PrivSecGlobal 29 Giugno 2022
La gestione dei fornitori. I questionari sono affidabili?
Oggi ho avuto l’onore e il grande piacere di partecipare ad una sessione live del PrivSecGlobal di giugno.
PrivSec, organizzato da GRC World Forums è una delle principali fonti di contenuti per il settore della protezione dei dati, della privacy e della sicurezza, con eventi che si tengono a Londra, Dublino, New York e in più di 150 sessioni livestream, cui hanno partecipato, sinora, delegati di oltre 130 paesi.
In agenda, oggi, anche il tema intitolato “Vendor Risk Management: Can You Trust Vendor Risk Questionnaires?”, in altre parole la complessa gestione dei rischi connessi alla catena dei fornitori: come comportarsi con gli usuali “questionari” utilizzati per verificare la loro affidabilità, la loro rispondenza a determinate caratteristiche e, ancora, la reale applicazione di determinate misure, tecniche e organizzative, ma anche finanziarie e in generale di compliance che sono oggigiorno richieste in molteplici settori?
Ho avuto il piacere di discutere (nel mio inglese non proprio perfetto… 😅), con due esperte professioniste: Anoosh Arevshatian, Chief Risk Officer in Zodia Custody e Julie Armindo Kremp, Privacy & Data Protection Specialist, Legal & Compliance Counsel in Remerge GmbH.
Come immaginavo, l’esperienza di grandi aziende e di grandi realtà, messa a confronto con la mia, “limitata” a piccole e medie imprese del territorio italiano è assai diversa.
Ma i punti fondamentali e le necessità che abbiamo rilevato in ordine a quanto discusso sono state, sostanzialmente, le medesime.
Per chi fosse interessato, riassumo qui di seguito alcuni dei temi che abbiamo trattato, perché penso che riguardino questioni utili a tutte le aziende.
Le questioni
Lo sviluppo dell’attuale ecosistema dei rapporti di affari è andato complicandosi sempre di più e il trend è, anche a seguito della pandemia, in decisa crescita, potremmo dire addirittura esponenziale.
E’ infatti del tutto evidente quanto siano aumentate le interconnessioni tra le aziende e come ciascuna, spesso con ruoli diversi, si affacci al mondo degli affari avendo necessariamente “bisogno” di intrattenere rapporti con una molteplicità di fornitori e di venditori, di provider di servizi o di gestori di applicativi.
E’ ormai indiscutibile, oltre che necessario, spesso anche da un punto di vista normativo, che le interrelazioni tra le aziende siano correttamente gestite, sia prima della stipulazione degli accordi, durante le negoziazioni, sia durante lo svolgimento dei rapporti sia, infine, anche al termine delle relazioni.
Da un tale ecosistema nascono, è intuibile, esigenze specifiche di gestione delle diverse tipologie di soggetti, in particolare fornitori, che possono essere ricompresi nella generalità di quella che viene definita la supply chain.
Chi effettua le indagini e le verifiche, anche tramite appositi questionari, sulle caratteristiche dei fornitori?
Il primo argomento che abbiamo trattato riguarda i soggetti cui le aziende demandano i controlli e le verifiche sui possibili nuovi partner.
Da punti di vista e da esperienze alquanto diverse (sia Anoosh sia Julie lavorano per società piuttosto strutturate, la prima nel settore dei crypto asset e la seconda nel grande mondo della consulenza globale), abbiamo comunque convenuto su un punto importante: il processo di gestione dei fornitori, sia nelle imprese di modeste dimensioni sia in quelle più grandi, deve essere monitorato: che sia un team, magari anche con l’ausilio di appositi software o piattaforme, o che sia un soggetto cui è demandato questo specifico compito, è fondamentale, per le enormi conseguenze che possono derivare da una non corretta gestione, che le analisi sui requisiti che il fornitore deve avere e sulle misure che deve rispettare siano gestite sin dalle primissime fasi e che, successivamente, non siano “dimenticate”, bensì verificate secondo tempistiche determinate.
L’approccio risk based
Da questo punto di vista è risultato evidente a tutti i relatori come sia estremamente utile, laddove non necessario per ragioni normative, categorizzare i fornitori mediante un approccio risk based.
La necessità, laddove possibile, di una centralizzazione di un tale approccio ma, in generale e soprattutto, anche la definizione di quali siano i fattori di rischio coinvolti nei rapporti con le differenti categorie di partner sono risultate evidenti e condivise.
Se, da un lato, una adeguata compilazione di un inventario dei fornitori, con evidenziazione delle componenti di rischio ad essi associate (si pensi a quanti fornitori possono avere, per esempio, accesso alle informazioni aziendali o ai dati personali dell’organizzazione), consente di catalogare gli stessi secondo standard piuttosto conosciuti, con livelli di rischio generalmente ricompresi in tre o quattro fasce (livelli “bassi”, “medi”, “alti” o anche “molto alti”), da altro punto di vista tale modalità consente la focalizzazione dell’attenzione e la conseguente gestione, soprattutto, delle categorie di fornitori con livelli di rischio assegnato maggiormente significativi.
Quanto appena detto vale, è intuibile, soprattutto per realtà non particolarmente strutturate, nelle quali spesso, una volta contrattualizzato un partner, si tende a mantenerlo tale per lunghi periodi, senza ulteriormente richiedere approfondimenti o dimostrazioni di osservanza di particolari standard o misure di sicurezza.
Da un altro punto di vista, la suddivisione dei partner in diverse, limitate categorie correlate al livello di rischio che esse presentano, consente una più agevole gestione di quello che, nel corso del dibattito, ci è sembrato un altro aspetto estremamente rilevante: l’individuazione delle adeguate misure, garanzie, controlli richiesti al fornitore.
L’individuazione delle specifiche garanzie richieste
Il dato che è emerso con evidenza dai contributi è, a mio avviso, quello per il quale molto spesso l’utilizzo dei questionari di valutazione si risolve, sia nella predisposizione dello stesso sia, successivamente, da parte del fornitore, nella sua compilazione, in un mero esercizio di “check boxing”, ossia di inserimento di “x”, o di flag, nelle apposite caselle.
La questione, come accennato, ha rilevanza sotto un duplice profilo: quello della predisposizione e quello della compilazione.
Dal primo punto di vista è infatti evidente che, laddove possibile, dovrebbe essere l’impresa interessata alla “verifica” del fornitore a individuare con esattezza e precisione quelle che sono le misure, i controlli, le garanzie che pretende che un determinato fornitore adotti e/o presenti, sia in sede di scrutinio dello stesso, precontrattualizzazione, sia in sede di gestione del relativo rapporto.
Benché una tale prospettiva, soprattutto con riferimento ai grandi e potenti provider sia spesso solo una chimera, è però altrettanto evidente che, laddove se ne abbia il potere contrattuale, è opportuno che le misure e i controlli di cui si è detto non si risolvano in una mera presa d’atto di questionari che, a dirla tutta, poco indagano sulla reale conformità dei fornitori.
Da un secondo punto di vista è emerso con notevole chiarezza come sia davvero importante che le aziende pretendano, dai propri fornitori, non solo la compilazione dei questionari, ma anche che forniscano l’evidenza di quanto dichiarato.
La questione connessa alla prova di quanto indicato nelle risposte è, infatti, assolutamente centrale nell’’odierna ottica dominata dal principio dell’accountability: le aziende devono essere in grado, una volta stabilito il livello di rischio che intendono affrontare, di dimostrare concretamente di avere messo in atto misure che siano adeguate ad gestirlo.
Gli aspetti “dolenti” dei questionari
Un altro aspetto sul quale, insieme con le mie “colleghe” di sessione, ci siamo trovati in sintonia, riguarda il fatto che molto spesso il semplice utilizzo e successiva compilazione di un questionario è ben lungi dal dimostrare e garantire che determinate misure o controlli siano adeguati allo scopo per il quale sono richiesti.
Sovente, infatti, i questionari si limitano a chiedere se quel determinato fornitore o provider “applica” un determinato controllo, una determinata misura; se è conforme con una o più disposizioni di determinati testi normativi o regolamentari.
Il punto è, almeno per quanto è emerso dalla breve discussione, che tali attestazioni sono ben lungi dal dimostrare la robustezza e la concreta adeguatezza delle misure o delle garanzie indicate, perché spesso indagano solo sulla “presenza” della misura.
Di conseguenza, anche in questo caso ove possibile, è emersa l’opportunità che le aziende si impegnino sin dall’origine del rapporto e sulla base del citato approccio risk based, a individuare e richiedere specifiche misure e accorgimenti ai propri fornitori, che siano adeguatamente progettati proprio per prevenire o limitare i rischi connessi con quelle determinate attività che, a quel determinato fornitore, vengono richieste o demandate.
Le “evidenze” dei questionari
Per concludere questa breve disamina del mio primo (e speriamo non ultimo!) intervento al PrivSecGlobal, un accenno ad un ultimo, assai importante aspetto: fidarsi è bene, ma pretendere la prova di quanto i fornitori dichiarano è essenziale.
Le imprese dovrebbero maturare e sviluppare la capacità, soprattutto per le aree maggiormente esposte a rischio, di assicurarsi di definire precisi aspetti che i fornitori devono presentare e, una volta iniziati i rapporti con questi ultimi, pretendere, su basi regolari, che essi forniscano assicurazione di mantenere i requisiti richiesti ma anche, come accennato, che essi forniscano continuativamente (o almeno a scadenze contrattualizzate) evidenze documentali e probatorie dell’osservanza di quanto pattuito.
Se, infine, le aziende avessero la volontà e la possibilità di eseguire, per determinati fornitori di particolare rilevanza, audit sul campo, ciò contribuirebbe enormemente ad assicurare loro un notevole rispetto del principio di accountability.
Julie, al termine della sessione, ha utilizzato una simpatica (e molto femminile… 😀) metafora legata alla opportunità di, come nel matrimonio, “verificare bene, e prima, i requisiti che il futuro marito dice di avere” e, successivamente, durante, “di non dimenticarsene, continuando, se necessario, a richiederli”.
Insomma: fidarsi è bene ma non fidarsi è meglio!
