Definiti gli obiettivi che si intendono raggiungere, l’iter del processo ERM prevede che siano identificati tutti i potenziali eventi capaci di incidere sull’attività aziendale. Gli eventi in questione sono fatti o accadimenti originati da fattori interni o esterni all’azienda: si distinguono in rischi e opportunità a seconda del tipo di impatto, positivo o negativo, che ne deriva sulla strategia e sul raggiungimento degli obiettivi. Anche per gli eventi che rappresentano opportunità devono essere predisposti dei piani di intervento che permettano all’azienda di cogliere i vantaggi di una loro manifestazione. Non tutti gli eventi accadono come fatti isolati: un primo evento può provocarne altri di conseguenza oppure più eventi possono manifestarsi contemporaneamente. Nel processo di identificazione è quindi importante analizzare anche l’aspetto dell’interdipendenza tra eventi: in questo modo sarà possibile ottimizzare il processo di gestione del rischio indirizzando le risorse dell’azienda verso i processi più critici. Ad esempio, aggregando gli eventi orizzontalmente, a livello aziendale, e verticalmente, a livello di unità operativa, può risultare più facile individuare le correlazioni intercorrenti tra eventi diversi e ottenere un valido supporto in sede di valutazione del rischio e sfruttamento delle opportunità.
Per quanto riguarda la quantificazione degli effetti dell’evento, ovvero la valutazione del rischio, questa è invece trattata separatamente nella successiva fase dell’ERM. Come anticipato sopra, i fattori all’origine di questi eventi si dividono in due categorie: per entrambe il management dovrà acquisire le conoscenze necessarie a individuarli ed essere così in grado di riconoscere gli eventi ad essi associati che potrebbero compromettere il raggiungimento degli obiettivi. Le principali tipologie di fattori esterni sono cinque:
- L’economia: gli eventi connessi a questo fattore sono molteplici e possono riguardare, ad esempio, oscillazioni dei prezzi, disponibilità dei capitali;
79
- L’ambiente: il riferimento non è tanto all’ambiente economico quanto a vere e proprie manifestazioni di fenomeni naturali quali terremoti, inondazioni, incendi che possono danneggiare le strutture aziendali e le risorse umane;
- La politica: cambiamenti nel contesto politico possono tradursi in modificazioni delle normative, della tassazione o nell’inserimento di nuovi vincoli che potrebbero rendere più difficoltoso operare nei diversi mercati;
- Il sociale: cambiamenti demografici, dei costumi sociali e famigliari, della qualità della vita possono incidere sulla domanda di prodotti e servizi, sulla nascita di nuove esigenze da soddisfare e sui canali di acquisto;
- La tecnologia: l’evoluzione nel mondo informatico e della comunicazione può modificare le modalità di commercio elettronico e aumentare la domanda di servizi tecnologici da parte degli utenti.
I fattori interni sono invece dipendenti dalle scelte operate dal management, scelte i cui effetti opereranno non solo nel presente ma anche nel futuro: è molto importante non dimenticare questo risvolto prospettico in sede di identificazione degli eventi potenziali. - Le infrastrutture: gli eventi connessi a questo fattore possono riguardare investimenti
aggiuntivi in lavori di manutenzione;
- Il personale: infortuni sul lavoro o scadenze dei contratti collettivi sono esempi di eventi che potrebbero danneggiare l’azienda se danno luogo a dimissioni, danni monetari o di immagine;
- I processi: modifiche dei processi senza un conseguente adeguamento dei protocolli gestionali o errori nella loro applicazione sono tra le possibili cause di perdite di quote di mercato, riduzione di ricavi o di clienti insoddisfatti;
- La tecnologia: già incontrata parlando dei fattori esterni, in questo frangente è riferita ad eventi, come la necessità di effettuare investimenti aggiuntivi per gestire la volatilità dei volumi, violazioni della sicurezza o interruzioni dell’operatività dei sistemi informativi che potrebbero causare riduzioni del portafoglio ordini, operazioni fraudolente o il blocco dell’attività aziendale.
Finora abbiamo parlato di identificazione degli eventi a livello aziendale ma questo è solo il primo passo del processo: si dovrà poi procedere ad individuare i possibili eventi anche a livello di singola attività. Per individuare gli eventi esistono diverse
80
metodologie, talvolta combinate fra di loro, che variano a seconda del settore economico di appartenenza dell’azienda ma anche, all’interno della stessa azienda, in base all’area in cui devono essere impiegate. Il management effettuerà la scelta della tecnica da adottare in base alla filosofia di gestione del rischio dell’azienda: è una decisione molto delicata perchè dall’efficacia della metodologia prescelta dipendono le successive fasi del processo ERM, valutazione del rischio e risposta al rischio. Nel settore finanziario ad esempio è frequente il ricorso a tecniche di “loss event tracking”: a partire dall’analisi dei dati dei trend storici, degli eventi passati più frequenti e, negli approcci più sofisticati, di quelli relativi agli eventi potenziali si costruiscono dei modelli previsivi che poi vengono alimentati con i dati rilevati durante la gestione aziendale. Questo esempio ha messo in luce un aspetto importante delle tecniche di identificazione degli eventi: queste metodologie per risultare il più efficaci possibili devono considerare sia il passato che il futuro. Di seguito sono elencate alcuni esempi di tecniche di identficazione degli eventi: - Catalogo degli eventi: è un elenco dettagliato dei potenziali eventi comuni a
determinate categorie di aziende o a determinate tipologie di processi e attività che riguardano più settori.
- Analisi interne: si tratta di analisi generalmente realizzate tramite incontri con il personale delle varie unità operative ma anche utilizzando le informazioni provenienti dagli stakeholder o da esperti esterni all’unità in esame;
- Segnalatori di criticità: sono dei meccanismi di controllo che allertano il management qualora le operazioni correnti superino determinati parametri predefiniti permettendo così di valutare tempestivamente l’entità dell’evento e formulare una risposta adeguata;
- Workshop e interviste: queste tecniche prevedono la realizzazione di incontri tra i diversi process owner e il risk management allo scopo di identificare le principali criticità delle diverse unità operative attraverso l’esperienza delle due controparti. Di questa metodologia in particolare parleremo nel capitolo dedicato all’applicazione del CoSO report nel Banco delle Tre Venezie riportando un esempio autentico di come esso venga applicato nella realtà di una banca.
- Analisi di flusso e di processo: questa tecnica parte dall’analisi dei fattori interni ed esterni che impattano sugli input, le fasi, le responsabilità e gli output che
81
compongono un processo per identificare gli eventi che potrebbero pregiudicare il raggiungimento degli obiettivi del processo stesso;
- Indicatori di eventi: si tratta di una tecnica di monitoraggio con la quale l’azienda cerca di prevedere il manifestarsi di un evento dannoso tramite l’analisi di dati ad esso correlati;
- Metodologie per la raccolta dei dati sulle perdite: partendo dai dati storici degli eventi che hanno generato perdite si cerca di identificarne i trend e le cause originarie: starà poi al management valutare se agire direttamente su quest’ultima oppure limitatamente ai singoli eventi.