Organizzazione e Risk Based Thinking:

Il Risk Based Thinking come approccio di gestione deve pervadere l’organizzazione nel suo complesso ed è la stessa normativa ISO del 2015 a sottolineare come a livello strategico si debba far riferimento ai rischi tipici del settore di attività di un’organizzazione, ai rischi legati al contesto nel quale opera e alle esigenze delle parti interessate (considerati rischi variabili del settore). “La considerazione dei rischi appena richiamati consentirà la determinazione del perimetro del sistema di gestione per la qualità, nel quale ricadranno i processi (come elemento del campo di applicazione) e gli

40

elementi del sistema qualità, con il relativo grado di rilevanza, per la specifica organizzazione (e conseguenti determinazioni di applicabilità): sarà in altri termini possibile definire un profilo caratteristico del sistema qualità di ogni organizzazione, nel quale i diversi elementi/requisiti di norma potranno essere considerati con il loro peso relativo, considerati i rischi e le opportunità tipici del settore e della specifica organizzazione. Questo profilo del sistema qualità aziendale dipende in altri termini dai rischi/opportunità correlati al contesto e ai requisiti delle parti interessate, ed è perciò specifico dell’organizzazione e della sua politica per la qualità. Per tale motivo è destinato a cambiare nel tempo, dovendosi adattare ai mutamenti del contesto […] E’ bene sottolineare che poiché ogni azienda adotta propri criteri per delineare una specifica gerarchizzazione dei requisiti di sistema, il suo profilo caratteristico non è confrontabile con quello di un’altra organizzazione, anche se dello stesso settore.24_”

Fig.2 Livelli del Risk Based Thinking nel sistema di Gestione per la Qualità25

Il Risk Management:

Le organizzazioni oggigiorno si trovano a far parte di un ambiente economico caratterizzato da un’intensificazione della variabilità e da una

24 _{Nicola Gigante, Quaderno 3 – Risk Based Thinking. Collana I Quaderni della Qualità,}

febbraio 2016, pp. 5-6.

41

profonda incertezza e sono questi i motivi che hanno portato alla nascita e alla diffusione del Risk management riguardante l’identificazione e la valutazione dei rischi con il compito di stabilire azioni e strategie per un loro trattamento efficace, “l’intento di tornare al centro della gestione dell’impresa attraverso l’applicazione del Risk Management, utile per l’individuazione dei punti di rischio e di controllo che devono essere messi in atto per garantire la continuità di business. L’impresa deve individuare quei rischi che possono mettere in crisi seriamente la sua continuità operativa e condurre un processo continuo di resilienza , volto a garantire una solidità sia per i clienti sia per gli azionisti.26_”

Recentemente, inoltre, si parla sempre più spesso di Enterprise Risk Management e la scelta dell’uso della parola enterprise si deve all’obiettivo di una gestione dei rischi globale, capace di prendere in considerazione ogni processo, ogni attività dell’organizzazione con lo scopo di implementare un approccio al rischio condiviso ad ogni livello, che oltre ad essere unitario sia coerente con gli sviluppi dell’organizzazione. E’ il Committee of Sponsorship Oraganization of the Treadway Commission, CoSO27_{, che nel 2004,}

cogliendo le esigenze del mercato globale riguardanti una nuova idea di gestione del rischio, pubblica un framework contenente utili linee guida per la gestione del rischio e all’interno del quale l’ERM, considerato come un processo previsto dai vertici dell’organizzazione, ha come obiettivo la gestione del rischio in base al livello di risk tollerance sopportato dall’azienda grazie al quale stabilire, con un certo grado di sicurezza, il conseguimento di

26 _{Alessandro Pavone, Alessandro Corbisiero e Alessio Pelusi, Risk Management e contesto}

di un’organizzazione, la nuova ISO 9001:2015. Come definire il contesto di un’organizzazione ed analizzarne i rischi alla luce delle nuove norme ISO. Procedure e casi applicativi in aziende di servizi e di produzione. Edizioni Nuova Prhomos, Città Di Castello (Pg), 2016, p.11

27 _{Il comitato delle organizzazioni sponsor della Commissione Treadway (COSO ) è}

un'iniziativa congiunta delle cinque organizzazioni del settore privato (American Accounting Association, l’American Institute of Certified Public Accountant, la Financial Executive International, l’Association for Accountants and Financial Professionals in Business e infine l’Institute of Internal Auditors; ed è dedicata a fornire una leadership di pensiero attraverso lo sviluppo di quadri e linee guida sulla gestione del rischio d'impresa, il controllo interno e la deterrenza dalle frodi. Tratto dal sito https://www.coso.org/Pages/default.aspx, consultato in data 12/03/2018

42

determinati obiettivi dell’organizzazione. La definizione dell’ERM come di un processo è sintomatica della volontà di stabilire la gestione del rischio come un insieme di attività e di azioni non frutto della casualità ma integrate con la realtà dell’organizzazione nel suo complesso, prevedendone, infine, il suo carattere continuativo e costante nel tempo.

“L’ERM contribuisce a creare valore aziendale, in quanto permette di: . ottimizzare il profilo di rischio dell’impresa

. adottare un comportamento proattivo nei confronti dei rischi al fine di minimizzare le minacce e sfruttare le opportunità.

. gestire la vulnerabilità aziendale rispetto ad eventi giudicati pericolosi per il mantenimento dell’equilibrio economico finanziario e patrimoniale dell’impresa

. predisporre adeguati interventi di contenimento del danno da adottare nel caso si verifichino eventi in grado di pregiudicare la continuità operativa aziendale, quindi l’equilibrio economico finanziario e patrimoniale, ovvero il business.28_”

Compito del management è dunque quello di analizzare i rischi e definire il

Risk Profile dell’organizzazione ovvero controllare che il livello di rischio

ritenuto accettabile (Risk Tollerance) per ogni singola unità organizzativa sia in linea con la propensione al rischio (Risk Appetite) ritenuto accettabile dall’organizzazione nel suo complesso (Corporate). Strategia, tolleranza al rischio e propensione al rischio sono tre elementi fortemente collegati tra loro: ogni strategia viene scelta per la sua capacità di mettere in condizione l’organizzazione di raggiungere i suoi obiettivi e in relazione ai possibili rischi che vengono comparati con il rischio accettabile, ovvero il livello di tolleranza dell’organizzazione. Dunque l’ERM deve essere impiegato in fase di

28_{Alessandro Pavone, Alessandro Corbisiero e Alessio Pelusi, Risk Management e contesto}

di un’organizzazione, la nuova ISO 9001:2015. Come definire il contesto di un’organizzazione ed analizzarne i rischi alla luce delle nuove norme ISO. Procedure e casi applicativi in aziende di servizi e di produzione. Edizioni Nuova Prhomos, Città Di Castello (Pg), 2016, p.22

43

pianificazione degli obiettivi con lo scopo di sostenere il management nella scelta delle strategie coerenti con il profilo di rischio dell’organizzazione. Finalità del Risk Management è quella di individuare le strategie vincenti che devono essere allineate al Risk Tollerance, maggiore è la tolleranza al rischio maggiore sarà il livello di rischio accettabile e, dunque, sarà adottata una strategia che presuppone elevati gradi di criticità a fronte però di un incremento nelle possibilità di raggiungimento degli obiettivi. Gli obiettivi individuati da CoSO e contenuti nel framework del 2004 considerano: obiettivi strategici, comprensivi della prassi che consente all’organizzazione di creare valore, vengono stabiliti dai vertici e fungono da supporto alla mission dell’organizzazione. Obiettivi operativi: considerano gli obiettivi delle attività operative, finalizzati ad ottenere il massimo livello di efficacia ed efficienza, consentono di determinare il giusto apporto in termine di risorse. Obiettivi di reporting: considerano ogni documento a carattere informativo con l’obiettivo della massima affidabilità delle informazioni. Obiettivi di conformità: obiettivi determinati dall’adempimento e rispetto delle norme vigenti. Dunque da quanto appena affermato è possibile constatare come il raggiungimento degli obiettivi strategici ed operativi rappresentino il fulcro dell’ERM grazie al quale il Risk Management è dotato di tutte le informazioni necessarie alla comprensione dell’entità dei rischi riscontrati e di conseguenza all’individuazione delle più adeguate azioni per il loro trattamento. Gli obiettivi di conformità e di reporting sono strettamente collegati alla struttura organizzativa dell’organizzazione e dunque la gestione integrata del rischio attraverso l’ERM rappresenta una metodologia idonea al loro conseguimento.