principali trend della business resilience e della gestione del … · principali trend della...

IBM Global Technology ServicesResearch Report

Principali trend della business resilience e della gestione del rischio a livello globale Risultati dell’IBM Global Business Resilience and Risk Study 2011

Business resilience

L’indagine relativa ai Principali trend della business resilience e della gestione del rischio a livello globale è uno studio IBM che analizza come le aziende stiano sempre più adottando strategie di business resilience integrate in un contesto incerto. Il rapporto è stato redatto dall’Economist Intelligence Unit, che si è anche occupata del sondaggio online e della conduzione delle interviste per conto di IBM. Vorremmo ringraziare tutti i dirigenti che hanno partecipato al sondaggio per i pareri espressi e il tempo che ci hanno dedicato.

Yousef Valine, Chief Risk Officer, First Horizon National CorporationLee Garvin, Direttore, Risk Management, JetBlueKris Wiluan, CEO, KS Energy Services LimitedDr. Barbara Reynolds, Senior Advisor, Risk Communication, Centers for Disease Control and Prevention (CDC)Jean-Pierre Bourbonnais, Vice President, Information Technologies, and Chief Information Officer, Bombardier Aerospace

SommarioLe aziende si stanno adattando a un ambiente globale sempre più complesso, adottando un approccio alla pianificazione della business resilience più olistico. I piani di business continuity tradizionali—in genere fortemente focalizzati sull’IT—rimangono fondamentali, ma stanno diventando sempre più parte di un quadro più ampio, perché i senior executive rafforzano la loro supervisione della gestione del rischio a livello aziendale. Per garantire la business resilience, le società si stanno predisponendo per realizzare un processo di gestione del rischio che tenga conto delle diverse tipologie insite nell’azienda e consideri tutti gli aspetti della gestione, dalla sua individuazione fino alla mitigazione.

La nostra ricerca indica che nei prossimi tre anni sempre più aziende adotteranno un approccio olistico alla gestione del rischio, data la crescente incertezza e il maggior numero di rischi che si trovano ad affrontare. Solo una minoranza (37%) delle società ha realizzato una strategia di business resilience a livello aziendale, ma il 42% degli intervistati afferma di volerla realizzare nei prossimi tre anni. Due terzi circa (64%) dichiarano di avere un piano di business continuity importante e il 58% possiede piani contingenti per affrontare varie tipologie di rischio.

Dai principali risultati dello studio si evince quanto segue:

Le società di grosse dimensioni hanno più probabilità di avere una strategia integrata rispetto alle piccole aziende. La complessità, spesso associata alle dimensioni, aumenta l’esposizione di un’azienda al rischio. Dalla nostra ricerca emerge che le società con un fatturato annuo pari o superiore a 6,5 miliardi di euro hanno quasi il doppio delle probabilità di avere realizzato una strategia di business resilience integrata rispetto a quelle con ricavi annuali inferiori a 0,75 miliardi di euro—il 56% contro il 30%. Le

differenze sono simili anche per altri indicatori. È molto più probabile, ad esempio, che le grandi aziende assegnino la responsabilità della gestione del rischio aziendale (ERM) ad un unico membro dell’executive. Tuttavia, vi è un numero significativo di piccole aziende che ha adottato strategie integrate. Queste società registrano buoni risultati anche rispetto ad altri indicatori di successo come la crescita degli utili, la redditività e la quota di mercato.

Business continuity, IT e rischi di compliance rimangano le priorità, ma le aziende stanno diversificando le proprie strategie per creare business resilience. Quasi il 40% degli intervistati afferma che la propria società considera la business continuity in primo luogo come una questione IT. Alla richiesta di indicare la loro ‘preoccupazione primaria di gestione del rischio’, alcune società ne nominano più di una, tra cui disaster recovery (47%), sicurezza IT (37%) e compliance normativa (28%). Sebbene molte abbiano iniziato con l’affrontare per prime le minacce più impellenti, nei prossimi tre anni si occuperanno sempre più di questioni quali lo sviluppo di programmi di comunicazione e formazione volti a formare una cultura della resilienza più forte, adottando approcci più olistici.

Alla richiesta di indicare la loro preoccupazione primaria di gestione del rischio, alcune aziende ne hanno nominata più di una, tra cui:• Disaster recovery, 47%• Sicurezza IT, 37%• Compliance normativa, 28%

Business resilience 2

attività aziendali, i CIO e i professionisti IT rimangono i principali attori della costruzione di un’azienda più resiliente. Sono infatti sempre più coinvolti nelle decisioni riguardanti i rischi aziendali. Il 56% degli intervistati dichiara che il CIO collabora con i responsabili IT di alto livello con una maggiore frequenza rispetto a tre anni fa. Allo stesso tempo, i ruoli tradizionali dell’IT sono diventati più complessi. Una maggioranza significativa dei partecipanti all’indagine afferma che la sicurezza di dati e applicazioni (85%), la protezione dei dati (79%), la sicurezza delle infrastrutture (77%), la governance della sicurezza (75%), la gestione di identità e accessi (74%) e la gestione della compliance (69%) fanno parte di una strategia di gestione del rischio aziendale più ampia.

3 Principali trend della business resilience e della gestione del rischio a livello globale

La pianificazione della business resilience coinvolge sempre di più specialisti appartenenti a vari reparti dell’azienda, sebbene i Chief Information Officer (CIO) e i professionisti IT rimangano i principali interessati. Nel corso delle interviste, i dirigenti hanno sottolineato che la gestione del rischio dovrebbe coinvolgere tutti all’interno dell’azienda. Una cultura in grado di infondere la responsabilità della gestione del rischio a ogni livello consente alle società di reagire ai cambiamenti e agli eventi inaspettati. I risultati dell’indagine lo confermano. Una solida maggioranza degli intervistati (60%) afferma che la business resilience è considerata una responsabilità congiunta di tutti i dirigenti C-level. Tuttavia, nonostante l’IT permei ogni aspetto delle

Definizione di business resilience

Ai fini del presente rapporto, per business resilience si intende la capacità di un’impresa di adattarsi a un business in continua evoluzione. Le aziende resilienti sono in grado di garantire un’operatività continua e di proteggere la propria quota di mercato in caso di interruzioni dovute a disastri naturali o causati dall’uomo. La pianificazione della business resilience si distingue dalla ERM in quanto ha più probabilità di creare le capacità necessarie a cogliere le opportunità offerte da eventi inaspettati. Un’ulteriore differenza è che, mentre la ERM può essere realizzata come una capacità gestionale, una strategia di business resilience integrata richiede l’impegno di tutta la società e spesso comporta un cambiamento della cultura aziendale per infondere una consapevolezza dei rischi.Per una maggioranza significativa degli

intervistati, una strategia di gestione del rischio aziendale più ampia comprende:• Sicurezza di dati e applicazioni, 85%• Protezione dei dati, 79%• Sicurezza delle infrastrutture, 77%• Governance della sicurezza, 75%• Gestione di identità e accessi, 74%• Gestione della compliance, 69%

Introduzione: la spinta verso la business resilience Le aziende di tutto il mondo stanno ponendo una maggiore enfasi sulla business resilience, ovvero sulla capacità di adattarsi, in tempi rapidi, a un business in continua evoluzione. Le aziende resilienti sono in grado di garantire un’operatività continua e di proteggere la propria quota di mercato in caso di disastri naturali o causati dall’uomo, nonché in conseguenza di cambiamenti della situazione economico-finanziaria. Inoltre, sono debitamente equipaggiate per cogliere le opportunità offerte da eventi imprevisti.

La gestione del rischio si focalizzava, in passato, sul trasferimento del rischio—ottenuto tramite assicurazione o altri prodotti finanziari—e sulla pianificazione della business continuity per mantenere operativa l’azienda durante i periodi di crisi. A partire dagli anni Ottanta, alcune società hanno iniziato a sviluppare programmi di ERM basati sul ‘circle of risk’, concettualizzato per la prima volta nel 1974 da Gustav Hamilton, risk manager presso la Statsföretag AB, in Svezia. L’idea era quella di unire


L’indagine

L’indagine, condotta dall’Economist Intelligence Unit per conto di IBM nel giugno 2011, comprendeva le risposte di 391 senior executive - il 35% dei quali C-level. Circa il 39% degli intervistati proviene dal Nord America, il 38% dall’Europa Occidentale, il 20% dalla regione Asia-Pacifico e il 3% dall’Europa Orientale. Le società con un fatturato inferiore a 370 milioni di euro rappresentano il 39% dei partecipanti, mentre il 48% proviene da società con ricavi superiori a 0,75 miliardi di euro. Lo studio prende in esame quasi tutti i settori, inclusi servizi finanziari (16%), IT e tecnologia (16%), servizi professionali (13%), manifatturiero (8%) e sanità (7%).

diverse attività di gestione del rischio, quali identificazione, valutazione, controllo, finanziamento, monitoraggio e comunicazione, in un processo continuo. In molti casi, tuttavia, si continuava ad operare all’interno di silos organizzativi. La crisi economica scoppiata nel 2008 ha destato un nuovo interesse per la gestione del rischio, promuovendo l’adozione di approcci autenticamente olistici, dove la gestione del rischio è inerente ad ogni decisione. Oggi, le aziende leader stanno ulteriormente ampliando questi concetti per sviluppare strategie di resilienza di livello aziendale e stanno facendo il possibile per creare le capacità necessarie a rispondere rapidamente ad ogni tipo di evento inatteso—opportunità e minacce—parte integrante della cultura societaria. Ciò significa ideare una strategia di business resilience che coinvolga tutta l’azienda.

L’indagine condotta dall’Economist Intelligence Unit per questo rapporto ha rilevato che i dirigenti si ritengono ora più coinvolti nella gestione di ogni tipo di rischio aziendale. Solo il 30% degli intervistati afferma di non avere una vera e propria funzione di gestione del rischio in essere, rispetto al 42% dei dirigenti IT del 2010. Questo dato indica che gli approcci alla gestione del rischio si stanno evolvendo rapidamente. In particolare, suggerisce che la tendenza verso un maggiore ricorso ad approcci di gestione del rischio olistici all’interno della funzione IT, individuata nel quadro dell’indagine del 2010, si sta espandendo all’interno delle aziende.

Indice

4 Introduzione: la spinta verso la business resilience

6 Grandi società leader nella business resilience

7 Box: Prendere esempio dal leader

8 Analisi dello spettro dei rischi

8 Il viaggio della gestione del rischio

9 Case study: gestione del rischio integrata in Bombardier

11 Chi si assume la responsabilità?

12 Box: Ostacoli ad un approccio olistico

12 Il ruolo strategico dell’IT

14 Conclusioni

La principale forza motrice di questa tendenza è una maggiore consapevolezza della minore prevedibilità dell’ambiente di business. Le società devono avere una preparazione più adeguata agli eventi imprevisti—dai cambiamenti economici alle catastrofi naturali, oltre alle azioni di concorrenti e autorità normative.


afferma: ‘Nel settore dei servizi finanziari si ottengono profitti assumendosi dei rischi e gestendoli. Pertanto, la gestione del rischio per noi non è affatto una novità. L’aspetto nuovo è la necessità di una migliore comprensione delle interazioni tra le diverse aree di rischio. I rischi sono diventati più interdipendenti - un rischio può infatti generarne altri.’ Spiega che nel settore dei servizi finanziari, la pianificazione della business continuity rimane un elemento centrale di un approccio ERM più ampio. ‘La business continuity rientra in ogni programma ERM, ma rispetto agli altri elementi è un requisito essenziale - il prezzo da pagare per entrare nel mondo del business. Noi abbiamo un piano di continuità consolidato e ben avviato che rivediamo su base regolare, ma rappresenta solo una piccola parte del programma ERM complessivo.’ Poiché le banche e gli altri istituti finanziari considerano il rischio esplicito parte integrante del business, hanno una lunga esperienza nel campo della gestione completa del rischio e possono essere un esempio per altri settori.

Mentre la maggior parte degli intervistati afferma che la propria società non ha ancora realizzato delle strategie di gestione del rischio di livello aziendale, quasi tutte le imprese con un fatturato pari o superiore a 0,75 miliardi di euro si sono mobilitate per integrare piani di contingenza per rischi diversi. Un trend destinato ad aumentare. Tre quarti dei partecipanti all’indagine prevede di adottare una strategia di business resilience integrata entro tre anni; circa la metà di questi l’ha già fatto.

Avere una prospettiva più ampia non significa perdere di vista i rischi specifici dell’IT e della compliance. La maggior parte delle imprese continua ad assegnare l’analisi dei rischi e la pianificazione di contingenza a specialisti dedicati all’interno dell’azienda. Lo scopo di una strategia di business resilience integrata è la supervisione: fornire un quadro per garantire che tutti i rischi e le opportunità siano stati sistematicamente affrontati e che al senior management sia stato presentato un profilo del rischio esaustivo dell’azienda.

Di conseguenza, gli stakeholder chiedono che i senior executive aumentino la loro attenzione alle funzione di gestione del rischio. Le società sono sempre più tenute a dare prova di una gestione proattiva del rischio; infatti, il rapporto annuale di quasi tutte le aziende ora include una sezione relativa alla gestione del rischio. Le autorità normative, i mercati azionari e persino le agenzie di rating sono alla ricerca di una maggiore responsabilità da parte dei dirigenti senior in materia di gestione del rischio.

Un altro fattore della gestione del rischio integrata è la crescente interconnessione delle differenti tipologie di rischio. Yousef Valine, Chief Risk Officer di First Horizon National Corporation, una grossa bank holding company con sede a Memphis, in Tennessee,

First Horizon National Corporationservizi finanziari

Scoprite e confrontate i principali trend e cambiamenti dell’approccio aziendale alla gestione del rischio e alla resilienza scaricando l’IBM Global IT Risk Study 2010

Grandi società leader nella business resilienceIn genere, quando un’azienda diventa più grande e complessa e opera in più giurisdizioni, il livello di rischio aumenta. Pertanto, le società con una strategia di business resilience integrata tendono a essere di grandi dimensioni. Inoltre, poiché ogni lavoratore può essere visto come una fonte di rischio, maggiore è il numero dei dipendenti, più alto è il grado di incertezza, il che accresce la necessità di una supervisione da parte dei massimi vertici aziendali per assicurare che le diverse attività di gestione del rischio siano allineate con la soglia di rischio accettabile della società e amplia anche lo scopo delle attività di identificazione, analisi e reporting del rischio.

Tra gli intervistati le cui aziende registrano un fatturato annuo pari o superiore a 7 miliardi di euro, il 56% ha realizzato una strategia di business resilience integrata. Questo dato è comparabile con il 30% delle imprese con

ricavi annui inferiori a 0,75 miliardi di euro. Le differenze sono simili anche per altri indicatori. Le grandi aziende, ad esempio, hanno più probabilità di affidare a un unico dirigente la responsabilità generale dell’ERM, mentre i partecipanti provenienti da aziende più piccole (quelle con un fatturato pari o inferiore a 370 milioni di euro) hanno il triplo delle probabilità di affermare che non hanno una funzione della gestione del rischio vera e propria in essere.

Hanno anche meno probabilità di rivolgersi a consulenti esterni esperti in materia. Ciononostante le piccole aziende stanno recuperando terreno. Gli intervistati appartenenti alle aziende della fascia sotto i 0,75 miliardi di euro dichiarano l’intenzione di istituire un team di gestione del rischio di livello aziendale e di sviluppare una strategia di gestione del rischio integrata nei prossimi tre anni. L’analisi dei risultati dello studio ha individuato un gruppo di piccoli innovatori che hanno già fatto notevoli progressi verso una gestione del rischio più olistica (si veda box, Seguire l’esempio del leader).


Figure 1: Misure di gestione del rischio adottate (percentuale su tutti gli intervistati)

Investimento in nuove soluzioni IT correlate alla gestione del rischio

Formulazione di un piano di business continuity

Sviluppo di un programma di comunicazione o formazione perrafforzare le strategie di business continuity o resilienza

Istituzione di un team aziendale di gestione del rischio

Sviluppo di una strategia di business resilience integrata

Discussione dei problemi con i partner della supply-chain

Reazione ai recenti disastri naturali mediante la ridefinizione delle strategie di business continuity

Nomina di un unico dirigente responsabile della gestione del rischio di tutta l'azienda

Contatto con consulenti esterni di gestione del rischio

0% 20% 40% 60%

Prossimi tre anniProssimi tre anni

80% 100%

58%

64%

42%

49%

37%

46%

41%

45%

34%

38%

30%

39%

30%

42%

33%

37%

30%

37%

Ultimi tre anni Prossimi tre anni


Seguire l’esempio del leader

L’analisi dei risultati dello studio ha rivelato che l’adozione di azioni di business resilience all’avanguardia non è limitata alle grandi aziende. Sono state identificate quattro tipologie di aziende in base alla resilienza e alla performance finanziaria auto-riportata:

• Resilient giants—il 72% ha un fatturato annuo pari o superiore a 7 miliardi di euro - hanno adottato diverse pratiche olistiche di gestione del rischio e hanno coinvolto un’ampia gamma di attori nella loro strategie di resilienza. Si situano al primo posto in termini di crescita degli utili, redditività e quota di mercato

• Small and nimble innovators—il 77% ha un fatturato pari o inferiore a 370 milioni di euro - hanno adottato molte delle pratiche olistiche di gestione del rischio dei resilient giants. Per molti degli indicatori di successo si posizionano al secondo posto dietro i resilient giants, ma davanti ai big traditionalists e di gran lunga prima dei late bloomers.

• I Big traditionalists giudicano sia la loro business resilience che la loro performance finanziaria nella ‘media’. Oltre l’80% registra un fatturato che va da 0,75 a 7 miliardi di euro l’anno. La maggioranza (51%) considera il disaster recovery la preoccupazione

prioritaria della gestione del rischio e il 52% ha creato un piano di business continuity; il 40% non ha una funzione di gestione del rischio vera e propria. La metà dichiara che una strategia di resilienza di livello aziendale rientra nei piani per il futuro.

• I Late bloomers—il 75% ha un fatturato pari o inferiore ai 370 milioni di euro - non sono sufficientemente preparati alla gestione dei rischi aziendali e hanno una concezione stereotipata delle strategie di gestione del rischio. La loro performance si situa all’ultimo posto per ogni indicatore. La maggior parte non ha una vera e propria strategia di gestione del rischio e la loro performance segue quella degli altri. Tuttavia la metà afferma di avere l’intenzione di sviluppare una strategia di gestione del rischio vera e propria e la maggior parte dichiara di voler istituire un team di gestione del rischio di livello aziendale entro i prossimi tre anni.

Una delle principali caratteristiche distintive delle aziende di maggior successo è la propensione a vedere la business resilience come una questione che riguarda ogni aspetto dell’azienda. L’88% circa dei resilient giants concorda con questa visione, insieme all’82% degli small and nimble innovators. Il dato è comparabile con il 25% dei big traditionalists e il 36% dei late bloomers.


Analisi dello spettro dei rischi Un approccio integrato alla gestione del rischio non implica né un’analisi dei rischi centralizzata né un’attribuzione di pari peso ad ogni tipologia di rischio. Al contrario, prevede la valutazione dell’intero spettro di rischi in maniera bilanciata per delineare un quadro completo delle minacce e delle opportunità che un’azienda si trova ad affrontare. Una caratteristica comune dei resilient giants e degli smalla and nimble innovators è che hanno più probabilità di avere diversi piani di contingenza e business continuity che prendono in considerazione un gruppo eterogeneo di rischi. Inoltre, è più probabile che dichiarino che i rischi IT specifici sono contemplati dall’approccio di livello aziendale, inclusi protezione dei dati, sicurezza delle applicazioni, gestione delle policy di sicurezza, gestione della compliance, sicurezza delle infrastrutture e gestione di identità e accessi.

Un vantaggio chiave dell’integrazione della gestione del rischio - oltre a facilitare la supervisione del rischio complessivo dell’azienda da parte del senior

management - è che consente ai risk manager specializzati di supportarsi a vicenda e imparare l’uno dall’altro. Permette inoltre di cogliere dei rischi che avrebbero potuto ‘perdersi’ nei gap tra le diverse specializzazioni. Secondo Lee Garvin, Direttore, Risk Management di JetBlue, compagnia aerea con sede a New York, quest’ultimo punto è una componente fondamentale della strategia ERM di una società: ‘Come molte altre grosse società, ci preoccupiamo della presenza di silos, perché a volte gli eventi che non possono essere previsti o che sono al di fuori delle nostre previsioni possono cadere tra i silos.’

Nonostante la tendenza verso una visione più ampia dei rischi aziendali, il 47% di tutti gli intervistati ritiene che il disaster recovery debba rimanere la preoccupazione primaria della gestione del rischio. Tuttavia, la maggior parte dei resilient giants non è d’accordo. E dissente anche sul fatto che la sicurezza IT sia la preoccupazione primaria della gestione del rischio. Allo stesso tempo, tuttavia, il 92% dichiara che la protezione dei dati è una questione specifica che rientra in una strategia di gestione del rischio più ampia. Questo dato suggerisce che le società non perdono di vista i rischi specifici nonostante stiano ampliando le loro strategie di business resilience per comprendere un maggior numero di tipologie di rischio.

Il viaggio della gestione del rischioVari esperti di settore hanno descritto la gestione olistica del rischio come un viaggio, non una destinazione, basato su dei principi, sebbene non esista una ricetta per il successo. L’approccio di un’azienda dipende in larga misura dal tipo di rischio che si trova ad affrontare e dalla soglia di rischio accettabile. Normalmente, un piano di business continuity è il primo passo che porta ad approcci più olistici. Quasi i due terzi degli intervistati dichiarano che le loro società hanno già creato un piano di business continuity e la maggioranza ritiene che questo piano sia stato ben studiato e comunicato. Le successive tappe del viaggio prevedono, in genere, l’istituzione di un team aziendale di gestione del rischio. I due terzi circa (65%) dei partecipanti allo studio affermano che la propria società ha intrapreso entrambe le azioni o intende intraprenderle nei prossimi tre anni. Oltre a questi primi passi, tuttavia, vi sono diverse vie che portano a una gestione del rischio a livello aziendale.

Alcune aziende considerano la ERM parte integrante della governance aziendale di tipo top-down. Kris Wiluan, CEO di KS Energy Services Limited, provider di forniture e servizi petroliferi con sede a Singapore, afferma che nel suo settore la gestione del rischio è una responsabilità di livello dirigenziale, perché le società svolgono attività sensibili dal punto di vista ambientale in diverse giurisdizioni di tutto il mondo. ‘Il nostro team di gestione del rischio risponde a un direttore indipendente che è presidente del comitato di audit’, afferma, ‘che a sua volta espone le questioni più importanti al Consiglio. Quindi, per noi la ERM è a tutti gli effetti un processo di audit operativo. La difficoltà sta nell’assicurarsi che le persone che attuano il programma ERM conoscano il business, in modo che non vadano fuori strada’.

JetBlueacompagnia aerea

KS Energy Services Limitedforniture e servizi petroliferi


Case study: gestione del rischio integrata in Bombardier

Bombardier Inc., società con sede a Montreal, è l’esempio di una grossa azienda con una strategia di business resilience olistica ben sviluppata. Il Gruppo Aerospaziale della società è un grosso produttore di velivoli commerciali e corporate che si trova ad affrontare diversi rischi sui mercati globali. La gestione del rischio è una delle priorità centrali nella pianificazione strategica a lungo termine di Bombardier ed è responsabilità dei dirigenti delle linee di business di tutta l’azienda. A livello aziendale, il team di Audit Services e Risk Assessment prepara delle valutazioni del rischio dettagliate e le integra tra i vari gruppi operativi. Ogni reparto dell’azienda è tenuto ad adottare le migliori pratiche di gestione del rischio per selezionare i rischi che creano valore e mitigare, gestire o trasferire contemporaneamente in modo proattivo quelli che non ne creano. Il Consiglio di Amministrazione è responsabile, in definitiva, della strategia attraverso il Finance and Risk Management Committee, formato da quattro direttori indipendenti.

Jean-Pierre Bourbonnais, VP Information Technologies e CIO di Bombardier Aerospace, spiega come la società abbia rinforzato una strategia già consolidata con una nuova politica e un nuovo approccio alla gestione del rischio aziendale nel 2011. Il nuovo approccio si basa sugli standard ISO 31000. ‘Il Risk Assessment Team aziendale effettua da sempre valutazioni dei rischi di tipo top-down, mediante interviste con i responsabili delle varie business unit’, dichiara. ‘In questo modo creano una mappa dei rischi che garantisce la gestione attiva dei rischi più importanti. La differenza, oggi, è che siamo andati oltre

il rischio difensivo per assumere una visione più olistica delle opportunità.’ Un ulteriore cambiamento, prosegue, è uno spostamento verso una percezione dei rischi di tipo bottom-up, cosicché anche le business unit più piccole possano avere un’effettiva stima dei propri rischi e di cosa devono fare a riguardo: ‘Fa tutto parte di una cultura che affronta e parla senza mezzi termini di rischi. La priorità ora è unire le prospettive top-down e bottom-up in modo tale che il nostro quadro RM rappresenti una strategia di business resilience autenticamente olistica.’

Bourbonnais dichiara che il suo ruolo come CIO si è evoluto con l’avanzare dell’approccio olistico della gestione del rischio. ‘In qualità di membro dell’esecutivo di Bombardier Aerospace, sono totalmente coinvolto in tutte le principali decisioni strategiche di business.’ Ad esempio, è membro di diversi comitati, inclusi quelli responsabili delle attività, della progettazione e dello sviluppo di programmi. Aggiunge che anche i suoi diretti sottoposti sono sempre più coinvolti nelle strategie e nelle decisioni aziendali: ‘Quando ciò accade, la funzione IT è in sincronia con quello che succede all’interno dell’azienda.’

La sfida più importante, secondo Bourbonnais, è assegnare una priorità all’enorme quantità di rischi identificati mediante una cultura di consapevolezza del rischio di tipo bottom-up. Per farlo è necessario individuare ogni tipo di dipendenza tra le varie tipologie di rischio. ‘Tentiamo di individuare una sequenza critica, o una sequenza per la materializzazione del rischio e la velocità a cui possono verificarsi gli eventi inaspettati, perché solo procedendo nel modo giusto si ha il controllo della situazione.’

Bombardierproduttore di aerei

Altre società lavorano all’interno dell’azienda per raccogliere un profilo di rischio di livello aziendale da presentare ai massimi vertici. Garvin, di JetBlue, dichiara: ‘Ciò che tentiamo di fare in JetBlue è preservare la nostra cultura e il nostro business, e ciò riguarda la gestione del rischio.’ Il processo ERM realizzato in JetBlue prevede degli incontri mensili con i principali stakeholder; poi un gruppo di dirigenti più ampio si incontra su base trimestrale. Questo processo porta alla realizzazione di rapporti integrati per il comitato di leadership esecutivo e il Consiglio. ‘Distribuiamo i questionari e intervistiamo tutti quelli che fanno parte del gruppo,’ dichiara. ‘Chiediamo loro quali sono gli obiettivi, quali non lo sono più e quali potrebbero diventarlo in futuro. In questo modo ognuno può esprimere il proprio parere personale a riguardo. Questo consente di eliminare i silos perché il gruppo include un numero sufficiente di VP e direttori.’

Figure 2: Livello di coinvolgimento nella strategia di business resilience (percentuale coinvolta o molto coinvolta nei prossimi tre anni)

Professionisti IT

CIO

Altri dirigenti di alto livello

Dipendenti

Consulenti legali

Membri del C.d.A.

Partner

0% 20% 40% 60% 80% 100%

82%

80%

71%

60%

56%

55%

46%


Il Centers for Disease Control and Prevention (CDC), un’ agenzia federale statunitense con sede ad Atlanta, in Georgia, integra la gestione del rischio a livello aziendale attraverso un Programme Integrity Board, formato dai responsabili di diversi programmi specifici di gestione del rischio. Uno dei suoi membri, la Dr. Barbara Reynolds, Senior Advisor, Risk Communication, è a capo di un programma di gestione del rischio denominato CDC RiskSmart. Ci spiega che la reputazione del CDC è fondamentale, dato che da essa dipende la credibilità di raccomandazioni su questioni di vita o di morte. RiskSmart si rivolge a tutti i membri dell’azienda per influenzare valori e comportamenti che potrebbero potenzialmente mettere a rischio la credibilità del CDC. Fanno parte del Programme Integrity Board anche altri risk manager responsabili di questioni quali la sicurezza dei laboratori, la sicurezza fisica, finanza e IT. ‘L’individuazione del rischio deve avvenire nel momento in cui viene messo in atto il comportamento,’ afferma la Dr. Reynolds. ‘In questo modo il potere e la responsabilità di individuare ogni tipo di rischio toccano tutti i dipendenti dell’azienda.’ Ma considerando la mitigazione a livello aziendale, è possibile condividere le lezioni apprese con una parte dell’azienda. ‘Ci riuniamo ogni mese,’ prosegue, ‘e siamo costantemente alla ricerca di nuovi modi per migliorare i nostri comportamenti, il nostro sapere scientifico, la nostra ricerca, i nostri dati sulla sicurezza, la nostra affidabilità finanziaria; tutti aspetti di uno stesso scenario.’

Centers for Disease Control and Prevention agenzia federale

Chi si assume la responsabilità? Con l’ampliamento del concetto di gestione del rischio, che comprende una gamma più ampia di rischi, la responsabilità si diffonde in tutta l’organizzazione. Il 42% degli intervistati dichiara che la figura più comunemente responsabile è il CIO (o equivalente); mentre il 60% afferma che si tratta di una responsabilità comune di tutti i dirigenti C-level. In particolare, il 90% degli intervistati afferma che i dirigenti C-level condividono questa responsabilità. Queste società dotate di un piano di business resilience affermeranno con maggiore probabilità, rispetto ad altre aziende, di vedere una partecipazione di tutta la società alla gestione del rischio.

In particolare, il 90% degli intervistati afferma che i dirigenti C-level condividono la responsabilità della gestione del rischio.

Una gestione del rischio olistica prevede un cambiamento culturale. ‘La cultura è molto importante in First Horizon,’ afferma Valine. ‘La gestione del rischio è compito di tutti. È una capacità di tipo gestionale, non di un dipartimento o una funzione aziendale. Per gestire i rischi in modo efficace, abbiamo escogitato un modo di pensare che prevede tre domande: ‘Dobbiamo farlo?’ ‘Possiamo farlo?’ ‘L’abbiamo fatto?’ Queste domande ci aiutano a fare la cosa giusta, ad assicurarci di essere in grado di agire e ottenere il risultato di business desiderato. Fattori indispensabili per il successo di una buona gestione del rischio sono imparzialità e trasparenza. Queste domande non otterranno una risposta adeguata se le persone non sono disposte a esprimere se stesse.’

I partecipanti all’indagine confermano che il vasto coinvolgimento di persone all’interno dell’azienda è un trend attuale. Secondo gli intervistati le figure ‘molto coinvolte’ sono: CIO (45%), professionisti IT (41%), altri dirigenti C-level (26%), consulenti legali (21%), membri del C.d.A. (17%), dipendenti (9%) e partner (7%). La tendenza verso una gestione del rischio più olistica si riflette nelle previsioni degli intervistati con un aumento del coinvolgimento di tutti gli stakeholder nei prossimi tre anni e con l’incremento maggiore di partner e dipendenti.


Il ruolo strategico dell’IT Il ruolo della funzione IT si sta ampliando di pari passo con l’avanzare di strategie di gestione del rischio più olistiche. Ciò riflette in parte il fatto che quasi tutti i processi di business mission-critical dipendono dal supporto IT. ‘L’IT è una componente fondamentale della nostra gestione del rischio in quanto oggi niente può essere fatto senza,’ dichiara Wiluan di KS Energy Services Limited. ‘Abbiamo computer hub e sistemi di backup in diversi paesi e reti che devono essere protette. Questi problemi specifici rappresentano una grande parte della gestione del rischio complessiva.’

Contemporaneamente, a causa delle maggiori minacce alle infrastrutture, all’integrità e alla sicurezza dei dati, i ruoli tradizionali dell’IT sono diventati più complessi. Una significativa maggioranza degli intervistati afferma che la sicurezza di dati e applicazioni (85%), la protezione dei dati (79%), la sicurezza delle infrastrutture (77%), la governance della sicurezza (75%), la gestione di identità e accessi (74%) e la gestione della compliance (69%) fanno parte della strategia di gestione del rischio della loro azienda.

Il ruolo dell’IT si sta estendendo anche ad altre aree di rischio aziendale. Più di tre quarti dei partecipanti allo studio ritengono che la funzione IT debba offrire un contributo maggiore alla creazione di un’azienda più resiliente e la maggioranza dichiara che è coinvolta nella maggior parte delle decisioni riguardanti il rischio aziendale. Gavin confessa che l’IT è uno dei tre ‘pilastri’ dell’ERM in JetBlue: ‘Se perdo un processo di business, non mi interessa se la causa è una tormenta di neve, un uragano, un terremoto, uno sciopero, un pezzo di equipaggiamento danneggiato o un incendio, perché lo valuto in un’ottica di continuità di processo, che è uno dei pilastri. L’IT è un pilastro perché i nostri processi di business dipendono dalla tecnologia. Ed essendo una compagnia aerea abbiamo anche un terzo pilastro, che è la risposta alle situazioni di emergenza.’

Ostacoli a un approccio olistico

Ideare una strategia di business resilience è un’impresa complessa, il cui successo dipende dalla capacità di ottenere l’appoggio di vari stakeholder. Un dirigente con un approccio olistico deve assemblare il lavoro di diversi risk manager specializzati, ognuno con competenze, strumenti e particolari punti di vista. Per riunire le risorse necessarie, deve presentare un business case convincente ai dirigenti senior. Per essere efficaci, i messaggi di gestione del rischio devono essere destinati a tutti quelli che potrebbero influenzare il rischio all’interno dell’azienda.

Gli intervistati dichiarano che l’ostacolo principale per la creazione di una cultura di business resilience sono i silos presenti in azienda. Non a caso, questa barriera viene citata con una frequenza doppia dai partecipanti appartenenti ad alcune delle più grosse aziende interpellate. Gli small and nimble innovators citano più di frequente le restrizioni del budget come ostacolo principale, mentre i late bloomers sottolineano una mancanza di visione e impegno da parte dei dirigenti C-level. Anche l’impossibilità di prevedere con precisione il ritorno degli investimenti (ROI) derivante da una migliore gestione del rischio viene citata dalle aziende di tutte le dimensioni come un fattore importante.

Gli intervistati hanno espresso il loro punto di vista su come superare questi ostacoli. Lee Garvin, Direttore, Risk Management di JetBlue, una compagnia aerea con sede a New York, suggerisce che una buona strategia per creare un programma ERM è procedere a ‘piccoli passi’ e coinvolgere un’ampia gamma di interessati per comprendere i diversi rischi all’interno dell’azienda. Sottolinea inoltre la necessità di diffidare dalle deviazioni rispetto allo scopo originario. ‘Restare focalizzati e non andare oltre le proprie capacità, perché è più facile in questo modo affrontare un processo di crescita’

Yousef Valine, Chief Risk Officer di First Horizon National Corporation, una grossa bank holding company con sede in Tennessee, afferma che l’ostacolo più importante è la

‘creazione della corretta cultura’, anche del Chief Executive Officer (CEO) e del Consiglio. ‘La mia motivazione nei loro confronti è che una forte capacità di gestione del rischio è un vantaggio competitivo,’ dichiara. ‘Se il CEO non è sensibile al tema, è sempre possibile coinvolgere gli altri.’



Un altro ruolo emergente per i professionisti IT è la capacità di realizzare soluzioni tecnologiche per problemi di gestione del rischio. Il potenziale utilizzo del cloud computing come strumento di gestione del rischio è un’area di interesse. Nonostante solo il 18% degli intervistati dichiari che la propria azienda vede il cloud computing come un aspetto strategico chiave della gestione del business, si stanno mettendo in campo ingenti risorse per valutarne le potenzialità. Circa un intervistato su cinque afferma che la propria azienda sta prendendo in considerazione il cloud computing. Un ulteriore 28% ritiene che il cloud computing offra promesse per il futuro. Il 22% ammette che non è al momento preso in considerazione dalla società. Solo il 6% è convinto che i metodi tradizionali di erogazione dei servizi IT siano gli strumenti più efficaci per la gestione della business resilience.

I risultati dell’indagine dimostrano che i professionisti IT sono sempre più coinvolti nello sviluppo di una gestione del rischio di livello aziendale. Il 56% circa degli intervistati afferma che all’interno della propria azienda il CIO collabora con i responsabili IT di massimo livello molto più frequentemente rispetto a tre anni fa; solo il 3% dichiara che i manager IT non sono per niente coinvolti.

La tendenza verso un approccio olistico implica che i rischi vengano considerati sempre meno come una questione legata principalmente all’IT. Gli intervistati sono pressoché uniformemente divisi (40% vs. 42%) tra chi è d’accordo e chi è in disaccordo con l’affermazione ‘la business continuity è in primo luogo una questione IT.’ Tuttavia, coloro che affermano che la propria azienda ha adottato una strategia di business resilience integrata hanno meno probabilità di essere d’accordo (33%) rispetto a coloro che non l’hanno adottata (43%). Vi sono inoltre più probabilità, rispetto alle aziende prive di una strategia di business resilience (62-46%), che dichiarino che la funzione IT è coinvolta nella maggior parte delle decisioni che contemplano dei rischi. La funzione IT gioca un ruolo fondamentale, sebbene non esclusivo, nella gestione olistica del rischio. In altre parole, sembra che i confini tra i rischi IT e i rischi aziendali siano diventati più confusi nelle aziende più resilienti.

Figure 3: Componenti IT di gestione aziendale (percentuale su tutti gli intervistati)

Sicurezza di dati e applicazioni

Protezione dei dati

Sicurezza delle infrastrutture

Gestione della compliance

Governance della sicurezza e gestione del rischio

Gestione di identità e accessi

0% 20% 40% 60% 80% 100%

85%

79%

77%

75%

74%

69%

L’impegno da parte dei vertici aziendali e risorse adeguate sono altresì necessari per sviluppare programmi di comunicazione e formazione completi a supporto di una gestione del rischio integrata. Una delle caratteristiche distintive delle società più resilienti è che hanno più probabilità, rispetto alle altre aziende, di aver sviluppato una strategia di comunicazione per diffondere il messaggio di resilienza in ogni reparto dell’azienda.

Le società che abbracciano queste misure hanno più probabilità di creare un piano di business resilience efficace, che fornirà solide fondamenta su cui costruire una posizione concorrenziale di lunga durata, supportata da una gestione del rischio end-to-end (E2E).


Un piano di business resilience efficace fornirà solide fondamenta su cui costruire una posizione concorrenziale di lunga durata, supportata da una gestione del rischio E2E.

Conclusioni Per la maggior parte delle società, la business resilience comporta un cambiamento della cultura dell’azienda in quanto fonte di valori e comportamenti. Se la cultura di una società fonde la consapevolezza dei rischi con altri valori societari, i dipendenti sanno istintivamente qual è la cosa giusta da fare quando si trovano ad affrontare una situazione imprevista e questo riduce i rischi. Secondo la Dr. Reynolds: ‘Per una società tipo, i peggiori passi falsi sono più spesso dovuti ai valori che alle competenze.’ Nominare un team di gestione del rischio di livello aziendale è un buon inizio, ma deve avere un mandato forte per raggiungere ogni angolo dell’azienda, perché la gestione del rischio deve, in ultima istanza, diventare parte del lavoro di tutti.

Comprendere questi principi è un primo passo, ma dalle interviste emerge che per i dirigenti è chiaro che l’appoggio dei vertici è essenziale per promuovere un cambiamento organizzativo di ampio respiro. Anche la promozione dei concetti di gestione olistica ai pari e ai dipendenti è un punto critico. Assumere un approccio graduale a una partecipazione più ampia allo sviluppo della strategia può essere d’aiuto, perché è più facile promuovere il cambiamento se una nuova iniziativa non viene vista come imposta da una particolare fazione.

Si prega di riciclare

© Copyright IBM Corporation 2011

IBM Italia S.p.A. Circonvallazione Idroscalo 20090 Segrate (MI) Italia

Prodotto negli Stati Uniti d’America Settembre 2011

IBM, il logo IBM e ibm.com sono marchi o marchi registrati della International Business Machines Corporation negli Stati Uniti e/o in altri Paesi. Se, la prima volta che compaiono nella presente pubblicazione, questi e altri termini commerciali IBM sono contrassegnati con un simbolo commerciale (® o ™), indicano un marchio registrato negli Stati Uniti o un marchio di fatto di proprietà di IBM all’atto della pubblicazione del presente documento. Tali marchi possono anche essere marchi registrati o marchi di fatto in altri Paesi. L’elenco aggiornato dei marchi IBM è disponibile all’indirizzo web ibm.com/legal/copytrade.shtml, nella sezione ‘Copyright and trademark information’.

I nomi di altre società, prodotti e servizi potrebbero essere marchi registrati o marchi di servizio di altri.

I riferimenti contenuti in questa pubblicazione a prodotti e servizi IBM non implicano che IBM intenda renderli disponibili in tutti i Paesi in cui opera.

Per ulteriori informazioniPer ulteriori informazioni su un approccio olistico alla business resilience e alla gestione del rischio - e su come IBM può aiutarvi a metterlo in pratica - potete contattare il vostro rappresentante IBM, richiedere una visita di un rappresentante IBM, o visitare i seguenti siti web: ibm.com/services/riskstudy

ibm.com/smarterplanet/us/en/business_resilience_ management/overview

RLW03004-ITIT-00

principali trend della business resilience e della gestione del … · principali trend della...

Documents