4.1 Introduzione al Risk Management
Il Risk management non è una scienza esatta, né recente, ma è stata applicata molto in ambiti ristretti da compagnie assicurative o ad esempio dagli operatori finanziari, dove comunque il rischio è una componente prioritaria di analisi ai fini dell'applicazione del business operativo e strategico. Anche a causa della crisi dei mercati e dell'aumento della competitività il Risk management è diventato un elemento sempre più importante e sempre più applicato dalle aziende odierne. La nuova ISO 9001:2015 non delimita in modo preciso quali rischi trattare, perché ciò dipende proprio dal tipo di organizzazione dal contesto in cui opera, ed è proprio per questo che che introduce il concetto estensivo di dell'ERM (Enterprise Risk Management). L'ERM si occupa di tutti i rischi che possono influenzare un'organizzazione del raggiungimento dei suoi obbiettivi, che possono essere a livello compliance, operativo, puro, finanziario o strategico. La nuova ISO al punto 4.1 chiarisce che i rischi associati ad un organizzazione dipendono essenzialmente dal contesto in cui opera. La gestione del rischio quindi diventa un punto essenziale per il raggiungimento degli obbiettivi e per fornire con regolarità prodotti e servizi ai clienti. Riprendendo la definizione di Risk management: “È il processo attraverso il quale le imprese stimano e misurano i rischi legati alle loro attività e, successivamente, sviluppano strategie ed azioni per governarli allo scopo di ottenere benefici durevoli”6 Quindi l'ERM si configura come una attività strategica a supporto del processo direzionale di impresa, per consentire la creazione del valore aziendale a favore dei portatori del capitale di rischio, attraverso un processo integrato che si copone di quattro fasi fondamentali:
Definizione del contesto in cui opera l'azienda e degli obbiettivi Risk assessment (Identificazione e valutazione dei rischi)
Risk treatment (Trattamento dei rischi)
Monitoring (Controllo nel tempo dell'andamento)
Si riporta nella figura seguente il processo di risk management:
come è evidente, tale processo riprende i concetti del modello “Plan-Do-Chek- Act” per il miglioramento continuo (figura 1, del PDCA model).
Il punto di partenza è sicuramente la definizione del contesto in cui l'azienda opera che permette l'identificazione di tutti quei fattori interni ed esterni che possono influenzare l'organizzazione. Successivamente si andrà ad effettuare una stima dei rischi relativa ai requisiti del sistema di gestione della qualità. Non si chiede all'organizzazione di valutare tutti i rischi possibili, ma a partire dalla fase di identificazione verranno definiti quali rischi includere e quali no.
adottare un atteggiamento proattivo nei confronti delle minacce e delle opportunità, prevedendo adeguati interventi contro eventi dannosi che potrebbero mettere a rischio l'equilibrio economico e finanziario e la continuità del businnes.
4.2 Il business Model Canvas per definire il conteso
Il modello del Business Model Canvas (BMC) di Alexander Osterwalder è uno strumento strategico che utilizza un linguaggio visuale per la descrizione dei modelli di business. Il Business Model è l'insieme delle soluzioni organizzative e strategiche attraverso le quali un'organizzazione crea e distribuisce valore ai clienti. La nuova UNI EN ISO 9001:2015 al punto 4 “Analisi del contesto” esprime: “L'organizzazione deve determinare i fattori esterni ed interni rilevanti per le sue finalità e indirizzi strategici e che influenzano le sue capacità di conseguire risultati attesi per il proprio sistema di gestione per la qualità”. Il BMC nel descrivere il contesto aziendale si compone di 9 elementi costitutivi:
Valore offerto
Segmenti di clientela Canali
Flussi di ricavi Struttura dei costi Partner chiave Attività chiave Risorse chiave
Attraverso questo semplice schema è possibile rappresentare qualsiasi tipo di business attraverso il quale l'organizzazione crea e distribuisce valore ai propri segmenti di clientela. Come si può osservare dall'immagine descrittiva del modello, la parte sinistra mostra le attività ed i processi attraverso i quali l'organizzazione crea valore, ed è solitamente la parte che il cliente non percepisce. La parte destra invece è quella relativa all'interfaccia con il cliente e diventa fondamentale per la valutazione dei rischi capire i punti di contatto attraverso i quali pervengono gli ordini e vengono consegnate le merci. Il punto di partenza dell'analisi sono proprio i segmenti della clientela:
i Customer Segments descrivono i vari segmenti cui l'organizzazione indirizza la sua proposta di valore. Occorre individuare i differenti gruppi in relazione alle esigenze e ai bisogni da soddisfare, in base ai differenti canali con cui si raggiungono, piuttosto che una suddivisione relativa alla redditività o alle modalità di interazione;
la Value Proposition determina la proposta di valore che l'organizzazione desidera offrire al cliente. Questa sezione contraddistingue l'azienda in maniera univoca rispetto ai competitor determinando il successo o l'insuccesso del modello di business. C'è una ragione ben precisa per cui un cliente sceglie un determinato prodotto – servizio, e questo può dipendere dall'innovazione (prodotto che prima non esisteva o con caratteristiche nuove), dall'accessibilità (il prodotto viene reso accessibile ad un segmento prima escluso), dalla personalizzazione (possibilità di
creare un prodotto su misura), dal prezzo, dallo status che conferisce ad una persona, dalle performance del prodotto etc. Occorre conoscere le attività ed i bisogni che caratterizzano i clienti per migliorare la proposta di valore offerta;
i Channels descrivono le modalità attraverso le quali l'azienda raggiunge i propri clienti. Vengono anche definiti punti di contatto, e possono riguardare il modo in cui si mette a conoscenza dell'esistenza del prodotto (es. canali pubblicitari), le modalità attraverso le quali si permette l'acquisto (es. punto vendita, consegna a domicilio, etc.), gli aspetti relativi al post vendita (es. reclami, manutenzioni, assistenza, etc.);
la Customer Relationship descrive il tipo di relazione che l'azienda instaura con i diversi segmenti, partendo dalla fase di acquisizione fino alla fidelizzazione. Esempi di relazioni con cui l'azienda si interfaccia con il cliente possono essere l'assistenza personale, i servizi automatici, la creazione di community, etc.;
i Revenue Streams descrivono i flussi dei ricavi che l'azienda riceve da un determinato segmento di clienti. Le variabili che influenzano questo aspetto sono i prezzi e le modalità di pagamento. Per quanto riguarda i prezzi, questi possono essere fissi (es. listino prezzi) o variabili (come nel caso delle aste, della contrattazione fra le parti o dipendenti dai volumi di acquisto). Osservando le modalità di pagamento, diventa importante tenere sotto controllo come influenzano sia la redditività sia il flussi finanziari;
le Key Resources racchiudono tutte le risorse chiave strategiche sulle quali l'organizzazione fonda la propria proposta di valore. Si parla di: risorse fisiche (impianti produttivi, reti di vendita, tecnologie...), risorse intellettuali (riguardano tutto il know-how aziendale, i marchi, i brevetti...), risorse umane (diventa fondamentale sviluppare le conoscenze e le competenze all'interno dell'organizzazione), risorse finanziarie (riguarda le modalità attraverso le quali si finanzia il proprio business
model);
le Key Activities riguardano tutti i processi che un'organizzazione deve compiere per mantenere le relazioni con i loro clienti e generare ricavi. Le attività chiave dipendono essenzialmente dal tipo di business, e sono produttive (nel caso delle aziende manifatturiere), di problem solving (principalmente per le aziende di servizi e consulenza) e di sviluppo piattaforme (che riguardano le grandi aziende che lavorano in rete);
i Key Partners sono tutti quei fornitori chiave necessari al funzionamento del modello di business. Si definiscono alleanze strategiche quelle che si instaurano fra aziende non concorrenti e vanno a costituire una unica catena produttiva. Una particolare tipologia di alleanza è quella che può costituirsi fra imprese concorrenti prevedendo accordi per fornire al cliente un valore simile all'interno dei vari punti di contatto. Si possono costituire inoltre delle joint venture utili per sviluppare nuovi business che spesso hanno alla base, oltre ad una condivisione del capitale, anche tecnologie, organizzazione delle vendite piuttosto che un assetto comune di ricerca e sviluppo. Le partnership sono a livello strategico uno strumento molto importante in quanto permettono una maggiore diffusione del brand, una riduzione dei rischi connessi alla concorrenza, lo sviluppo di economie di scala, l'acquisizione di nuovi clienti, risorse e conoscenze;
la Costs Structure definisce i costi che l'azienda deve sostenere per il funzionamento del business model. La struttura dei costi è l'ultimo punto dell'analisi, in quanto deriva dalle decisioni relative alle attività, ai partner e alle risorse. Anche in questo caso comunque la struttura dei costi avrà un importanza diversa nel caso che l'azienda opti per un modello di business basato sui costi (ricerca del vantaggio competitivo di costo) o sul valore (ricerca del vantaggio competitivo di differenziazione). In ogni caso resta fondamentale una profonda conoscenza della struttura dei costi ai fini della definizione di prezzi di vendita che consentano l'ottenimento di un
adeguato profitto.
La corretta rappresentazione degli elementi di business consente all'azienda di percepire come crea valore e come lo distribuisce ai suoi clienti. Se uno di questi elementi entra in crisi potrebbe compromettere l'efficienza aziendale ed al caso limite interrompere la continuità del business. Una puntuale analisi del contesto aiuta ad essere resilienti nei confronti dei rischi e delle opportunità, e per essere resilienti occorre conoscere i propri punti di forza e debolezza. Il primo passo sarà quello di effettuare una analisi SWOT (Strengths-Weaknesses- Opportunities-Threats) in tutti i contesti in cui l'azienda opera.
4.3 Analisi SWOT applicata al BMC
Come già trattato nel precedente capitolo, uno degli aspetti su cui le nuove normative pongono maggiore enfasi è proprio l'analisi del contesto. Più precisamente ai paragrafi 4.1 e 4.2 le nuove ISO chiedono di determinare sia le esigenze delle parti interessate sia il campo di applicazione dei sistemi di gestione. Definito il modello di business da cui partire, lo step successivo è quello di individuare i fattori interni ed esterni che possono influenzare l'organizzazione. L'analisi SWOT (conosciuta anche come matrice SWOT) è uno strumento di pianificazione strategica usato per valutare i punti di forza (Strengths), i punti di debolezza (Weaknesses), le opportunità (Opportunities) e le minacce (Threats) di un progetto o in un'impresa o in ogni altra situazione in cui un'organizzazione o un individuo debba svolgere una decisione per il raggiungimento di un obiettivo. L'analisi può riguardare l'ambiente interno (analizzando punti di forza e debolezza) o esterno di un'organizzazione (analizzando minacce ed opportunità). Tale tecnica è attribuita a Albert Humphrey, che ha guidato un progetto di ricerca all'Università di Stanford fra gli anni '60 e '70 utilizzando i dati forniti dalla Fortune 500. Idealmente, l'analisi SWOT andrebbe svolta da un cross-functional team o una task force che rappresenta una vasta gamma di prospettive. Ad esempio, un team di SWOT può includere un contabile, un venditore, un direttore esecutivo e un ingegnere. I dati di analisi possono costituiti da elementi oggettivi (es. fatturato, ROI, ROE...) o
soggettivi (previsioni, sensazioni...). Considerando l'alta flessibilità di tale strumento, in questa sede si vuole proporre una sovrapposizione della matrice SWOT al modello visuale del Business Model Canvas:
questa matrice offre la possibilità di riconoscere semplicemente i punti di forza da mantenere e monitorare, individuare le debolezze sulle quali agire, cogliere le opportunità di business ed identificare e gestire i rischi.
Per quanto riguarda l'ambiente esterno vengono individuati 4 macro-aggregati: tendenze chiave: (tecnologiche, normative, socio-culturali, socio-
economiche)
forze industriali: (portatori di interesse, competitor, concorrenti emergenti, prodotti surrogati, operatori della supply chain)
forze macro-economiche: (condizioni del mercato globale, mercati finanziari, infrastrutture economiche, materie prime)
forze di mercato: (segmenti di mercato, evoluzione della domanda e dei bisogni, mutamento dei costi, attrattive di ricavo)
Incrociando le tendenze chiave, le forze industriali, le forze macro-economiche e di mercato con i 9 elementi costitutivi del business l'organizzazione dovrebbe
riuscire a comprendere quali sono i rischi e le opportunità del proprio modello di business.
4.4 Classificazione dei rischi
Nell'Enterprise Risk Management e nella dottrina in generale ci sono vari filoni di pensiero riguardo alla classificazione dei rischi, tuttavia si cercherà di esporre un profilo che possa accomunare le varie teorie. Riprendendo dalla ISO 9000:2015 (nota 1, par. 3.09) è bene distinguere le due definizioni date di rischio ed incertezza:
rischio: effetto dell'incertezza rispetto ad un risultato atteso, dove per effetto si intende uno scostamento che può essere positivo o negativo; incertezza: mancanza di conoscenza o carenza di informazioni relative alla
comprensione di un evento, alle sue conseguenze, alle sue probabilità. La prima distinzione dei rischi avviene sulla base della provenienza, ovvero vengono definiti i rischi interni ed esterni. Per quanto riguarda i primi, risulta semplice comprendere come l'organizzazione possa agire in modo attivo nei confronti di questi, in quanto sono relativi a problematiche che possono riguardare ad esempio, i processi produttivi o di approvvigionamento, la sicurezza sul lavoro, il sistema informativo, etc. I rischi esterni invece sono relativi ad eventi che esulano dai confini aziendali, ma che comunque possono generare impatti rilevanti sui valori economici e patrimoniali. Proprio sulla base degli impatti economici, e sulla sua correlazione alle variabili inerenti, si distinguono quelli che vengono definiti rischi sistematici o diversificabili. I rischi sistematici evidenziano un legame fra le performance raggiunte dall'impresa in relazione a variabili macroeconomiche e finanziarie; esiste un certo grado di dipendenza ad esempio, fra l'andamento generale dell'economia e l'andamento delle vendite, piuttosto che del fatturato conseguito dall'azienda. Tale legame comunque dipenderà poi da altri fattori come lo specifico settore di attività ed il posizionamento competitivo nel mercato; in base a questi, le specifiche variabili aziendali avranno una relazione di tipo proporzionale, progressivo o inversamente proporzionale rispetto alle variabili generali. Nei rischi non
sistematici invece è possibile pervenire ad una riduzione dell'effetto dell'incertezza attraverso il processo di diversificazione. L'ultima classificazione riguarda la differenza che è possibile osservare rispetto ai rischi puri o speculativi, in relazione ai primi si evidenziano le seguenti caratteristiche:
manifestazione improvvisa effetti economici immediati
necessità di identificare il rischio per agire su misure di contenimento del danno.
Rispetto ai rischi puri, quelli speculativi, presentano una manifestazione progressiva nel tempo con effetti economici non immediati, pertanto si ha una impossibilità di intervento per ridurre le conseguenze economiche (gli effetti sono già realizzati) e diviene fondamentale la fase di monitoraggio. Ponendo invece il focus su rischi che caratterizzano in maniera specifica le aziende, si distinguono: rischi finanziari rischi operativi rischi strategici rischi compliance rischi puri
I rischi finanziari rientrano tra le categorie più importanti e che hanno una maggiore influenza sull'operare aziendale. Sono connessi alla liquidità sia per quanto riguarda le politiche del capitale circolante netto sia nel caso di decisioni di smobilizzo di attività in tempi rapidi. In questa categoria rientrano anche i rischi su crediti, che possono generare delle perdite a causa delle insolvenze delle controparti. Infine sono inclusi anche i rischi di mercato che possono determinare squilibri di attività e passività a causa delle variazioni dei prezzi, dei tassi di cambio, del valore dei titoli etc.
I rischi operativi sono quelli relativi alle attività di acquisto, produzione e vendita e possono verificarsi a causa di errori umani, nei processi produttivi, nelle
relazioni con clienti o fornitori piuttosto che da comportamenti fraudolenti del management, da incidenti, etc.
I rischi strategici riguardano il raggiungimento degli obbiettivi di medio-lungo termine e sono legati a variabili macroeconomiche, scelte relative ai mercati e al sistema di prodotto, all'evoluzione delle normative e delle tecnologie.
I rischi compliance sono tutti quelli legati al rispetto delle procedure e delle norme. Tutto ciò, al fine di non intercorrere in sanzioni che potrebbero danneggiare la reputazione aziendale nei confronti dei clienti, dei partner e di tutti gli stakeholder in generale. Non per altro, accordi sovranazionali di settore richiedono espressamente l'attivazione della funzione compliance come nel caso di Basilea II nel settore bancario e finanziario-assicurativo.
I rischi puri o assicurabili infine, sono tutti quelli legati ad eventi esterni che possono influire negativamente sull'azienda, come ad esempio le calamità naturali, i furti, gli incendi o altri eventi naturali.
4.5 Analisi qualitativa del Rischio
Dopo la fase di identificazione e classificazione, occorre andare ad effettuare una valutazione del rischio per definire le misure di prevenzione (cosa si può fare prima dell'evento) e misure di protezione (cosa si può fare durante e dopo l'evento). In letteratura esistono tre tecniche di stima del rischio:
stima qualitativa: si avvale di descrizioni attraverso le quali è possibile rappresentare la probabilità di accadimento e prevedere gli eventuali effetti dannosi;
stima semi-quantitativa: si ha l'assegnazione di categorie di rischio attraverso l'analisi qualitativa dei numeri. Non si perviene ad una quantificazione vera e propria degli effetti economici, ma ad un ordinamento delle diverse tipologie di rischio;
stima quantitativa: questa tecnica prevede l'individuazione delle probabilità di manifestazione ed i relativi impatti economici. Prevede una maggiore onerosità sia in termini economici che di tempo.
dall'esposizione complessiva dell'organizzazione, e fra i fattori determinanti vi sono sicuramente il livello di conoscenza che si vuole ottenere e le risorse disponibili per tale analisi. Per l'analisi qualitativa la procedura è la seguente:
definire una scala numerica qualitativa per le probabilità di avvenimento definire una scala numerica qualitativa rappresentativa del danno
definire una scala numerica qualitativa che assegna per ogni combinazione probabilità – impatto un risk rating.
In base al risk rating emergente per ogni combinazione il management dovrà definire le priorità di intervento e le misure di prevenzione e protezione. Ipotizzando di assegnare valore da 1 a 4 alle variabili, si potrebbe effettuare un'analisi qualitativa data dalla seguente matrice 4x4.
Stima del Rischio in termini di entità percepita Conoscenza
4
Area di definizione del risk rating
Conformità 3 Sistemi di gestione 2 Sistema di gestione verificato 1 1 2 3 4
Partendo dal livello di conoscenza:
valore 4: l'organizzazione dimostra di non conoscere il rischio o comunque possiede una conoscenza molto limitata;
valore 3: l'organizzazione è in grado di garantire la conformità alla normativa;
valore 2: l'organizzazione si è attivata predisponendo un sistema di gestione per il controllo del rischio in oggetto;
valore 1: l'organizzazione si è dotata di audit esterni per il controllo del sistema di gestione.
In questa fase dell'analisi qualitativa non viene ancora introdotto il concetto di probabilità, ma si da per certo che un ipotetico evento accadrà, e quindi andiamo ad analizzare le conseguenze dei possibili eventi secondo la sensibilità e l'esperienza dell'imprenditore:
valore 4: evento considerato catastrofico, potrebbe generare effetti irreversibili e compromettere la continuità del business;
valore 3: evento sfavorevole, potrebbe verificarsi una riduzione della capacità produttiva dal 50% al 80%, con possibili danni di immagine aziendale;
valore 2: l'imprenditore considera l'evento possibile, ma che comunque può essere risolto senza grandi difficoltà dall'azienda;
valore 1: rischio remoto, anche se l'evento potrebbe generare impatti importanti secondo l'imprenditore non necessita di misure di mitigazione. La definizione del risk rating all'interno del quadrante, è comunque oggetto di una valutazione soggettiva da parte delle persone interessate, pertanto si potrebbero classificare rischi importanti come non rilevanti e viceversa. Occorre comunque precisare, che la valutazione del rischio non è affatto di facile misurazione. Sono ben noti eventi storici considerati rarissimi ma che hanno generato delle vere e proprie catastrofi. Attraverso questo strumento comunque è possibile porre una maggiore attenzione e generare una maggior consapevolezza verso i rischi interni ed esterni. Lo scopo di capire se l'azienda sia “fragile” o “anti fragile” nei confronti di determinati eventi e quindi adottare le opportune misure di prevenzione e protezione. Le nuove ISO non richiedono in modo formale tale documento, ma prevedono che la valutazione dei rischi venga riesaminata nel tempo. Si considera comunque opportuno mantenere una informazione storicamente documentata che consenta di analizzare nel tempo tali
dati.
4.6 Analisi quantitativa del Rischio
Anche se l'analisi qualitativa è più che sufficiente ad adempiere gli obblighi prescritti dalle nuove ISO, gli effetti economici derivanti dai rischi sono essenzialmente quantitativi. Un metodo comunemente utilizzato considera, da un lato, la probabilità (P) che si verifichi un determinato evento (può essere stimata attraverso l'analisi storica degli eventi passati), dall'altro la gravità (G) delle conseguenze derivanti dall'evento stesso. Sempre andando a costituire una matrice 4x4, si possono assegnare valori alla scala delle probabilità (P):
P1: improbabile P2: poco probabile P3: probabile P4: molto probabile
Mentre per la scala di gravità (G): G1: lieve
G2: medio G3: grave G4 molto grave
Quindi data la relazione R = P x G l'entità del rischio può assumere valori compresi fra 1 e 16, ed in base a questi andranno impostati gli interventi prioritari, come nella figura seguente:
In definitiva si può affermare che gli interventi di riduzione del rischio sono