L’INDAGINE THIRD-PARTY RISK MANAGEMENT DI DELOITTE SU SOSTENIBILITÀ AMBIENTALE E SOCIALE
di Antonio Longo
Seppure l’82% delle imprese ritenga che la propria organizzazione possieda un livello di consapevolezza o attenzione abbastanza o molto alto riguardo le questioni Esg, ossia i temi legati alla sostenibilità ambientale, sociale e di governance, ben il 41% pensa di possedere una scarsa capacità organizzativa per valutare le dimensioni del rischio Esg derivante da fattori esterni all’impresa. Ciò deriva, in particolare, dalla disponibilità o meno dei dati, interni ed esterni, e dalla qualità degli stessi utilizzati per la gestione e la rendicontazione degli Esg. A rilevarlo sono i risultati dell’indagine “Third-Party Risk Management (Tprm)” svolta da Deloitte su un campione di 1309 rispondenti in 38 paesi che ricoprono un ruolo di responsabilità in materia. «Le organizzazioni si stanno rendendo conto che la qualità dei dati interni ed esterni è fondamentale per gestire i rischi Esg legati alla loro impresa» osserva Francesca Tagliapietra, technology, media & telecommunications leader di Deloitte, «risulta, quindi, essenziale sviluppare una maggiore comprensione dei dati necessari, definendo chiaramente come ottenerli da fonti interne ed esterne all’organizzazione. A tal fine, sarebbe utile mappare le varie attività e i processi che coinvolgono le terze parti, valutando al contempo i rischi intrinseci legati alle dimensioni dei rischi Esg, continuando a investire in tecnologie che integrino la raccolta e l’elaborazione di questi dati da fonti interne ed esterne per migliorare il processo decisionale». Dall’indagine emerge che nel post pandemia le priorità saranno quelle di semplificare, standardizzare e integrare le soluzioni tecnologiche per migliorare l’efficienza e ridurre i costi (61%), affrontare le minacce provenienti da nuovi settori di rischio (52%), aumentare il grado di controllo centralizzato sulla gestione delle terze parti (47%). «Non c’è dubbio che il Covid-19 abbia evidenziato i problemi presenti all’interno di molte organizzazioni» prosegue Tagliapietra, «ha portato alla luce i punti deboli delle funzionalità del Tprm e ha generato la necessità di rispondere a delle domande sulla effettiva maturità del sistema. Le soluzioni tecnologiche, le utility e le soluzioni di servizi gestiti, insieme ai rischi nuovi ed emergenti, come l’ambiente, i cambiamenti climatici e i rischi geopolitici, continueranno a evolversi e questi fattori, a loro volta, spingeranno le organizzazioni a rivalutare periodicamente le loro precedenti valutazioni di maturità».
Affrontare i rischi legati all’Esg. In base agli esiti della ricerca, oltre al timore di non poter contare su un’adeguata organizzazione aziendale per valutare il rischio proveniente dall’esterno, il 35% del campione afferma che la definizione delle priorità dei rischi Esg si basa su valutazioni di giudizio, piuttosto che su processi quantitativi formali. Solo il 18%, invece, riferisce di utilizzare metodi di valutazione quantitativa. In tale contesto, solo il 16% afferma che la qualità dei dati interni è alta o molto alta. Quindi, nel report si evidenziano le notevoli preoccupazioni derivanti dalla qualità dei dati, interni ed esterni, utilizzati per la gestione e la rendicontazione degli Esg.
Tale mancanza di fiducia nei dati Esg è alimentata, secondo gli analisti, da due fattori. In primis, l’indisponibilità dei dati, inoltre la mancanza di consapevolezza di quali siano i dati su cui fare affidamento e di come tradurli in informazioni utili all’azione. In generale, il 64% degli intervistati comunica regolarmente le informazioni relative ai rischi Esg internamente per prendere decisioni ed esternamente per rispondere alle aspettative degli stakeholder ma solo il 49% ha messo in atto meccanismi formali per monitorare i cambiamenti interni ed esterni.
In termini di dimensioni specifiche dei rischi Esg, il 69% include l’etica aziendale e il comportamento responsabile, seguiti dalla responsabilità di prodotto (59%) e dai rischi legati al lavoro (59%). I settori di rischio meno frequentemente inclusi sono gli investimenti responsabili (32%), le risorse naturali (35%), il cambiamento climatico (42%), l’opposizione degli stakeholder (43%) e le pari opportunità (43%).
Gestione della resilienza delle terze parti. Nel nuovo scenario post pandemico, le organizzazioni sono chiamate ad affrontare nuovi rischi quali quello geopolitico, geografico o di concentrazione dei fornitori o controlli sulle esportazioni e sanzioni.
In base alle risposte fornite dal campione coinvolto, le valutazioni periodiche dei piani di continuità operativa delle terze parti sono il metodo più diffuso per studiare la resilienza di queste (46%), seguito dall’ottenimento di certificazioni/rapporti di garanzia da parte di fornitori terzi indipendenti (42%) e dalla richiesta di accordi rafforzati con terze parti (41%). Per garantire la resilienza delle terze parti, il 35% utilizza strumenti per monitorare la resilienza e le tendenze in tempo reale, mentre una quota leggermente inferiore (34%) ha dichiarato di utilizzare soluzioni tecnologiche per comprendere meglio l’ecosistema delle relazioni materiali con terze parti. Il 32%, invece, sviluppa strategie di uscita per gli accordi con le terze parti.
Nel report si rileva che il 73% degli intervistati ha un livello di dipendenza moderato o elevato dai cloud service providers e per il futuro si prevede che tale percentuale salirà all’88%, rafforzando la necessità di considerare con particolare attenzione la resilienza legata a tale tipologia di fornitori. In tal senso, il 43% di coloro che dipendono dai Csp preferiscono rivolgersi a un gruppo più ristretto di fornitori, accettando così consapevolmente il relativo rischio di concentrazione. Al contrario, il 30% si rivolge a diversi Csp come strategia di resilienza. «Nonostante la resilienza delle terze parti sia garantita da piani, procedure e conformità e si occupi del recupero delle risorse organizzative in caso di crisi, eventi complessi e più gravi, come la pandemia o la guerra in Ucraina, costringono le organizzazioni a reagire in modo più agile a situazioni sconosciute o difficili» commenta Sebastiano Brusco, partner Deloitte Risk Advisory, «ciò richiede investimenti in soluzioni tecnologiche e strumenti per monitorare la resilienza e le tendenze in tempo reale, come la risk intelligence e il monitoraggio dei media avversi. Inoltre, le organizzazioni devono investire ulteriormente nella copertura dei settori di rischio che hanno un impatto sulla resilienza, tra cui quello informatico, geopolitico e di concentrazione. Ciò include lo sviluppo, il mantenimento e lo stress-test di strategie complete di continuità e di uscita e di piani per accordi materiali con terzi. Dallo studio è emerso che le soluzioni di servizi gestiti di fornitori esterni consentono alle organizzazioni di trarre vantaggio dai cambiamenti che sfidano gli approcci tradizionali. E quindi, soluzioni come le tecnologie cloud, l’automazione dei processi robotici e l’intelligenza artificiale, se ben eseguite, portano a migliorare le prestazioni, la velocità di commercializzazione e l’innovazione».
La gestione integrata. Il 70% del campione ha confermato che la ragione principale che spinge ad adottare un approccio più integrato è il desiderio di aumentare l’efficienza, evitando la duplicazione dei team funzionali e sfruttando le sinergie tra i processi. A seguire, la capacità di soddisfare i requisiti legali, contrattuali e normativi e ridurre i costi. Per le organizzazioni che stanno intraprendendo un percorso per lo sviluppo del Tprm, la necessità di passare a un sistema integrato per la gestione delle terze parti è rispecchiata dall’ampliamento di quest’ultimo alle aree funzionali correlate. Infatti, il 67% dei gruppi Tprm riconoscono che la portata del loro lavoro si sta allargando alle aree funzionali correlate. In particolare, nella gestione dei contratti e delle questioni legali (63%), nella gestione della continuità operativa e della resilienza (51%) e nella gestione delle prestazioni delle terze parti (51%). Il 53% del campione ritiene che il principale ostacolo ad un approccio più integrato sia rappresentato dai sistemi che non si integrano perfettamente tra loro, il 36% pensa che un grado di decentramento molto elevato nella propria organizzazione incoraggi i gruppi funzionali a operare in silos, il 32% reputa che la progettazione dei processi funzionali sia altamente compartimentata e quindi ostacoli il lavoro collaborativo.
Fonte:
