Il risk management sta diventando una funzione strategica nelle organizzazioni europee, e nella maggior parte dei casi (84% a livello europeo) i Risk e Insurance Manager riportano direttamente al Board, nella metà dei casi (45%) più volte durante l’anno. A dirlo è la Risk Management Benchmarking Survey 2014 di FERMA (Federation of European Risk Management Associations ) che – giunta alla sua settima edizione – ha raggiunto quest’anno 850 risposte da 21 paesi europei.
Guardando alle priorità per i CRO europei, nel breve periodo queste sono sviluppare l’ambito della Business Continuity, diffondere una cultura del rischio trasversalmente nell’impresa e allineare il Risk Management, tramite una maggiore integrazione di tutte le attività, con la strategia del business. Quali i rischi che tengono svegli la notte i risk manager europei? Per sei di questi la soddisfazione sulle politiche di mitigazione attuate è ancora bassa: rischio politico, di intervento normativo o modifica normativa; di competizione; condizioni dell’economia; legato alla strategia aziendale o alle risorse umane. Livello medio di soddisfazione, e quindi di tranquillità, per aspetti come reputazione e Brand; pianificazione ed esecuzione strategica, situazione finanziaria dell’azienda. Dove invece i Risk Manager vanno sul sicuro sono gli aspetti di qualità dei prodotti/servizi, come design, sicurezza, affidabilità.
La mappatura dei rischi sta diventando uno standard nell’attività dei Risk Officer: 77% degli intervistati la completa, di cui il 55% partendo dal livello corporate per arrivare sino alle singole business unit, mentre per il restante 22% soltanto a livello corporate. L’utilizzo di tool informatici a supporto dell’attività dei risk manager è però ancora limitato (come mostra la figura successiva) segnale di un ambito in cui potrebbero essere raggiunte migliori risultati tramite soluzioni (ad esempio strumenti GRC) ad hoc.
Figura: Ambiti in cui per le attività di risk management si fa uso di strumenti IT/GRC
Fonte: FERMA Benchmarking Survey 2014
Sul fronte delle attività assicurative, l’attività di Insurance Purchasing, che tradizionalmente fa capo all’ambito risk management, è ancora basata su processi tradizionali e non sfrutta a sufficienza le funzioni analitiche oggi disponibili con strumenti IT (solo un 15% degli intervistati utilizza i Big Data messi a disposizione da strumenti Enterprise Risk Management – ERM – a supporto delle scelte assicurative).
Con riferimento poi ai rischi emergenti e in particolare al cyber risk siamo in Europa ancora in una fase iniziale del mercato: il 72% degli intervistati dell’indagine Ferma di quest’anno dichiara infatti di non avere alcuna copertura assicurativa per il rischio Cyber. Abbiamo chiesto a Corrado Zana, Direttore di Marsh Risk Consulting, di darci una sua visione della situazione italiana. “Mentre il tema della Business Continuity ha raggiunto una discreta maturità, soprattutto nelle aziende di media e grande dimensione, il tema del rischio cyber è stato finora visto come un ambito in gestione all’area IT e sconta un grave gap culturale – ha spiegato Corrado Zana. Per la salvaguardia dei dati le aziende si sono mosse tradizionalmente con piani di Disaster Recovery, che però non funzionano in caso di attacco cyber, che essendo logico e non fisico può colpire contemporaneamente tutti i siti”.
Oggi il rischio cyber ha raggiunto elevata rilevanza e la situazione è in forte cambiamento. Negli USA il mercato delle polizze assicurative cyber ha raggiunto in 8 anni un valore superiore al miliardo di dollari. In Europa sono più avanti paesi come Francia, UK, Olanda e Germania. Qual è la situazione in Italia? “Siamo decisamente indietro – ha commentato Corrado Zana. Esiste un’offerta, portata avanti dai principali operatori assicurativi, ma una polizza di questo tipo è ancora molto complessa. Innanzitutto va costruita intorno al cliente, tramite un assessment per capire qual è la copertura ottimale e dove l’azienda è maggiormente esposta. Bisogna simulare l’esposizione dell’azienda, basandosi su statistiche internazionali, e valutare il possibile impatto economico”. Quali i settori più esposti? “Guardando anche alle esperienze internazionali, sicuramente i fornitori di servizi IT e TLC, che gestiscono molti dati di terzi e già oggi sono soggetti a requisiti di Data Breach Notification – ha aggiunto Corrado Zana. Inoltre, un fronte su cui si sta focalizzando sempre più l’attenzione è quello delle infrastrutture critiche, quindi operatori del mondo energy, trasporti, finanza”.
Anche secondo Allianz la situazione italiana è oggi particolarmente critica. L’Assicurazione tra l’altro ha lanciato di recente sul mercato italiano la polizza “Allianz Cyber Protect”, declinata in 3 versioni (Base, Premium con rafforzamento in caso di interruzione delle attività e Plus, realizzata su misura), con una copertura raddoppiata fino a 100 milioni di euro e una serie di protezioni – dalle perdite di introiti derivanti da malfunzionamenti legati ad un cyber attacco, alla responsabilità civile dell’azienda assicurata nei confronti dei propri clienti (in seguito ad attacchi di hacker o ad un attacco DoS, denial of service), a coperture relative a violazione di dati e pirateria informatica, fino agli oneri legati alla comunicazione di crisi nel caso sia necessario tutelare la reputazione dell’azienda.
“Nonostante il crescente interesse verso gli strumenti di rilevamento delle anomalie e di incident response, la situazione delle società italiane dal punto di vista della sicurezza informatica risulta piuttosto arretrata rispetto al resto dei Paesi Occidentali – commenta Giorgio Bidoli, Country Manager presso Allianz Global Corporate & Specialty SE – A essere più vulnerabili sono spesso le strutture medio piccole che non investono particolarmente in sicurezza informatica e che possono diventare i target preferiti dei cyber criminali. I sistemi delle PMI possono così diventare porte di ingresso agli ambienti più sicuri delle grandi aziende con le quali sono in rapporti di affari”.
Quali sono gli elementi che frenano una cultura di Risk Management anche per la componente tecnologica e in particolare i rischi legati alla Cybersecurity? “Anche a causa della difficile congiuntura economica, nel trade off tra necessità di business e requisiti di sicurezza, questi ultimi finiscono per essere messi da parte, incrementando la percentuale di attacchi che riescono ad andare a segno – aggiunge Giorgio Bidoli. Inoltre, alla velocità di diffusione delle nuove tecnologie informatiche non corrisponde la parallela adozione di misure di sicurezza adeguate (culturali, organizzative e tecnologiche) e le protezioni tradizionali (antivirus, firewall) non sono più sufficienti per bloccare le minacce, che sono sempre più sofisticate e sfuggono alla maggior parte dei sistemi di controllo. Il livello di consapevolezza di quelle che sono le esposizioni dell’azienda, sia a livelli operativi che di Top management, risulta essere un elemento frenante nella gestione di questo rischio, come dimostrato dall’elevata incidenza di negligenza ed errori umani nei casi di perdita di informazioni sensibili, oltre che dalla mancanza di una struttura dedicata alla gestione dell’Information Security o dall’assenza di un adeguato piano di gestione degli incidenti cyber per il corretto ripristino dei dati e dell’operatività aziendale”.
Elena Vaciago
