MILANO – Deloitte presenta i risultati della 5° edizione del rapporto “Third-Party Risk Management”, da cui emerge come la maggioranza delle aziende italiane e globali si sia trovata impreparata, di fronte allo shock esogeno dell’emergenza sanitaria Covid-19, nella gestione dei rischi connessi a terze parti, nonostante la crescente dipendenza proprio da partner esterni per quanto che riguarda supply chain, servizi di assistenza, vendite e distribuzione.
La survey di Deloitte, condotta su un campione di 1.145 rispondenti – CFO, responsabili degli acquisti, CRO (Chief Risk Officer), Head of Internal Audit, responsabili dell’IT Risk Management e della compliance – di aziende da 20 Paesi nel mondo, mette però in luce un crescente interesse da parte delle imprese nella gestione dei rischi estesi a tutte le relazioni con le terze parti. Un trend ovviamente accelerato dai nuovi scenari ridefiniti dalla pandemia globale, che ha messo in luce le criticità e vulnerabilità connesse alla dipendenza da altri attori di mercato.
Francesca Tagliapietra, Partner di Deloitte all’interno della Service Area Risk Advisory, ha commentato: “La crisi indotta dalla pandemia Covid-19 ha reso più attuale che mai la necessità di presidiare le attività e i sistemi di risk management, ripensando le strategie alla luce del nuovo contesto. La survey condotta da Deloitte a livello globale evidenzia, infatti, che le imprese non stanno investendo sufficientemente nella gestione dei molteplici rischi connessi a terze parti, nonostante gli incidenti e i danni aziendali sia in costante aumento.”
In sintesi, l’edizione 2020 dello studio Deloitte analizza i principali risultati emersi dalla ricerca sulla base di sei principali aree tematiche:
1. Il costo del fallimento di sub-fornitori o terze parti. A livello globale, il 50% dei rispondenti ritiene che l’impatto finanziario del fallimento di partner esterni strategici sia raddoppiato negli ultimi cinque anni, mentre il 20% ritiene che sia addirittura decuplicato. Non è casuale che rispetto agli anni precedenti le imprese rivelino una crescente preoccupazione circa la dipendenza e la vulnerabilità verso terze parti. Le aziende italiane si rivelano però mediamente più preparate nella prevenzione dei rischi: rispetto al dato internazionale (17%), solamente 1 su 10 dichiara di aver subito un incidente connesso a terze parti con un impatto grave/elevato sul business (customer service, perdita finanziaria, danno reputazionale, violazione di regolamenti, ecc.)
2. L’equilibrio fra responsabilità e costi. Il desiderio di essere un’impresa responsabile rientra per la prima volta fra i top driver degli investimenti in TPRM: la pensa così il 43% degli intervistati. Il trend risulta ancor più accentuato fra i rispondenti italiani (60%), posizionando la responsabilità d’impresa al primo posto come driver più influente. Al tempo stesso, la pressione dei costi impone vincoli di budget, che in molti casi non può essere allocato su tutte le relazioni con terze parti. A livello internazionale, gli investimenti sono destinati in modo prioritario alla sicurezza informatica (65% | ITA: 76%), cyber-risk (60% | ITA: 72%) e data privacy (60% | ITA: 76%). Emerge così un evidente rischio di sotto-investimenti in altre aree di stretta attualità (es. cambiamenti climatici, supply-chain, salute, ecc.). Più di un’impresa su due (58% | ITA: 53%) ritiene infatti che il budget disponibile per gli investimenti in TPRM sia in adeguato. Le aziende italiane si distinguono però per una maggiore propensione ad investire anche sui rischi legati a salute e sicurezza (76% vs. 57% del dato Global) e sull’anticorruzione (72% vs. 55%).
3. La crescente pressione normativa. La necessità di delineare strategie di TPRM è imposta anche da un framework regolatore sempre più articolato. Quasi la metà (45%) dichiara di aver sensibilmente aumentato gli investimenti proprio a causa dei vincoli normativi. Le imprese che non sono in grado di investire e mantenere il passo con l’evoluzione del contesto normativo scontano invece uno svantaggio competitivo sempre più significativo. Le aree che richiedono maggiori potenziamenti sono: i sistemi di reporting e rilevamento delle informazioni in tempo reale (68%, con un dato ancora più marcato per l’Italia: 83%), i tool e le soluzioni tecnologiche per la gestione delle terze parti (63%), la governance e la supervisione generale da parte della leadership aziendale (61%). Un altro aspetto rilevante è che la maggior parte dei rispondenti (59%) ritiene che le proprie procedure TPRM non siano sufficientemente flessibili per monitorare adeguatamente le terze parti di dimensioni più ridotte (come start-up, fornitori individuali, forza lavoro occasionale, ecc.). Un tema ancora più accentuate per le imprese italiane (80%).
4. La vision connessa alla trasformazione aziendale. Le imprese stanno sviluppando vision estese ai prossimi 2-3 anni per l’evoluzione verso un modello più maturo di TPRM. Un ruolo determinante è svolto dall’adozione di tecnologie avanzate (es. intelligenza artificiale) e repository di BI centralizzate, nell’ottica di sviluppare una gestione olistica anziché settoriale nella gestione delle relazioni con terze parti. Ma ad oggi meno di un terzo (28%) è soddisfatto del livello delle proprie tecnologie. In particolare, la principale preoccupazione in ambito tecnologico riguarda le possibilità di integrazione fra i diversi sistemi di TPRM (61%), con un dato ancora più marcato per l’Italia (70%).
5. L’utilizzo di supporto e assistenza esterna. Un numero crescente di imprese sta facendo leva sul supporto esterno per migliorare e potenziare le proprie strategie di TPRM, come ad esempio l’assistenza con le attività di risk intelligence, l’uso di modelli e brevetti, e il ricorso a servizi di consulenza specializzati. Ad oggi, quasi un quinto delle imprese (24%) ha esternalizzato almeno in parte le attività connesse a centri di eccellenza o strutture condivise di servizi. Questo trend appare meno marcato in Italia, dove l’80% delle aziende dichiara che tali attività rimangono ancora in-house.
6. L’ampliamento del focus. Più della metà (52%) degli Executive sta adottando una concezione più ampia di third-party risk management, che non si limita cioè alla gestione dei rischi ma si estende alla valorizzazione delle sinergie con le terze parti. L’Italia sconta però un certo ritardo su questo tema, poiché ciò vale solamente per un terzo delle aziende (33%). L’ampliamento del focus nelle strategie di TPRM implica notevoli opportunità di sviluppo ma anche complesse sfide nel coordinamento e nella gestione della transizione (54%).
Sebastiano Brusco, Director del Risk Advisory di Deloitte, commenta: “Durante la pandemia, le imprese hanno chiaramente registrato un numero di criticità senza precedenti, relative ad esempio alla disruption della supply-chain, ad emergenze finanziarie e logistiche, o ancora a problematiche legate alla sicurezza e integrità dei dati. Tutto ciò si è tradotto, in alcuni casi, in un impatto significativo in termini di servizio al cliente, reputazione aziendale e compliance con le normative vigenti.”