Nel mese di settembre, con il pezzo ‘Il marketing “gonfiato” della risk analysis’, pubblicato in questa stessa rubrica, ci siamo già occupati dell’approccio comunicativo e operativo un po’ pericoloso, a volte fuorviante, che adottano le società di consulenza strategica in relazione al tema del risk management. Per di più si noti che al crescere delle dimensioni dei gruppi ai quali facciamo riferimento, viene progressivamente meno un atteggiamento sartoriale che invece conservano organizzazioni più piccole.
Una nuova ondata di comunicazione a scopo commerciale sul tema invade i canali social, con specifico riferimento a quelli tradizionalmente professionali. Sarà forse perché è il periodo dell’anno in cui i potenziali e consolidati committenti cominciano a lavorare sul budget 2017? Dato di fatto è che le attività proposte appaiono sbilanciate verso un sistema di lavoro preventivo e per di più, in alcuni casi, particolarmente semplificato. E’ chiaro che in questo modo le organizzazioni chiamate a scegliere il proprio partner per il risk management hanno l’immediata sensazione di poter raggiungere risultati, spesso legati ad obiettivi di compliance formale, con il minimo sforzo, evitando ulteriori attività (anche da svolgere in casa) e conseguenti costi ritenuti elidibili.
Prima di procedere ad analizzare le motivazioni che rendono questo tipo di approccio particolarmente discutibile, vorremmo però rammentare alcuni postulati relativi al risk management che non ci stanchiamo mai di ripetere.
La sicurezza (obiettivo del risk management) deve essere intesa in senso olistico. Non può essere oggetto di ragionamento a compartimenti stagni: molti casi aziendali ci dimostrano gravi conseguenze derivanti da aspetti non considerati in modo integrato e che invece hanno dimostrato di poter produrre impatti potenti e trasversali.
La sicurezza si fonda su attività congiunte di natura preventiva (incluse quelle di simulazione tecnica e operativa), di mantenimento assiduo (non solo l’applicazione delle contromisure identificate ma anche la conduzione di controlli indipendenti), e sulla capacità reattiva dell’organizzazione in caso di evento (con riferimento ancora una volta alla dimensione tecnico operativa ma anche a quella forense).
La sicurezza deve tenere in considerazione il fattore tempo (spesso trascurato) che ha influenza diretta sulla crescita degli eventuali impatti in caso di incidente.
Ciò premesso, le aree di debolezza dell’approccio proposto in molti casi riguardano l’incapacità di restituire output affidabili in relazione ai fattori valutati di impatto economico, di verosimiglianza e/o ricorrenza delle minacce, vulnerabilità, cause ed effetti implicati, l’effettiva capacità di presidio, metodologico ed operativo, sulla catena di fornitura.
L’impatto economico deve essere calibrato sul valore che ogni singola organizzazione attribuisce ai propri asset materiali ed immateriali. E nell’ambito degli immateriali sono molte e particolarmente specifiche le valutazioni da compiere; ma non possono essere in nessun modo generalizzate ed applicate per organizzazioni differenti anche se operano in contesti simili.
L’analisi delle interazioni di minacce e vulnerabilità, cause ed effetti, assume un significato quando queste vengono rilevate in base all’esperienza aziendale ed in base alle analisi specifiche compiute sugli eventi che man mano si verificano. Valori probabilistici – circa l’utilità dei quali, tra l’altro, abbiamo più volte espresso alcune riserve in funzione del volo dei cigni neri – derivanti da ricerche di mercato oppure da “fonti istituzionali” possono essere solamente di supporto. Tra l’altro è opportuno considerare che spesso i dati forniti potrebbero essere “pilotati” sulla base delle esigenze di immagine delle organizzazioni che li propongono, oppure commerciali se si tratta direttamente di vendor.
Per ciò che riguarda il controllo sulla catena di fornitura, i classici elementi valutati, quali conformità e certificazione di sistema o di prodotto dei partner scelti, l’accuratezza dei contratti stipulati (in termini di livelli di servizio e penali) ed indagini di solidità economica e rispettabilità (valutazione effettuata sulla base di elementi fiscali e giudiziari, anche degli apicali), appaiono limitanti. Sappiamo che i mercati cambiano rapidamente e con essi il comportamento delle aziende che si mettono in casa. E’ quindi opportuno che il sistema di valutazione sia continuativo nel tempo (anche attraverso la conduzione di due diligence e audit periodici) e che sia anche in grado di valutare la disponibilità sul mercato di fornitori alternativi ed eventuali impatti, costi e tempi di migrazione (di prodotto o servizio). Tra l’altro questo monitoraggio consente anche di individuare eventuali opportunità, quali soluzioni altamente più efficienti (anche in termini di costi) rispetto a quelle adottate.
In conclusione, la scelta di un partner di consulenza strategica che non propone un approccio fondato sulla capitalizzazione del know how dell’azienda committente, benché possa apparire una soluzione di ottimizzazione dei costi, potrebbe assumere nel medio lungo periodo un vincolo spiacevole e risultare un disinvestimento fortemente inopportuno. Il risk management è uno strumento per stabilizzare e portare alla crescita le organizzazioni; attenzione a non scambiarlo con la moda passeggera e tramutarlo in un danno che si riflette sull’organizzazione.