Sicurezza informatica, potenziamento della cultura aziendale della cybersecurity e attenzione alle turbolenze socioeconomiche, senza dimenticare il focus sui cambiamenti normativi e l’aggiornamento della governance. Sono, questi, gli aspetti più rilevanti del Risk Management da monitorare nel corso del prossimo anno.
Risk management, gli scenari 2023
Se rispetto alla gestione del rischio il 2022 è stato un anno di transizione, con il ritorno al New Normal bruscamente soppiantato dai problemi generati dalle tensioni geopolitiche, i prossimi mesi saranno caratterizzati dal tentativo delle aziende di mettere a frutto l’esperienza maturata durante l’emergenza pandemica per consolidare la capacità di generare resilienza in uno scenario sempre meno prevedibile.
L’analisi arriva dall’Institute of Internal Auditors, associazione professionale internazionale che serve oltre 70 mila membri in Nord America e nei Caraibi, che all’interno del suo rapporto annuale OnRisk ha identificato cinque aree da “attenzionare” elaborando anche una serie di avvertenze utili ad affrontare ciascuna categoria di rischio.
Mitigare le minacce sul fronte della sicurezza informatica e della privacy dei dati
Che gli attacchi informatici siano in deciso aumento non è una novità. Il problema è che nonostante le soluzioni di Data Pon e Cybersecurity continuino a migliorare, gli hacker dal canto loro sviluppano metodi sempre più efficaci per infiltrarsi nelle reti aziendali, sfruttando in particolar modo le tecnologie di automazione basate su Intelligenza Artificiale e Machine Learning.
La principale criticità è che a causa della maggior interconnessione tra l’IT e i processi vitali di qualsiasi azienda, oggi gli attacchi che vanno a buon fine possono danneggiare in modo permanente la reputazione, la sicurezza, la protezione, i dipendenti, gli appaltatori e i fornitori di un’organizzazione. Con impatti finanziari spesso disastrosi.
Non bisogna, però, dimenticare che i rischi per la sicurezza informatica e per la privacy dei dati non dipendono solo da fattori esterni. Possono anche derivare da modifiche ai requisiti normativi e dalla mancanza di un adeguamento tempestivo alla compliance, senza contare gli incidenti interni, determinati dalla cattiva condotta (intenzionale o meno) dei collaboratori.
Mitigare questi rischi vuol dire adottare una serie di buone pratiche che vanno estese in senso verticale e orizzontale a tutte le funzioni aziendali. È, dunque, essenziale formare i collaboratori, non solo mettendoli a conoscenza delle minacce informatiche che potrebbero incontrare, ma anche delle potenziali vulnerabilità dei sistemi critici. Occorrono, poi, programmi ad hoc per coinvolgere fin dall’ingresso in azienda i nuovi assunti, con corsi di aggiornamento obbligatori annuali. Tutti i dipendenti, sottolinea il rapporto OnRisk, dovrebbero essere inoltre tenuti a firmare una dichiarazione che certifica di aver ricevuto la formazione sulla sicurezza informatica e di aver compreso e accettato le policy.
Migliorare la gestione della cultura aziendale (nonostante lo Smart Working)
L’emergenza pandemica ha cambiato drasticamente il modo in cui le organizzazioni gestiscono le modalità di lavoro, gli orari dei dipendenti e le persone stesse. Lo Smart Working, con l’assenza di un luogo fisico predeterminato per svolgere le attività, ha generato nuovi rischi. Per mitigarli non basta individuare le metodologie che meglio si attagliano all’organizzazione per proteggere adeguatamente le risorse umane, la proprietà intellettuale e la produttività aziendale. La cultura stessa di un’impresa è fortemente influenzata dal fatto che i dipendenti si rechino in un luogo fisico o lavorino da casa. Le organizzazioni devono quindi comprendere, monitorare e gestire il tono, gli incentivi e le azioni che guidano il comportamento desiderato nei vari team.
Affrontare le turbolenze economiche, politiche e sociali
Come purtroppo abbiamo modo di osservare in questi giorni, in un’economia globale anche eventi che accadono a grande distanza possono generare effetti nella nostra realtà quotidiana, con ricadute significative specialmente per il comparto produttivo: embarghi commerciali, sanzioni ed escalation militari minano le opportunità per molti dei business che lavorano a livello internazionale, ma non solo.
Dopo gli sforzi sostenuti per sopravvivere durante i lockdown resi necessari dalla pandemia Covid, oggi le imprese di buona parte d’Europa devono far fronte all’impennata dei costi energetici. E per l’immediato futuro l’Institute of Internal Auditors non esclude la possibilità di disordini sociali. Questi costituiscono un rischio primario per qualsiasi tipo di impresa, in quanto i consumatori perdono fiducia nel mercato e il mercato a sua volta perde fiducia nelle capacità d’investimento delle aziende.
Questa tendenza probabilmente perdurerà fino a quando l’economia globale e il clima politico rimarranno instabili, ecco perché anche le organizzazioni che per il momento non hanno subito il contraccolpo della situazione internazionale dovrebbero avviare un’analisi approfondita della propria catena del valore, così da valutare i rischi potenziali connessi a questo specifico scenario.
Adattarsi al cambiamento dei framework normativi
I cambiamenti normativi sono un’area di rischio più importante di quanto si tenda a credere, e che richiede attenzione, pianificazione e azione. È noto che la maggior parte delle modifiche alle leggi di mercato o agli standard di settore, specialmente in un’area fortemente regolata come quella dell’Unione Europea, è destinata a generare un impatto finanziario sull’organizzazione.
Ma non è solo questione di compliance: i cambiamenti normativi possono spalancare la porta anche a scenari di rischio generalmente sottovalutati, come quelli che dipendono dalla percezione che l’opinione pubblica matura sulla posizione di un’azienda o sulla sua disponibilità al cambiamento. Possono anche sorgere controversie interne, per esempio sul modo in cui devono essere applicate le nuove prescrizioni: alcune organizzazioni interpretano i regolamenti in un modo più rigoroso di quanto implichi il linguaggio normativo, il che può creare confusione tra la leadership e i responsabili della compliance.
In questo caso, il consiglio dell’Institute of Internal Auditors è quello di tenere un canale aperto con le associazioni di categoria del settore di appartenenza, monitorando al tempo stesso la percezione del pubblico e mantenendo un tavolo di lavoro permanente sull’evoluzione del framework normativo, in modo da predisporre con tempestività iniziative utili ad anticipare i cambiamenti.
Orchestrare la governance e promuovere la leadership
I temi della governance e della leadership non sono novità nel panorama del Risk Management, ma nel 2023 diverranno basilari per gestire molte delle trasformazioni che sta già affrontando la maggior parte delle imprese.
Con tutti i cambiamenti in atto, è assai plausibile che le esigenze e gli obiettivi dell’organizzazione non risultino più allineati con la governance originaria, così come con ogni probabilità sarà necessario mettere in discussione alcuni elementi consolidati della gerachia aziendale, contestualizzando la leadership nel nuovo scenario e inquadrandola nell’orizzonte degli eventi verso cui si muove il business.
