Risk management in the supply chain

For the purchase of several titles, please contact the secretariat:

3484161819 | iter@iterdigital.it

Questo testo analizza l’intero processo di gestione del rischio di fornitura, cercando di essere neutro rispetto ad uno specifico settore merceologico, al fine di poter proporre soluzioni che si adattino a qualunque realtà.
La sopravvivenza stessa di un’organizzazione è infatti sempre più condizionata dalla resilienza della sua catena di fornitura, cioè da quanto i suoi fornitori e subfornitori siano in grado di garantire, ad esempio, un livello di sicurezza almeno analogo a quello dell’organizzazione che usufruisce dei loro servizi/prodotti.
È infatti in particolare nell’ambito della cybersecurity che si trovano gli esempi più significativi di come l’insufficiente livello di sicurezza di un fornitore ha comportato, ad esempio, la diffusione di dati riservati di un’azienda cliente.
La sicurezza informatica in realtà è solo un esempio di quelli che sono i rischi legati alla propria catena di fornitura, che in realtà sono condizionati da molteplici fattori, quali la localizzazione (stabilità politica, legislazione vigente, diritto fallimentare…), la stabilità finanziaria, la loro sostituibilità, la reale possibilità di migrazione verso un altro fornitore o di reinternalizzazione di un servizio…

Anche le scelte aziendali possono condizionare il rischio legato alla supply chain.
Molto spesso l’ottimizzazione dei costi viene considerato come l’unico parametro che un’organizzazione deve prendere in considerazione, sacrificando a questo elemento l’effettiva capacità di sopravvivenza dell’organizzazione stessa.
Ad esempio il ricorso ad un unico soggetto, sia esso un fornitore di servizi o di materie prime indispensabili per consentire ad un’azienda di proseguire nella sua attività produttiva, può rivelarsi un elemento fondamentale nel momento in cui lo stesso, per qualunque motivo, non è più disponibile.
La recente guerra russo ucraina ha messo in difficoltà diverse azienda italiane, che si sono trovate da un giorno all’altro senza qualche fornitore essenziale.

L’esempio evidenzia anche come molto spesso le organizzazioni siano poco attente a cogliere segnali, che nel caso in questione erano particolarmente evidenti, su eventi che possono portare a minare la resilienza dell’azienda.
È per questo motivo che la scelta di un fornitore e la sua gestione nel continuo è un processo complesso e articolato, che non può essere basato solo su fattori economici, ma che deve valutare un rilevante numero di fattori.
Questa attività deve essere svolta sia precedentemente alla scelta del fornitore, sia successivamente, con un costante monitoraggio.
Questo riguarda sia le prestazioni del fornitore, ad esempio dal punto di vista della qualità del servizio (al fine di consentire un immediato intervento al fine di ripristinare i livelli concordati), sia rispetto ad altri fattori (ad esempio la solidità economica del fornitore) che possono indicare lo stato di salute dello stesso.

Non vanno infine dimenticati gli aspetti che riguardano la gestione della fine del rapporto con un fornitore, che devono essere appositamente regolamentati e, se necessario, preimpostati nel caso in cui la cessazione del rapporto con un fornitore comporti necessariamente una sua sostituzione.
Questo grazie alla predisposizione di exit strategy ed exit plan pre costituti, che consentono ad una organizzazione un passaggio il quanto più possibile indolore e specifiche clausole contrattuali, che stabiliscano ad esempio le casistiche che possono portare alla cessazione del rapporto.
Tutti questi aspetti trovano una loro formalizzazione in alcune normative, in particolare nel mondo finanziario, che possono essere utilizzate come buone pratiche da seguire anche negli altri settori meno regolamentati.

Le linee guida emesse da EBA, EIOPA ed ESMA sulle esternalizzazioni in generale e sul mondo cloud in particolare costituiscono un esempio in questa direzione.
Il Digital Operational Resilience Act (Regolamento UE DORA) e le relative norme tecniche, ne costituiscono una evoluzione a livello europeo.
Sicuramente queste normative possono essere applicabili a qualunque settore nel mondo dei servizi e, con qualche affinamento anche al mondo della produzione.

Il testo farà quindi ampio ricorso all’uso di queste normative, e quindi può essere considerato anche un valido aiuto a quanti, enti finanziari e fornitori, rientrano nell’ambito di applicazione del Regolamento DORA.

Giancarlo Butti (giancarlo.butti@promo.it)

(LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO 20000-1), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPODPO UNI 11697:2017, CBCI, AMBCI

Master in Business Management and Organisational Development (MIP - Politecnico di Milano).

Contact person for the DORA and Inclusion Regulations of the CLUSIT Scientific Committee.

He has been involved in ICT, organisation and regulation since the early 1980s:

  • organisation analyst, project manager, security manager and auditor in banking groups
  • document, security, privacy... consultant in companies of different sectors and sizes.

As a populariser he has to his credit:

  • over 800 articles in 40 different publications
  • 28 books and white papers, some of which are used as university texts
  • 30 collective works as part of ABI LAB, Oracle/CLUSIT Community for Security, CLUSIT Report on ICT Security in Italy
  • speaker at over 170 events at ABI, ISACA/AIEA, AIIA, ORACLE, CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA, UNISEF, PARADIGMA...
  • former teacher of the ABI professional training course - Privacy Expert and Data Protection Officer
  • lecturer in masters and postgraduate courses at several universities:
    • Master's Degree in "Data Protection Officer and Privacy Law" at the University Suor Orsola Benincasa - Naples
    • Postgraduate Course in Data Protection and Data Governance at the University of Milan
    • Cefriel Data Protection Officer Advanced Training Course
    • UNISEF Master's Degree for Personal Data Protection Officers
    • DPO Pathway and the Information Security & Privacy Observatory of the Politecnico di Milano
    • Risk analysis and management at the State University of Milan
  • Master Risk management, internal audit & fraud at Ca Foscari Challenge School.

Member and former proboviro of AIEA/ISACA (www.aiea.it - Italian Association of Information Systems Auditors), of CLUSIT (www.clusit.it - Italian Association for Information Security), of DFA (www.perfezionisti.it - Digital Forensics Alumni ), of ACFE (https://www.acfecentral.it/- Association of Certified Fraud Examiners).and of BCI (www.thebci.org - Business Continuity Institute).

Participates in various working groups of ABI LAB, ISACA-AIEA, the CLUSIT...

(*) Former researcher in the field of renewable energy (UNESCO - International directory of new and renewable energy information sources and research centres, 1986)

Social

  • Facebook
  • Custom 1
  • Custom 2

Search

Disclaimer

All the contents of this site are protected by current national and international regulations on the protection of Intellectual and Industrial Property. By the term "site", ITER srl, P. I. 09306810962, intends to refer to every technical, graphic and IT element of the site, including, by way of example but not limited to, the software that enables its operation and the relative codes, the contents >> more...

Company data

Registered office:
Piazzetta Guastalla, 11 - 20122 Milan (MI) Fiscal Code/VAT Code: 09306810962
Capital stock: € 10,000 i.v.
CCIAA: MI-2082738
PEC: iter@pec-legal.it
ITER is a trade mark patent registered in 1989

Contact

Administrative and operational headquarters:
Alley of Heat, 36
21047 Saronno (VA)
Phone: +39 02 099 98 91
Fax: +39 02 2953 2355


Email: iter@iterdigital.it