Sicurezza aziendale: geopolitica e intelligence a supporto del ciclo attivo e passivo nella definizione di un’analisi di risk management

Partendo da una visione complessiva che vede l’intelligence inserirsi perfettamente all’interno dei processi decisionali aziendali – e perciò declinabile come metodologia generale che trova una sua naturale collocazione tra le varie fasi di tali processi – anche l’elemento geopolitico assume una rilevanza strategica di prim’ordine e concorre pienamente a supportare lo sviluppo di un percorso di selezione delle informazioni, di un processo di analisi e di un processo decisionale propri del ciclo dell’intelligence.

In un contesto globalizzato dove le aziende operano e si confrontano con competitor internazionali, soprattutto le dinamiche geopolitiche rappresentano una delle variabili che maggiormente determina il successo o l’insuccesso del business, oltre che la sua sicurezza. Tali dinamiche sono a loro volta caratterizzate da elementi geografici che nel loro insieme condizionano le scelte degli Stati e, a cascata, coinvolgono persone e società che in questi scenari sono attori non secondari. Volendo scomodare Jared Diamond e quanto scrisse a fine anni ’90 nel suo “Armi, acciaio e malattie. Breve storia del mondo negli ultimi tredicimila anni”, tutte le attività umane che hanno forgiato la storia sono state rese possibili dalla geografia e dall’ecologia, dando dei vantaggi ad alcuni popoli rispetto ad altri; più in generale la geografia non solo le ha rese possibili ma soprattutto le ha condizionate, decidendo i destini dei popoli.

Conclusa questa prima parte introduttiva sulla geografia – dove abbiamo descritto l’effetto deterministico del terreno nel rapporto uomo/territorio – e venendo a una definizione generale di geopolitica, possiamo prendere a modello quella presentata dall’enciclopedia online Treccani, dove essa viene descritta come “il complesso di problemi politici che traggono origine da fatti d’ordine territoriale, specie quando si consideri lo Stato come un organismo che nasce, si sviluppa e decade, e che, al pari degli esseri viventi, ha bisogno di uno spazio vitale”. Secondo questa definizione, la geopolitica è una disciplina che connette l’elemento geografico all’evoluzione delle scelte politiche di uno Stato, che necessariamente influiscono, a vari livelli, sull’agire dei diversi soggetti che operano soprattutto in contesti globali. Soggetti che, come le aziende, escono dai confini degli Stati nei quali hanno sede o sono comunque fortemente condizionati da eventi extra nazionali; i quali, solo a una prima analisi alquanto superficiale, sembrano riguardarle in parte. Lo studio e la comprensione dei fenomeni geopolitici diventa perciò un metodo fondamentale per le aziende per orientarsi nel mondo, comprendendo e anticipando le conseguenze dei comportamenti politici che hanno effetti sulle loro attività, sia a livello macro che a livello più circoscritto. La geopolitica va quindi ascritta tra gli strumenti di analisi che possiamo ritrovare all’interno del bagaglio metodologico che è proprio dell’intelligence, uno strumento che ne affina ulteriormente le capacità previsionali riducendo, per quanto possibile, quel grado di incertezza (e di rischio!) che pur sempre le organizzazioni devono affrontare nella loro quotidianità operativa.

Ma in che termini la geopolitica può influenzare il business e i rischi connessi? Per rispondere possiamo partire prendendo in considerazione i due
estremi di un’organizzazione aziendale, ovvero il ciclo attivo e il ciclo passivo. Infatti, nella definizione delle strategie aziendali legate alla parte delle
vendite (ciclo attivo) e a quella degli approvvigionamenti (ciclo passivo), l’elemento geopolitico diventa determinante per definire delle strategie di business e valutarne una parte dei rischi, all’interno di quello che abbiamo definito il ciclo di intelligence aziendale, al fine di ridurre al minimo gli
effetti negativi di fattori esogeni. Infatti l’uso stesso delle mappe, caratteristica propria della geopolitica, contribuisce solo in parte a spiegare e ad anticipare gli eventi che portano a dei cambiamenti nei rapporti tra gli attori statuali. Questo processo analitico, con una buona approssimazione, ci permette di fotografare gli interessi delle comunità quando queste si muovono all’interno di un territorio finito e, conseguentemente, ci aiuta a comprendere l’intersecarsi degli interessi dei popoli con quelli dei loro vicini (relazione territorio/uomo), necessitando però di un maggior approfondimento analitico.

A livello aziendale, entrando nell’ambito della business intelligence (organizzazione interna del lavoro, quindi ciclo passivo) e della competitive intelligence (analisi per il ciclo attivo), lo studio dell’evolversi dei rapporti uomo/territorio sopra descritti può sostenere solo una parte del processo decisionale, agendo però sulla base di valutazioni fatte con metodo scientifico. La geopolitica assume perciò un ruolo determinante ai fini di una evoluzione integrata del concetto stesso di intelligence economica, diventando in ultima analisi uno strumento (non l’unico ovviamente) di valutazione degli eventi comuni, sia per gli Stati che per le aziende. In questi termini, con un approccio di insieme molto più simile e complementare nell’elaborare la comprensione dei rischi e delle opportunità, entrambe le entità possono muoversi con una condivisione di obiettivi maggiore, e quindi indirizzarsi verso quello che possiamo definire il “sistema Paese”. Una geopolitica che contribuisce significativamente alla fase in cui si vede Stato e aziende “fare sistema”, poiché pone le basi per un metodo di analisi condiviso, accomunando di conseguenza entrambi nella medesima percezione di quelli che sono gli interessi per la propria sopravvivenza.

Entrando maggiormente in dettaglio circa gli effetti che gli eventi geopolitici producono sulle aziende, si rende necessaria l’esigenza di attingere al bagaglio delle esperienze, abbandonando per un attimo quello legato alla teoria geopolitica. In questi termini possiamo facilmente calarci nella contemporaneità, prendendo ad esempio gli eventi (attuali per chi scrive) che stanno condizionando il biennio 2022/2023 e che condizioneranno per molti anni gli equilibri tra Stati, imponendo anche alle aziende un cambiamento epocale nel modo stesso di fare business. Laddove vediamo una geopolitica essere il punto di incontro tra la storia, la geografia (territorio e risorse) e la strategia (intesa come volontà e relativo piano di azione per raggiungere degli obiettivi), ecco che la guerra in Ucraina, stravolgendo questi elementi, assume per le aziende il significato di un cambiamento geopolitico epocale che condizionerà la loro stessa esistenza, al pari di altri eventi chiave che hanno segnato le prime due decadi del XXI secolo, se non con un impatto ancora maggiore.

LA GEOPOLITICA A SUPPORTO DEL RISK MANAGEMENT

Ma in che misura le aziende possono difendersi per ridurre al minimo gli effetti di situazioni di questa natura? Esistono delle prassi che possono supportare le organizzazioni nella tutela del ciclo attivo e di quello passivo?

Una risposta a questa domanda potrebbe prendere forma partendo da una analisi di risk management aziendale “arricchita” con elementi di analisi geopolitica, utili per meglio comprendere i rischi ai quali le aziende vanno incontro. Partendo da uno schema classico di risk management, come prima cosa identifichiamo subito la necessità di strutturare tutte le nostre argomentazioni ponendoci come obiettivo l’inserimento dei sopra citati elementi di analisi in ogni fase che caratterizza il processo di gestione del rischio e di tutte le relative sottocategorie. Fatte queste considerazioni, lo schema generale dovrebbe assumere i seguenti connotati:

FASE 1

Identificazione del rischio:

  • Categoria
  • Processo/aspetto
  • Evento potenziale
  • Potenziali cause
  • Valutazione dell’impatto dell’evento (danni).
FASE 2

Risk assessment:

  • Analisi del rischio inerente (rischio intrinseco)
    – Probabilità del rischio
    – Impatto
    – Risk rating (matrice rischio)
  • Control assessment (controllo attuale/situazione esistente/azioni in essere)
  • Analisi del rischio residuo
    – Probabilità del rischio
    – Impatto
    – Risk rating (definizione delle priorità).
FASE 3

Trattamento del rischio:

  • Opzione trattamento
  • Piano d’azione
  • Riferimento/piano obiettivi
  • Responsabile dell’attività
  • Scadenza/Deadline.
FASE 4

Monitoraggio e riesame del rischio:

  • Individuazione/Scelta dei metodi di monitoraggio/revisione
  • Registrazione del progresso e conformità
  • Stato
  • Valutazione dell’efficacia ed eventuali note.

Fase 1. Nella parte di identificazione del rischio, limitatamente ai cicli attivo/passivo come da premessa iniziale, possiamo individuare le categorie business per la parte commerciale (ciclo attivo) e la categoria business continuity per la parte approvvigionamenti (ciclo passivo). Circa l’indicazione dell’evento potenziale, quindi il rischio, volendo distinguere i due cicli possiamo far emergere una serie di rischi comuni ad entrambi e altri specifici per l’uno o l’altro ciclo.

Già in questa prima fase la geopolitica ci viene in aiuto, dando modo di identificare anche rischi che un’analisi meno attenta avrebbe tralasciato.

Nello specifico, prendendo ad esempio un’azienda manifatturiera, la geopolitica perde il suo valore determinativo (quello che genericamente viene chiamato “rischio geopolitico”) per assumere invece un valore esplicativo, contribuendo perciò alla definizione stessa dei rischi in base a valutazioni che si basano sull’analisi geopolitica degli eventi passati, di quelli attuali e di quelli potenzialmente verificabili. Per le aziende del comparto OT/IT, dove il fattore tempo ha maggiore rilevanza rispetto ad altri settori per quanto riguarda l’evoluzione tecnologica, il contributo della geopolitica assume un ruolo se vogliamo ancor maggiore in termini di supporto alle analisi. Alla luce di ciò, la suddivisione in cicli si delinea quindi nel modo seguente:

Rischi afferenti il ciclo attivo (es. cliente o distributore): rischio paese (stabilità politica), rischio esposizione finanziaria, rischio tasso cambio valuta (se contratto non in Euro o Dollari), rischio indiretto su tasso di cambio (importatore costretto a interrompere il rapporto causa svalutazione della moneta nazionale), rischio interruzione flussi finanziari che alimentano la commessa/produzione (costi iniziali commerciali, amministrativi e di progettazione, poi per impegno risorse per acquisto materiali, soprattutto se lavorazione su commessa: elevato livello di customizzazione del prodotto che riduce la capacità di virare un prodotto da un cliente ad un altro), rischio domanda variabile, rischio concorrenza, rischio introduzione nuova tecnologia, rischi legali, rischio regolamenti più restrittivi, rischio trasporti, rischio aumento costi (materie prime, logistica, energia), rischi IT e sicurezza informatica, rischi obsolescenza tecnologica (soprattutto OT/IT), rischi legati alla sicurezza del personale in loco (installatori se parliamo di ordini a commessa – travel security), rischio terrorismo, rischio catastrofi naturali, rischio pandemie e rischi politici generali (che amplificano i rischi precedenti).

Rischi afferenti il ciclo passivo (es. fornitore): rischio paese (stabilità politica), rischio esposizione finanziaria, rischio tasso cambio valuta (se contratto non in Euro o Dollari), rischio indiretto su tasso di cambio (fornitore costretto ad interrompere il rapporto causa svalutazione della moneta nazionale), rischi qualitativi sul prodotto (soprattutto in presenza di scarsa automazione e di un mercato del lavoro dinamico che crea una potenziale perdita frequente di personale qualificato in attività a scarso valore di automazione), rischio interruzione della catena di fornitura (interruzione della catena produttiva, anche subfornitori), rischi legali, rischio regolamenti più restrittivi, rischio trasporti, rischio aumento costi (materie prime, logistica, energia), rischi IT e sicurezza informatica, rischi obsolescenza tecnologica (soprattutto OT/IT nella supply chain), rischio terrorismo, rischio catastrofi naturali, rischio pandemie, rischi politici generali (che amplificano i rischi precedenti).
Sempre nella fase 1, una volta individuato il rischio, il risk management prevede un successivo passaggio che porta all’individuazione delle potenziali cause del rischio. In questa fase l’analisi geopolitica permette di scandagliare in maniera più approfondita i vari elementi che determinano o meno il verificarsi di un dato evento. A conclusione della prima fase, il successivo passaggio è rappresentato dalla valutazione dei principali impatti dell’evento di rischio che va poi ad introdurre la seconda fase: il risk assessment.

Fase 2. Nella parte di risk assessment il primo passaggio operativo è dato dall’analisi del rischio inerente, con relativa identificazione di 3 parametri, di cui il terzo è la risultante dell’interazione dei primi due:

Probabilità

Impatto

Risk rating (matrice rischio scala 1-25)

Il successivo passaggio della fase 2 è rappresentato dal control assessment, ovvero la verifica delle azioni che l’azienda ha posto in essere relativamente alla presa in carico dei rischi individuati (fotografia di come viene trattato il rischio). Il successivo passaggio, l’analisi del rischio residuo, rielabora i parametri di rischio inerente (possibilità, impatto e risk rating) alla luce dell’impatto che tali azioni producono, mitigandone gli effetti. I risultati di questo processo portano alla classificazione di un dato rischio riconducendolo al contesto aziendale che, nel nostro caso, circoscriviamo al ciclo passivo e al ciclo attivo dell’azienda.

Conclusa la seconda fase, con la fase 3 si passa allo step successivo della nostra analisi di risk management: il trattamento del rischio. La prima azione di questo processo è indicata come opzione trattamento, ovvero la valutazione di come procedere nel trattare il rischio residuo risultante del risk assessment, che possiamo così riassumere:

  • evitare/eliminare;
  • ridurre;
  • condividere;
  • trasferire;
  • accettare.

Soprattutto con riferimento alle prime 4 opzioni, il passaggio successivo è quello che descrive il piano d’azione eventuale. In tale fase può essere associata un’attività di miglioramento che, ove richiesta, si pone l’obiettivo di implementare la gestione del rischio residuo e di ridurne ulteriormente gli effetti negativi sul business. Nella fase 3 vengono anche individuati dei referenti interni dei piani d’azione e definita una timeline per la loro esecuzione.

Un ultimo passaggio – la fase 4 dello schema proposto sopra – riguarda la fase di monitoraggio e riesame del rischio e rappresenta in un certo senso la fase più delicata del risk management. Vista la dinamicità degli eventi esterni, è proprio in questa fase che la geopolitica entra nuovamente in gioco, in quanto rappresenta lo strumento di analisi che meglio si adatta al mutare di questi. Infatti, un’analisi geopolitica mirata ha la capacità di comprendere la dinamicità degli eventi esterni e di contribuire a ridurne gli effetti negativi, supportando una corretta gestione del rischio nella fase di monitoraggio.

LA GEOPOLITICA A SUPPORTO DEL RISK MANAGEMENT

A conclusione di questa breve descrizione del risk management, viene ora da chiedersi in che modo l’analisi geopolitica può essere utile per sostenere le attività di una azienda, diventando quindi strumento indispensabile all’interno del ciclo di intelligence aziendale. Anche in questo caso è necessario ricorrere al piano dell’esperienza, descrivendo in breve quelle che possono essere delle situazioni tipo.

Con riferimento alla guerra russo-ucraina, se facessimo un passo indietro rispetto alla data di inizio delle ostilità, con l’invasione russa ai danni dell’Ucraina del 24 febbraio 2022 (quindi il periodo a cavallo tra la fine del 2021 e l’inizio del 2022), possiamo ritenere che allora fosse possibile ipotizzare l’inizio di un conflitto armato? Ovvero: riferendoci sempre all’ambito di ciclo attivo e passivo, un’azienda con delle attività in territorio ucraino o in quello russo (o in entrambi), nel periodo antecedente l’inizio della guerra possedeva degli elementi validi per poter valutare il rischio inerente, il rischio residuo, ma soprattutto avviare una fase di monitoraggio e riesame del rischio, se già operativi in quell’area?

La risposta a questa domanda si può individuare soprattutto partendo dalla fase 4 di monitoraggio e riesame del rischio. Infatti gli eventi del periodo preso in considerazione potevano sicuramente rientrare nell’ambito della fase 2, limitatamente alla valutazione del rischio inerente (ad esempio il “rischio paese” generico) e del rischio residuo (“che effetti avrebbe sulla mia attività?”) anche senza dover ricorrere ad un’approfondita analisi geopolitica. Al contrario, nel caso del monitoraggio e riesame del rischio (fase 4), una simile analisi si sarebbe resa necessaria per sviluppare un corretto risk assessment che tenesse conto dell’evolversi della situazione. A sostegno di questa tesi si potrebbe portare ad esempio un tipico caso di azienda manifatturiera chiamata a realizzare un impianto “chiavi in mano”. Nel monitoraggio costante del rischio, l’analisi geopolitica può assumere una valenza importante per aiutare il management aziendale nella gestione del progetto e anche a definire un’eventuale exit strategy che possa limitare al minimo gli effetti di un rischio imminente (soprattutto se già presenti sul territorio con attività in fase di avanzamento). Se volessimo prendere in esame il rischio di interruzione dei flussi finanziari, partendo dal fatto che l’esecuzione di un progetto chiavi in mano per la fornitura di impianti prevede degli stati di avanzamento, anche per la parte relativa ai pagamenti si deve considerare che una struttura-tipo di contratto disciplina diversi passaggi. Un caso tipico è quello che prevede, ad esempio, il pagamento del 10% alla firma del contratto, un ulteriore 20% all’approvazione progetto, un 60% al FAT (Factory Assembling Test) e infine un 10% al SAT (Site Assembling Test). Indipendentemente dal tipo di copertura finanziaria (L/C, garanzia bancaria o assicurazione del credito, solo per citarne alcune), l’azienda che realizza il progetto si assume comunque numerosi rischi – approvvigionarsi dei materiali, impegnare risorse umane, progettare ed eseguire degli impianti (con un elevato livello di customizzazione, perciò non facilmente rivendibili ad altri soggetti in caso di interruzione del rapporto con il cliente), condividere know-how tecnico – per i quali è previsto il pagamento solo al completamento dell’attività.

In uno scenario simile, la fase di realizzazione degli impianti risulta essere quella a più alto tasso di rischio, essendo la più onerosa in termini di investimento per chi produce: si acquistano i materiali, si entra in fase di esecuzione e realizzazione degli impianti e ci si prepara per i FAT. Nell’ipotesi in cui dovesse saltare il collaudo finale l’azienda si troverebbe in uno scenario di:

  • esposizione finanziaria verso fornitori (ed esposizione interne legata al costo sostenuto per finanziare l’attività svolta dei propri dipendenti)
  • interruzione dei flussi finanziari (mancato incasso dell’attività svolta).

Nel contesto della guerra in Ucraina, pur trovandoci in un caso di forza maggiore solitamente previsto nelle clausole dei contratti, un evento geopolitico di questa portata ha un tale impatto che solo una valutazione sostenuta da competenze geopolitiche avrebbe potuto ridurne gli effetti. Infatti, con l’evolversi dello scenario di crisi a fine 2021, un’azienda coinvolta in quel mercato (o anche in quello russo, considerando le possibili sanzioni in risposta a una potenziale invasione) avrebbe potuto gestire il rischio con un certo anticipo rispetto all’inizio del conflitto, se sostenuta da una puntuale analisi geopolitica. Agendo sul monitoraggio e riesame del rischio (fase 4 del processo di risk management), se si fosse ritenuto il rischio come “molto alto” nella scala di rating (impatto “catastrofico”, probabilità “quasi certa”) già a partire da fine 2021, i mesi antecedenti all’inizio delle ostilità sarebbero serviti per cercare di completare un eventuale stato di avanzamento in corso; oppure per interrompere l’attività prima di iniziarne uno nuovo, mettendo in sicurezza le proprie risorse finanziarie. Specificatamente nel settore OT/IT – soprattutto se riferito al ciclo passivo e ai rischi connessi all’obsolescenza tecnologica nella supply chain – avere un fornitore strategico in un’area caratterizzata da una situazione simile a quella del territorio ucraino di fine 2021 (con l’aggravante del fattore tempo connesso all’evoluzione tecnologica specifica di questo settore) avrebbe richiesto una capacità di analisi più attenta rispetto ad altri settori e, quindi, un ricorso ancora maggiore all’analisi geopolitica nella fase di monitoraggio del rischio.

In conclusione – osservando come le aziende operino in un contesto di globalizzazione, inserite perciò in un processo di interdipendenze economiche, sociali, culturali, politiche e tecnologiche i cui effetti hanno una rilevanza planetaria – dalle valutazioni appena esposte emerge la necessità di acquisire maggiori competenze geopolitiche all’interno delle aziende stesse. In questi termini l’analisi geopolitica si inserisce nel processo decisionale, non solo a supporto del ciclo di intelligence ma anche contribuendo al monitoraggio e al riesame dei rischi nel risk management aziendale: così delineandosi quale strumento indispensabile per valutare con metodo scientifico il continuo mutare delle condizioni in cui le aziende si trovino a operare.

Questo articolo è stato estratto dal white paper “Quaderni di Cyber Intelligence #5” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/quaderni-di-cyber-intelligence-5/

 

 

Articolo a cura di Massimiliano Alzetta

Profilo Autore

Massimiliano Alzetta svolge la funzione di Sales e Marketing Director presso Lamitex S.p.A, azienda attiva nel settore dell’interior design. Precedentemente è stato Vice Sales Director di Maddalena S.p.A. Laureato in Relazioni Internazionali e successivamente in Politica Internazionale e Diplomazia con lode presso l’Università degli Studi di Padova, ha concluso un corso di perfezionamento in Intelligence e sicurezza nazionale presso l’Università degli Studi di Firenze e conseguito un master in Intelligence & ICT con lode presso l’Università degli Studi di Udine. Da sempre attento al mondo dell’intelligence, soprattutto in ambito aziendale, fa parte della SOCINT sin dagli inizi ed è membro della Commissione CTI e Cyber Warfare.

Condividi sui Social Network:

Ultimi Articoli