La resilienza delle supply chain

A cura di:Gianna Detoni e Gianluca Riglietti Ore

Introduzione

Le “supply chain” o filiere di fornitura si sono ritagliate un ruolo sempre più importante nella gestione aziendale. Queste sono un pilastro fondamentale dell’economia globale, dal momento che mettono spesso in contatto organizzazioni in diverse parti del mondo, da diversi settori e di diversa grandezza. Esistono tantissime variabili che interessano una corretta gestione delle supply chain, che possono riguardare il personale, i processi o i dati di diverse aziende. Basti pensare ad attori che operano in due aree geografiche con diverse legislazioni in tema di privacy o a fornitori basati in regioni afflitte da forti eventi atmosferici.

Il 2020 è stato indubbiamente un anno con molte difficoltà e sfide per le filiere, con un evento avverso dominante – la pandemia legata al Covid-19 – e molti effetti domino che hanno richiesto uno sforzo inusuale, creando un vero e proprio “Worst Case Scenario”. Ad ogni modo, nonostante possa sembrare un cliché, è non solo possibile ma d’obbligo cambiare radicalmente la visione della gestione aziendale e delle supply chain in relazione agli eventi accaduti. Mentre molti vedono come obiettivo principale il ritorno alla normalità, vecchia o nuova che sia, sarebbe invece importante accettare l’incertezza del contesto aziendale.

Saper cambiare per essere resilienti

Secondo un’indagine del Business Continuity Institute, tre supply chain su quattro subiscono almeno un incidente all’anno (questo succedeva già prima della pandemia). Il parco minacce include tipologie di incidenti estremamente diverse, come gli attacchi cyber, incidenti IT, mancanza di personale qualificato, cambiamenti politici, nuove legislazioni ed eventi atmosferici[1], in aggiunta ai vari cambiamenti della domanda e delle esigenze di mercato. Al momento esistono inoltre infrastrutture critiche per i trasporti completamente digitalizzate che sfruttano l’esistenza di una intera copia digitale di tutti i propri impianti, qualcosa di impensabile solo all’inizio di questa decade[2]. Alla luce di tutto ciò viene decisamente da chiedersi se il concetto stesso di normalità sia poi così affidabile e utile.

Lo stato dell’arte per quanto riguarda lo studio della resilienza delle supply chain include diverse componenti, come la visibilità dei rischi della filiera, la capacità di reazione nel minor tempo possibile e, soprattutto, la flessibilità[3]. Avere la capacità di riconfigurare la propria supply chain durante un periodo interessato da profondi cambiamenti o shock è infatti una qualità imprescindibile per una rete di fornitori. Questo si è rivelato evidente durante la prima ondata della pandemia, dove grazie alla reattività di alcune supply chain è stato possibile trovare soluzioni alternative per la produzione di materiale sanitario, come ad esempio le mascherine prodotte tramite stampanti 3D. Ad ogni modo, tale dinamica può essere riscontrata anche in casi passati, con aziende capaci di riconfigurare le proprie filiere tramite sistemi di back-up, diversificazione e stretta collaborazione anche con alcuni clienti.

È questo, ad esempio, il caso di Boeing, che durante gli allagamenti del 2011 nel sudest asiatico fu in grado di mantenere attiva la produzione facendo leva sullo stretto rapporto tra l’azienda focale e i fornitori, garantendo una efficace alternanza di soluzioni all’interno della filiera. Notevoli capacità di riconfigurazione furono dimostrate anche da Dell Inc., capace di arginare (a differenza dei suoi competitor) una serie di scioperi del personale portuale negli Stati Uniti nel 2002 utilizzando il trasporto aereo, rendendo così la continuità operativa un vantaggio competitivo[4].

Nonostante si possa pensare che la flessibilità e la pianificazione siano agli opposti, non è questo il caso. La flessibilità della supply chain viene creata pianificando diverse alternative ai processi di produzione utilizzati, in maniera tale che la capacità di reazione ad un cambiamento o uno shock nel mercato venga massimizzata. Negli anni si sono sviluppati dei sistemi di gestione che si pongono proprio l’obiettivo di aiutare le aziende – e le loro supply chain – a navigare attraverso i mercati di oggi, dove ricercare la normalità può diventare uno sforzo inutile.

Questo è il caso del Business Continuity Management, che tramite una serie di processi, suddivisi in più fasi, supporta le filiere in diversi modi:

  • Fornisce un’analisi delle minacce e dei cambiamenti tramite tecniche di horizon scanning;
  • Aiuta l’azienda ad individuare i propri fornitori critici grazie all’analisi di impatto aziendale;
  • Forma il personale e lo sensibilizza verso tali problematiche con sessioni di awareness;
  • Punta a coinvolgere il top management nei programmi riguardanti la resilienza e la continuità operativa;
  • Fornisce una mappatura dei singoli punti di cedimento e dei dipartimenti da proteggere da possibili shock o cambiamenti.

Il beneficio portato da sistemi di BCM non è solo teoria. In una recente indagine sulle sinergie tra BCM e sostenibilità, è emerso che la business continuity aiuta ad avere anche una maggiore visibilità dei rischi di tipo Environmental, Social and Governance (ESG), che al giorno d’oggi interessano le filiere come non mai per questioni di salute e sicurezza, compliance e reputazione. Tale indagine ha anche rivelato che le aziende dotate di sistemi di BCM hanno subito meno l’impatto degli effetti della pandemia. Ovviamente, questo si applica soprattutto a chi segue in maniera più rigorosa le buone pratiche descritte negli standard internazionali[5].

Gli standard internazionali: il punto di Gianna Detoni, Project Leader della nuova ISO/TS 22318 sulla resilienza delle supply chain.

Le discipline di continuità e resilienza sono praticate da più di 30 anni. Tuttavia, solo recentemente hanno riscosso maggior interesse da parte delle organizzazioni che hanno realizzato, anche grazie a lezioni apprese da gravi interruzioni subite, che non possono fare a meno di queste importanti metodologie di tutela di tutti gli asset organizzativi.

Nel 2012 sono state emesse le prime ISO per la certificazione delle organizzazioni (ISO 22301 e ISO 22313). Entrambe sono già passate attraverso una revisione della Commissione Tecnica e sono state riemesse nel 2019 e nel 2020. A seguire, si è sentita l’esigenza di emettere le Specifiche tecniche relative ad aree della continuità e resilienza. Quindi, nel 2015 sono state emesse le ISO/TS 22317 (relativa alla Business Impact Analysis) e la ISO/TS 22318 (relativa alla Supply Chain Continuity). Entrambe queste technical specification sono oggetto di revisione quest’anno e la data stimata di emissione sarà nel luglio 2021. Molte altre negli anni sono state emesse per le esercitazioni, le strategie e le soluzioni di continuità, per la continuità delle persone. Ulteriori informazioni si possono trovare al link: https://www.iso.org/committee/5259148.html).

Avendo l’onore e il privilegio di rappresentare l’UNI e l’Italia nelle commissioni tecniche relative alle discipline di Continuità e Resilienza, ho partecipato e partecipo con PANTA RAY a tutti i lavori di emissione e revisione degli standard internazionali. Inoltre, quest’anno mi hanno nominato Project Leader della revisione della ISO 22318. La continuità della supply chain era un tema molto sentito già prima del 2020. Molte organizzazioni nel passato avevano infatti riportato gravi conseguenze proprio per interruzioni nella propria catena di fornitura. Quindi, si era sentita l’esigenza, e presa la decisione di revisionare la ISO/TS 22318 già a settembre 2019. È indubbio che il periodo storico che stiamo vivendo quest’anno ha portato il tema della continuità della supply chain sui tavoli del top management e sicuramente tutti i cambiamenti effettuati nello standard internazionale saranno molto utili agli stakeholder – ai team di business continuity, al procurement, ai titolari dei processi di supporto e di business e al top management – per applicare una metodologia che assisterà in questo complesso controllo indiretto che tutte le organizzazioni devono esercitare per tutelare il proprio business e i propri clienti in caso di interruzioni della catena di fornitura. Nella nuova ISO/TS 22318 ci siamo molto concentrati sia sulla parte upstream che downstream della supply chain, tenendo presente non solo il primo livello (tier 1), ma gli altri livelli (tier 2, 3 ecc.) per eventuali interruzioni dei fornitori dei nostri fornitori. Abbiamo anche migliorato la metodologia, semplificando il processo di presupposti e di azioni da compiere. Abbiamo applicato l’esperienza acquisita in questi anni (inclusa la pandemia) e inserito delle appendici con esempi pratici relativi, ad esempio, ai questionari da inviare ai fornitori, alle azioni da eseguire durante una crisi, alle possibili esercitazioni da eseguire con i fornitori.

Il controllo della continuità dei fornitori non è semplice e sono fermamente convinta che senza una metodologia le organizzazioni saranno in difficoltà in caso di crisi e interruzioni nella supply chain.

 

Note

[1] BCI Supply Chain resilience Report 2019. The BCI. 2019.

[2] https://www.start4-0.it/

[3] Christopher and Peck, 2004.

[4] Resilience Strategies for Complex Supply Chains. PANTA RAY. 2019

[5] Business Continuity and Sustainability Report 2020. PANTA RAY. 2020.

 

Articolo a cura di Gianna detoni e Gianluca Riglietti

Profilo Autore
Gianna Detoni

Gianna Detoni, Presidente PANTA RAY e BCI Global Industry Personality 2017
Con un passato nella gestione della Risk Resilience in JPMorgan Chase, Gianna Detoni è Presidente e Fondatrice di PANTA RAY, società leader nella consulenza e formazione in ambito continuità e resilienza.
È considerata uno dei massimi esperti internazionali in queste materie. Per questa ragione il Business Continuity Institute (BCI) l’ha eletta ‘Global Continuity & Resilience Industry Personality of the Year 2017’.
Nel ruolo di BCI Approved Instructor, ha dato un importante contributo alla realizzazione dell’attuale edizione delle Good Practice Guidelines del BCI, il testo di riferimento per i professionisti di continuità e resilienza.
Inoltre, Gianna è spesso ospite di importanti conferenze e tavole rotonde internazionali come esperta nelle tematiche di sua competenza.

Profilo Autore
Gianluca Riglietti

Gianluca Riglietti si occupa dello sviluppo di ricerca e contenuti nell’ambito della continuità operativa e della resilienza. La sua esperienza include la gestione end-to-end di progetti di ricerca su scala globale per aziende ed enti come BSI (British Standards Institutions), Zurich, Siemens, Everbridge, Regus e SAP. È inoltre molto attivo nella diffusione della cultura di continuità operativa, tramite la regolare partecipazione ad eventi e webinar su scala globale.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Da WatchGuard nuovi Access Point Wireless per garantire maggiore sicurezza ai clienti quando sono online

Da WatchGuard nuovi Access Point Wireless per garantire maggiore sicurezza ai clienti quando sono online

A cura di:Redazione Ore Pubblicato il

AP300 combina le moderne funzionalità wireless con l’avanzata sicurezza di WatchGuard per offrire una protezione ancora più elevata contro gli attacchi di rete WatchGuard® Technologies, produttore di firewall multifunzione, lancia il nuovo Access Point AP300 per un accesso wireless protetto. Progettato per funzionare insieme alle appliance Firebox Unified Threat Management (UTM) di WatchGuard, l’AP300 fornisce…

Dì NO al ransomware: l’esclusiva serie di webinar Trend Micro

Dì NO al ransomware: l’esclusiva serie di webinar Trend Micro

A cura di:Redazione Ore Pubblicato il

In che modo puoi proteggerti contro il ransomware? Grazie al nostro programma webinar esclusivo sul Ransomware, potrai ottenere maggiori informazioni su: Evoluzione del ransomware e situazione attuale Modalità di diffusione e di infezione delle macchine da parte del ransomware In che modo Trend Micro può aiutarti contro gli attacchi ransomware: Cosa fare adesso e come…

La botnet Emotet ritorna e cambia metodo di attacco

La botnet Emotet ritorna e cambia metodo di attacco

A cura di:Redazione Ore Pubblicato il

Dopo una breve vacanza, Emotet è tornato a distribuire email con allegati nel gennaio 2022. Già il 21 dicembre scorso, erano state evidenziate nuove attività, caratterizzate da una nuova metodologia di infezione. Solitamente, Emotet fa uso del thread hijacking per la sua tecnica di attacco, metodo che genera risposte false basate su email legittime rubate…

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

A cura di:Redazione Ore Pubblicato il

Security Service Edge (SSE) è un concetto importante per comprendere il viaggio verso un’architettura Secure Access Service Edge (SASE). SSE è un termine introdotto da Gartner in riferimento allo stack di sicurezza in evoluzione necessario per raggiungere con successo una convergenza SASE, che include funzionalità tecnologiche come Cloud Access Security Broker (CASB), Secure Web Gateway…

I compiti del DPO alla luce del Regolamento UE n. 2016/679 e delle relative linee guida

I compiti del DPO alla luce del Regolamento UE n. 2016/679 e delle relative linee guida

A cura di:Michele Iaselli Ore Pubblicato il

Il ruolo del DPO (Data Protection Officer), così come disciplinato dal Regolamento UE sulla protezione dei dati personali n. 2016/679 e dalle linee guida del WG 29 del 16 dicembre 2016 successivamente emendate il 5 aprile 2017, è davvero molto delicato poiché funge da punto di raccordo fra il titolare ed il responsabile da un…

Catena di Fornitura del Software: vettori di attacco e minacce alla sicurezza

Catena di Fornitura del Software: vettori di attacco e minacce alla sicurezza

A cura di:Redazione Ore Pubblicato il

Nel vasto panorama della sicurezza informatica, gli attacchi alla catena di fornitura del software (o “Software Supply Chain Attacks“) rappresentano una crescente preoccupazione. La loro insidiosità è radicata nella capacità degli aggressori di sfruttare un singolo elemento vulnerabile, come una particolare fase del ciclo di sviluppo o una libreria di terze parti, per poi infiltrarsi…