LA GESTIONE DEI RISCHI NELL’ANALISI DEI PROCESSI

La gestione di organizzazioni complesse, concentrate sul miglioramento continuo della performance e a rendere efficaci ed efficienti le attività aziendali, inserite in un contesto globale variegato e interconnesso, comporta la gestione di mutamenti ed imprevisti. L’intensità e la velocità con cui questi si manifestano e l’intensità degli effetti prodotti dal loro impatto sono il motivo per cui la gestione dei rischi è diventata una questione fondamentale.

L’utilizzo della terminologia di “rischio” comprende sia la componente negativa dell’incertezza che caratterizza il contesto politico, economico, sociale, i mercati e le tecnologie, che le opportunità e le minacce implicite nei fattori di cambiamento la cui gestione può portare a vantaggi per l’organizzazione. Rilevare la presenza di tali opportunità e minacce non è operazione scontata, dal momento che risulta complesso riuscire a considerare tutti i possibili rischi in relazione al compimento ma soprattutto al non compimento di un’operazione. Nell’analisi di un processo decisionale, è necessario infatti considerare due tipologie di errore: facendo riferimento al modello sviluppato da Karl Popper, gli errori possono derivare dall’accettazione di un’ipotesi falsa oppure dal rifiuto di un’ipotesi vera; nel secondo caso è molto difficile valutare le conseguenze a posteriori, motivo per cui i rischi che ne derivano vengono spesso sottovalutati.

Per evidenziare le componenti di rischio caratteristiche di una specifica attività, è opportuno individuare le variabili la cui combinazione qualifica modalità e potenzialità di creazione del valore all’interno di un sistema competitivo:

 variabili di struttura, che determinano le caratteristiche dei soggetti coinvolti nella gestione delle transazioni del business (finanziatori, direzione, dipendenti interni, clienti, fornitori, altri soggetti) e le relazioni fra gli stessi;

70

 variabili di contenuto, che definiscono i beni/servizi oggetti di scambio, le caratteristiche di infrastrutture e meccanismi che regolano lo svolgimento degli scambi;

 variabili di governance, che qualificano le modalità e gli organi di governo dell’azienda (natura delle proprietà, meccanismi decisionali e di controllo, forme legali adottate per l’organizzazione);

Secondo studi recenti51_{, il processo di gestione del rischio si sviluppa utilizzando}

strumenti oggettivi, attraverso alcuni passi logici:

 definizione delle finalità attribuite al sistema di risk management;  identificazione dei rischi;

 valutazione dei rischi;

 definizione dei programmi di azione necessari per fronteggiare i rischi identificati;  implementazione dei programmi;

 valutazione e revisione degli esiti.

Diverse sono le tecniche applicabili in questo procedimento, come la Fault Tree Analysis (FTA), la Critical Path Method (CPM), la Program Evaluation and Review Technique (PERT). Indipendentemente dalla tecnica scelta, l’aspetto su cui la direzione deve concentrare gli sforzi è la capacità di quantificare l’errore in modo oggettivo; ciò richiede la formazione di competenze riguardo lo sviluppo di stime e range di rischio cui poter fare affidamento nel processo decisionale.

51 _{D. T. Hulett, Project schedule risk assessment, Project Management Journal 26, 1995; Sergio}

Beretta, Valutazione dei rischi e controllo interno, Università Bocconi Editore, 2004; R. Tummala, T. Schoenherr, Assessing and managing risks using the Supply Chain Risk Management Process, Supply Chain Management: An International Journal 16, 2011

71

Non bisogna qui confondere i fattori di rischio (FDR) dai rischi veri e propri: mentre i fattori rappresentano gli elementi responsabili dell’aumento/diminuzione di un rischio, il rischio vero e proprio si identifica negli elementi che hanno un impatto positivo o negativo sull’attività aziendale; il punto critico della fase di identificazione dei fattori di rischio è relativo alla capacità di individuare quelli che sono potenzialmente “rilevanti”. Infatti, una variabile o un evento prospettico che si presentano con un significativo livello di incertezza in relazione ai fattori tempo, modalità ed impatto non devono essere identificati come fattori di rischio se non mostrano un potenziale tale da incidere in modo significativo sul perseguimento dei risultati aziendali; esempi di fattori di rischio in ambito aziendale sono identificabili nelle carenze e inadeguatezze nell’efficienza dei flussi informativi e nello svolgimento dei processi aziendali, negli errori e nelle carenze del management. Per analizzare i FDR, è necessario confrontare le prospettive dei diversi responsabili da un punto di vista descrittivo, allargando il campo di ricerca nel tentativo di identificare tutte le tipologie di rischio inerenti all’attività in esame, mettendo in evidenza cause potenziali, probabilità di accadimento e impatti attesi. Nel misurare l’impatto, è possibile fare riferimento a criteri oggettivi, se sono disponibili sufficienti dati storici ad effettuare un’analisi statistica come nel caso dei rischi finanziari, oppure a criteri soggettivi, basati sull’attribuzione di un valore a un dato possibile accadimento da parte di soggetti con ruoli di responsabilità; in questo modo si fa riferimento all’impatto lordo o rischio inerente riconducibile ad uno specifico FDR. Il rischio inerente deve essere valutato congiuntamente alla probabilità che i fattori che determinano tali eventi possano accadere e alla capacità del management di mettere in atto azioni in grado di limitare gli effetti negativi, ovvero di amplificare gli impatti positivi sulla performance aziendale.

Sono queste le due variabili da considerare per elaborare strategie e decisioni con il fine di ridurre l’esposizione al rischio dell’azienda: occorre quindi stabilire le azioni possibili per affrontare il problema, valutando costi e benefici di ognuna; la differenza tra benefici attesi dalla riduzione della probabilità di accadimento e dell’impatto lordo e gli effetti complessivi che i FDR hanno sul perseguimento degli obiettivi aziendali determina l’impatto complessivo o rischio residuale.

Il passaggio successivo è la valutazione dell’effettiva esposizione al rischio dell’azienda, considerando il rapporto tra l’impatto e l’accadimento dei singoli fattori per creare un ordine di priorità che permetta di identificare i rischi più problematici su cui è necessario intervenire per tutelare il business; se infatti è possibile attuare azioni come la

72

rielaborazione dei processi, l’impiego di strumenti di controllo, l’introduzione di check autorizzativi, il rafforzamento di competenze per coprire il rischio, rimane comunque una componente di esposizione netta che tiene conto dei costi-benefici di queste strategie. L’utilizzo di una matrice che evidenzi la relazione probabilità-impatto (figura 4.4) permette rappresentare in modo efficace i risultati sviluppati in questo procedimento e di individuare i FDR che necessitano di un intervento tempestivo; per strutturare questo modello semi-quantitativo è necessario considerare il contesto interno ed esterno nel quale l’azienda opera. La direzione aziendale deve individuare la scala di riferimento da utilizzare per classificare probabilità ed impatto, stabilendo criteri differenti a seconda delle attività e degli interessi coinvolti e definendo intervalli in base alle conseguenze sulla performance.

Figura 4.4 : Matrice rischio lordo

73

In conclusione, sebbene non esista un unico metodo per svolgere l’attività di risk assessment, in quanto motivata da esigenze differenti, derivanti da strategie di sviluppo interne o da direttive imposte dall’esterno, e caratterizzata da diversi livelli di derogabilità e monitoraggio, costante rimane l’esigenza di fondo di un sistema di controllo di gestione che favorisca la comunicazione, coordini le diverse prospettive ed elabori soluzioni a supporto della strategia aziendale.

74