Il risk manager come figura in evoluzione, con un livello di riconoscimento in costante crescita nelle aziende italiane, il cui apporto deve essere riconosciuto nei consigli di amministrazione per una più efficace gestione del rischio.
Questo il tema al centro dell’edizione 2023 del seminario ANRA “L’Enterprise Risk Management: processo e ruolo. Il raccordo con la gestione operativa del cyber risk” che si è tenuto nei giorni scorsi a Milano.
Oltre un centinaio di partecipanti per uno dei principali appuntamenti della community italiana dei risk manager, che ha visto la presenza di specialisti del rischio di pluriennale esperienza provenienti da aziende di fama nazionale e internazionale.
L’evento, patrocinato da Assolombarda e articolato in due tavole rotonde che hanno animato un intenso pomeriggio di confronto, è stata l’occasione per esporre una fotografia precisa del ruolo del risk manager all’interno delle aziende italiane di piccole e grandi dimensioni e dell’approccio che lo stesso ha ad uno dei rischi maggiormente percepiti nel panorama imprenditoriale attuale: il cyber risk.
Partendo da un’indagine realizzata da ANRA in collaborazione con il gruppo multinazionale di consulenza direzionale Protiviti, i partecipanti hanno avuto l’occasione di confrontarsi sul ruolo degli specialisti della gestione del rischio, ruolo presente nelle organizzazioni di grandi dimensioni attive in particolar modo nel settore finanziario ma che risulta ancora assente invece nelle imprese di medie e piccole dimensioni, con meno di 49 dipendenti.
Questo sebbene il coinvolgimento in processi decisionali chiave sia considerato significativo, con particolare riferimento all’ambito della pianificazione strategica dalla maggior parte dei rispondenti alla survey al centro della prima tavola rotonda prevista dall’evento che ha visto come relatori Roberto Rentocchini (head of integrated industrial risk, Eni); Pietro Guzzi (quality and supply chain manager, Kolektor Microtel); Silvia Stefini (chair audit and risk committee, Renantis). Tra i settori maggiormente maturi troviamo il settore Energy & Utilities, seguito a stretto giro dal settore Industrial & Construction.
“I risultati del questionario sono incoraggianti e creano aspettative in termini di ulteriore sviluppo e diffusione della figura del risk manager nelle aziende”, dichiara Roberto Rentocchini. “Per questo la capacità di attuare un processo di risk management, non solo enterprise wide a copertura di tutte le aree di rischio, ma “proattivo” a supporto delle decisioni aziendali, diventa chiave per abilitare la figura del risk manager”.
Tra gli output emersi durante la prima sessione di discussione, anche l’impatto potenziale che il risk management può avere a qualsiasi livello aziendale, stando a quanto detto da Pietro Guzzi: “In questo momento, nella mia esperienza come quality manager sicuramente l’aspetto con maggiore possibilità di influenza è quello operativo. La grande sfida rimane uscire dalla semplice compliance verso requisiti di norme cogenti o norme volontarie e passare invece ad avere una gestione del rischio che permetta di governare i singoli processi”.
Secondo Silvia Stefini: “Stiamo attraversando fasi sempre più difficili dove ci sono sfide importanti da affrontare e dove una visione strategica del risk management deve essere alla base”.
Altro tema al centro della discussione è stata la gestione del rischio cyber in rapporto al processo di Enterprise Risk Management e le conseguenze che una eventuale violazione della sicurezza informatica di un’azienda può avere sulla business continuity, asse portante della seconda tavola rotonda che ha visto come relatori Luca Bechelli (partner information & cyber security, P4I); Giulio Coraggio (head of intellectual property & technology, DLA Piper Partner); Sonia Peron (presidente collegio sindacale, Garofalo Health Care e revisore ANRA); Carlo Zaganelli (responsabile enterprise risk management, Leonardo).
Il rischio cyber rappresenta una delle principali sfide da affrontare per il risk manager, in quanto si tratta di un rischio in continua evoluzione che richiede allo specialista della gestione del rischio “uno sforzo enorme per comprendere gli aspetti tecnici presidiati dagli esperti cyber e collegarli con le responsabilità dell’azienda”, come dichiarato dalla vicepresidente ANRA Paola Radaelli, senior risk management consultant di Strategica Group.
Una difficoltà resa più complessa dalla differenza sostanziale sottolineata da Luca Bechelli: “Il Risk Manager è abituato a trattare rischi su una proiezione temporale misurata in decadi, mentre per il rischio cyber una valutazione a 5 anni è estrema poiché questo tipo di minacce cambia alla velocità della luce. Ci sono presidi che non possono attendere un tempo superiore ad alcuni mesi”.
La minaccia cyber non è nuova all’attenzione delle aziende ma riveste una sempre maggior importanza. Basti pensare ai risultati del rapporto Clusit 2023 secondo cui il 2022 si è caratterizzato come l’anno peggiore per la cyber security, con un aumento di cyber attacchi del 21% a livello mondiale e del 169% soltanto in Italia.
Dati che sottolineano l’esigenza delle aziende di pianificare una strategia di risposta che abbia come obiettivo limitare i potenziali danni anche attraverso la stipula di una polizza assicurativa ad hoc che però non risolve il problema.
“Tutte le aziende vogliono una polizza di cyber security ma spesso non sono assicurabili perché caratterizzate da un rischio cyber così elevato che la compagnia assicurativa non vuole prendersene carico”, spiega Giulio Coraggio. “Una consulenza legale può aiutare nella gestione dell’incidente nello stabilire il privilegio legale”.
Una volta subito l’attacco, per liberarsene l’azienda deve spesso pagare il riscatto imposto dagli hacker. Tema che pone una ulteriore questione: pagare il riscatto è la decisione migliore?
“Pagare il riscatto apparentemente sembra la soluzione più semplice ma non è così perché nasconde una serie di insidie e una serie di rischi che vanno assolutamente valutati”, sostiene Sonia Peron. “Prima di decidere se pagare o meno, bisogna compiere un insieme di attività preliminari: notificare la protezione dei dati personali entro 72 ore o in tempo molto più breve se si tratta di dati sensibili, valutare il contratto assicurativo, valutare i rischi in caso di pagamento che possono essere legali, creativi, economici, finanziari, reputazionali o assicurativi. Mentre la persona fisica che subisce il riscatto si configura come semplice vittima, per le aziende private ci si trova in una sorta di vuoto normativo. Se coloro che rivendicano l’attacco sono organizzazioni internazionali riconosciute come di stampo terroristico, l’azienda pagante può essere ritenuta responsabile di aver foraggiato l’attività criminale”.