La frammentazione applicativa è un ostacolo anche quando si parla di soluzioni per la gestione del rischio fornitori. La logica dei silos l’ha fatta da padrona anche nel rapporto con le terze parti e non è facile trovare un framework aziendale coerente in grado di monitorare insieme e in modo logico tutti i fronti sensibili alle falle dei fornitori; le cui conseguenze rimangono sempre e comunque a carico dell’azienda.
Indice degli argomenti
L’agilità piace a tutti ma aumenta il rischio fornitori
Rossano Magro, oggi Business Development Manager di Archer, ha tanti anni di esperienza nella gestione del rischio, tra cui quello che coinvolge il rapporto con le terze parti e, quando gli abbiamo chiesto di parlarcene, il suo racconto è iniziato dalla necessità di far evolvere l’approccio metodologico al problema. “Il rischio terze parti c’è sempre stato all’interno delle organizzazioni, ma nella digital transformation, che ha rivoluzionato il modo in cui prodotti e servizi vengono portati sul mercato, questo aspetto è diventato ancora più importante. Necessariamente, oggi ci sono interi pezzi della catena del valore aziendale che stanno fuori dalle mura aziendali perché affidati a fornitori e anche a subfornitori, una ulteriore quarta parte che si aggiunge alla terza. L’agilità, che è una grande occasione per tutti, ha un’altra faccia della medaglia rappresentata da nuovi rischi”.
Cyber, privacy e continuità aziendale i rischi maggiori
Quali sono questi rischi? “Il primo è il rischio cyber. Tutto il mondo ha parlato del caso SolarWinds, fornitore di grandi imprese e organizzazioni pubbliche, la cui piattaforma di supply chain è stata corrotta da un attacco che ha permesso ad alcuni hacker di spiare per mesi enti governativi USA e imprese di taglio internazionale in tutto il mondo. Un altro rischio importante è legato al rispetto delle normative sulla privacy e sul GDPR: non solo il furto, ma anche non aver implementato in modo corretto le procedure per minimizzare questi rischi può fare incorrere le aziende in una perdita di dati personali per i clienti. Una terza grande criticità è legata alla continuità operativa e si innesca quando si affidano a terze parti dei pezzi della catena del valore aziendale talmente importanti che possono fare incorrere addirittura nel fermo dell’attività produttiva. Quella che oggi viene chiamata resilienza operativa è un aspetto decisamente importante. Il punto è che, in ogni organizzazione, nello svolgimento di queste attività sono sempre coinvolti fornitori le cui criticità diventano le criticità dell’azienda. Caso tipico sono le imprese che si affidano ad agenzie esterne per promuovere offerte commerciali e che puntualmente vengono multate dall’autorità garante per qualcosa di scorretto”.
Superare la frammentazione e dare delle priorità
Parliamo delle soluzioni di gestione del rischio terze parti, che esistono da tempo e di cui c’è abbondanza sul mercato. “Il punto è proprio che di queste soluzioni ne esistono tante, forse troppe. Sul mercato c’è una grande varietà di tool creati per affrontare problemi specifici nei diversi dipartimenti aziendali, ma manca una visione complessiva e una corretta cultura organizzativa. La riprova, almeno in Italia, è che solo pochissime realtà si sono dotate di un responsabile terze parti. Il tema è presidiato dalla security, dall’IT, dal procurement, dalla compliance, dal legale, ma manca un interlocutore unico come può essere un Data Protection Officer nella protezione dei dati. Nella gestione del rischio terze parti bisogna investire in tecnologie giuste ma anche in formazione, e soprattutto dotarsi di framework per affrontare la problematica a livello complessivo senza focalizzarsi su un aspetto piuttosto che su un altro. Da un punto di vista metodologico ma anche software.
“Un altro aspetto importante è assegnare le priorità del rischio. Mi spiego: tutti i rischi sono insisidiosi, ma non tutte le attività sono uguali e possono essere presidiate nello stesso modo. Spesso vediamo aziende investire un sacco di soldi in cose che non sono particolarmente importanti, trovandosi a iper-presidiare alcune aree, mentre magari ne sottovalutano altre che invece necessiterebbero di un’attenzione maggiore. Dotarsi di una visione complessiva che consenta di assegnare le giuste priorità è la chiave di volta del problema”.
Software e servizi applicativi nella risposta di Archer
Framework aziendale, nuovo approccio culturale, semplificazione applicativa: qual è la vostra risposta? “Archer propone una soluzione, Archer Third Party Governance, che si compone di software e di servizi implementativi. Due pilastri a cui aggiunge un approccio olistico al tema. Le organizzazioni devono costantemente monitorare le soluzioni dei vendor implementate, soprattutto quelle più importanti, rispetto alle funzionalità fornite, si devono preoccupare non solo dei componenti di prodotti e servizi ma anche di chi fornisce software e servizi IT, anzi, quest’ultimo aspetto è oggi ancora più importante. Occorre infatti evidenziare che questa criticità non si può più mettere in discussione: il problema prima o poi capita a tutti, ed è importante individuarlo al più presto e avere la capacità di dare una risposta immediata. Questa risposta, però, la si può trovare solo in una metodologia che non è prevista in un manuale stampato, ma è offerta da un software aggiornato con procedute aggiornate”.
A cose fatte bene, ci si ripaga in un anno
Quali sono i benefici della soluzione Archer Third Party Governance? “Quantificare il Roi è molto difficile, anche se abbiamo dei tool per farlo. Ovvio che ci deve essere grande partecipazione da parte del cliente, ma abbiamo tante evidenze del fatto che la soluzione si ripaga già in un anno quantificando il monte ore che si libera per altre attività. Più in generale, Archer utilizza l’acronimo ACAVE per riassumere i vantaggi di questa soluzione. La prima A sta per accountability e significa avere un unico sistema con responsabilità ben definite. La C sta per collaborazione: quando tutto è in un unico sistema, le cose diventano più facili. La seconda A significata automazione, senza la quale si perde il valore di ogni soluzione: il software non è solo un data base, ma qualcosa che attiva e automatizza i processi. La V sta per visibilità: così quando chiedo a un responsabile quali sono i rischi associati alle terze parti la risposta sarà finalmente immediata. La E finale sta per efficienza e riguarda anche il risparmio economico”.