Quali sono i Key Risk Indicators da utilizzare per gestire il rischio operativo in azienda? La domanda non ha una risposta unica e univoca: il risk management è per definizione una disciplina – o meglio un approccio – che per sua natura le imprese devono adottare in modo dinamico. Il che vuol dire adeguare e aggiornare continuamente i parametri con cui viene letta la realtà per poterne studiare l'evoluzione e, in ultima analisi, provare a prevedere l'impatto di eventi inattesi sui processi e gli effetti conseguenti sui risultati di business. Più facile a dirsi che farsi, se non si dispone di una piattaforma capace di integrare in un unico punto d'attenzione tutti gli elementi che col passare del tempo concorrono alla formazione di una minaccia e, soprattutto, al suo avverarsi. Ma serve anche la giusta metodologia, per affiancare a strumenti di diagnostica basati sulla data analytics anche prassi e conoscenze indispensabili per contestualizzare le informazioni e interpretarle alla luce di nuove variabili di scenario.
La situazione che sta vivendo il nostro Paese (e non solo il nostro) in questo momento rappresenta un importante banco di prova in tal senso. Le aziende devono riuscire ad adattarsi in breve tempo a una condizione temporanea – quella imposta dalla necessità di mantenere il distanziamento sociale per contrastare il contagio da Covid-19 – che implica una serie di rischi inediti da valutare empiricamente con nuovi, specifici Key Risk Indicators. Vediamone un paio a titolo di esempio.
Tutti sanno che per andare in deroga rispetto all'obbligo di lockdown, le aziende italiane devono ricorrere il più possibile al lavoro da remoto, in modo da limitare al massimo gli spostamenti e i contatti reciproci dei collaboratori. L'urgenza con cui la maggior parte delle imprese ha attivato programmi di smart working, spesso improvvisando (ovvero senza affrontare le necessarie fasi di preparazione di reti, hardware e software), ha fatto sì che molti lavoratori siano stati costretti a utilizzare device personali e software non certificati, in qualche caso obsoleti. Il che costituendo una serie di vulnerabilità per l'infrastruttura IT attiva dei Key Risk Indicators di cui le aziende devono tenere conto per valutare i nuovi scenari di rischio. In casi come questo è difficile approntare un decalogo di attività che garantisca al 100% la sicurezza sul piano cyber: anche offrendo ai dipendenti una VPN per collegarsi alle piattaforme aziendali, nel momento in cui questi utilizzano dispositivi personali che a fine lavoro vengono adoperati per il tempo libero ed esposti a connessioni non protette, si delineano minacce completamente diverse da quelle che contraddistinguono l'ordinaria amministrazione. Bisogna quindi saper calare nel nuovo contesto operativo, a seconda del tipo di attività, elementi di considerazione condivisi che aiutino a maturare una visione precisa del perimetro degli asset che l'organizzazione mette a disposizione dei dipendenti, in modo da evidenziare Key Risk Indicators che nel normale contesto aziendale passerebbero in secondo piano.
Cambiando completamente prospettiva e tipologia di rischio, pur rimanendo nel contesto della situazione d'emergenza che sta vivendo l'Italia, realtà come quelle che operano nel mondo bancario devono adottare nuovi Key Risk Indicators per cogliere le potenziali minacce derivate dall'assetto sociale che contraddistinguerà i centri urbani nelle prossime settimane. L'utilizzo generalizzato delle mascherine, la difficile situazione economica e il massiccio impiego delle forze dell'ordine per il controllo dei movimenti della popolazione sono elementi che concatenandosi possono in alcuni casi dare origine ad attività criminogene nelle filiali e presso i bancomat. Controllando gli indicatori che tengono traccia della probabilità che rischi di questo tipo possano concretizzarsi – in relazione anche alla specificità di determinati territori e allo storico delle rapine subite – le banche avrebbero l'opportunità di attivare in tempi rapidi task force mirate per la gestione della situazione o per condurre azioni di contenimento, dall'assunzione di guardie giurate all'allerta degli agenti di pubblica sicurezza.