Dal Board alla Security: come convincere il top management che la sicurezza fisica non è un costo

Per molti Board, la sicurezza fisica è una voce di spesa da comprimere. Per un Security Manager o un CISO, è un paradosso: quando la sicurezza funziona, “non succede nulla” e il valore resta invisibile. Questo articolo fornisce una cassetta degli attrezzi per trasformare la sicurezza da centro di costo a investimento strategico, parlando la lingua di CEO e CFO: rischio in euro, KPI, ROI, continuità operativa, impatto su EBITDA e resilienza di supply chain. Chiude con una traccia operativa “pronta da usare” per costruire un business case e un Board Pack efficace.

1) Perché il Board la vede come un costo

Tre bias tipici:

1. Invisibilità del successo: gli incidenti evitati non compaiono a bilancio.
2. Illusione di conformità: “siamo a norma, quindi siamo al sicuro” (non è vero: la norma definisce minimi, non la resilienza).
3. Short-termism: il trimestre pesa più del rischio annualizzato.

Come ribaltare la prospettiva: sposta la conversazione dal “quanto spendiamo” al “quale perdita annua attesa riduciamo” e “quale quota di EBITDA proteggiamo”.

2) Parla la lingua del CFO: dal rischio ai numeri

Le tre grandezze chiave:

• ALE (Annualized Loss Expectancy) = perdita annua attesa = Probabilità x Impatto.
• TCO dell’incidente = perdite dirette + fermo produzione + straordinari + ripristino + impatto reputazionale assicurativo.
• ROI del programma di sicurezza = (Perdite evitate – Costo programma) / Costo programma.

Mini-esempio didattico (semplificato)

Storico aziendale: 8 incidenti/anno.

• Perdita media diretta: 12.000 € → 96.000 €
• Fermo medio: 1,5 h/incidenti; costo 18.000 €/h → 216.000 €
• Costi amministrativi/indagine: 2.000 €/incidente → 16.000 €
• ALE attuale = 96.000 + 216.000 + 16.000 = 328.000 €

Programma proposto (tecnologie + procedure + personale + governance) da 120.000 €/anno, con riduzioni attese basate su benchmark interni:

• –50% perdite dirette; –40% fermo; –55% amministrativi.
• ALE post-intervento = 48.000 + 129.600 + 7.200 = 184.800 €
• Perdite evitate = 328.000 – 184.800 = 143.200 €
• ROI = 143.200 / 120.000 – 1 = +19%, payback ≈ 10 mesi.

Completa con sensibilità (best/worst case) o, quando possibile, con una breve simulazione Monte Carlo che fornisca P10, P50 e P90 delle perdite evitate.

3) KPI che contano davvero per il Board

KPI di rischio e resilienza

• ALE per sito e totale gruppo; indice di severità incidenti; rischio residuo vs risk appetite.
• Tempo di Recovery (RTO) e Livello di Servizio in emergenza (es. copertura presidi h24).

KPI di performance operativa

• SLA di erogazione > 96% costante nel trimestre/anno; MTTR e tempi di escalation; accuratezza nei controlli accessi; tasso falsi allarmi; uptime sistemi.

KPI economici

• Perdite evitate vs baseline; impatto su premio assicurativo; efficienza amministrativa (unico centro di acquisto); riduzione fornitori e contratti da gestire; saving da economie di scala.

4) Dalla sicurezza alla resilienza: cosa cambia nel piano

• Analisi del rischio evoluta: include minacce operative (sabotaggio interno, furti, intrusioni), eventi fisici/ambientali, interruzioni supply chain e dipendenze da terzi.
• Soluzione integrata: controllo accessi (anche biometrico), videosorveglianza con analytics, antintrusione, procedure e formazione, più presidio fisico qualificato.
• Governance: un unico interlocutore che coordina tecnologia e personale, con coordinatori dedicati e verifiche periodiche su procedure e SLA.

5) Il business case in 5 mosse

• Baseline: raccogli 12–24 mesi di incidenti, fermo impianti, shrinkage, costi di ripristino, penali logistiche, extra-ore.
• Quantificazione: costruisci l’ALE e il TCO; valida le assunzioni con Operations/Finance.
• Design della soluzione: seleziona misure e dimensionale il mix “tecnologia + persone + processi”, indicando rischi residui.
• Contrattualistica: definisci SLA, KPI, penali/bonus, singolo punto di responsabilità, piano di transizione.
• Assicurazione e compliance: mostra come il programma riduce esposizione a sanzioni/regolatori e supporta ribassi di premio assicurativo.

6) Storytelling per il Board: struttura del pacchetto

Slide 1–2: Contesto e rischio

• Heatmap dei top 5 scenari, ALE per scenario, trend ultimi 24 mesi.

Slide 3–4: Impatto economico

• Perdita annua attesa in euro, breakdown per sito/causa; collegamento all’EBITDA e al servizio al cliente.

Slide 5–6: Opzioni a confronto

• “Status quo” vs “Programma integrato” vs “Solo tecnologia” vs “Solo presidio”. Costi, benefici, rischi residui, time-to-value.

Slide 7: Governace & SLA

• Unico interlocutore, coordinatori, frequenza assessment, modello di reporting mensile/trimestrale.

Slide 8: KPI e target

• SLA ≥ 96%, MTTR, riduzione falsi allarmi, tasso di incidenti, saving amministrativi.

Slide 9: Roadmap 90-180 giorni

• Fasi, quick win, milestones e rischi di progetto.

Slide 10: Decisione richiesta

• Budget, tempi, metriche di successo e prossimi passi.

7) Contracting playbook per Acquisti e DG

• SLA chiari e misurabili: presenza, tempi di risposta, ispezioni a campione, qualità dei log, uptime sistemi, gestione badge/visitatori.
• KPI economici in contratto: economia di scala da unico centro di acquisto; riduzione fornitori; benchmark prezzi allineati al mercato e rispetto CCNL.
• Indipendenza dai singoli istituti di vigilanza: modello “network puro” per evitare lock-in e selezionare la soluzione migliore per ogni sito.
• Clausole di miglioramento continuo: bonus/malus, piani di remediation, riesami trimestrali, security assessment periodici.

8) Il fattore umano: formazione e cultura

• Programmi di awareness mirati per reception, guardiania, capi turno, HSE e IT/OT.
• Procedure vive: drill periodici, test di intrusione fisica autorizzati, tabletop exercise.
• Span of control dei coordinatori: gruppi di lavoro ristretti per garantire qualità e continuità del servizio.

9) Roadmap “pronta all’uso” (90 giorni)

Giorni 0–30:

• Assessment rapido per sito, mappatura varchi, impianti e presidi.
• Raccolta dati economici con Finance/Operations; definizione baseline ALE.
• Bozza Board Pack e definizione KPI/SLA.

Giorni 31–60:

• Disegno soluzione integrata e piano di transizione; RACI, flussi di escalation.
• Due quick win: hardening accessi critici + riduzione falsi allarmi.

Giorni 61–90:

• Contratto con SLA e bonus/malus; kick-off, formazione, primo report direzionale.
• Revisione assunzioni del business case e conferma target trimestrali.

10) Perché SSI come partner di esecuzione

• Catena del valore end-to-end: analisi del rischio, design, tecnologia, presidio fisico, procedure e auditing con un unico interlocutore.
• Network indipendente dagli istituti di vigilanza: scelte “super partes”, migliore combinazione costo-prestazioni sito per sito.
• Coordinatori dedicati con gruppi ristretti, ispezioni e controllo continuo sul campo; SLA > 96% e recupero di efficienza oltre il 15% riportati nei programmi gestiti.
• Centro di acquisto unico: economie di scala, semplificazione amministrativa, allineamento a CCNL e prezzi di mercato.