PROSPETTIVE PER LA CYBER SECURITY NELLE AZIENDE

Negli ultimi anni è cresciuto notevolmente l’interesse delle aziende per le tematiche relative al risk management in quanto nel corso delle proprie attività ogni impresa è soggetta ad una serie di minacce (rischi), di natura competitiva e non competitiva, che influenzano la propria operatività e, quindi la capacità di generare valore.

Il risk management è un processo aziendale volto alla gestione integrata dei rischi, mediante attività sistematiche di eliminazione, riduzione, trasferimento e controllo dei rischi. È l’unico approccio organico e strutturato che permette di salvaguardare il patrimonio aziendale e la continuità operativa nel tempo.

In passato invece la consapevolezza sull’esistenza dei rischi era si presente nella mente del management ma troppo spesso trascurata perché non razionalizzata o sottomessa alla frenesia della gestione corrente. Ogni organizzazione deve assicurarsi che l’attività di risk management non sia uno sterile esercizio separato dal business, ma diventi parte integrante del sistema di gestione ed una componente essenziale del processo decisionale.

Tutte le aziende devono affrontare eventi incerti e la sfida del management è di determinare il quantum di incertezza accettabile per creare valore; l’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda.

Il management massimizza il valore quando formula strategia ed obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti.

Il processo di gestione integrata dei rischi (ERM) ha la finalità di supportare il management e il CDA nell’assumere decisioni compatibili con il profilo di rischio della società e coerenti con gli obiettivi aziendali.

Il modello ERM si articola essenzialmente in 5 processi interconnessi:

  1. Processo di CONTEST ANALYSIS: l’ambiente interno costituisce l’identità essenziale di un’organizzazione, determina la forma mentis delle persone che operano in azienda riguardo i livelli di accettabilità del rischio, l’integrità e i valori etici;
  2. Processo di RISK ASSESSMENT: consiste nell’identificazione, classificazione, quantificazione dei principali eventi che potrebbero minacciare il raggiungimento degli obiettivi aziendali;
  3. Processo TREATMENT: consiste nel mettere in atto azioni per ridurre il livello di rischio ad un livello considerato accettabile;
  4. Processo di MONITORING: la fase di monitoring, prevede un monitoraggio continuo da parte del risk management integrato su:
    •  Andamento dei rischi;
    • Lo stato d’implementazione dei piani di trattamento;
    • L’insorgere di nuovi rischi.
  5. Processo di REPORTING: la fase di reporting consente ai diversi livelli aziendali di avere la disponibilità dei dati relativi alla gestione del rischio, dei risultati ottenuti e delle azioni di miglioramento programmate.

Anche nelle PMI oggi grazie all’introduzione del risk management in alcune certificazioni sulla qualità (vedi la ISO9001 2015 e la IATF per l’automotive) si sente sempre più spesso parlare di attività di coordinamento e gestione dei rischi.

I rischi identificati e successivamente quantificati nella predisposizione dei modelli ERM riguardano qualsiasi ambito specifico dei processi aziendali: si passa dai rischi operativi (quelli cioè legati alle criticità dei reparti produttivi per esempio..), ai rischi patrimoniali (quelli per esempio legati alle catastrofi naturali),a quelli EH (legati per esempio all’accentramento delle competenze nelle mani di pochi key man), quelli relativi a fattori esogeni (vedi dipendenza dai fornitori/clienti strategici), di compliance, strategici e di information technology.

Hanno parlato di noi….