Resilienza dei business partner

Third party risk management (TPRM): governare i rischi e resilienza dei partner

24 ottobre 2022

di Fabio ACCARDI

Third party risk management (TPRM): governare i rischi relativi ai propri business partner valutando la loro capacità di resilienza.(1)

Premessa

L’evoluzione dei modelli di business è caratterizzata da una tendenza ormai consolidata che vede i fornitori di prodotti e servizi assurgere sempre di più al ruolo di “business partner “ con relazioni che assumono un carattere strategico ai fini del perseguimento delle finalità aziendali. Infatti, il ricorso a partner esterni consente di non irrigidire la struttura dei costi aziendali e di garantire flessibilità alle organizzazioni come necessario prerequisito per affrontare scenari complessi e mutevoli.

Nel settore dei grandi progetti dove ho maturato una lunga parte della mia esperienza professionale, il ricorso a contraenti specialisti con relazioni consolidate e di lungo periodo è condizione per il conseguimento degli obiettivi di costo, tempi e qualità sui quali i general contractor competono nei rispettivi settori. Come docente e formatore ho avuto l’opportunità di confrontarmi anche con altri settori nei quali grandi player internazionali operano in campo logistico, della distribuzione e dei servizi ed ho preso contezza di quanto, ad esempio, le imprese di trasporto divengano essenziali per la conquista di quel “last mile” che ti consente di poter soddisfare le esigenze dei tuoi consumatori.

Naturalmente c’è sempre, anche rispetto alle opportunità che offre l’outsourcing, “un’altra faccia della medaglia” ed attiene alle minacce che incombono nel caso che il nostro partner si imbatta in difficoltà che possano poi evolvere in crisi e dissesti, talvolta non reversibili. Tali evenienze potrebbero avere gravi ripercussioni operative e generare carenze nella nostra performance e quindi sulla nostra reputazione. E ciò senza poter addurre giustificazioni in quanto ai nostri clienti non interessa se inefficienze siano dovute a errori o colpe del fornitore. Anche in termini di compliance, chi risponde di fronte alle legge e al mercato è comunque la nostra organizzazione, colpevole di non aver identificato ed affrontato tempestivamente il problema.

Ne consegue la necessità di anticipare questo tipo di situazioni in modo da non doverne poi subire le conseguenze. Si tratta, per utilizzare un termine ricorrente di questi tempi, di valutare la capacità di resilienza dei soggetti con i quali abbiamo relazioni stabili e durature nel tempo. Questo implica valutazioni che vanno operate la prima volta che “li facciamo salire a bordo” ma anche di monitorare in modo continuativo possibili indicatori di crisi che ci possano fornire segnali di allerta.  Nel seguito cercheremo di comprendere come, ma prima cerchiamo di approfondire cosa si intende per resilienza organizzativa.

Misurare la capacità di resilienza organizzativa: l’approccio di Vogus & Sutcliffe

Rischi complessi ed interrelati che si sono manifestati in passato, perduranti nel presente, hanno evidenziato come la possibilità di attraversare momenti di crisi aziendale possa rappresentare uno scenario possibile per qualsiasi impresa. La prima decade del secondo millennio ha visto soccombere soggetti considerati di primario standing nell’ambito industriale, finanziario e dei servizi per effetto delle gravi crisi che si sono succedute.

È, comunque, evidente che non tutte le organizzazioni hanno risentito nella stessa misura degli effetti negativi degli eventi che si sono verificati. Si può affermare, anzi, che le organizzazioni più resilienti, e quindi con capacità di resistere agli eventi anticipandone le conseguenze, sono sopravvissute con successo, anche rafforzate. In tal senso Vogus & Sutcliffe(2) connotano i lineamenti di una definizione di resilienza organizzativa che riteniamo di grande utilità ai fini di quanto argomentiamo e quindi delle valutazioni che dobbiamo operare sui nostri partner.

In tal senso, “le condizioni sfidanti (challenging conditions)” annoverano per gli autori citati “errori, scandali, crisi e traumi, modifiche radicali (disruptive) delle attività routinarie, come per rischi emergenti stress e sforzi.” Le organizzazioni, quindi, sviluppano capacità di resilienza che si basa su passati insegnamenti ed alimentano le lezioni apprese per orientare i comportamenti futuri.

Affrontare rischi emergenti, non attiene (solo) a disporre di modelli quantitativi che consentono di fare previsioni con un elevato grado di affidabilità. La resilienza riguarda, infatti, secondo gli autori citati, un’abilità dell’organizzazione di rispondere ad eventi inaspettati sviluppando capacità di recupero rispetto agli stessi.

Ciò comporta un atteggiamento flessibile e disponibile a verificare costantemente se l’organizzazione disponga di strumenti in grado di fronteggiare gli imprevisti. Quindi, il modello dei rischi (model of risks) va costantemente aggiornato, in quanto vi è la consapevolezza che le misure di mitigazione potrebbero essere inadeguate o insufficienti. In contrasto, affermano Vogus & Sutcliffe, le organizzazioni fragili (brittle) assumono che l’assenza di fallimenti sia indicatore del fatto che i pericoli non siano presenti e che quindi le contromisure siano adeguate a gestire possibili anomalie.

Di conseguenza le aziende resilienti incoraggiano le persone a non occultare ma a dialogare sulle possibili cause che possono condurre a errori o deviazioni potenziali. Secondo gli autori, in conclusione, le organizzazioni resilienti operano nella convinzione che esse possono migliorare apprendendo da eventi che si sono verificati o si potrebbero verificare (near events).

Come tradurre il concetto in pratica: Third Party Risk Managementprocess and framework

Perché l’impostazione di Vogus & Sutcliffe è utile anche dal punto di vista pratico e non solo astratto? Perché pone in evidenza l’importanza di apprendere anche dalle esperienze negative o insuccessi, non occultandole, ma facendo in modo che le organizzazioni possano trarne lezioni per affrontare sfide future. A parere dello scrivente un adeguato sistema di controllo interno e gestione dei rischi è requisito indispensabile affinché le imprese sviluppino questa capacità. Ne consegue che quando dobbiamo valutare i nostri partner non possiamo limitarci ad esaminare requisiti tecnici o finanziari ma dobbiamo procedere con un esame più approfondito ricorrendo a adeguati modelli di riferimento.

In termini sintetici potremmo individuare tre ambiti specifici di valutazione e che attengono specificamente a:

a) aree di rischio
b) modello di riferimento (fig 1)
c) processo di rifermento (fig 2)

Per aree di rischio intendiamo quelli che ai fini del modello Enterprise Risk Management (ERM) sono da considerare obiettivi che i sistemi di controllo interno e gestione dei rischi dovrebbero definire e che sono riassumibili in:

  • strategici (e reputazionali);
  • operativi in termini di efficiente ed efficace gestione delle risorse;
  • di reporting: affidabilità delle informazioni fornite;
  • di compliance.

In termini di selezione dei partner dovremmo perseguire una valutazione integrata e quindi non limitarci a valutare per i fornitori il prodotto /servizio che ci viene fornito in termini di costo ma tener conto di tutti delle aree di rischio individuate. Senza la pretesa di essere esaustivi, di seguito alcuni quesiti che dovremmo porci per un esame di aspetti rilevanti relativi alla gestione del partner:

  • esiste coerenza tra il profilo del partner ed i nostri obiettivi strategici e politiche di sostenibilità?
  • il partner dispone di un codice etico ed i suoi principi e valori sono allineati ai nostri?;
  • gli assetti di governance e la capacità di indirizzo e monitoraggio sono adeguati?
  • esiste evidenza di problematiche inerenti al partner che attengano a mancato rispetto di leggi, contratti, procedure; Normativa SSL, Ambientale, Giuslavoristica, Proprietà Intellettuale, Privacy; Contenziosi?
  • si ha notizia di: Incidenti, malfunzionamenti, danni o comportamenti non etici delle terze parti; Servizi Scadenti; Inadeguata gestione dei reclami; Pratiche sleali; Furto di dati sensibili o personali; Mancata tutela dei consumatori che possono riguardare il partner?

Queste domande su temi di rischio richiamano conseguentemente riflessioni su presidi di controllo da attivare e quindi sull’adeguato ricorso ad un modello di riferimento (framework) come evidenziato nella figura 1.

Resilienza business partner_1

Figura 1: TPRM Framework – Fonte Paper AIIA

La rappresentazione circolare evidenzia come la gestione di questi temi debba essere operata in un’ottica di miglioramento continuo che prevede focus sui seguenti temi (e conseguenti aree di attenzione):

  • Strategia (allineamento con missione, visione e risk appetite);
  • Governance (Tone at the Top, Oversight, Organizzazione dei ruoli);
  • Policy e procedure (uniformità e standard minimali);
  • Gestione delle risorse (Competenze e valutazione dei risultati);
  • Informazione, Comunicazione, Reporting (Process Automation, KPI, KRI, Dashboard).

Analogamente il processo inerente alla gestione del business partner non deve intendersi come basato su scelte operate una tantum e revisionate per eccezione ma come illustrato nella figura 2, basato su un controllo e monitoraggio continuativo. Quindi, ad una due diligence iniziale che tenga conto di tutti i fattori illustrati a livello di aree di rischio e di modello deve seguire un’attività di presidio operato dagli owner con il supporto delle funzioni di assurance che verifichi in modo continuativo la permanenza dei requisiti richiesti ed in caso contrario consenta immediate ed efficaci azioni correttive.

Resilienza business partner_2

 Figura 2: TPRM Framework – Fonte Paper AIIA

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Questo articolo riprende temi trattati nel testo  Fabio ACCARDI (2021) “Governo e controllo dei rischi -Manuale per scelte consapevoli e sostenibili. Metodologia, casi ed esemplificazioni“; Edizione Franco Angeli

(2)   Vogus T.J.,  & Sutcliffe K.M. (2007)  “Organizational Resilience: Toward a Theory and Research Agenda”; IEEE

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *