3. Il Risk Management
3.7 L’organizzazione
In organizzazioni complesse e di grandi dimensioni è di fondamentale importanza, al fine di garantire l’efficacia del processo, affrontare la questione
35 anche dal punto di vista dell’impatto organizzativo. La gestione dei rischi ha un’importante valenza strategica per l’impresa e si basa su:
La promozione di una cultura del rischio e di un linguaggio comune; Sui principi della politica di assunzione del rischio;
Sulla gestione del rischio all’interno delle diverse funzioni; Sul controllo e monitoraggio dei rischi e delle azioni intraprese;
Sulla creazione di un’unità organizzativa che coordini, gestisca e supervisioni il processo di risk management;
La funzione di risk management è solitamene un’unità di staff a supporto di soggetti con poteri esecutivi. Nelle PMI è invece possibile notare una collocazione differente, spesso subordinata.
I principali soggetti coinvolti nel processo sono (qualora presenti): Il Consiglio di Amministrazione e gli amministratori esecutivi; Le singole funzioni;
La funzione di risk management; La funzione di internal auditing;
Ai primi spetta la definizione delle strategie dell’organizzazione, delle risorse da stanziare per il raggiungimento di tali scopi e degli obiettivi generali di assunzione dei rischi.
Le varie funzioni aziendali dovrebbero essere strettamente coinvolte nel processo, con il supporto della funzione di risk management, ed essere direttamente responsabili della gestione strettamente operativa del processo, oltre che della diffusione della cultura del rischio al loro interno.
Alla funzione di risk management spetta lo svolgimento della fase centrale del processo. La figura del risk manager (o Chief Risk Officer) è responsabile del coordinamento dell’intero processo (ma non della gestione operativa dei singoli rischi). La funzione di internal auditing è invece predisposta al controllo e monitoraggio delle operazioni.
La diffusione all’interno dell’organizzazione di una cultura di gestione dei rischi e l’uso di un linguaggio comune determinano l’efficacia del processo e delle
36 tecniche utilizzate. Per “cultura” si intende quell’insieme di valori e norme comuni nel rispetto dei quali i membri dell’organizzazione presentano determinati atteggiamenti verso il rischio e comportamenti per fronteggiarlo. Lo sviluppo della cultura di gestione del rischio è pertanto di grande importanza per permettere a persone appartenenti a diversi livelli dell’organizzazione di acquisire consapevolezza dei rischi, di comunicare e scambiarsi informazioni e di contribuire al processo in modo efficiente ed efficace.
La cultura della gestione del rischio dipende da vari fattori caratteristici dell’organizzazione quali lo stile direzionale, la formazione del personale, i sistemi di comunicazione interni, l’atteggiamento verso il rischio dei singoli membri appartenenti all’organizzazione e l’orientamento generale dell’impresa sul controllo del rischio.
L. Selleri (L’impresa e il rischio, 2006) riporta queste ultime due variabili in una matrice che chiama “Matrice della Cultura del Rischio” (Fig. 9) e le scinde in due valori, alto e basso.
Dalle combinazioni di queste variabili si possono definire quattro tipologie di cultura del rischio:
“Propensione al rischio” quando l’attitudine è alta ma il controllo è limitato;
37 “Esposizione controllata” quando l’attitudine rimane alta ma il controllo è
più approfondito; questa tipologia rappresenta il modello ideale a cui tutte le organizzazioni dovrebbero tendere perché caratterizzato dal giusto equilibrio;
“Esposizione non controllata” quando vi è poca attitudine al rischio ma anche basso controllo;
“Avversione al rischio” quando la poca attitudine è associata ad un elevato controllo.
La politica di assunzione dei rischi o, come chiamata dalla UNI ISO 31000, “politica per la gestione del rischio”, è costituita dagli obiettivi, dagli indirizzi generali e dall’impegno per la gestione del rischio e dovrebbe essere adeguatamente comunicata all’interno dell’organizzazione. È importante che essa venga comunicata anche verso l’esterno, ovvero ai portatori di interesse dell’organizzazione, sia per motivi di coinvolgimento e ritorno delle informazioni, quanto per creare fiducia nei confronti dell’organizzazione stessa. Si pensi al caso in cui l’organizzazione fosse una banca: i fattori immagine e fiducia sono due elementi di vitale importanza ed è infatti facile reperire informazioni sulla politica di gestione del rischio (finanziario) e degli strumenti utilizzati già sul sito web delle banche più importanti.
Perché il processo sia efficace e continui ad esserlo nel tempo si richiede un grande impegno e coinvolgimento da parte della direzione, la quale dovrebbe anche (Fig.10):
Formulare la politica di gestione del rischio;
Assicurarsi che la politica sopra definita sia in linea con la cultura dell’organizzazione;
Definire degli opportuni indicatori di prestazione, per monitore l’andamento del processo, in linea con gli indicatori di prestazione generali dell’impresa;
Far sì che gli obiettivi della gestione del rischio e dell’organizzazione siano compatibili e allineati;
38 Definire responsabilità, autorità e competenze all’interno
dell’organizzazione ma anche adeguati riconoscimenti; Allocare le necessarie risorse al processo;
Figura 10 Doveri della direzione
È inoltre consigliabile che la direzione coinvolga preliminarmente i responsabili delle diverse funzioni e dei vari livelli organizzativi affinché possa dimostrare il proprio coinvolgimento e l’importanza data alla gestione del rischio; dovrebbe inoltre considerare seriamente un processo di sensibilizzazione del personale a questo tema, tenendo conto degli atteggiamenti di tutti i membri per far sì che tali principi non siano solo imposti ma compresi ed accettati.
Analogamente alla figura del Quality Manager presente nei sistemi di gestione per la qualità, è possibile qui identificare il Risk Manager, una figura ancora poco nota nelle piccole realtà ma che sta invece prendendo piede in contesti più complessi che già hanno a che fare con la gestione de rischio. Nella UNI ISO 31000 non si parla mai di un responsabile della gestione del rischio ma solo di “titolari del rischio” che detengono la responsabilità e autorità per gestire i
39 rischi. Per tutto il resto del processo nella normativa seguono solo una serie di “l’organizzazione dovrebbe”; ciò permette di rendere la normativa applicabile ad ogni tipo e dimensione di organizzazione ma può comunque risultare consigliabile identificare una figura responsabile dell’intero processo con buone capacità di coordinamento. È solitamente una figura interna con un grado di responsabilità e autonomia decisionale piuttosto elevato che lavora a stretto contatto con tutti i reparti aziendali (marketing, vendite ma anche logistica) e che necessita quindi di grandi capacità relazionali e di una ricca base di competenze per poter analizzare nel dettaglio le varie fasi delle attività per individuare eventuali criticità. Il risk manager è quindi colui che gestisce il processo di gestione dei rischi, dall’identificazione alla definizione delle strategie di trattamento e si assume la responsabilità del corretto funzionamento del programma di gestione del rischio
Nelle organizzazioni di piccole dimensioni parliamo solitamente di un singolo individuo che, spesso e volentieri, ricopre anche altri ruoli; in realtà più importanti possiamo trovare anche interi team di persone ma anche consulenti esterni specializzati in una determinata area di rischio. Tale scelta non dipende solo dalla dimensione dell’impresa ma anche dai suoi obiettivi e dal livello di implementazione del sistema di gestione.
Tenendo conto delle peculiari caratteristiche dell’organizzazione, tra le principali responsabilità del risk manager, o della funzione di Risk Management, troviamo (Fig. 11):
Gestire le comunicazioni interne (in particolar modo le informazioni di ritorno necessarie al processo decisionale) ed esterne (come un cliente, un fornitore o un’autorità giudiziaria) all’organizzazione in materia di gestione del rischio;
Definire il contesto interno ed esterno all’organizzazione per tenere conto di eventuali parametri che possono influenzare il raggiungimento dei propri obiettivi e stabilire i dovuti criteri di rischio (che ricordiamo essere i termini di riferimento rispetto ai quali è valutata la significatività del rischio);
Proporre alla direzione un “Piano di gestione del rischio” specificante l’approccio, i componenti gestionali (procedure, prassi, attribuzione di
40 responsabilità e schedulazione delle attività) e le risorse da applicare alla gestione del rischio di un particolare prodotto, processo, progetto od organizzazione;
Promuovere e far applicare il piano di gestione del rischio a tutti i livelli e funzioni pertinenti in termini di prassi e processi supportando e responsabilizzando il personale;
Identificare le fonti rischio, valutare i rischi identificati, predisporre (insieme al management) e attuare i “Piani di trattamento del rischio”; Misurare le prestazioni del processo a fronte di indicatori periodicamente
riesaminati;
Data la continuità delle operazioni all’interno dell’organizzazione, si dimostra inoltre d’aiuto il supporto di un adeguato sistema informativo che raccolga tutte le informazioni sui rischi per conseguire una stabilità dei risultati nel tempo.
Il risk manager dovrebbe possedere competenze trasversali che vanno dall’ambito assicurativo alla gestione d’impresa alla conoscenza del settore
41 specifico dell’impresa. Occorre che abbia buone capacità di coordinamento, programmazione ma anche spiccate doti relazionali, di dialogo e di leadership. Egli dovrebbe essere in grado di incoraggiare i membri dell’organizzazione a migliorare continuamente le proprie prestazioni.
Sarebbe poi necessaria una buona conoscenza dei processi aziendali, degli impianti, dell’organizzazione del lavoro e delle procedure amministrative per svolgere in modo efficace ed efficiente il processo, in particolar modo per quanto riguarda le fasi di identificazione e valutazione del rischio. Per gestire il rischio, in previsione degli sviluppi futuri del contesto e dell’organizzazione, sarebbe poi opportuna una base di conoscenze relativamente a strumenti e metodologie di previsione e di analisi probabilistiche.
L’acquisizione di queste competenze non richiede necessariamente una formazione pregressa specifica ma può basarsi su diversi percorsi formativi uniti ad esperienze personali sviluppate all’interno del contesto organizzativo. Il Risk Manager dovrà inoltre mantenersi costantemente aggiornato su leggi e normative, sull’evoluzione del mercato e sui prodotti.
Si apre una piccola parentesi per sottolineare come talvolta la figura del risk manager sia stata confusa con quella dell’Insurance Manager. Quest’ultima è una figura aziendale designata alla gestione del programma assicurativo, quindi finalizzata puramente al trasferimento dei rischi ad una compagnia di assicurazione: egli imposta le polizze e definisce e negozia le coperture assicurative idonee. Il Risk Manager svolge pertanto funzioni più ampie e ha a disposizione più strategie di trattamento dei rischi.
42