La security aziendale: da centro di costo a sostenibilità d'impresa

A differenza della Safety, i cui ambiti applicativi riflettono la “cogenza” del D.Lgs. 81/08, la Security non è “rigidamente” inquadrata in una norma legislativa poiché la sua afferenza è trattata nello standard tecnico UNI 10459:2017. Tuttavia, la Security presenta i vantaggi di essere flessibile, dinamica e particolarmente adattabile alle “diversità” di ogni contesto aziendale e alla “eterogeneità” delle esigenze. Per questi motivi, contrariamente a quanto si è indotti a pensare, la security aziendale non è un esclusivo appannaggio delle Multinazionali o delle Corporation: è un’attività specialistica che può essere “dedicata” anche alle PMI e alle aziende mono business. Malgrado queste peculiarità, la Security è spesso associata ad un atteggiamento “difensivo” poiché tradizionalmente preposta alla protezione dei soli asset infrastrutturali, trascurando l’opportunità di dotarsi di una risorsa per “allargare” il perimetro di tutela della propria azienda e, quindi, dei propri interessi. Il modello proposto, senza alcuna pretesa di esaustività, è il risultato della mia esperienza durante la quale “vivo” e applico le evoluzioni della security d’impresa che, da funzione “dedicata”, è diventata un “processo integrato”. L’internazionalizzazione del business e la continua evoluzione tecnologica sono, giusto per citarne un paio, alcuni degli aspetti che hanno determinato la crescita del valore aggiunto che la security aziendale deve saper apportare ad una organizzazione. Ciò è ancora più accentuato, nell’ottica dell’efficacia e dell’efficienza, dalla necessità di essere il più resilienti possibile rispetto a tutta quella serie di rischi cosiddetti nuovi o recrudescenti ai quali sono esposte le organizzazioni aziendali, a prescindere dalla rispettiva complessità interna o di relazione esterna.

L’approccio orientato alla Business Security

L’approccio corretto ai problemi della committenza in materia di security è anzitutto il riflesso di tre considerazioni:

1. non esiste una security aziendale, bensì tante securities quante sono le aziende e le loro situazioni specifiche.

La security, così come la gestione del rischio in generale, è assimilabile ad un abito sartoriale cucito e confezionato per le specifiche complessità aziendali;

2. in questi anni il concetto di corporate security è mutato abbracciando un orizzonte sempre più ampio lungo una time line evolutiva: nel panorama della “sicurezza anticrimine” sono cambiati gli strumenti e le tecnologie a disposizione, sono cambiati i vincoli normativi, i contesti e gli scenari d’azione, sono cambiate le aspettative degli stakeholders, le metodologie operative e i rapporti di partenariato fra pubblico e privato ma, soprattutto, sono cambiate le “domande” alle quali un consulente deve essere in grado di rispondere (in accordo con le variate esigenze di business) e, di conseguenza, si è evoluta la considerazione del ruolo che tale professionista ricopre, portando con sé molte aspettative. A questa evoluzione delle complessità che la security aziendale è chiamata a presidiare, deve corrispondere un “progredire” delle competenze e delle abilità di un consulente: dinamismo, proattività ai rischi, flessibilità, apertura al cambiamento, trasversalità, capacità di lettura dei diversi contesti e adattamento, resilienza organizzativa, sono diventati i concetti-chiave di riferimento di un security advisor per sviluppare approcci strategici innovativi;

3. ogni realtà aziendale va considerata nella dimensione più completa: strategica-funzionale-socioeconomica-reddituale-competitiva.

Configurazioni diverse per ogni azienda, a seconda dell’attività svolta, delle vulnerabilità, della potenzialità specifica delle minacce e dei rischi cui è esposta, della sua mappa dei rischi e dell’impatto che gli stessi potrebbero avere, specie sugli elementi principali della catena del valore.

La collocazione più adeguata di un Security Plan orientato al business è pertanto legata non a quello che la security fa, quanto allo scopo che questa si prefigge di raggiungere, che, beninteso, è quello di proteggere adeguatamente ciò di cui un’azienda è proprietaria, allo scopo di consentirle di immetterlo - nel migliore dei modi - sul mercato. Poiché qualunque organizzazione economica in tanto esiste in quanto vende ciò che produce, la security deve tutelarla non soltanto nei ristretti confini aziendali, ma, anche e soprattutto, nello spazio aperto sia dell’ambiente fisico circostante e sia del mercato: un approccio che orienta la consulenza verso finalità economiche della security, poiché a nulla serve assicurare protezione all’azienda, se ciò avviene a danno del suo profitto e, quindi, della sua stessa ragione di esistere e di operare. In questa prospettiva, la business security deve essere in grado di assicurare il mantenimento nel tempo della capacità concorrenziale e contribuire a garantire il funzionamento dei processi di creazione del valore, svolgendo un ruolo importante nelle strategie di sviluppo e di salvaguardia del business, non soltanto proteggendo gli assets fondamentali dell’azienda ma anche tutelando i processi-chiave che generano valore e profitto.

Tuttavia, quella economica non è la sola dimensione del modello organizzativo proposto: è vano tutelare il profitto di un’azienda, se qualche “evento negativo” può metterne in discussione la sua stessa esistenza. Pertanto, le valutazioni e le proposte, oltre a considerare l’eventualità degli eventi delittuosi in grado di danneggiare le capacità imprenditoriali, nell’ottica della business security devono rispettare sia le componenti di economicità e sia le finalità dei livelli di prevenzione necessari a contenere le potenzialità dei rischi di natura dolosa e illecita.

I vantaggi di un modello “all risk assessment”

Da diversi anni anche in Italia la gestione della sicurezza nelle aziende si è orientata verso un modello tipico del mondo anglosassone: Security e Safety non vengono più considerate a sé stanti e anche al security advisor inizia ad essere richiesta una competenza multidisciplinare e una versatilità di intervento. La convergenza tra le esigenze di Security e quelle di Safety diviene fondamentale, specialmente rispetto al concetto di resilienza (emergente dal 2010) e di resilienza organizzativa (attuale). Pertanto, organizzare la Sicurezza Aziendale in maniera “integrata” e “interdipendente” è essenziale per sviluppare una resilienza organizzativa nella gestione delle crisi e delle emergenze: fattori determinanti per la sostenibilità dell’impresa, poiché la “continuità operativa” rappresenta, di fatto, un valore aggiunto della strategia aziendale. Oggi, essere un security advisor significa ricoprire un ruolo di indirizzo strategico e di supporto decisionale business risk oriented, in favore dei decision maker e dell’executive board, incaricati, in ultima analisi, a decidere come trattare i rischi d’impresa: è un ruolo, quello del consulente, che deve esprimere la capacità non soltanto di “aiutare” un’azienda ma, soprattutto, di “farle prendere atto” di non essere esente da fenomeni criminosi di varia natura, sia di origine interna, sia conseguenti al fatto di operare in un contesto aperto, dinamico, variabile e mutevole, che la espone a possibili azioni illecite e vulnerabilità da parte di “attori esterni” al perimetro organizzativo e che potrebbero danneggiare gli assets aziendali.  

Ad ogni rischio la “sua” sicurezza

Considerando che “fare impresa” significa relazionare le decisioni e le azioni, ciò comporta l’inevitabile esposizione a una serie di rischi, pena l’inattività e il conseguente annullamento dei concetti di “strategia” e di “gestione” d’impresa: una “condizione di incertezza” che, proprio perché esprime il legame esistente tra la probabilità di accadimento di un evento inatteso e sfavorevole e l’impatto che si produrrebbe dal suo verificarsi, costituisce parte integrante e ineliminabile della vita di ogni realtà economica organizzata. In tale ottica, la security è una evidente necessità per ogni realtà economica e imprenditoriale, poiché l’efficacia produttiva e lavorativa passa necessariamente attraverso l’applicazione di dinamiche gestionali e modelli organizzativi improntati alla tutela della sicurezza, in ogni sua manifestazione e sotto ogni aspetto. Osservato dalla prospettiva imprenditoriale, il complesso dei rischi derivanti dall’attività di un’azienda nei confronti delle persone (stakeholder ed eventuali shareholder), degli asset organizzativi/tangibili/intangibili e delle forme relazionali con l’ambiente esterno, ricade sotto la dicotomia di “rischi core” (o “rischi imprenditoriali”) poiché insiti nella gestione d’impresa: ciò comporta l’inevitabile esposizione a una serie di rischi “residuali” di accezione esclusivamente negativa: essenzialmente quelli riconducibili alla security e, in forme più specifiche, quelli afferenti alla safety. Quello di “operare in sicurezza” è un concetto costantemente in relazione con i rischi: il punto di partenza è quello della sicurezza, intesa nella sua accezione più ampia di “tutela”, per arrivare a porla in relazione con la natura specifica dei rischi dai quali proteggersi. Nella pratica quotidiana, si tratta di “affidare” ad ognuna delle afferenze della sicurezza la particolarità dei rischi da mitigare e gestire per garantirsi forme e attività di tutela specifiche:

- RISCHIO DI SECURITY (un evento/comportamento, di natura dolosa e di origine interna/esterna, capace di compromettere l’incolumità delle persone e l’integrità degli assets aziendali: definito “rischio di natura criminosa”)

- RISCHIO DI SAFETY (un evento/comportamento, di natura colposa e di origine interna/esterna, capace di creare un avvenimento o un incidente lesivi per l’incolumità e la salute dei lavoratori e la sicurezza nel luogo di lavoro).

Entrambi posti in relazione con la pianificazione in materia di:

EMERGENCY (tutte le attività di sicurezza personali e sociali che devono scattare quando la security e la safety hanno fallito: ovvero per la protezione e per il contenimento del pericolo, così come per il soccorso ed il ripristino della situazione a seguito di un evento dannoso).

Ovvero una costante attività di analisi e mappatura dei fenomeni più rilevanti: un supporto alla programmazione strategica finalizzata all’individuazione oggettiva dei punti di forza e delle debolezze organizzative. La cooperazione che promuove l’approccio “all risk assessment” si basa su logiche trasversali, multidisciplinari e multidimensionali, nell’interesse di tutti, con il contributo responsabile di tutti. Certamente, talvolta significa implementare una policy, così come in altre situazioni si rende necessaria un’attività più specifica attraverso la conduzione di audit. In ogni caso, si tratta di analizzare e valutare i rischi d’impresa per individuare/gestire le ricadute in materia di Security e di Safety e mitigarne gli effetti. Nella pratica, significa raggiungere adeguati livelli di tutela e protezione del patrimonio aziendale costituito dalle persone, dalle informazioni/know-how, dagli assets (fisici, intangibili, organizzativi, operativi) provvedendo alla continuità operativa dell’intera organizzazione.

Le due “anime” del Business Security Plan

Le azioni illecite di origine esterna, specie quelle attuate mediante violenza o che possono sfociare in aggressioni, determinano una serie di responsabilità giuridiche in materia di “adeguata tutela” nei confronti di tutte le persone che, a vario titolo, si avvicendano all’interno della sede aziendale: la necessità, peraltro ribadita nella cogenza delle norme, è quella di individuare la convergenza tra la security e la safety per valutare gli aspetti ridondanti dei rischi di natura criminosa.

PARTICOLARITA’ DEI RISCHI DI NATURA CRIMINOSA

1. Direttamente connessi all’azione, all’operato e alla volontà (giuridicamente, intesa “dolo”) dell’uomo

2. Impattano non soltanto sul patrimonio economico aziendale ma soprattutto su tutti i soggetti presenti, a vario titolo, nel luogo di lavoro (prestatori d’opera, fornitori, appaltatori, visitatori, terzi in genere)

CONVERGENZA TRA LA SECURITY E LA SAFETY

I RISCHI DI SECURITY ESPONGONO LE PERSONE E IL LUOGO DI LAVORO A DETERMINATI LIVELLI DI PERICOLOSITA’ DAI QUALI PUO’ ORIGINARSI UN PREGIUDIZIO “TIPICO” DELLA SAFETY

• ALLA VITA
• ALL’INCOLUMITA’ PERSONALE
• ALL’INTEGRITA’ PSICO-FISICA E MORALE
• ALLA LIBERTA’ INDIVIDUALE

RIDONDANZA DELLE CONSEGUENZE DEL DOLO (SPECIFICO DI UN RISCHIO DI SECURITY)

• LESIVE RIGUARDO L’INCOLUMITA’ DELLE PERSONE
• DANNOSE PER GLI ASSET MATERIALI/IMMATERIALI

Quindi è necessario sviluppare tutta quella serie di attività dirette a prevenire, affrontare e risolvere eventi “incerti” e “sfavorevoli”, di natura prevalentemente illecita e intenzionale, capaci di esporre a effetti lesivi e/o dannosi gli assets primari dell’azienda, ossia quelli che la rendono potenzialmente più “sensibile” ed “esposta” a rischi rilevanti per l’operatività di business e la sua stessa esistenza.

Attraverso il Business Security Plan, l’Advisor deve pertanto fornire elementi determinanti per le scelte progettuali e strategiche: la security aziendale, in questa ottica, deve essere strutturata come un’opportunità, come un sinonimo di qualità, come un ausilio per il business. Il security advisor deve sapere inserirsi in un più ampio progetto di “management” per facilitare lo sviluppo e lo svolgimento di tutte le attività imprenditoriali, rendendo più “snelli” i processi del business e proteggendoli dall’impatto dei rischi.

Per qualsiasi azienda, allargare il concetto di “operare in sicurezza” si rileva un approccio necessario per “sintetizzare” e “ottimizzare” le attività strategiche e vitali al mantenimento del suo valore imprenditoriale, attraverso le 3 fasi di programmazione del Business Security Plan:

1. PRESIDIO DEI RISCHI

garantire la salvaguardia dagli eventi (interni ed esterni) sfavorevoli e dai loro effetti incerti, mediante il monitoraggio sistematico delle condizioni di rischiosità cui è esposta l'azienda

2. SAFETY

operare in sicurezza nell'ottica della tutela della salute dei dipendenti e della sicurezza nei luoghi di lavoro

3. BUSINESS SECURITY

operare in sicurezza nella prospettiva di salvaguardare gli asset e le persone da azioni dolose/lesive

Poiché è alquanto inutile proporre un’accezione “frequentista” delle minacce e dei rischi di natura illecita, a prescindere dall’origine interna o esterna, interpretando la loro potenzialità come una possibilità oggettiva del ripetersi con cui certi eventi si sono (o non si sono) verificati in un determinato lasso temporale, il Business Security Plan deve fondarsi su un pragmatismo di fondo, contestualizzato (quindi “su misura”) rispetto alle esigenze specifiche dell’azienda.

PRAGMATISMO DI FONDO

Trovare il giusto compromesso tra i rischi che si corrono, i danni che si possono subire, gli investimenti che si intendono fare e gli obiettivi che si intendono raggiungere.

Tutto ciò che è necessario a creare il valore imprenditoriale, è oggetto di tutela specifica attraverso due "componenti" della security aziendale:

SECURITY

Componente orientata alla “prevenzione anticrimine”

Tutela le persone e le attività attraverso la protezione del patrimonio infrastrutturale da azioni illecite prevalentemente di origine esterna

OTTIMIZZA L’EFFICIENZA

Proponendo implementazioni e interventi mirati

Si occupa di potenziare le resistenze (attive/passive) da opporre agli eventi criminosi

SECURITY

Componente orientata al “Business

Tutela il patrimonio e le attività da comportamenti/azioni illecite che, pur avendo origine interna, hanno una relazione diretta con l’ambiente esterno 

RICERCA L’EQUILIBRIO TRA L’EFFICIENZA E LA RESILIENZA

Badando che la catena del valore non venga compromessa dall’interno

Individua ciò che è necessario alla minaccia per aumentare le sue potenzialità nel compiere l’azione illecita.

Le opportunità offerte dal Business Security Plan

Fornisce risposte organizzative, strategiche, gestionali, operative, tecniche e tecnologiche, attraverso scopi e obiettivi:

Scopi:

1. applicare il concetto di Business Security alla catena del valore dell’azienda
2. contestualizzare le potenzialità dei rischi derivanti da azioni illecite alle quali sono esposte le persone e le attività dell’azienda

Obiettivi rispetto all’origine delle azioni illecite

“interne”

1. individuare le condotte illecite potenzialmente in grado di ledere le capacità reddituali e il valore imprenditoriale dell’azienda
2. evidenziare i vantaggi del Business Security Plan per sviluppare una resilienza organizzativa e preventiva rispetto al verificarsi di condotte/azioni lesive    

“esterne”

1. riscontrare le vulnerabilità dell’insediamento aziendale per implementare la “prevenzione anticrimine” proponendo un panel di soluzioni adeguate e concretamente utili.