Know your partner

Di / Security / Agosto 4, 2022
Ne parliamo su Federpol Magazine, la rivista della Federpol (la Federazione Nazionale degli Istituti di investigazione e Sicurezza) che ringrazio per l’ospitalità.

Il valore delle investigazioni preventive sui fornitori, pur rappresentando un costo per l’azienda, che deve essere giustificato dalla tipologia e dall’importo dell’appalto, può essere fondamentale per non incorrere in una serie di rischi.

di Roberto Masi

La parola outsourcing è oggi molto di moda; forse perché richiama l’immagine di consulenti eleganti nei loro completi blu con la cravatta di Marinella e il Pc nello zainetto, mentre la parola subappalto sa troppo di polvere, di calce e di schiscetta. Eppure, il concetto alla base è sempre lo stesso: mi sto portando qualcuno in casa, sto affidando una parte delle mie informazioni, know-how, processi a un fornitore esterno al quale spesso lascio fisicamente o virtualmente le chiavi di casa. È un paradosso, ma è proprio così. Spesso quelle funzioni più semplici, sottopagate, subappaltate in una catena infinita (come i servizi di pulizia, manutenzione o vigilanza), sono proprio quelle alle quali si lascia la possibilità di accedere a qualsiasi area aziendale, anche in assenza di veri e propri controlli. Porto l’esempio di una importante società di design industriale per la quale ho svolto un assessment di sicurezza. I Pc sui quali giravano le bozze e i disegni dei prodotti non erano in rete, affinché non potes-sero essere violati dall’hacker russo di turno, ma la donna delle pulizie entrava nel centro design, il cuore dell’azienda, alle sei della mattina, e si muoveva liberamente tra disegni, modelli e bozzetti. Dall’altro lato ci sono invece quelle società caratterizzate da un elevato livello di specializzazione e capacità tecnica a cui vengono date le chiavi dei miei sistemi informatici e il permesso di accedere al Crm, ai dati dei clienti, alla politica commerciale. L’outsourcing si fonda su un principio semplice: far fare agli altri quello che sanno fare meglio di noi, in modo da ridurre i costi e liberare così le risorse necessarie per lo sviluppo del core business dell’impresa. Se esso appare concettualmente semplice, la sua concreta attuazione è invece complessa dal punto di vista strategico, organizzativo, economico e giuridico, fino ad arrivare ad accordi di lunga durata con la cessione di una parte della attività e in taluni casi anche degli asset; accordi che spesso si portano dietro anche il rischio e i costi derivante dalla traumatica risoluzione del rapporto.

I rischi del mancato controllo
Esternalizzare un’attività non significa “non doversene più occupare”. Significa, invece, modificarne la modalità di ge-stione sviluppando la metodologia di selezione dei fornitori e il rapporto di controllo su questi. Un buon sistema per capire quale sia l’importanza del fornitore che sto contrattualizzando è la regola del “what if…?” Cosa succederebbe se il fornitore mi tradisse o venisse meno? Quali sarebbero i rischi? Se questo è semplice da calcolare per i servizi che hanno diretto effetto sull’attività ordinaria di produzione, non è sempre semplice verificare o quantificare, invece, quegli effetti indiretti e quei rischi che la scarsa qualità di un servizio può generare, come:

  • Rischio qualitativo. La qualità della prestazione non è in linea con le aspettative o con le previsioni contrattuali.
  • Rischio economico. La violazione della normativa in tema di sub-appalto, di contratti pubblici, di salute e sicurezza sui luoghi di lavoro può portare a gra-vi sanzioni economiche o interdittive. Ne è un esempio la vigente normativa che prevede la responsabilità solidale del Committente nel caso di mancati versamenti all’Erario delle ritenute Irpef sul lavoro dipendente e dell’Iva dovuta sulle prestazioni oppure l’art. 80 del Codice dei Contratti Pubblici.
  • Rischio strategico. La scelta di un partner inadeguato o la sua improvvisa mancanza può tradursi nella incapacità di erogare le prestazioni o assicurare la produzione, distribuzione, vendita, assistenza ecc. Il partner potrebbe trasformarsi in un competitor.
  • Rischio di immagine.

Se il rischio è uno degli elementi di cui te-nere conto nella profondità del controllo, l’altro è la tipologia di outsourcing. L’outsourcing infatti può assumere diverse forme e gradi di complessità.

  • Outsourcing tradizionale. È costituito da attività semplici (magazzino, catering, vigilanza, trasporti, customere care, pulizia) o ad alto livello di specializzazione (servizi IT, marketing, consulenza, comunicazione, gestione del personale, smaltimento rifiuti) ma sempre distanti o non direttamente funzionali al core business dell’impresa.
  • Outsourcing tattico. È costituito da at-tività a basso livello di specializzazione ma funzionali al core business dell’azienda (gestione di parti più semplici del processo produttivo, manutenzione impianti, fornitura materie prime, collaudo e certificazione dei prodotti).
  • Outsourcing strategico. È caratterizzato da una forte integrazione cliente-fornitore basata sul riconoscimento delle reciproche competenze, sulla volontà di instaurare un’effettiva collaborazione e sulla disponibilità di svilup-pare relazioni corrette e trasparenti. In questo caso si parla spesso di partnership.

Maggiore è la vicinanza al core business dell’azienda, maggiore è il rischio e, quindi, più articolato deve essere il controllo.

Uno dei fattori emersi nell’emergenza Covid è stata la difficile gestione delle filiere produttive, con aziende che sono andate in stock out per via di fornitori poco affidabili e per le limitazioni alla produzione e alla circolazione delle merci. Nel tempo, infatti, molte aziende hanno perseguito una focalizzazione troppo spinta sulle at-tività core della filiera, dimenticando tutti gli altri attori e privilegiando integrazioni orizzontali per crescere in termini di dimensioni e presenza sul mercato. L’allar-gamento di gamma e di mercato, come esempio dell’integrazione orizzontale, non è errato di per sé, ma è pericoloso se pro-gettato e realizzato in alternativa a una integrazione verticale (a monte o a valle sulla filiera). L’obiettivo post Covid è reinterpretare lo “stay focus”: le aziende non devono tornare a possedere tutte le fasi e le attività delle specifiche filiere, ma devono essere attori aggreganti di soggetti indipendenti, legati però da unità di intenti e obiettivi (partnership).

Funzioni e rischi
In una azienda strutturata, le funzioni che si occupano dei controlli preventivi sui fornitori sono diverse – l’ufficio acquisti, la BU responsabile dell’appalto, l’Rspp, la direzione Security, l’Audit interno ecc. – e non sempre sono in sinergia tra di loro. Ciascuna di esse, infatti, tende a “vedere” solo ciò che è immediatamente attinente alla sua funzione e alla sua attivi-tà. Molti appalti impattano poi su diverse funzioni in una logica di vasi comunicanti. In questo caso, chi è l’owner della scelta del fornitore e dei relativi controlli? Il primo rischio è quindi quello di avere una visione “parziale” dell’insieme con controlli che probabilmente vengono reiterati da più funzioni in alcune aree mentre altre rimangono scoperte. Un secondo rischio è dato dalla “burocratizzazione” eccessiva che tende a prediligere la raccolta documentale come “figurine” piuttosto che la loro analisi. Il terzo rischio è dato dai costi delle attività di controllo sia in termini economici che di FTE. È chiaro, quindi, che essi non possono essere standard ma devono essere conseguenti alla profondità della verifica, a sua volta determinata dalla analisi dei rischi (regola del what if…).

Il processo di audit dei fornitori

Un corretto processo di audit dei fornitori passa quindi attraverso una serie di step successivi:

  1. Individuazione dei servizi gestiti in outsourcing e loro tipologia: qual è la loro interazione con il core business dell’azienda?
  2. Individuazione delle funzioni aziendali di riferimento: chi sono i clienti interni? Hanno le competenze sufficienti per governare il processo di qualifica dei fornitori?
  3. Analisi del modello di erogazione del servizio: in house, in outsourcing, misto.
  4. Analisi delle procedure di erogazione del servizio: il modello adottato è idoneo a garantire la qualità attesa nella fruizione del servizio?
  5. Elaborazione delle informazioni: individuazione di punti di forza, criticità, rischi e margini di miglioramento.

Le investigazioni preventive
In questo quadro qual è e quale può essere il valore delle investigazioni preventive? Come già detto, questa attività rappresenta un costo per l’azienda, che deve essere giustificato dalla tipologia, dall’importo dell’appalto e soprattutto dei rischi che comporta. L’approccio al rischio è fondamentale anche per indirizzare l’azione dell’investigatore privato sui reali obiettivi dell’azienda. Spesso non si tratta solo di fare una generica “due diligence” del fornitore, ma di arrivare a una verticalizzazione delle informazioni in relazione a quelli che sono i rischi specifici. Per essere più chiari: nel quadro di un contratto pubblico o di una fornitura in uno dei tradizionali settori di infiltrazione della criminalità organizzata (ciclo del cemento, fornitura e posa in opera, scavi e movimento terra, ciclo dei rifiuti ecc.) chiederò al mio investigatore di fornirmi un riscontro che vada oltre la semplice iscrizione o meno nella “white list”, ma si estenda a quelle notizie e a quei “rumors” che non possono trovare ospitalità in un provvedimento amministrativo. Nel quadro, invece, di un contratto che preveda aspetti legati ai rapporti con i clienti finali, potrei richiedere un’indagine specifica in modo da capire se è a rischio l’immagine dell’azienda e se è pos-sibile bersaglio di critiche sui social network. Il settore che in questo momento è predominante, e nel quale l’attività degli investigatori privati dovrebbe estendersi, è quello della “web reputation”. L’infinito mondo delle fonti aperte rappresenta una miniera di notizie che devono essere raccolte, catalogate e analizzate, un’attività in cui la componente umana è ancora fondamentale perchè i tool disponibili sul mercato dedicati all’analisi del web, per quanto sofisticati, allo stato attuale sono solo in grado di collezionare una serie di link e di siti attribuendo loro maggiore o minore rispondenza con l’obiettivo della ricerca. Il vero lavoro di analisi può tuttavia essere svolto solo attraverso le risorse umane, perché solo loro, in questo momento, sono in grado di separare il grano dal loglio, attribuendo un rating di affidabilità rispetto all’obiettivo della ricerca.

LA CLASSIFICAZIONE DELLE FONTI

A. Affidabile: nessun dubbio di autenticità, credibilità o competenza; precedenti di completa affidabilità
B. Di solito affidabile: piccolo dubbio su autenticità, credibilità o competenza; precedenti di informazioni generalmente valide
C. Abbastanza affidabile: dubbi di autenticità, credibilità o competenza; ha fornito informazioni valide in passato
D. Di solito inaffidabile: dubbi significativi di autenticità, credibilità o competenza; ha fornito informazioni valide in passato
E. Inaffidabile: carente di autenticità, credibilità o competenza; precedenti di informazioni non valide
F. Non classificabile: nessun elemento di giudizio

LA CLASSIFICAZIONE DELLE NOTIZIE

1. Confermato: confermato da altre fonti indipendenti; logico in sé; coerente con altre informazioni
2. Probabilmente vero: non confermato; logico in sé; coerente con altre informazioni sul soggetto
3. Eventualmente vero:non confermato; ragionevolmente logico in sé; concorde con altre informazioni
4. Possibile: non confermato; possibile ma non logico; nessun’altra informazione sul soggetto
5. Improbabile: non confermato; non logico in sé; contraddetto da altre informazioni sul soggetto
6. Non classificabile:nessun elemento di giudizio

La classificazione delle fonti e delle notizie
Tradizionalmente l’affidabilità di una notizia viene valutata attribuendo un rating da 1 a 6 alla attendibilità della fonte e alla verificabilità della notizia e da A/1 (notizia confermata da fonte certa) ad A/6 (notizia non confermata da fonte non valutabile)

 

Ultimi articoli

intercettazioni-ambientali
Sicurezza delle informazioni

Le intercettazioni ambientali

Novembre 26, 2022
turchia
Travel Security

Attentato in Turchia

Novembre 22, 2022

Via Michelangelo Buonarroti 45/a
20145 Milano