Nell’anno 2021, le organizzazioni di tutto il mondo a fronte del perdurare della pandemia hanno dovuto continuare a riconsiderare le proprie strategie aziendali, i modelli organizzativi e operativi e, soprattutto, in uno scenario in continua evoluzione, essere in grado di intercettare la tendenza di rischi noti ed emergenti e gestirli al meglio, per garantire la resilienza organizzativa e operativa. Cosa ci attende nel 2022 e negli anni a venire? La risposta a questa domanda è contenuta nel report “Risk in Focus 2022” pubblicato qualche mese fa da ECIIA (European Confederation of Institutes of Internal Auditing), e che fornisce un focus sui rischi che sono destinati a impattare maggiormente sulle organizzazioni nel triennio 2022-2025.
Report ECIIA report – “Risk in Focus 2022”
Il report “Risk in Focus 2022” ha implicato la collaborazione tra 12 Istituti di Internal Auditors; in Austria, Belgio, Francia, Germania, Grecia, Italia, Lussemburgo, Paesi Bassi, Spagna, Svezia, Svizzera e Regno Unito e Irlanda. Sono state raccolte 738 risposte da parte dei Chief Audit Executives (CAE) di tutta Europa – appartenenti aziende leader, organizzazioni del settore pubblico e ONG – che hanno permesso di delineare l’evoluzione dei rischi per il 2022 ed il triennio 2022-2025.
Evoluzione dei rischi 2021 vs. 2022
Fonte- Report “Risk in Focus 2022″
Dal report si evince che il primo posto continuerà a essere occupato dal rischio di cybersecurity e di data security, seguito da quello scaturito dai cambi legislativi & regolamentari e da digital disruption, nuove tecnologie e intelligenza artificiale.
Il rischio finanziario, di liquidità & insolvenza è diventato meno prioritario; tuttavia, le organizzazioni dovrebbero eseguire prove di stress sulla liquidità ed effettuare simulazioni di scenari worst-case, dal momento che l’economia globale è destinata a subire ulteriori shock e ad affrontare una potenziale ondata di insolvenze ritardate.
Il rischio di cambiamento climatico e sostenibilità ambientale è destinato ad aumentare. Pertanto, le organizzazioni dovranno essere sempre più pronte a mitigare questo rischio, destinato a convertirsi in un “permanent risk”” e a occupare le prime cinque posizioni delle classifiche dei rischi anche negli anni futuri.
I rischi di capitale umano, diversità & gestione dei talenti, ancora fonte di preoccupazione per le organizzazioni, continueranno a posizionarsi tra i “top five risk” unitamente a quelli di continuità operativa, gestione delle crisi & risposta ai disastri (al sesto posto).
“Risk in Focus 2022”: i rischi 2021-2025
Di seguito una selezione dei più importanti rischi che caratterizzeranno il triennio 2022-2025.
Fonte- Report “Risk in Focus 2022″
Rischi Cyber Security & Data Security
Continueranno a dominare le classifiche nei prossimi tre anni, anche se dovrebbero essere fonte di minor preoccupazione a fronte delle azioni di mitigazione messe in atto dalle organizzazioni in termini di processi e di procedure di risposta e recupero vs. attacchi ransomware.
Di fatto, le aziende devono saper rispondere agli attacchi cyber ed essere in grado di ripristinare le operazioni online nel minor tempo possibile. È doveroso ricordare che uno dei due vettori di attacco ransomware più comuni sono le vulnerabilità del software e i server VPN (virtual private network) utilizzati per connettere il personale che lavora da remoto ai sistemi centralizzati. Inoltre, attualmente il 97% delle e-mail di phishing contiene ransomware e il 95% delle violazioni della sicurezza IT deriva da errori umani. Pertanto, la formazione e la consapevolezza del personale sono da considerarsi la leva strategica più efficace per ridurre al minimo la probabilità di attacchi dannosi per mezzo di link o allegati email (i.e. file .doc, .dot e .exe). Ne consegue che ogni organizzazione dovrà valutare correttamente il rischio cyber e mettere in atto controlli difensivi, attraverso:
- l’aggiornamento regolare delle patch software;
- la corretta configurazione di firewall e sistemi di rilevamento delle minacce;
- l’utilizzo dell’accesso con privilegi minimi e dell’autenticazione a due fattori (2FA) per contenere gli attacchi che si diffondono attraverso l’intera rete dal computer inizialmente compromesso;
- una diffusa consapevolezza del rischio in tutta l’organizzazione;
- una solida cultura della sicurezza informatica;
- una progettazione di piani di continuità IT, prevedendo una periodica verifica, test ed esercitazioni.
Ovvero, le organizzazioni dovranno:
- garantire una strategia o una roadmap di sicurezza informatica, verificando altresì il grado di raggiungimento di questo obiettivo;
- progettare e pianificare un programma aggiornato di sensibilizzazione e formazione del personale per garantire la cybersecurity e la sicurezza dei dati;
- predisporre di un piano di risposta e di ripristino e puntualmente testarlo;
- garantire un sicuro back-up dei dati da utilizzare in caso di attacco cyber;
- stabilire una politica ransomware dell’organizzazione (i.e. se paga o meno) e relativa divulgazione all’interno dell’organizzazione;
- considerare adeguate polizze assicurative in termini di rischi per la sicurezza IT ed efficaci procedure di tempestiva segnalazione degli incidenti in modo da soddisfare i requisiti di copertura;
- stabilire una politica di verifica dei propri fornitori in termini di compliance alla ISO 27001;
- pianificare cicli di penetration test riferiti a tutte le aree del business, comprese – ove presenti – le filiali potenzialmente trascurate nei mercati non core.
Rischi relativi al cambiamento climatico & la sostenibilità ambientale
Sono destinati a scalare la classifica dei top risk nei prossimi tre anni.
Le aziende sono sotto pressione da parte di un’ampia gamma di parti interessate per apportare importanti adeguamenti urgenti alle loro strategie e modelli di business in modo da garantire basse emissioni di carbonio e maggiore equità sociale. Tali adeguamenti potranno comportare un aumento i costi aziendali e danneggiare i valori degli asset man mano che gli investitori sposteranno i propri investimenti verso imprese più pulite, minando quindi la redditività a lungo termine dei prodotti e dei servizi esistenti. Le organizzazioni, per gestire efficientemente ed efficacemente questi rischi ed aver successo a lungo termine, dovranno stabilire obiettivi di sostenibilità chiaramente definiti e attuabili, allineati con le normative e le linee guida esistenti (i.e. ISO 26000) e gli obiettivi di sviluppo sostenibile (SDG) delle Nazioni Unite verificando al proprio interno:
- la centralità del cambiamento climatico e della sostenibilità nei valori, nella missione e negli obiettivi strategici dell’azienda;
- l’effettiva esistenza di obiettivi di sostenibilità e loro allineamento con i 17 SDG delle Nazioni Unite;
- il commitment dell’azienda in termini di cambiamento climatico e sostenibilità, attraverso l’investimento in progetti ad hoc atti a rendere i propri prodotti e servizi competitivi ed “attrattivi”;
- la simulazione di scenari worst-case per preparare l’azienda ad affrontare eventuali rischi fisici e politici legati al clima che potrebbero metterla a repentaglio;
- la validità dei dati su cui l’organizzazione modella i propri impatti ambientali
- l’avvio di iniziative atte a ridurre le emissioni di gas serra dell’organizzazione e l’abbandono di processi o di materiali di produzione dannosi per l’ambiente o insostenibili.
Rischi di continuità aziendale, di gestione delle crisi e di risposta ai disastri
Continueranno a occupare le prime cinque posizioni della classifica. Le organizzazioni che sono riuscite a garantire la propria continuità e a rispondere agli shock inaspettati della pandemia hanno, di fatto, sviluppato un grado resilienza che tuttavia continuerà a necessitare da un lato di una puntuale verifica della validità delle strategie e, dall’altro lato, il monitoraggio e miglioramento continuo dei piani di continuità operativa (BCP), incorporando le lezioni apprese per rispondere meglio a future crisi e garantire la resilienza organizzativa ed operativa.
In quest’ottica, ogni organizzazione in termini di continuità aziendale, gestione delle crisi e risposta ai disastri dovrà:
- aggiornare il BCP, incorporando le lezioni apprese dalla recente risposta alla pandemia e tenendo conto dei possibili scenari di crisi futuri;
- valutare gli impatti duraturi della pandemia sull’organizzazione;
- verificare il proprio grado di adattamento al contesto come elemento strategico in termini di vantaggio competitivo;
- individuare quali strategie operative ed organizzative attuare a breve, medio o lungo termine.
Rischi supply chain, outsourcing e fornitori
Sono destinati a perdurare dal momento che non saranno mitigabili nel breve termine. Molte aziende, dall’insorgere della pandemia, hanno ridotto la loro produzione nel 2020 a fronte di una domanda indebolita, inducendo i loro fornitori a ridurre la propria produzione. Successivamente, la crescita della domanda nel 2021 – quando le economie si sono riprese – ha creato colli di bottiglia dell’offerta e ha impedito alle organizzazioni di beneficiare appieno della ripartenza. Inoltre, la componente di imprevedibilità e una ripresa economica disomogenea a livello globale sono destinate a impattare su ogni anello della catena di approvvigionamento. Si assisterà ad una difficile previsione della domanda e ad aumento massivo degli ordini per arginare il problema delle scorte e prevenire future carenze, in grado di generare ripercussioni sulla filiera ed un inevitabile aumento dei costi di inventario.
Ne consegue che le organizzazioni dovranno garantire:
- il proprio grado di reazione agli shock della domanda e dell’offerta;
- la gestione di rischi di concentrazione in termini di forniture provenienti da un piccolo numero di venditori o da un singolo paese;
- il coordinamento strutturato delle funzioni di approvvigionamento e la gestione della supply chain;
- la revisione della strategia di supply chain;
- una supply chain sufficientemente flessibile in modo tale che l’azienda possa pianificare la produzione in base alla domanda e, al contempo, considerare l’identificazione di nuovi fornitori;
- una modellazione efficace della previsione e pianificazione della supply chain;
- le modifiche necessarie alla supply chain sulla base di dati e analisi strutturate.
Conclusioni
Il report “Risk in Focus 2022” ci conferma che la pandemia ha creato un momento di cambiamento senza precedenti per le organizzazioni pubbliche e private di tutto il mondo che devono essere in grado di reagire prontamente a rischi noti ed emergenti e, al contempo, evolversi per far fronte alle sfide contingenti e future che possono compromettere irreversibilmente l’organizzazione.
Il cambiamento e l’incertezza sono destinati a caratterizzare il 2022 e gli anni futuri. Pertanto, le organizzazioni dovranno adoperarsi per intercettare le evoluzioni in atto e, al contempo, ripensare le proprie strategie oltre a diffondere all’interno delle organizzazioni una forte cultura del rischio e della resilienza.
Di fatto, come afferma il sociologo tedesco Ulrich Beck, siamo nella “società del rischio”. Il rischio è oramai l’orizzonte globale dentro cui, come organizzazioni e come singoli, ci muoviamo e ci orientiamo essendo esposti a ciò che amo definire “l’imprevedibile certezza del rischio”. Pertanto, prenderne atto, non è solo un gesto di responsabilità, ma comporta un vantaggio in quanto il rischio può convertirsi in leva per un cambiamento positivo nella modalità e nelle pratiche di ogni decisione strategica.