Rischio Crisi Aziendale

Crisi d’impresa e cyber risk: adeguati assetti organizzativi e la gestione dei rischi puri aziendali due facce della stessa medaglia

03 August 2022

di Alberto PAGANINI

A metà luglio scorso, è entrato in vigore il decreto legislativo 17 giugno 2022 n. 83 contenente modifiche al Codice della crisi e dell’insolvenza in attuazione della cd Direttiva Insolvency (Direttiva sulla ristrutturazione e sull’insolvenza).

Le disposizioni del decreto sono in linea con i principi europei e completano il travagliato percorso di recepimento di misure volte ad aumentare l’efficacia delle procedure di ristrutturazione, insolvenza ed esdebitazione.

Come evidenziato da numerosi autorevoli commentatori ciò che viene favorita è l’emersione tempestiva della crisi attraverso strumenti di allerta soft che incentivano l’imprenditore ad attivarsi volontariamente per il superamento delle situazioni di difficoltà, senza dimenticare che viene introdotto quale valore giuridico da preservare la “risanabilità dell’impresa”, che viene indubbiamente raggiunta attraverso interventi e procedure che favoriscono la continuità aziendale.

Il concetto di continuità, richiamato dal Codice Civile e definito sia dal principio contabile OIC 11 e dal principio di revisione (ISA) n. 570, si incardina nell’attitudine dell’azienda di generare flussi reddituali che trasformandosi in flussi monetario-finanziari garantiscono la remunerazione dei fattori produttivi impiegati a breve e medio-lungo termine atti a supportare la gestione dell’impresa al fine ultimo di generare ulteriore ricchezza.

La rinnovata responsabilità dell’imprenditore, che l’art. 2086 del Codice Civile concretizza attraverso l’adozione di adeguati assetti organizzativi, rappresenta la condizione fondamentale per effettuare la valutazione prospettica della capacità dell’azienda di continuare a costituire un organismo economico funzionante destinato alla produzione di reddito per un arco temporale di almeno 12 mesi.

Le cause scatenanti la crisi d’impresa

La prospettiva di futuri flussi reddituali e conseguenti futuri flussi monetari si fonda sulla capacità di individuare le possibili cause scatenanti una situazione di crisi. Alla base vi è sicuramente un efficiente ed efficace sistema di gestione dei rischi aziendali come, peraltro, confermato dalle Norme di comportamento del Collegio Sindacale di società non quotate (CNDCEC). Il sistema di gestione dei rischi è proporzionato alle dimensioni dell’impresa e deve procedere all’identificazione, descrizione, stima e valutazione dei rischi. Tra questi sicuramente vanno considerati i rischi che presentano un impatto rilevante e che sono specifici e peculiari della singola azienda.

Qualunque evento è frutto di eventi o decisioni correlate in un rapporto di causa – effetto. I fattori di rischio sono una espressione tassonomica delle cause da ricercare, definibili come il “perché “ di un determinato fenomeno che se “probabilizzato” definiamo rischio.

Le cause o fattori di rischio della crisi d’impresa possono essere di tipo primario direttamente attinenti all’attività imprenditoriale ovvero di tipo secondario (o derivato) attinenti invece alle attività di acquisizione e di impiego dei mezzi finanziari. Altre cause sono poi relative a fenomeni di inefficienza, sovracapacità / rigidità produttiva, decadimento dei prodotti o carenza di innovazione, carenza di programmazione e cause da passaggio generazionale.

Le cause di tipo primario sono quelle maggiormente pervasive l’attività imprenditoriale e danno origine, tra l’altro, a rischi puri cioè quei rischi che offrono solo la possibilità di una perdita che interessa i beni aziendali, le persone e le responsabilità imprenditoriali. Perdite che possono compromettere inevitabilmente la continuità aziendale.

Tra queste cause di tipo primario sono rilevanti i fattori di rischio esterni all’azienda non facilmente controllabili quali i fenomeni climatici ed atmosferici, l’andamento del mercato di riferimento e della concorrenza o il fallimento di un cliente che garantiva cospicui fatturati. I fattori di rischio interni sono, di contro, relativi al sistema organizzativo, gestionale ed informatico adottato. A titolo di esempio si pensi alla struttura informatica che viene esternalizzata e resa più efficiente tramite l’utilizzo delle nuove tecnologie. Vi sono anche fattori di rischio soggettivi, legati a competenze inadeguate o agli errori di valutazione dell’imprenditore, e cause oggettive che ricadono sull’impresa sotto il profilo di responsabilità contrattuale o extracontrattuale.

La vastità tassonomica delle cause di tipo primario ha un impatto diretto sul sistema organizzato aziendale con il coinvolgimento di attività, prodotti/servizi, asset, competenze e relazioni.

L’imprenditore ha l’opportunità e la responsabilità di adottare un processo di valutazione e gestione del rischio che sia parte integrante dell’adeguato assetto organizzativo richiesto dal Codice Civile.

La gestione del rischio d’impresa

In tema di gestione del rischio d’impresa esiste ampia letteratura, ciò nonostante stabilire un punto di partenza non è sempre agevole. Per capire cosa fare dobbiamo conoscere il valore rappresentato dall’impresa in funzionamento e stabilire da cosa vogliamo proteggere questo valore, per garantire la continuità d’impresa attraverso flussi economici e monetari che siano remunerativi.

Un possibile percorso è il seguente:

  • analizzare le passività potenziali dell’attività aziendale: pensare al peggiore degli eventi per ciascuna delle cause di crisi d’impresa (perdite operative, incapacità di pagare debiti a scadenza, richieste risarcitorie a cui far fronte, ecc.);
  • elaborare scenari di deficit patrimoniale: pensare a quanto potrebbe durare una minaccia e la conseguente interruzione dell’attività;
  • definire piani di difesa e azioni di rimedio organizzative e gestionali;
  • quantificare le risorse economiche e umane da destinare al contenimento degli eventi sfavorevoli.

La tecnica assicurativa ci viene in aiuto nell’evidenziare le aree di indagine proprie dei rischi puri che possiamo brevemente riassumere nelle seguenti:

  • rischi diretti per il danneggiamento dei beni mobili e immobili;
  • rischi indiretti legati all’interruzione delle attività produttive;
  • rischi di furto;
  • rischi da responsabilità civile verso terzi e verso i propri dipendenti;
  • rischi da responsabilità prodotto;
  • rischio credito commerciale;
  • rischio cibernetico

Quanto sopra elencato può rispondere efficacemente alla necessità dell’imprenditore di identificare le condizioni di rischio che un domani potrebbero non garantirgli la continuità operativa per i successivi 12 mesi come richiesto dal Codice della crisi e dell’insolvenza.

Il cyber risk quale rischio puro

Il contesto che le aziende stanno affrontando è sempre più caratterizzato da incertezze esterne ed interne. La necessità di know how per l’ingresso delle nuove tecnologie, l’emersione di rischi nuovi ad alto impatto quali pandemie, cyber attacchi, cambiamento climatico, rischi ambientali, approvvigionamento energetico, le continue sfide normative e di compliance, stanno condizionando in modo rilevante le scelte dell’imprenditore e stanno modificando i rischi che l’impresa affronta nel quotidiano.

Sempre a metà luglio scorso, l’ennesima azienda italiana è stata colpita dalla “famigerata” banda del ransomware Lockbit, che ha pubblicato anche alcuni esempi di dati sottratti dalle infrastrutture IT dell’azienda per aumentare la pressione e indurre l’impresa a pagare il riscatto.

Come noto, il ransomware è una tipologia di malware che viene introdotto all’interno di una organizzazione per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati inizia il “countdown” e viene richiesto alla azienda vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare o estendere il periodo di “countdown”.

Qualora la vittima non voglia pagare il riscatto, inizia la doppia estorsione ovvero la minaccia della pubblicazione di dati sensibili precedentemente sottratti dalle infrastrutture IT dell’azienda attaccata. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni di tutto il mondo di ogni ordine e grado.

Le infezioni da ransomware sono di alto impatto per qualunque azienda e possono compromettere la continuità aziendale. Il ripristino dei dati può essere un processo difficile e laborioso che richiede risorse specialistiche e costi elevati per un recupero affidabile.

Nell’ambito dell’analisi delle cause di crisi aziendale la valutazione del rischio cibernetico è di prioritaria importanza. Le aziende sono composte da flussi fisici di materie prime, prodotti e altri fattori produttivi affiancati da flussi di informazioni indispensabili al funzionamento efficace della supply chain verso clienti e fornitori. Diventa prioritario che l’azienda sia consapevole della propria “postura digitale” ed adottare quelle misure di sicurezza preventive necessarie per la protezione delle proprie reti informatiche.

Con la finalità di sondare, negli aspetti principali, i presidi presenti a protezione del rischio cibernetico le aree di rischio da analizzare sono:

  • utilizzo di servizi in cloud;
  • utilizzo di VPN;
  • esistenza di reti wireless interne;
  • dipendenti/collaboratori in modalità remota;
  • gestione di piattaforme e-commerce;
  • grado di utilizzo di notebook;
  • modalità di gestione aggiornamento software;
  • efficacia delle politiche di firewall e antivirus;
  • efficacia nella gestione dei profili / privilegi informatici;
  • procedure di back-up esistenti e modalità di conservazione delle copie off line;
  • esistenza di colli di bottiglia nei processi che coinvolgono tecnologie informatiche;
  • tempi massimi di tolleranza di un blocco dei sistemi IT;
  • tipologia di trattamento di dati personali.

Questa analisi permette spunti utili di valutazione del cyber risk. Oggi diventa necessario un cambiamento di mentalità per pensare alla cybersecurity come parte integrante di adeguate scelte organizzative, evitando di affrontare potenziali problemi di continuità aziendale solo dopo che è avvenuto un incidente di sicurezza informatica.

Conclusioni

Il Codice della crisi e dell’insolvenza interviene, attraverso il dovere e la responsabilità dell’imprenditore sancita dall’art. 2086 del Codice Civile, in un contesto ancora di poca attenzione nei confronti del governo dei rischi puri d’impresa. Questo è storicamente addebitabile alla tendenza dell’imprenditore a sottovalutare o ad ignorare i rischi di evento dannoso e alla scarsa propensione di sviluppare quell’atteggiamento orientato alla sicurezza, che trova più frequentemente riscontro altrove.

Il rischio è alla base delle decisioni strategiche e valutare il rischio globale dell’impresa è un’operazione complessa. Ciò nonostante costituisce per il governo dell’impresa l’elemento più qualificante e determinante per garantirne la continuità.

Una volta valutati i rischi d’impresa, governare gli stessi presenta molteplici opzioni fra politiche di prevenzione e protezione, oltre alla capacità di saper intercettare le opportunità offerte dal mercato assicurativo in un’epoca di coinvolgimento dei diversi stakeholder aziendali nel preservare l’equilibrio dell’impresa, la sua redditività e lo sviluppo proiettato sul lungo termine.

 

Intervento di Alberto PAGANINI, Innovation Manager, esperto in Gestione del Rischio

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *