Fasi della gestione del rischio

Il Risk Management (RM), inteso come insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un'organizzazione con riferimento ai rischi, assume conformazioni diverse nelle varie realtà organizzative; tuttavia è possibile individuare alcuni elementi comuni che ne definiscono il processo, ossia la totalità delle fasi che permettono il conseguimento dei target previsti da una gestione dei rischi, conferendo il massimo valore ad ogni attività. Scopo della gestione dei rischi è quello di eliminarli definitivamente, anche se nella maggior parte dei casi ciò diventa un traguardo irraggiungibile, a differenza della loro gestione con conseguente riduzione. A tal proposito è utile indicare la distinzione tra rischi eliminabili e riducibili. I primi sono quei rischi che possono essere eliminati alla fonte, agendo cioè con la rimozione di almeno uno dei due elementi che configurano la condizione di rischio ossia la fonte del pericolo e l’interazione fonte-uomo. I rischi riducibili, invece, devono essere ridotti a livello accettabile, dando vita al cosiddetto rischio residuo, ossia quel rischio rimanente dopo l’azione di riduzione, che deve essere controllato e gestito tramite opportune strategie.

Il processo di RM, generalmente, è suddiviso nelle seguenti fasi:

Ø Definizione della cultura, politica e ruoli nella gestione del rischio

Per un’organizzazione che decide di adottare un approccio alla gestione dei rischi, diventa essenziale la definizione della cultura, politica e ruoli e responsabilità, affinché il processo di RM sia implementato efficacemente. La cultura del rischio è inclusiva dei valori, norme, comportamenti, condivisi e rispettati dagli individui appartenenti all’organizzazione, necessari per approcciarsi e gestire adeguatamente i rischi. Per favorire il coinvolgimento del personale è importante, inoltre, che venga definita e comunicata all’interno dell’organizzazione una politica di RM, comprensiva degli obbiettivi da raggiungere, delle modalità di conseguimento degli stessi, delle strategie di controllo, valutazione e gestione dei rischi, per far si che rientrino nei livelli accettabili-tollerabili definiti. Il vertice aziendale deve, altresì, definire e comunicare chiaramente i ruoli e le responsabilità nell’ambito del Risk Management, ricordando che un’efficace gestione dei rischi è tale se fatta dalla totalità dell’organizzazione; in particolare i ruoli più importanti da definire sono: il Chief Executive Officer o CEO, ossia il maggiore responsabile della gestione del rischio, responsabilità che deve assumere per tutto il processo di RM, garantendo lo sviluppo e la realizzazione dei componenti necessari per un’efficace gestione del rischio; il Consiglio di Amministrazione, ovvero l’organo che definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi individuando e monitorando il profilo di rischio allineato con la gestione aziendale e gli obiettivi strategici prestabiliti; il Risk Manager, ovvero il responsabile del giusto funzionamento del processo di gestione del rischio, definisce e implementa metodi

185

di misurazione dei rischi, monitora il rispetto dei livelli di rischio definiti e l’efficienza del sistema di misurazione degli stessi; i Risk Owners sono responsabili dell’identificazione e della gestione operativa dei rischi per una determinata area organizzativa; il Chief Risk Officer, il cui compito è di relazionarsi con l’intera organizzazione allo scopo di coordinare e garantire l’adeguatezza del processo, mantenendo il corretto equilibrio tra costi ed opportunità; l’Internal Auditor, figura che deve garantire la funzionalità e l’efficienza delle operazioni aziendali, attraverso un compito di controllo interno e di supporto verso le altre funzioni nella gestione dei rischi; gli altri individui che operano all’interno dell’organizzazione svolgono compiti puramente esecutivi nell’attività di gestione del rischio in conformità alle direttive e ai protocolli stabiliti; un numero di soggetti esterni, come clienti, fornitori, partner, revisori esterni e analisti finanziari, spesso forniscono informazioni utili per il buon funzionamento del processo di gestione del rischio aziendale, ma essi non rispondono della sua efficacia, né fanno parte del processo stesso.

Ø Definizione degli obiettivi strategici dell’organizzazione, del Risk Appetite e della tolleranza al rischio

Il processo di RM per essere efficiente, ossia massimizzare le probabilità di raggiungere risultati positivi e minimizzare il pericolo di perdite, deve interagire con il processo di pianificazione strategica, favorendo il raggiungimento dei relativi obiettivi, attraverso strategie, contenenti la definizione delle risorse necessarie, le modalità di strutturare il processo e di come trattare i rischi, coerenti con il livello Risk Appetite, che condiziona l’intero processo di gestione degli stessi. Parallelamente alla delimitazione dei suoi target, l’organizzazione, definisce il Risk Appetite, ossia “l’ammontare dei rischi, a livello generale, che l’organizzazione è disposta ad accettare in cerca del valore aggiunto. Ogni organizzazione persegue obiettivi diversi per accrescere il valore aggiunto, e nel farlo dovrebbe ampiamente capire quali sono i rischi che è disposta a correre” (COSO, 2006). Esso riflette la propensione al rischio dell’azienda, ossia la disponibilità dell’impresa e la sua capacità ad assumere rischi allo scopo di raggiungere gli obiettivi, che influenza le strategie di crescita del valore e il modello di business adottato. La propensione è correlata alla tolleranza al rischio, ossia il livello di variazione massima ritenuto ammissibile rispetto ad un obiettivo in precedenza definito, infatti è “nell’impostare la tolleranza al rischio, che il Management deve considerare l’importanza dei relativi obiettivi e allineare la tolleranza al rischio con la propensione al rischio. Operare con la tolleranza al rischio assicura all’organizzazione di rimanere nei confini del Risk Appetite e di conseguire i suoi obiettivi” (COSO, 2006). Solo dopo avere identificato gli obiettivi strategici, ossia obiettivi generali definiti ai livelli più elevati della struttura organizzativa, che devono essere coerenti ed allineati alla propensione ed alla tolleranza al rischio, l’organizzazione può concentrarsi

186

sulla gestione dei rischi della propria attività, allo scopo di ridurli entro livelli accettabili, ovvero quei livelli talmente ridotti da potere essere considerati effettivamente nulli, o comunque tollerati perché i costi o le difficoltà per implementare una misura efficace risulterebbero eccessivi se paragonati con l'aspettativa della perdita.

Ø Risk Assessment

Questa fase del processo di RM inizia con l’identificazione dei rischi e termina con la loro valutazione, composta a sua volta dalle attività di stima e prioritizzazione, al fine di circoscrivere un elenco di rischi accettabili e non dall’organizzazione, per i quali è indispensabile agire con adeguate misure di trattamento. L’assessment si avvia con la fase di identificazione69_{, consistente nell’individuare gli eventi rischiosi che potrebbero provocare}

effetti inattesi, positivi o negativi, sugli obiettivi dell’organizzazione e sulle sue attività core, classificandoli all’interno di determinate categorie cosi da poterli amministrare in modo migliore, avendo una maggiore probabilità di raggiungere i target pianificati e mantenere l’equilibrio dell’organizzazione. Il processo procede poi con la descrizione70_{, il definire i}

principali aspetti dei singoli rischi identificati secondo un sistema standardizzato, al fine di facilitare le consecutive fasi del processo ed avere in ogni momento una indicazione sintetica e aggiornata dei rischi. Segue la fase della stima, in cui, vengono definite le probabilità del verificarsi dell’evento e le conseguenze-effetto del verificarsi del rischio; una stima che può essere realizzata attraverso tecniche quantitative, semi-quantitative o qualitative71_{. L’assessment procede con l’integrazione, cioè l’aggregazione di tutti i rischi}

69 _{Le principali tecniche di identificazione dei rischi sono: analisi dell’esperienza passata, per giungere ad identificare le}

principali tipologie di rischi aziendali; check o prompt list, consiste in un elenco di categorie di rischi o un elenco di rischi utile per agevolare la fase di identificazione; interviste; brainstorming, tecnica di gruppo utile per l’identificazione dei rischi; analisi SWOT, strumento di pianificazione strategica usato per valutare i punti di forza e le debolezze (l’organizzazione interna, la cultura, la struttura, le risorse umane e finanziarie dell’impresa), le opportunità-minacce(fattori politici, sociali, ambientali e connessi al settore in cui opera, non controllabili dall’impresa) di un progetto o in un'impresa o in ogni altra situazione in cui un’organizzazione o un individuo debba svolgere una decisione per il raggiungimento di un obiettivo. L’obiettivo dell’analisi SWOT consiste nell’identificazione dei fattori essenziali interni (analizzando punti di forza e di debolezza) o esterni di un'organizzazione (analizzando minacce ed opportunità), che influiscono sullo sviluppo e sul valore dell’azienda; questionario di rischio, include una serie di domande volte ad identificare una serie di rischi sia interni che esterni all’organizzazione.

70 _{Documento importante che viene creato a partire dalla fase di assessment è il registro dei rischi, catalogo contenente tutti}

i rischi identificati ed una serie di informazioni relative, con lo scopo di supportare l’intero processo di Risk Management; le informazioni che lo formano non sono presenti fin da subito, ma sono inserite man mano che si rendono disponibili durante le attività di pianificazione del rischio. Le informazioni che dovrebbe contenere sono: codice e descrizione del rischio; date relative a quando il rischio è stato individuato, quando è stato analizzato, quando è emerso durante il ciclo di vita del progetto, quando sono state messe in campo le contromisure; tipologia di rischio; probabilità di accadimento; impatto che indica l’effetto che il rischio avrebbe sul progetto; valore del prodotto di probabilità ed impatto che serve per mettere in ordine di priorità i vari rischi; trigger, in cui vengono indicati eventuali sintomi anticipatori dell’emergere del rischio che possono favorire una gestione preventiva del rischio; contromisure, in cui sono indicate le strategie di risposta che si intende adottare, come la prevenzione, la mitigazione oppure il trasferimento a terzi del rischio; rischi residui o secondari in cui vengono indicati i rischi che possono permanere anche a fronte dell’attuazione della strategia prefissata oppure rischi che possono nascere proprio dall’attuazione della strategia; owner, la persona responsabile di monitorare l’andamento del rischio corrispondente e di attivare le contromisure stabilite; stato rischio, indica se il rischio è attuale o se il rischio non può più sorgere; valore a rischio, che emerge dall’analisi quantitativa del rischio e indica il valore economico del rischio in base all’impatto, al costo delle strategie di risposta e agli eventuali rischi residui o secondari.

71 _{La misurazione dei rischi identificati può essere effettuata in base a tecniche: qualitative, basate su informazioni o scale}

descrittive per rappresentare la probabilità e l’impatto di ogni rischio individuato, portando ad un risultato generale e spesso sono usate come punto di partenza per un’analisi più dettagliata; semi-quantitative, attribuiscono dei numeri alle categorie individuate tramite l’analisi qualitativa, numeri non rappresentativi al 100% della probabilità e dell’impatto dei rischi a livello

187

individuati-stimati e la stima dell’impatto che ciascuno di questi ha sulla rischiosità complessiva dell’organizzazione, mettendo in luce eventuali correlazioni tra rischi, a prima vista prive di significato ma che, se attentamente analizzate, mostrano la loro importanza e possibilità di produrre effetti notevoli sull’organizzazione. Per poi concludersi con la valutazione, fatta frequentemente, in quanto l’esposizione ai rischi non è statica, ma mutevole nel tempo, così come è l’organizzazione stessa; valutazione intesa come il confronto dei rischi stimati e dei criteri di rischio fissati dall’organizzazione, allo scopo di dargli una priorità, cioè definire la rilevanza dei rischi e quindi il trattamento tempestivo dei rischi correlati ad una grande perdita con elevata probabilità di accadimento, mentre il trattamento ritardato dei rischi con limitate perdite e bassa probabilità di occorrenza.

Ø Reporting sul Risk Assessment

Nella fase di Risk Reporting, devono essere compilati delle relazioni riepilogative volte ad evidenziare i principali risultati dell’assessment, in modo da consentire, a chi ne ha la responsabilità, di agire efficacemente nelle successive fasi di trattamento del rischio. Il report è un documento formato dai rischi individuati nella fase di identificazione, che descrive le loro proprietà essenziali, lo stato di gestione attuale e la classificazione, ottenuta nelle fasi precedenti, in base alla loro probabilità e impatto.

Ø Trattamento dei rischi

La fase di trattamento consiste in un complesso di attività volte a moderare i rischi, al fine di condurli entro i limiti di tolleranza dell’organizzazione. La tolleranza al rischio rappresenta il livello accettabile di variazione o di scostamento rispetto all’obiettivo aziendale da conseguire. Per la sua determinazione il Management considera gli obbiettivi più importanti, allineando la tolleranza al rischio accettabile, ossia all’ammontare di rischio che l’organizzazione ammette nel perseguire gli obiettivi definiti e nel creare valore. Le modalità di gestione del rischio possono essere classificate in preventive e in successive. Le modalità preventive riguardano interventi di gestione prima che il rischio si sia concretamente rivelato, quelle successive al contrario intervengono dopo la sua manifestazione. Tra le modalità preventive rientrano: non assumere-evitare, che consiste nel rinunciare, se possibile, ad assumersi un determinato rischio, rappresentando il riconoscimento che le altre misure di gestione dei rischi non sono idonee a renderlo accettabile, perché i costi sono troppo elevati in rapporto al beneficio ottenuto in termini di riduzione dei rischi o non esistono misure in grado di limitare il rischio sotto la soglia minima; accettare-ritenere, significa che l’organizzazione non intraprende nessuna azione per modificare le probabilità del verificarsi di un certo rischio perché il livello di rischio è allineato

quantitativo, ma il loro scopo è quello di ordinare i diversi rischi individuati; quantitative, determinano la distribuzione di probabilità correlata agli eventuali impatti di un rischio.

188

con il profilo di rischio tollerabile. Tra le attività successive vi rientrano: riduzione- contenimento, ossia tutte quelle azioni che sono stabilite ed implementate dopo il manifestarsi del rischio, al fine di ridurne la probabilità e gli effetti economici negativi o aumentarne quelli positivi; condividere, ovvero stipulare un contratto finanziario tra il soggetto che intende coprirsi dal rischio e la controparte identificata allo scopo, con l’uso di strumenti di trasferimento dei rischi che permettono di agire sugli effetti prodotti dagli eventi dannosi anziché sulle cause che li provocano, come sono gli strumenti assicurativi. Un rischio che non si può eliminare, ridurre o assumere, si può assicurare, tramite contratti basati sul trasferimento di un rischio ad una compagnia assicurativa, che agisce in ottica risarcitoria, ossia ex-post rispetto al verificarsi dell’evento dannoso: nel momento in cui accade l’evento per il quale si è assicurati, il sottoscrivente, previo pagamento di un premio, richiede il rimborso all’assicurazione che procederà, dopo avere analizzato il danno, a conferire un compenso dipendente dalle clausole contrattuali.

Per selezionare la risposta al rischio più idonea, è necessario quantificare l’effetto delle potenziali risposte sulla probabilità e sull’impatto del rischio, tenendo conto degli eventuali costi-benefici derivanti, in modo da scegliere l’azione migliore in grado di ricondurre il rischio entro i livelli di tolleranza al rischio.

Ø Assessment e reporting dei rischi residui

Conclusa la fase di trattamento, è necessario effettuare una nuova stima di quei rischi che continuano ad interessare l’organizzazione, nonostante le azioni intraprese, ossia dei rischi residui, diversi dai rischi inerenti, quei rischi accettati dall’organizzazione che non attiva nessun intervento per modificarne la loro probabilità di accadimento. I rischi residui richiedono un’identificazione dettagliata ed un’accurata attività di controllo e monitoraggio perché siano gestiti adeguatamente. In questa fase viene compilato, inoltre, un nuovo report riepilogativo, contenente informazioni attinenti al processo di RM realizzato sin ora, utili all’organizzazione cosi come agli stakeholder, al fine di agevolare le giuste decisioni e stabilire l’efficienza o meno della gestione attuata.

Ø Monitoraggio continuo dei rischi

Dopo avere individuato i rischi rimanenti, l’organizzazione deve avviare il processo di monitoraggio dell’intera gestione dei rischi, allo scopo di adattare il sistema ai cambiamenti, interni ed esterni all’organizzazione, intervenendo con le opportune modifiche necessarie a raggiungere l’allineamento del modello di gestione dei rischi adottato alle esigenze espresse dal Top Management, nonché la sua efficienza e quella degli obiettivi individuati. Il monitoraggio può essere continuo o periodico. Il monitoraggio continuo viene eseguito costantemente durante tutto il processo di RM da ogni operatore aziendale, in modo da individuare gli scostamenti dei risultati da quanto pianificato; quello separato, non è

189

continuo, ma svolto a intervalli precisi, la cui frequenza varia in base all’analisi desiderata dall’organizzazione, solitamente viene usato quando la continuità risulta troppo costosa o se l’area monitorata è sufficientemente stabile. Gli intervalli di monitoraggio dipendono, quindi, dalla probabilità di manifestazione dei rischi: i rischi con alta probabilità avranno controlli maggiori, ad esempio settimanali mentre i rischi con bassa probabilità avranno controlli più estesi nel tempo, ad esempio mensili. Tuttavia, l’attività di monitoraggio per essere efficace deve essere allo stesso tempo periodica e continua, in modo da controllare con costanza le aree più soggette ai rischi, e ridurre, gradualmente la frequenza del controllo, in relazione alla diminuzione della probabilità di manifestazione dei rischi.

Il mercato dei capitali valuta le prestazioni di un’organizzazione in base ai rischi in essa presenti ed alle performance che consegue, poiché ogni organizzazione non può operare senza capitali, l’approccio basato sulla gestione dei rischi deve essere una sua componente inscindibile e necessaria, ancor più in un contesto di business complesso e volatile come quello odierno, apportandovi numerosi vantaggi, come elencato in seguito:

Ø Sviluppo di una cultura proattiva caratterizzata dalla prevenzione, il miglioramento continuo ed un’attitudine difensiva dagli eventi avversi, con il fine di salvaguardare la continuità e stabilità dell’organizzazione nel tempo.

Ø Creazione della capacità rispondere ai cambiamenti e di cogliere, in anticipo rispetto ai concorrenti, le opportunità di mercato, attraverso la sopravvivenza, l’evoluzione e prosperazione anche in situazioni di crisi.

Ø Miglioramento della governance (insieme di regole che disciplinano la gestione e la Direzione di una società o di un ente, pubblico o privato) e della giusta allocazione delle risorse.

Ø Maggiore conoscenza e consapevolezza del rischio. Ø Migliore probabilità di raggiungere gli obiettivi determinati. Ø Minori possibilità di ottenere risultati negativi.

Ø Performance più stabili.

Ø Semplificazione del raggiungimento della conformità dei prodotti-servizi offerti a leggi e regolamenti specifici.

Ø Garanzia della continuità ed affidabilità nel tempo della qualità dei prodotti-servizi offerti.

190