necessariamente essere sempre più incorporati nella cultura aziendale, ovvero il rischio dovrà diventare parte integrante di ogni decisione quotidiana fino a permeare tutta l’organizzazione.
C’è da aggiungere che, grazie al processo di digitalizzazione e innovazione in atto, il Risk Management è destinato a fondarsi sempre di più sull’uso di piattaforme basate su diverse tecnologie quali ad esempio, l’Artificial Intelligence e il Machine Learning per aggregare e analizzare i dati a disposizione e giungere a definire modelli di Risk Management sempre più performanti, fermo restando il fatto della necessità di coinvolgere tutte le parti interessate.
Gli agguati del 2021 ( e le misure)
Sempre secondo l’indagine di AuditBoard, citata in premessa, molte organizzazioni non dispongono ancora di un programma di Enterprise Risk Management (ERM) maturo in grado di influire sul processo decisionale quotidiano e sulla pianificazione degli audit interni. Mente la maggior parte degli intervistati (52,7%) ha affermato di avere programmi ERM con maturità di livello medio che aiutano nella pianificazione dell’audit interno, ma non in altri processi decisionali.
Pertanto, si tratta di fornire informazioni più preziose sui rischi – che influiscono sul processo decisionale – e, al contempo, aumentare la frequenza delle valutazioni del rischio oltre ad impiegare metodologie e sistemi in modo più integrato per garantire un’ottimale Risk Management. Ne consegue che, nel 2021, diventeranno prioritari fattori, quali:
- una maggiore attenzione ai rischi strategici
- una migliore qualità, disponibilità e tempestività dei dati relativi ai rischi
- un’identificazione e gestione dei rischi nuovi ed emergenti
- una maggiore attenzione all’audit interno e alla compliance
al fine di rafforzare le pratiche di Risk Management, strutturare programmi di audit e compliance più flessibili ed “agile” – in modo tale da dare priorità a quanto risulta di volta in volta più critico/importante/strategico e garantirne il “valore”, indipendentemente dal contesto – e fare sì che i vari attori coinvolti si co-ordino tra di loro in modo olistico superando i limiti di un approccio per silos.
2021: Principali trend & priorità da gestire in termini di Rischi
- Mitigare gli effetti a lungo termine del COVID-19 sulla catena di approvvigionamento – Tutte le aziende si troveranno a gestire l’impatto a lungo termine del coronavirus, incluse le aziende meno colpite finanziariamente dal virus, dato che saranno influenzate da eventuali problemi della supply chain, operando in un’economia globale. Nel 2021 i Risk Manager dovranno: dare priorità alla continuità aziendale; cercare di gestire al meglio le sfide della catena di approvvigionamento a fronte di tempi di consegna più lunghi, capacità ridotta o necessità di nuovi fornitori; fare uso di software di geoaudit e svolgere attività di intelligence dei fornitori di 1-2-3° livello; innovare i processi ed essere maggiormente consapevoli dell’impatto del loro nuovo profilo di rischio.
- Garantire protezione e resilienza – I cambi di paradigma a fronte del processo di digitalizzazione e innovazione in atto implicano, nel nuovo anno, un aumento della spesa mondiale per la sicurezza in termini di investimenti nel cloud e per la sicurezza dei dati per garantire sempre più un sistema di gestione del rischio integrato e sicuro e, contestualmente, ridurre il rischio di violazioni.
- Innovare per ridurre i costi assicurativi – I gestori assicurativi continueranno a subire pressioni per ridurre i premi assicurativi o almeno combattere contro l’aumento dei prezzi; ne consegue che i Risk Manager ed il Top Management dovranno esser in grado di rivalutare la propensione al rischio e negoziare migliori condizioni di rinnovo con gli assicuratori. Pertanto, sarà necessario essere in grado di fornire dati accurati e affidabili, presentati nel miglior modo possibile, per differenziarsi dagli altri, utilizzando le tecnologie a disposizione in modo tale da ottenere delle dashboard con informazioni chiave, analisi e reportistica personalizzata per acquisire rapidamente i dati necessari per i rinnovi assicurativi.
- Utilizzare la tecnologia per gestire la propensione al rischio – I Risk Manager possono fornire ancora più valore alle loro organizzazioni grazie a: mitigazione i rischi della catena di approvvigionamento; rafforzamento della resilienza grazie all’impiego di tecnologie innovative; miglioramento dell’integrità dei dati; impiego dell’intelligenza artificiale, del machine learning e dei data science.
- Migliore gestione del Fattore Umano vs. Cyber Security – Il trend inarrestabile di crescita delle minacce informatiche ha indotto molti Risk Manager a ritenere che il 2021 sarà l’anno in cui le organizzazioni inizieranno ad abbracciare pienamente la resilienza informatica, Inoltre, considerando il fatto che oltre l’80% delle violazioni è causato da errori umani, la gestione del rischio umano è uno delle priorità per il 2021 e comporterà interventi di formazione in termini di consapevolezza della cyber security.
Conclusioni
Il 2020 ha costituito una lezione per eccellenza di gestione dei rischi. Mesi caratterizzati da instabilità economica e pandemia che hanno scosso i mercati globali. Inoltre, il ritorno dell’ondata della pandemia negli ultimi mesi dell’anno è destinato ad impattare ulteriormente sulle imprese a causa dei diffusi lockdown a livello globale che potrebbero, verosimilmente, dare origine a spiacevoli turbamenti (i.e. scioperi, proteste di massa), causa di altrettante interruzioni della produzione. Anche gli attacchi informatici sono destinati ad un ulteriore incremento e ad impattare sui dipendenti che lavorano da remoto, a minacciare i sistemi di voto, i sistemi aziendali e ospedalieri. Ricordiamoci, inoltre, che gli effetti a lungo termine dei cambiamenti climatici e l’intensità e la frequenza di tempeste, incendi e inondazioni e il modo in cui incidono sulle infrastrutture non sono scomparsi: questa confluenza di eventi è destinata a rimodellare il panorama economico globale nel corso del 2021.
Sopravvivere e prosperare in questo ambiente incerto richiede un piano di gestione del rischio flessibile e adattivo. Le sfide inaspettate fanno parte del business e il 2020 ci ha insegnato ulteriormente qualcosa: dobbiamo essere pronti per ogni scenario. Le aziende adattabili sono quindi in grado di gestire meglio il cambiamento poiché hanno svolto il lavoro per valutare i rischi in modo olistico nelle loro organizzazioni e pianificare attentamente strategie di mitigazione.
Navigare nel panorama nuovo e in evoluzione di oggi e dei suoi rischi, conosciuti e non, richiede un approccio che bilanci una matrice di elementi qualitativi e quantitativi di rischio. Le imprese dovrebbero identificare e gestire i rischi attraverso un approccio interfunzionale orizzontale, non verticale dato che i rischi sono interconnessi e la maggior parte delle parti interessate desidera una visione completa di tali connessioni.
È necessario e strategico conoscere: come un evento di crisi può influenzare un’organizzazione nella sua interezza; quali misure trasparenti e quantificabili sono state considerate per proteggere dipendenti; quali azioni sono state intraprese per gestire fornitori, per garantire le operazioni critiche, per supportare i clienti e altri stakeholder, per attivare i piani di ripristino. Ma sarà necessario, altresì, che i dipendenti acquisiscano nuove competenze o competenze aggiuntive – nel corso del prossimo anno – per tenere il passo con la rivoluzione tecnologica in atto. Pertanto, la necessità di accelerare l’innovazione digitale è diventata molto più urgente, pur non scevra di rischi.
Una ripresa sarà possibile solo se le organizzazioni considereranno nuovi modi di pensare in termini di persone, processi e prodotti. Ciò richiederà una forte leadership, idee innovative e un impegno per l’apprendimento continuo per rimanere competitivi. Pertanto, è necessario un approccio ai rischi combinato, i.e. sia qualitativo sia quantitativo, in grado di misurare i progressi nella gestione degli stessi, garantire un avanzamento nel percorso verso la resilienza e il change management.
Il mondo potrebbe non essere stato adeguatamente preparato per la pandemia globale ma le lessons learned e i processi che abbiamo messo in atto durante il nostro periodo di “recovery” ci renderanno meglio preparati per una malaugurata prossima crisi e, comunque, per il tempo che la presente si protrarrà. L’adattabilità, l’agilità e le metriche di valutazione informate sul rischio, chiaramente definite, saranno le nostre carte vincenti.
Articolo a cura di Federica Maria Rita Livelli
Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.
Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")
Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence
È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.