Globalizzazione aziendale: rischi multidimensionali e interconnessi
In pochi anni, di fronte a un'economia sempre più digitalizzata e globalizzata abituata a una certa immediatezza, la resilienza operativa è diventata un argomento strategico per la maggior parte delle organizzazioni. E come se non bastasse, le crisi e i relativi rischi si susseguono continuamente: crisi finanziarie, terrorismo, tensioni geopolitiche, rischi climatici, e naturalmente la pandemia COVID-19, un vero e proprio shock per le imprese di tutto il mondo, rappresentando un importante test per la resilienza aziendale.
In questo contesto, è importante notare come le società che hanno resistito di più alla pandemia sono quelle che avevano almeno un tool di gestione del rischio o, meglio ancora, un piano di continuità operativa (BCP) in atto. I più tempestivi, non solo hanno continuato la loro attività come al solito, ma sono anche riusciti a appropriarsi di nuove quote di mercato, stabilendosi in nuovi mercati.
Naturalmente, la gestione del rischio e la resilienza sono aspetti intrinsechi di qualsiasi azienda. La maggiore difficoltà risiede ora nelle interconnessioni operative e negli effetti "domino" dei rischi nelle operazioni commerciali. Ad esempio, il Covid e i relativi blocchi hanno imposto lo smart working, generando così rischi informatici ma anche sociali. C'è stato anche un impatto sulle catene di approvvigionamento, che ha portato a interruzioni nella produzione, ecc.
In altre parole, in un contesto economico e normativo globalizzato e interconnesso, i rischi stessi diventano globalizzati e interconnessi, e i loro effetti domino devono essere anticipati.
Business Continuity Planning: Progettare un piano d’azione “offensivo”
I rischi e i relativi impatti sono specifici per ogni azienda, a seconda delle sue attività, delle sue sedi, delle dimensioni, ecc. Questi rischi sono potenzialmente numerosi: rischi di processo, rischi operativi, aspetti umani, terzi e rischi di fornitura, rischi IT e digitali, o rischi reputazionali. Per affrontare queste minacce, il Risk Management fornisce un quadro metodologico per l'identificazione, l'analisi e la mitigazione, nonché per la progettazione di piani di continuità associati (BCP), che devono essere adattati a ciascun contesto e alle operazioni aziendali.
Naturalmente, non c'è bisogno di redigere un BCP esaustivo che copra tutti i processi dell'organizzazione: l'approccio sarebbe troppo complesso, probabilmente impossibile e, in ogni caso, troppo costoso. Tra i rischi potenziali, si tratta di individuare i più critici sugli asset più strategici, le loro ramificazioni e le loro possibili conseguenze in caso di crisi. Questo è uno degli obiettivi dell'esercizio di mappatura dei rischi, che consente di visualizzare quelli più critici e identificare i processi impattanti. La mappatura dei rischi supporta la progettazione di un piano di business continuity per fornire resilienza ai processi aziendali, ma bisogna anche considerare le numerose risorse che li supportano. A tal fine, è essenziale combinare una visione di processo con una visione delle risorse (risorse IT, siti fisici, logistica, materie prime, risorse umane), per essere coordinati da monte a valle grazie ad una visione olistica.
La mappatura dei rischi ha lo scopo di definire i rischi a cui l'azienda è esposta e di apporre le opportune misure di prevenzione, in base alla propensione al rischio. In ogni caso, l'obiettivo è fornire all'organizzazione le capacità di anticiparne le conseguenze con un processo decisionale consapevole.
Continuity Management: anticipare, prevenire e recuperare
Come suggerisce il nome, un piano di business continuity richiede di organizzare sia la prevenzione dell'organizzazione a monte, ma anche di porre rimedio ad eventuali crisi che si sono già materializzate, partendo dall'identificazione dei processi e dalla prioritizzazione della loro criticità. I processi critici sono ovviamente quelli senza i quali l'azienda non può operare.
Si tratta quindi in generale di attività essenziali e devono essere trattate in via prioritaria. Gli altri processi dovrebbero essere quanto più prioritari in base ai potenziali impatti sul business. Si tratta quindi di immaginare le possibili soluzioni in caso di interruzione: strumenti da utilizzare, le procedure d’impatto da attuare immediatamente, ecc. Sono tutte modalità che garantiscono la continuità aziendale e che è importante testare regolarmente, per garantirne il successo in caso di una vera situazione di emergenza. Infine, il piano di recupero deve anche essere progettato a monte secondo uno scenario specifico per ridurre al minimo il tempo necessario per ritornare a una situazione di normalità.
Se è vero che è possibile organizzare e garantire la continuità aziendale se si identificano i rischi, questo non è sufficiente: è necessario un approccio olistico. Senza questa visione molto dettagliata e globale dell'organizzazione e delle sue vulnerabilità, è impossibile analizzare, anticipare e coordinare - e quindi mettere in atto le difese per salvaguardare l'azienda e le sue attività.