Cosa deve includere una buona analisi del rischio dei fornitori di semiconduttori? (Parte 1)

Quali aspetti considerare nell’implementazione delle valutazioni dei rischi per i fornitori di semiconduttori?

Cosa deve includere una buona analisi del rischio dei fornitori di semiconduttori? (Parte 1)

Questo articolo è la prima parte di una serie in due parti con approfondimenti del CEO di Z2Data Mohammad Ahmad sull’impatto di una nuova generazione di disruption sul modo in cui le aziende affrontano e implementano l’analisi del rischio fornitori e sulle azioni necessarie ai produttori per eseguire con successo una valutazione del rischio sui fornitori di semiconduttori. Legga la Parte 2, «Developing and Implementing a Risk Model for the Semiconductor Supply Chain», qui.  

La carenza di semiconduttori iniziata nel 2020 e protratta fino al 2023 è stata a tutti gli effetti una calamità per la catena di approvvigionamento. Questa interruzione storica ha frenato la produzione e distorto le dinamiche di domanda e offerta in un’ampia sezione trasversale di industrie su larga scala, portando costi superiori a 200 miliardi di dollari solo nel 2021 per l’economia statunitense con migliaia di posti di lavoro persi e rincari in larga parte irreversibili sui prodotti essenziali. 

Per molte organizzazioni, questa esperienza—insieme ad altre difficoltà di approvvigionamento e acquisti negli ultimi quattro anni—ha rappresentato la crescente rilevanza e diffusione del rischio fornitori. Aziende che fino a poco tempo fa gestivano le disruption in modo informale e ad hoc hanno riconosciuto d’un tratto l’urgenza—anzi, la necessità strategica—di adottare un approccio più proattivo e lungimirante per valutare i rischi legati alla propria filiera e alle aziende che la sostengono. In altre parole, si è consolidata la consapevolezza collettiva che sia possibile identificare, valutare e mitigare i rischi prima che impattino le operazioni, ad esempio con fermi di produzione, problemi regolatori o crisi di obsolescenza. 

Cos’è un’analisi del rischio fornitori 

Fortunatamente, produttori, importatori e altri stakeholder che devono analizzare il rischio dei propri fornitori possono attingere a una consolidata storia di best practice. Le analisi del rischio fornitori esistono, in varie forme, da decenni. Un’analisi del rischio—spesso definita anche valutazione del rischio—è un quadro di riferimento o una serie di criteri per riconoscere e valutare i rischi specifici posti da un determinato fornitore. Queste valutazioni strutturate rappresentano un elemento fondamentale della gestione del rischio nella catena di approvvigionamento (supply chain risk management), che il National Institute of Standards and Technology (NIST) definisce utilmente come un «processo sistematico per gestire il rischio nella catena di approvvigionamento, identificando vulnerabilità e minacce lungo tutta la filiera e sviluppando strategie di mitigazione per contrastare tali minacce».

Un’analisi del rischio—nota anche come valutazione del rischio—è un quadro di riferimento o una serie di criteri per riconoscere e valutare i rischi specifici posti da un determinato fornitore.

Le valutazioni del rischio fornitori rappresentano una pietra angolare della gestione del rischio nella catena di approvvigionamento. Sviluppando e implementando queste revisioni mirate, le aziende riescono a sottoporre potenziali fornitori a un processo di valutazione standardizzato, ottenendo una visione completa e puntuale delle vulnerabilità storiche che potrebbero ripetersi e generare importanti costi. È inoltre una delle strategie più efficaci per mantenere una posizione sempre più dinamica e reattiva verso la propria filiera. 

«È molto importante perché consente di anticipare potenziali problemi che potrebbero impattare la catena di approvvigionamento e quindi la consegna o la produzione del prodotto finale», afferma Mohammad Ahmad, CEO della piattaforma di supply chain risk management Z2Data. Tuttavia, queste valutazioni vanno ben oltre la semplice profilazione del rischio, precisa Ahmad: sono anche dossier dettagliati sui fornitori, utili per decisioni strategiche in molteplici ambiti. «Una delle grandi sfide oggi è: quanto si conosce davvero dei propri fornitori?» aggiunge. «Tutti vogliono maggiore visibilità sui propri fornitori.»

«Una delle grandi sfide oggi è: quanto si conosce davvero dei propri fornitori?» aggiunge. «Tutti vogliono maggiore visibilità sui propri fornitori.»

L’analisi del rischio fornitori non è certo una novità. Tuttavia, sta diventando sempre più uno strumento percepito come parte integrante della gestione efficace del rischio di supply chain piuttosto che una misura discrezionale. In un decennio complesso e turbolento come gli anni 2020, le imprese in grado di individuare e analizzare i rischi—raggiungendo così maggiore trasparenza con i propri fornitori—operano con un vantaggio competitivo cruciale.

I criteri più importanti per un’analisi del rischio fornitori

Tradizionalmente, i produttori che effettuavano una valutazione del rischio si concentravano su alcuni aspetti fondamentali dei fornitori: dati finanziari, qualità dei prodotti e reputazione. Le aziende valutavano il livello di esposizione dei loro fornitori, generando poi un punteggio composito in grado di riflettere il rischio complessivo del fornitore. 

Oggi, lo scenario di rischio per i produttori e le filiere da cui dipendono è più denso e complesso. Alle minacce tradizionali già elencate si aggiungono nuove criticità legate al contesto ambientale e geopolitico attuale, con fattori umani e naturali che amplificano la volatilità.  Di conseguenza, le aziende sono costrette a estendere l’elenco dei criteri di rischio includendo, ad esempio, la storia di conformità normativa e la posizione geografica. Quest’ultimo fattore è diventato particolarmente rilevante perché indica la suscettibilità del fornitore a minacce correlate quali disastri naturali, tensioni geopolitiche e conflitti commerciali. 

Oggi, lo scenario di rischio per i produttori e le filiere da cui dipendono è più denso e complesso.

Le imprese hanno sempre dovuto considerare il rischio che i fornitori subissero le conseguenze di eventi meteorologici estremi come tifoni, tornado e alluvioni. Tuttavia, l’influenza della crisi climatica ha accelerato la frequenza di questi eventi distruttivi. Secondo l’UN Office for Disaster Risk Reduction (UNDRR), il numero di «disastri su larga scala» affrontati annualmente dal pianeta è più che triplicato dalla fine del secolo scorso, attestandosi ora tra 350 e 500 casi l’anno. Diversi scenari climatici prevedono una crescita ulteriore di tali cifre nei prossimi anni. 

Negli ultimi cinque anni, i principali governi e le maggiori organizzazioni internazionali hanno iniziato a introdurre misure concrete di responsabilizzazione delle imprese per l’impatto su temperature e clima. I movimenti per la sostenibilità e l’ESG (Environmental, Social, and Governance) si stanno traducendo sempre più spesso in regolamenti giuridicamente vincolanti in tutto il mondo. Questo proliferare di regolamentazioni rappresenta una categoria di rischio inedita per produttori e stakeholder della filiera, che devono ora rispettare nuovi obblighi in materia di sostenibilità. Con l’entrata in vigore progressiva di direttive come CSRD, CS3D e i nuovi requisiti di informativa climatica della SEC, i fornitori si trovano ad affrontare nuove vulnerabilità normative.

Con l’entrata in vigore progressiva di direttive come CSRD, CS3D e i nuovi requisiti di informativa climatica della SEC, i fornitori si trovano ad affrontare nuove vulnerabilità normative.

A questo si aggiungono i rischi informatici in forte crescita. Questa categoria emergente è stata portata in primo piano da recenti attacchi cyber di portata e dimensione senza precedenti. L’attacco SolarWinds del 2020 a opera di gruppi russi e la violazione di Microsoft Exchange nel 2021 da parte di hacker collegati al Ministero della Sicurezza di Stato cinese testimoniano l’evoluzione preoccupante della guerra informatica nell’ultimo decennio. Con la crescita dell’audacia e della sofisticazione di questi gruppi e dei governi che li sostengono, le multinazionali in tutto il mondo sono sempre più esposte a fughe di dati, attacchi malware e profondi fallimenti di sicurezza. 

I produttori statunitensi e le altre aziende che oggi dipendono da una pluralità di fornitori e sub-tier si confrontano con una realtà incontrovertibile: la gestione del rischio di supply chain si è chiaramente evoluta. Chi vuole realizzare una propria analisi del rischio fornitori deve superare le minacce note che hanno storicamente afflitto le catene di approvvigionamento e imparare a riconoscere anche i rischi più recenti, ormai endemici in molte reti produttive. 

I produttori statunitensi e le altre aziende che oggi dipendono da una pluralità di fornitori e sub-tier si confrontano con una realtà incontrovertibile: la gestione del rischio di supply chain si è chiaramente evoluta.

Nel complesso, oggi esistono almeno una mezza dozzina di rischi per la catena di fornitura che dovrebbero essere inclusi in qualsiasi analisi di rischio completa: 

  • Solidità finanziaria e rischio di insolvenza/fallimento
  • Eventi estremi e rischi climatici
  • Rischi geopolitici
  • ESG e sostenibilità 
  • Cybersecurity
  • Conformità alle normative commerciali
  • Trasparenza dei dati 

Raccolta dati per le valutazioni del rischio 

Una volta compreso il valore della misurazione del rischio dei propri fornitori e le specifiche categorie di rischio da analizzare e valutare, è possibile procedere con l’attività di assessment. Il primo e forse più importante passaggio consiste nella raccolta dei dati relativi ai fornitori. Esistono molteplici strategie per aggregare queste informazioni e non è consigliabile affidarsi ad un solo approccio. Conviene invece sfruttare metodi diversi, partendo dai dati pubblicamente disponibili: informazioni finanziarie, ubicazione di sede e dei siti produttivi, e reportistica ESG (che sarà sempre più accessibile nei prossimi mesi e anni). 

Dopo aver raccolto tutte le informazioni pubbliche disponibili, occorre individuare eventuali lacune e rivolgersi direttamente ai fornitori per ottenere i dati che non è stato possibile reperire autonomamente. Questa seconda fase avviene spesso tramite questionari che sottopongono ai produttori una serie di domande sulle misure di sicurezza adottate, sulle strategie di mitigazione dei rischi e sulla loro gestione della catena di approvvigionamento. 

Il questionario SIG (Shared Information Gathering), ad esempio, è uno strumento di gestione del rischio fornitori sviluppato dall’organizzazione Shared Assessments. Comprende centinaia di domande mirate a offrire insight pratici su 21 domini fondamentali, tra cui:

  • Compliance Management
  • Environmental, Social, and Governance (ESG)
  • Enterprise Risk Management
  • Cybersecurity Incident Management 
  • Network Security
  • Operational Resilience 

Sebbene i questionari siano fondamentali per la raccolta dati, non dovrebbero essere l’unica fonte di informazioni sull’ecosistema dei fornitori. «Non credo che debba essere la sola fonte», afferma Ahmad. «È essenziale disporre di più fonti di informazione, così da poter assumere decisioni basate sul rischio e valutare se approfondire ulteriormente.»

Costruire un processo globale di valutazione del rischio: Parte 2

Individuare i rischi e reperire tutti i dati pertinenti rappresenta solo il primo passo nell’ambito di un processo strutturato di valutazione del rischio. Una volta completata questa fase, come procedere nel costruire un modello di rischio e implementare concretamente una valutazione?

Approfondiamo questi aspetti—e analizziamo alcune delle minacce più rilevanti e peculiari della catena di approvvigionamento dei semiconduttori—nella seconda parte dell’articolo Developing and Implementing a Risk Model for the Semiconductor Supply Chain.