Abstract dell’elaborato del Dottor Mattia Zanella, studente della III edizione del Master in Risk Management, Internal Audit & Frodi – RIAF.
Modulo 3 – Advanced risk management
L’incremento esponenziale della possibilità di accedere ai dati, la c.d. industria 4.0 e l’Internet of Things hanno ampliato il ventaglio di strumenti a disposizione nella moderna gestione del rischio. Tutti questi fattori, infatti, hanno reso disponibili in misura sempre maggiore gli analytics necessari allo svolgimento di un’analisi quantitativa e sempre più precisi i risultati di tali attività.
In questo contesto, il corretto approccio all’analisi quantitativa passa per la diligente individuazione delle grandezze aleatorie che possono influire sui propri obiettivi; la corretta attività di costruzione del modello di analisi; una quanto più precisa quantificazione dell’impatto che le variabili possono avere sul fenomeno analizzato; ed, infine, la più opportuna scelta delle misure di gestione del rischio fondate sulle risultanze dell’analisi svolta.
Questi concetti sono stati implementati in un caso di studio basato sulla prospettiva di lancio di un nuovo prodotto da parte di un’azienda. Il punto di partenza preso in considerazione consisteva in uno studio di fattibilità in cui veniva prospettato il costo di lancio del prodotto e due scenari di domanda.
In una prima fase, è stata effettuata un’analisi dei rischi connessi al lancio del prodotto. In questa fase sono state individuate le possibili variabili aleatorie in grado di incidere sull’esito del progetto. Con riferimento a queste ultime, è stata valutata l’adeguatezza delle informazioni raccolte così come l’opportunità di accedere ad ulteriori elementi in grado di migliorare la qualità dell’analisi.
In una seconda fase, si è proceduto alla formalizzazione di un modello di analisi. Ai fini dell’attività di studio si è scelto un modello ad albero, alla base di molte tecniche di machine learning perché di immediata percezione, adatto a descrivere l’impatto di diverse scelte, così come le conseguenze di eventi esterni e incontrollabili, sugli obiettivi prefissati. In questa fase scelte significative ed eventi esterni oggetto di analisi sono stati inseriti nel modello.
In una terza fase, l’applicazione del modello ha permesso di ottenere l’analisi predittiva dell’esito del progetto. Ai fini dello studio la tecnica utilizzata è stata quella delle “Simulazioni Monte Carlo” perché fornisce un grande numero di dati e permette un’attività quanto più simile a quella che viene effettuata con i c.d. Big Data. Nello specifico caso preso in esame sono stati simulati mille scenari possibili.
Dopo aver utilizzato le prime simulazioni per ottenere un feedback sulla bontà del modello, utile per permettere eventuali aggiustamenti che si fossero resi necessari, sono state utilizzate le singole simulazioni per ottenere alcune grandezze aggregate utili per la fase successiva: prime tra le altre la media e la deviazione standard della domanda.
Nell’ultima fase, l’attività svolta è stata impiegata per effettuare analisi prescrittive e individuare misure di mitigazione del rischio. Un primo elemento di analisi ha riguardato il rapporto tra prezzo unitario del prodotto e rischio. In questo contesto l’analisi ha permesso di associare il rischio correlato agli intervalli di prezzo dati, al fine di consentire al decisore di assumere il livello di rischio desiderato facendo leva su un elemento sotto il suo controllo: il prezzo. Un secondo elemento di analisi ha consentito di individuare, dato un certo livello di rischio, il prezzo unitario che offrisse quella probabilità di successo come livello minimo.
Quale attività conclusiva, poi, sono state esaminate le principali criticità che seguono alla scelta di un modello ed in particolare il rapporto tra semplicità del modello, che offre maggiori possibilità di trattamento e interpretazione al costo di una minore accuratezza; e, viceversa, la sua complessità, la quale offre una maggiore aderenza alla realtà ma che rende più difficile il trattamento delle valutazioni e l’interpretazione dei risultati.
Proprietà intellettuale, protezione delle informazioni e sicurezza cibernetica: una riflessione sulle problematiche di protezione del segreto commerciale da attacchi informatici
Proprietà intellettuale e sicurezza cibernetica sono due concetti che nella gestione del rischio sono indissolubilmente legati. Il proliferare dei sistemi di telecomunicazione nell’era digitale in cui viviamo rende gli strumenti di memoria digitale il principale mezzo con cui le informazioni vengono conservate. A loro volta le informazioni hanno assunto un peso sempre maggiore con l’evoluzione dei sistemi economici.
L’importanza della protezione della proprietà intellettuale emerge da ogni ricerca empirica in materia. [Gli studi elaborati dallo European Patent Office e dallo European Union Intellectual Property Office per l’anno 2016 mostrano come le aziende proprietarie di un numero di IP rights superiore alla media delle altre presenti nel medesimo mercato assumano oltre il doppio del personale (+136%), remunerato mediamente in misura maggiore (+20%) per poi avere un ritorno economico per addetto superiore (+20%) rispetto alla concorrenza. Anche osservando la capitalizzazione delle prime cinque società dell’indice S&P500, la loro evoluzione e la composizione del loro valore tra quota riferita a tangibles assets e intangibles assets si giunge alla medesima conclusione. Se nel 1975 queste dovevano il proprio valore per il 15% da assets intangibles e per l’85% da beni tangibles, nel 2015 la situazione si è rovesciata: il 20% è connesso ad assets tangibles e l’80% ad assets intangibles.]
Alla crescita dell’importanza dei beni immateriali, è correlata la crescita nell’importanza della sicurezza cibernetica. [Secondo una ricerca condotta da McAfee nel 2018 la perdita annuale dovuta a crimini informatici è stimato tra i 50 e i 60 miliardi di dollari, in aumento di anno in anno con tendenza esponenziale. Tale perdita si traduce anche in riduzione degli investimenti in ricerca e sviluppo, perdita di competitività e diminuzione dei posti di lavoro, soprattutto ad alto valore aggiunto.]
A complicare la gestione del rischio in materia di sicurezza cibernetica, inoltre, contribuisce la scarsità di informazioni dovute all’esigua porzione di casi in cui viene individuato l’attacco subito, la percentuale relativamente bassa degli attacchi che vengono denunciati una volta scoperti e, infine, la ridotta quantità di informazioni sull’attacco che viene condivisa a fini di studio e prevenzione.
In questo contesto, l’attività di gestione del rischio è stata affrontata con particolare riferimento a due criticità che empiricamente si sono rivelate tra le più rilevanti: la tutela del segreto commerciale e l’allineamento tra obiettivi IT e obiettivi di business.
Il segreto commerciale è tutelato dagli artt. 98 e 99 del codice sulla proprietà industriale la cui disciplina è armonizzata a quella di altri paesi da una serie di trattati internazionali (il primo è la Convenzione di Berna del 1886, poi ripresa da accordi successivi). La categoria ricomprende informazioni industriali e commerciali, incluso il know how, che siano segrete e abbiano valore in quanto tali. Tali informazioni, inoltre devono essere sottoposte a misure per mantenerle riservate.
La criticità nella protezione di queste informazioni sono molteplici. In primo luogo, esse sono tutelate fino a che sono segrete e solo dall’illecita appropriazione altrui, mentre nessun diritto di esclusiva viene accordato qualora altri acquisiscano le stesse informazioni lecitamente, per proprio conto. Da ciò discende che senza la prova dell’illegittima sottrazione, che peraltro si atteggia spesso come probatio diabolica (soprattutto se ottenuta mediante attacco cibernetico), nessuna protezione sarà accordata dall’ordinamento giuridico. L’unica logica che scongiura effettivamente il verificarsi del danno è quindi la prevenzione. In secondo luogo, esse sono tutelate solo in quanto considerate segrete dal titolare, il quale ha adottato apposite misure per mantenerle riservate. L’assenza di misure organizzative finalizzate alla protezione, quindi, rende impossibile accedere alla tutela legale.
Da ciò discende l’assoluta centralità per ogni impresa, seppur con intensità diversa, di adottare misure di mitigazione del rischio da sottrazione del segreto commerciale. Il problema diventa ancora più evidente in materia di sicurezza cibernetica. In questo settore si inserisce la seconda criticità analizzata, ovvero il disallineamento tra obiettivi di business e obiettivi IT. Il fenomeno si manifesta potenzialmente in ogni settore, tuttavia empiricamente è stato rilevato che nel settore tecnologico ciò accade con una frequenza maggiore. Le principali cause sono state individuate nella tecnicità della materia e nell’istituzione di organizzazioni e sotto-organizzazioni interne governate da specialisti privi della visione di insieme. Gli obiettivi IT spesso sono eccessivamente generici e finalizzati alla mera difesa da attacchi ai sistemi informatici senza ulteriore specificazione, generando un problema di allocazione di risorse su aspetti secondari rispetto agli obiettivi strategici.
Nello studio di questo particolare aspetto ci si è avvalsi del framework COBIT 2019 per sviluppare una riflessione sui rischi e tradurli in obiettivi per il management secondo la goals cascade. L’ultima versione, infatti, rovescia il tradizionale punto di vista incentrato sul controllo e permette di affrontare le medesime tematiche anche dal punto di vista della governance. Analizzando la catalogazione degli Enterprise goals in tredici categorie si è potuto ragionare su quali obiettivi di business possa incidere la sottrazione del segreto commerciale a seconda della tipologia del business stesso. Nelle imprese a basso contenuto di innovazione o ricerca e sviluppo la problematica è spesso confinata alla dimensione interna (EG09 Optimization of business process costs ed EG11 Compliance with internal policies, se adottate) o alla crescita (EG Product and business innovation). A contrario, nelle imprese che hanno nella ricerca il loro core business, un evento simile può impattare su tutte e tredici le categorie di obiettivi in modo significativo.
Dopo questa operazione preliminare si è proceduto, seguendo la goals cascade, a convertire gli obiettivi di business in Alignment Goals prendendo a riferimento le tredici categorie tipizzate nel framework di riferimento. In questo caso il principale AG interessato risulta essere il settimo (AG07 Security of information, processing infrastructure and applications, and privacy).
Quale ultimo passo nel processo della Goals Cascade, infine, si è sviluppata una riflessione su come tradurre gli AG individuati nei 40 governance and management objectives descritti nel framework che potessero tradursi in policies e processi idonei a gestire il rischio da sottrazione del segreto commerciale con i correlati strumenti di controllo e di verifica della loro efficacia (anche mediante le metriche fornite dal framework stesso.
Vuoi approfondire ulteriormente?
Il Master in Risk Management, Internal Audit & Cybersecurity mira a formare figure professionali che siano in grado di interpretare e gestire le più recenti dinamiche normative e di mercato attinenti alla corporate governance. Grazie all’utilizzo di casi aziendali, verranno contestualizzati e analizzati i temi nelle diverse realtà: dalle aziende quotate alle banche, dalle grandi alle piccole/medie imprese.