Per un’impresa manifatturiera, saper identificare, misurare e monitorare i rischi significa rafforzare la resilienza della supply chain, contenere gli impatti economici e reputazionali degli incidenti, proteggere dati, processi e continuità operativa. Ne abbiamo parlato con Mario Calcagnini, Head of Advisory and Solutions di Spindox, per capire che cosa il manifatturiero possa apprendere dal mondo dei financial services e quali passi concreti possa compiere, anche in contesti aziendali non grandi, per costruire un approccio più maturo alla gestione del rischio.
Intervista
Partiamo dall’inizio: di cosa si occupa Spindox?
Spindox è una realtà che opera da circa trent’anni nel mondo della tecnologia. Oggi ci definiamo una digital company che ha scelto con decisione di specializzarsi nelle cutting-edge digital solutions, con un approccio verticale e una forte componente consulenziale.
Quando parlo di consulenza, però, non intendo quella tradizionale fatta di strategie astratte o di pacchi di slide. Il nostro slogan è make a mark: lasciare il segno, fare qualcosa di utile per il cliente. Questo significa portare sul mercato non solo competenza tecnologica, ma anche expertise specifica per area, in modo da costruire strumenti e soluzioni davvero utilizzabili.
Nel risk management, così come in altri verticali, non ci limitiamo a recepire i requisiti del cliente come farebbe una software house tradizionale. Li costruiamo insieme, parlando la stessa lingua e condividendo la comprensione del bisogno. È questo che ci permette di trasformare la tecnologia in qualcosa di concreto e di impattante.
Il risk management è un tema molto presente nel banking e nel finance, ma ancora poco diffuso nel manufacturing. Perché?
Le ragioni sono soprattutto di natura normativa. Nel mondo finanziario, a partire già da circa trent’anni fa, la regolamentazione europea ha avuto un ruolo decisivo. Basti pensare a Basilea, che per chi ha lavorato nei financial services rappresenta la pietra miliare nella definizione di framework di risk management strutturati. Da lì il modello si è consolidato prima nelle banche e poi, progressivamente, anche nelle assicurazioni.
All’inizio, come spesso accade quando arriva una nuova regolazione, questi framework sono stati percepiti come un fardello: procedure, processi, sistemi di controllo, quindi apparentemente costi. Con il tempo, però, si è visto che il sistema bancario europeo ha tratto enormi benefici da questa evoluzione. L’adozione di modelli di identificazione, misurazione e monitoraggio del rischio ha aumentato la resilienza del settore e, indirettamente, ha migliorato anche la relazione con il cliente. Un cliente di una banca solida è un cliente più fidelizzato, più tranquillo, più propenso alla continuità del rapporto.
Nel manufacturing questo passaggio non è ancora avvenuto in modo diffuso perché manca un obbligo normativo altrettanto forte. Esistono certamente norme o linee guida che toccano temi trasversali, come la NIS2 sul cyber risk e la cybersecurity, oppure le indicazioni sulla gestione delle terze parti, ma il settore manifatturiero non si trova ancora davanti allo stesso livello di prescrittività che ha caratterizzato il banking. E qui nasce la vera sfida culturale.
Cioè?
Il punto è cambiare prospettiva. Il risk management non dovrebbe essere visto come un fardello normativo, ma come uno strumento di vantaggio competitivo. Il mondo finanziario, proprio perché è stato costretto dalla norma a svilupparlo, ha affinato in trent’anni pratiche molto efficaci. Se queste pratiche vengono adattate con intelligenza al manufacturing, senza trasferirle in modo meccanico, diventano un patrimonio prezioso.
Prevedere un rischio, misurarlo e monitorarlo non significa annullarlo, perché il rischio non si annulla mai. Significa piuttosto demoltiplicarne l’impatto. Vuol dire essere più resilienti. L’evento negativo può comunque verificarsi, ma se l’azienda sa come reagire, se ha piani alternativi, se ha maggiore visibilità sulla supply chain e sa allocare meglio i capitali, allora riesce a garantire continuità ai clienti e a sopravvivere meglio agli shock.
Che cosa può imparare il manufacturing dal mondo del banking?
Non certo una trasposizione rigida dei framework normativi pensati per le banche. Sarebbe un overkill, qualcosa di eccessivo e poco proporzionato. Nel manufacturing, ad esempio, il rischio finanziario non ha il peso e la natura che ha nel banking. Ci sono però molti rischi non finanziari che sono rilevantissimi: il rischio operativo, il rischio legato alle terze parti, il rischio cyber, e oggi anche il rischio AI.
C’è poi un punto comune a tutti i settori: il rischio ICT. Oggi l’infrastruttura tecnologica è parte integrante del business e con essa cresce anche il rischio cyber. L’intelligenza artificiale, da questo punto di vista, ha una doppia natura: può essere un potentissimo strumento di governo, controllo e monitoraggio, ma anche una nuova porta di ingresso per attacchi e vulnerabilità.
Il rischio operativo, poi, è ovunque. Può essere l’errore umano su una macchina, l’incidente di produzione, il blocco della linea causato da un attacco cyber, il furto delle anagrafiche clienti o il data breach che espone progetti riservati affidati da un committente. Tutti questi eventi hanno impatti immediati o differiti sul conto economico: danno diretto, danno reputazionale, fermo operativo, perdita di fiducia del cliente.
Quali leve dovrebbe comprendere un imprenditore per introdurre davvero un framework di risk management?
La prima leva è culturale. Bisogna mutuare dal banking non tanto la rigidità normativa, quanto la cultura del rischio sviluppata in questi decenni. Il rischio non va considerato come qualcosa da subire o da affrontare solo quando si manifesta. Va visto come una componente fisiologica del business, che può essere governata e il cui impatto può essere ridotto.
Da qui deriva la seconda leva: l’approccio pragmatico. Nel manufacturing serve un framework più leggero, più concreto e costruito dal basso. Si parte dall’analisi delle linee produttive, dei processi, dei prodotti, delle filiere. Si identificano i fattori di rischio, se ne stima la frequenza e l’impatto, e si ottiene così una base quantitativa su cui ragionare.
A quel punto si possono decidere le coperture: controlli di processo, polizze assicurative, procedure di monitoraggio, sistemi di escalation, piani alternativi. L’obiettivo non è costruire una cattedrale teorica, ma sapere, nel worst case scenario, quanto posso perdere e su quali fattori di rischio devo concentrare la mia attenzione.
Quindi il rischio va considerato già in fase di progettazione?
Esattamente. Oggi si parla sempre più spesso di risk by design. Invece di aggiungere dopo un sistema di gestione del rischio, si preferisce progettare prodotti, processi, servizi e applicazioni software avendo già in mente il profilo di rischio di quello specifico business.
In fondo l’imprenditore il rischio ce l’ha già nella testa, ma spesso lo vive come una preoccupazione indistinta. Il punto è trasformare quella preoccupazione in una componente strutturata della gestione aziendale. Come si governano il sourcing, le finanze o la produzione, così si deve governare anche il rischio.
Quanto conta il rischio reputazionale in questo scenario?
Conta moltissimo, e oggi più che mai. C’è stato un tempo in cui le aziende cercavano di nascondere gli attacchi cyber per evitare il danno d’immagine. Ma in molti casi il vero problema non è tanto l’incidente in sé, quanto il silenzio con cui viene affrontato.
Ricordo il caso di un’azienda che, appena scoperto l’attacco, organizzò una comunicazione molto trasparente: spiegò cosa stava succedendo, quali misure stava adottando e aggiornò costantemente stakeholder e comunità sui progressi fatti. Quell’episodio è diventato un benchmark di reputational risk management.
Un data breach non è qualcosa di cui vergognarsi in assoluto: può capitare a tutti. Quello che danneggia davvero è l’idea di poterlo risolvere in segreto, sperando che nessuno lo scopra.
Se un imprenditore ha compreso l’importanza del tema, da dove deve iniziare, in concreto?
Il primo passo è molto semplice: guardarsi intorno e identificare i fattori di rischio realmente presenti nella propria realtà. Nel manufacturing la componente principale è quella del rischio non finanziario, quindi bisogna osservare processi, prodotti, sistemi, filiere e dipendenze.
Una volta mappati i rischi, si può guardare allo storico interno: quante volte questo evento è già accaduto in azienda? E poi allargare lo sguardo: quante volte è accaduto in imprese simili o in settori contigui? Quali danni ha prodotto? Anche qui l’intelligenza artificiale può aiutare, perché consente di analizzare un perimetro più ampio, individuando segnali e casi che non emergerebbero guardando solo al proprio comparto.
Poi bisogna incrociare due variabili: frequenza e impatto.
Infine, si passa al mitigation plan. Ogni rischio identificato deve avere una risposta possibile: una polizza, un controllo, una funzione incaricata, una procedura alternativa, un monitoraggio continuo. Senza questa seconda parte, la mappatura del rischio resta sterile.
Nelle PMI del manifatturiero ha senso parlare di una figura dedicata alla gestione del rischio?
Nel banking esiste una figura formalizzata, il Chief Risk Officer, con una struttura sottostante dedicata ai vari rischi. Nel manifatturiero, soprattutto nelle piccole e medie imprese, questo modello non è sempre realistico. Più spesso la responsabilità è condivisa tra imprenditore, amministratore delegato e CFO.
Detto questo, anche nelle PMI il tema è rilevante. Non dipende tanto dal fatturato o dal numero di dipendenti, quanto dalla complessità del contesto in cui l’azienda opera.
Per questo non bisogna innamorarsi dello strumento digitale come fine. Il tool serve solo se la complessità lo richiede. Se i fattori di rischio da governare sono tanti, se la filiera è articolata, se le entità da monitorare sono numerose, allora una piattaforma dedicata può diventare utile. Se invece il contesto è più semplice, si può partire anche in modo manuale, purché con metodo.
Quali strumenti, quindi, possono essere davvero utili?
Si può partire con strumenti molto concreti: analisi interna dei processi, questionari al management che presidia quotidianamente le aree aziendali, raccolta di dati su eventi passati, osservazione di ciò che avviene all’esterno tramite strumenti di monitoraggio e web scraping.
Su questa base si stima la frequenza dei rischi e il loro possibile impatto. Solo dopo si decide se serve una piattaforma tecnologica specifica. Il percorso corretto è questo: prima comprendo la mia realtà, poi valuto la complessità da gestire, infine scelgo lo strumento. Non il contrario.
Se dovessi chiudere con alcune parole chiave, quali sarebbero le colonne portanti del risk management nel manufacturing?
La prima è sicuramente vantaggio competitivo. Bisogna smettere di vedere il risk management come un costo o come un esercizio difensivo: è una leva per governare meglio l’impresa.
La seconda è resilienza. Non si tratta di evitare ogni incidente, cosa praticamente impossibile, ma di ridurne il più possibile l’impatto economico, operativo, finanziario e reputazionale.
La terza è cyber risk, che oggi comprende anche il tema dell’intelligenza artificiale. L’AI è insieme opportunità e rischio, e tutte le aziende dovranno affrontarne il governo con crescente attenzione.
La quarta è gestione delle terze parti. Scegliere e monitorare bene fornitori e partner è fondamentale, perché un fornitore critico può diventare l’anello debole dell’intera catena.
Infine, c’è la reputazione. In un mondo superconnesso, dove social media e informazione viaggiano alla velocità della luce, ciò che accade a un’azienda diventa immediatamente visibile. Anche per questo il risk management è oggi una delle leve più importanti per il governo del business.