Il processo di risk management è composto da tutte quelle attività mediante le quali un’azienda identifica, valuta, gestisce e monitora i rischi. Alcuni autori48
poi, propendono per includere nell’attività di gestione del rischio anche la comunicazione degli eventi rischiosi.
47 U. Bertini, op. cit., 1987
28
Figura 1.3: Il processo di risk management
Fonte: Riadattata da Il sistema di controllo interno nella prospettiva del risk management, G. D’onza, Giuffrè Editore, 2008
Prima di implementare metodologie e sistemi di gestione dei rischi però, è necessaria un’adeguata conoscenza del contesto di riferimento nel quale è inserita l’impresa. È fondamentale conoscere le caratteristiche interne, quindi tutto ciò all’interno dell’imprese che può influenzare il modo in cui eventi rischiosi vengono percepiti e gestiti, ma anche le condizioni esterne, cioè al contesto economico nel quale l’impresa opera cercando di raggiungere gli obiettivi prefissati. Tutti questi fattori sono quindi estremamente rilevanti, in quanto vanno ad impattare sulla strategia aziendale e sugli obiettivi specifici che l’impresa si prefigge di raggiungere49.
Ogni impresa, in relazione alle caratteristiche del proprio mercato di riferimento, definisce i propri obiettivi e formula le proprie aspettative ed ipotesi sui risultati attesi. La conoscenza di questi elementi permette l’implementazione di un processo di gestione dei rischi in linea con tali previsioni, che sia in grado di identificare i potenziali eventi dannosi ed individuare le soluzioni ottimali che permettano di minimizzare i danni conseguenti al manifestarsi di eventi avversi e massimizzare il valore dell’azienda50.
Affinché l’implementazione del processo di risk management sia efficace, è però necessaria anche l’analisi dell’atteggiamento dell’impresa nei confronti del rischio e del processo stesso. Difficilmente l’analisi del rischio risulta efficace se le persone al vertice dell’impresa non comprendono l’importanza di tale fenomeno e della sua considerazione.
49 ISO 31000, 2009 50 ISO 31000, 2009
29 La prima vera e propria fase del processo di risk management è l’identificazione dei rischi, che consiste nella ricerca e nell’individuazione di eventi potenziali che possono determinare effetti inattesi sull’impresa.
In questa fase si punta a selezionare quegli eventi che possono avere un impatto negativo sull’attività d’impresa e metterne a repentaglio il raggiungimento dei risultati previsti.
Si tratta di una fase critica da cui dipende l’efficacia dell’intera strategia di gestione e un’analisi incompleta o sbagliata può compromettere l’esito della gestione in quanto, le decisioni prese sulla base dei risultati ottenuti, possono non essere adeguate alla reale situazione aziendale, generando conseguenze negative per l’impresa.
La fase successiva è quella della valutazione dei rischi. L’incertezza degli eventi potenziali può essere valutata da due prospettive: la probabilità e l’impatto. La probabilità è calcolata come la probabilità che un evento accada mentre l’impatto, rappresenta il suo effetto.
Partendo dall’identificazione precedentemente eseguita, questa fase comporta una stima delle probabilità di accadimento e dell’impatto degli eventi dannosi. Attraverso il prodotto tra probabilità ed impatto si ottiene l’esposizione al rischio che, nonostante l’eterogeneità dei rischi, permette di arrivare a valori confrontabili e stabilire una priorità di intervento.
A questo punto si otterrà un elenco di rischi accettabili per l’azienda e uno di rischi non accettabili, nella risoluzione dei quali andranno investite le maggiori risorse.
La terza fase, nota come trattamento del rischio, è finalizzata invece all’implementazione delle strategie ottimizzate, necessarie alla modifica del profilo di esposizione aziendale al rischio a seconda delle proprie necessità, nel tentativo di allinearlo agli obiettivi strategici di risk management.
Sulla base delle due fasi precedenti, si agisce sui rischi prioritari: dopo aver determinato il livello di esposizione al rischio ottimale per l’azienda, ci si muove
30 per trattenere nell’organizzazione solo una parte di rischio residuale51, in modo
da offrire all’impresa la possibilità di un funzionamento efficace ed efficiente in ogni ambito.
L’ultima fase è quella di controllo è monitoraggio e si compone di tutte le azioni intraprese ai fini di un’osservazione e una valutazione efficaci del progetto di gestione, così da essere in grado di fornire previsioni puntuali e opportune su eventuali rischi in essere. Una simile capacità assicura la possibilità di una risposta al rischio tempestiva ed efficace, anche grazie all’adozione delle azioni correttive più idonee allo scopo di limitare gli eventuali danni.
Alcuni autori52 poi, propendono per includere nell’attività di gestione del rischio
anche la comunicazione degli eventi rischiosi.
Quando si parla di comunicazione, a seconda dei destinatari, si può distinguere tra comunicazione interna, i cui beneficiari sono gli attori che operano all’interno dell’organizzazione, e la comunicazione esterna, che è rivolta invece agli interlocutori esterni alla combinazione produttiva.
La comunicazione interna è una componente trasversale del processo di risk management che precede, accompagna e segue tutte le fasi del processo. La comunicazione esterna invece, è una componente che si colloca alla fine del processo di risk management ed è alimentata dal reporting interno.
3.4 – Il Risk Assessment
Il processo di monitoraggio degli eventi che determinano incertezza, l’individuazione e la gestione dei fattori causanti e la valutazione degli effetti che l’incertezza ha sulle scelte sui processi e sulle performance aziendali si presentano come fondamentali per la creazione di valore.
I fattori di incertezza possono avere un significativo impatto sulla capacità dell’impresa di raggiungere gli obiettivi fissati in sede di pianificazione delle
51 Si usa distinguere il rischio inerente dal rischio residuo. Con rischio inerente si intende il rischio che
un’azienda assume quando il management non attiva nessun intervento per modificarne la probabilità e l’impatto. Il rischio residuo, invece, è il rischio che rimane dopo che il management ha attivato una risposta al rischio.
31 strategie aziendali, soprattutto quando si presentano come inaspettati o si manifestano in modo diverso rispetto a quanto era stato ipotizzato.
Di conseguenza, la capacità di identificare, misurare e gestire i fattori di rischio e i rischi, diventa una fonte di vantaggio competitivo perché permette all’azienda di assumere rischi derivanti dall’adozione di determinati modelli di business o dall’investimento in progetti che, senza un adeguato sistema di monitoraggio e gestione, non sarebbero sostenibili.
Il tema dell’individuazione, della valutazione e gestione dei rischi non è una novità nel mondo manageriale, tuttavia, si hanno alcuni elementi innovativi. In questi ultimi anni, rispetto al passato, è aumentata l’ampiezza dell’oggetto analizzato infatti, non si parla più di rischi specifici collegati ad una funzione aziendale ma si fa riferimento al sistema dei rischi nel suo complesso e inoltre, l’attribuzione delle responsabilità per la gestione del rischio all’interno dell’azienda riguarda più soggetti.
Il risk management viene allora interpretato come un processo finalizzato a identificare, valutare e gestire gli eventi che potenzialmente determinano effetti sullo svolgimento delle attività aziendali e a fornire assicurazioni relativamente al raggiungimento degli obiettivi aziendali53.
Alla luce di quanto evidenziato diventa essenziale quindi, sviluppare sistemi e modelli che permettano al management di individuare e selezionare, tra tutti gli eventi che si presentano potenzialmente d’impatto sui risultati aziendali, quelli più significativi e che è necessario gestire.
Spostare l’attenzione da un sistema fondato su rischi specifici e sull’analisi di unità organizzative particolari alla valutazione del sistema dei rischi a livello aziendale, ha determinato la centralità ricoperta da tutte le attività finalizzate all’individuazione dei fattori di rischio, cioè delle cause interne ed esterne all’azienda che con il loro manifestarsi, mettono a rischio il conseguimento degli obiettivi aziendali.
Quando l’oggetto di analisi era principalmente riconducibile ai rischi finanziari o al dominio di una singola funzione aziendale, il risk management era centrato
32 sulla quantificazione dell’impatto che tali rischi avevano sulle performance aziendali. Di conseguenza il risk assessment era irrilevante, in quanto i rischi erano conosciuti, non si modificavano nel breve termine e spesso esistevano anche database con dati storici.
Nell’attuale contesto, a causa del dinamismo, si ha una scarsa disponibilità di informazioni e dati rilevanti per questo motivo, diviene importante individuare inizialmente i fattori di rischio che possono compromettere il raggiungimento degli obiettivi aziendali e successivamente adottare tecniche per l’identificazione e la misurazione dei rischi e dell’impatto che questi hanno sulle performance.
3.4.1 – L’identificazione dei rischi
Come sottolineato più volte nel corso del presente lavoro, il rischio corrisponde alla variabilità dei risultati futuri quando, esaminati all’interno di un dato orizzonte temporale e in relazione al modificarsi di alcune variabili ritenute rilevanti, al fine di determinare gli impatti sulla capacità di un’azienda di raggiungere i propri obiettivi54. Da questo, si deduce che tanto maggiore è la
variabilità dei risultati attesi, quanto maggiore è il livello di rischio al quale l’azienda è esposta.
Il rischio quindi, inteso come variabilità degli effetti, esiste fino a quando c’è un’incertezza su quali saranno le cause che lo determinano e scompare solo quando si realizzano tutte le cause conosciute a priori.
Considerando la suddetta premessa, possiamo dire che l’identificazione dei rischi è finalizzata alla ricerca e alla selezione degli eventi e variabili che devono essere monitorati al fine di difendere i livelli di performance conseguibili allo stato attuale o ipotizzati.
L’identificazione dei rischi ha allora origine dall’analisi delle cause del rischio, cioè dall’individuazione dei fattori che determinano la variabilità dei risultati aziendali. Da questo consegue che l’identificazione dei rischi riguarda l’individuazione di eventi rischiosi che si possono manifestare, mentre
33 l’individuazione dei fattori di rischio consiste nella valutazione del perché, come e dove questi eventi possono verificarsi.
Tutto questo implica che i rischi possono essere valutati e misurati ma non possono essere controllati e gestiti: sono i fattori di rischio che devono essere monitorati e gestiti.
Appare evidente quindi, come un miglioramento nelle capacità previsionali e di gestione dei fattori di rischio, determini una riduzione del livello di incertezza e di conseguenza del rischio.
3.4.1.1 – L’identificazione dei fattori di rischio
L’identificazione dei fattori di rischio è un elemento chiave dell’intero processo di risk assessment poiché, tanto maggiore è l’attenzione con cui viene svolta questa attività, tanto migliore sarà la capacità potenziale dell’azienda di monitorare e gestire i rischi.
Il punto critico di questa fase riguarda la capacità di individuare tutti i fattori di rischio che si presentano potenzialmente rilevanti. Tale presumibilità si riferisce al fatto che non tutte le variabili sulle quali grava un’aleatorietà sono fattori di rischio per l’azienda. Le variabili si presentano come fattori di rischio solamente quando hanno effetto su fattori critici di successo dell’azienda e influenzano la performance dell’azienda55.
La caratteristica principale di un fattore di rischio è quindi quella di modificare la distribuzione attesa dei risultati e impedire il raggiungimento degli obiettivi che l’azienda si è prefissata.
Questo significa che una variabile o un evento prospettico che si presentano con un alto livello di incertezza in relazione al momento dell’accadimento e al loro esito ma, non mostrano un potenziale tale da incidere in modo significativo sul raggiungimento dei risultati aziendali, non devono essere identificati come fattori di rischio.
55 Associazione Italiana Internal Auditors, Price Waterhouse Coopers, La gestione del rischio aziendale.
ERM – Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, CoSo,
34 Il modello CoSO56 evidenzia che una miriade di fattori esterni ed interni
originano eventi che influiscono sull’implementazione della strategia e sul conseguimento degli obiettivi. Tra i fattori esterni si individua57:
• L’economia – gli eventi che riguardano ad esempio le oscillazioni dei prezzi, la disponibilità di capitali, barriere all’entrata più basse per i concorrenti, e che incidono sul costo del capitale e sull’accesso al mercato di nuove imprese.
• L’ambiente – gli eventi che riguardano per esempio inondazioni, incendi o terremoti e che procurano danni agli impianti oppure ai fabbricati, alle materie prime o perdite di risorse umane.
• La politica – gli eventi che riguardano cambiamenti nel contesto politico, quali la nomina di un nuovo governo con nuovi programmi politici e nuove leggi che possono imporre vincoli all’accesso ai mercati internazionali oppure ancora, nuove liberalizzazioni o un aumento o diminuzione delle imposte
• Il sociale – gli eventi possono riguardare i cambiamenti demografici, dei costumi sociali, della struttura della famiglia, delle priorità tra qualità della vita e del lavoro, il terrorismo. Questi cambiamenti danno luogo a mutamenti nella domanda di prodotti e servizi, nei canali di acquisto, nella gestione delle risorse umane e nei periodi di interruzione dell’attività produttiva.
• La tecnologia – gli eventi possono riguardare le nuove tecniche di commercio elettronico che determinano un incremento dei dati informativi disponibili, la riduzione dei costi di struttura e un aumento della domanda dei servizi tecnologici.
56Committee of Sponsoring Organizations of Treadway Commission (CoSO) è un’iniziativa congiunta
di cinque organizzazioni del settore privato con lo scopo di guidare gli organi di gestione esecutiva e di governo su aspetti rilevanti della governance organizzativa, dell’etica, del controllo interno, della gestione dei rischi aziendali e delle frodi.
35 Gli eventi sono originati anche dalle scelte fatte in passato dal management ed influenzeranno gli eventi che si manifesteranno in futuro. Tra i fattori interni si evidenzia:
• Le infrastrutture – gli eventi possono riguardare per esempio investimenti aggiuntivi di capitale per realizzare un programma di manutenzione ordinaria oppure, un call center per i clienti. Questi investimenti daranno luogo ad un aumento dei tempi di utilizzo degli impianti o ad un miglioramento della customer satisfaction.
• Il personale – gli eventi possono riguardare per esempio gli infortuni sul lavoro e la scadenza dei contratti collettivi di lavoro, che potrebbero dar luogo a dismissioni di personale, a danni monetari o di immagine e a scioperi.
• I processi – gli eventi possono riguardare: modifiche dei processi senza un adeguato cambiamento dei protocolli gestionali, errori nello svolgimento dei processi, consegne merci a clienti effettuate da outsourcer senza un’adeguata supervisione. Tutto ciò può causare perdite delle quote di mercato, inefficienze, clienti insoddisfatti e riduzioni di ricavi.
• La tecnologia – gli eventi possono riguardare investimenti di risorse addizionali per gestire la volatilità dei volumi, le violazioni della sicurezza e potenziali interruzioni dell’operatività dei sistemi. Questo può causare una riduzione del portafoglio ordini, operazioni fraudolente e il blocco dell’attività aziendale.
Una volta definita la lista dei fattori di rischio potenziali, che può essere standardizzata a livello aziendale oppure specifica a livello di business unit, si devono identificare quali sono quelli che hanno un impatto effettivo sul raggiungimento degli obiettivi e sulle performance aziendali.
36
3.4.1.2 – Le tecniche di identificazione degli eventi
Le tecniche per identificare gli eventi possono essere basate su eventi passati o futuri58. Le prime guardano a quello che è lo storico dell’azienda e vanno ad
identificare gli eventi ed i relativi rischi guardando al passato. Le seconde, invece, vanno ad identificare quegli eventi che non possono essere identificati guardando il passato, perché sono frutto delle nuove strategie.
Tra le tecniche più utilizzate per l’identificazione degli eventi troviamo59:
→ Catalogo degli eventi. Il management utilizza un catalogo degli eventi potenziali comuni ad un settore o ad un’area funzionale che è elaborato dal personale dell’azienda o ricavato da informazioni provenienti dall’esterno. Questa è una delle metodologie più utilizzate perché ha il vantaggio di essere molto facile da utilizzare e si può applicare a vari contesti. Tuttavia presenta anche lo svantaggio che porta a pensare ad eventi già riconosciuti e a non pensare a quali altri eventi possono causare rischi.
→ Workshop. Si tratta di una serie di incontri che servono per agevolare l’identificazione degli eventi al quale partecipano persone che ricoprono funzioni diverse all’interno dell’azienda e che sono chiamate ad attingere alla loro esperienza per elaborare una lista di eventi. I vantaggi di questa tecnica sono svariati: stimola la creatività, che è fondamentale per individuare rischi che non si sono mai verificati; ci sono più soggetti che si concentrano su un obiettivo; sviluppa la conoscenza delle persone. Al contrario come punti di debolezza possiamo evidenziare: troppa creatività può portare fuori tema; un leader può influenzare gli altri; con la partecipazione di troppe persone si rischia di perdere l’obiettivo; difficilmente i subordinati andranno contro il proprio leader.
→ Check list. Si ha una lista di rischi tipici di una funzione o di un processo che possono andare ad impattare sul raggiungimento degli obiettivi. I risk manager o i consulenti chiamati ad implementare il sistema di risk
58 Associazione Italiana Internal Auditors, Price Waterhouse Coopers, op. cit., 2006 59 Associazione Italiana Internal Auditors, Price Waterhouse Coopers, op. cit., 2006
37 management identificheranno gli obiettivi ed i rischi possibili emersi da un’analisi fatta a priori, e i soggetti coinvolti esprimeranno un giudizio sulla presenza o meno di questo rischio. Il punto di forza di questo strumento è l’identificazione sistematica di tutti i rischi e delle loro interrelazioni, mentre come limite possiamo individuare una limitata creatività e difficoltà nell’indentificare rischi esterni.
→ Interviste. Le interviste vengono fatte ai dipendenti dell’azienda e hanno lo scopo di accertare il punto di vista dell’intervistato e la sua conoscenza di eventi attuali, passati e potenziali. Le interviste possono essere strutturate, semi-strutturate o destrutturate60. Sono preferibili le interviste
semi-strutturate e destrutturate poiché lasciando al
→ l’intervistato la libertà di esprimersi, si possono individuare rischi che non erano stati identificati in precedenza.
→ Questionari e indagini. I questionari riguardano una serie di argomenti che devono essere esaminati dai partecipanti, concentrando la loro attenzione sui fattori che hanno dato luogo o possono dar luogo ad eventi61. I questionari possono essere domande aperte o chiuse, in base
agli obiettivi che si vogliono conseguire e a seconda delle risposte associo un rischio conseguente. A seconda dello scopo che hanno possono essere indirizzati ad una o più persone e all’interno o esterno dell’azienda.
→ Diagrammi di flusso. Questa tecnica consiste nel rappresentare in forma grafica un processo al fine di comprendere le interrelazioni dei suoi componenti. In seguito, possono essere identificati ed analizzati, a fronte degli obiettivi del processo, i rischi associati. Il vantaggio del diagramma di flusso è l’identificazione delle interdipendenze che sussistono tra i vari
60 Nelle interviste strutturate si hanno domande definite a priori con una serie di risposte possibili. In
questo caso non si lascia spazio all’intervistato di esprimere giudizi alternativi. Nelle interviste semi- strutturate e destrutturate si hanno delle domande guida ma si lascia anche la libertà all’intervistato di esprimere le proprie opinioni.
38 rischi, ma il limite è che tale strumento risulta efficace solo se si dispone di mappe di processo aggiornate.
→ Key risk indicators. Questo strumento è un indicatore predittivo per monitorare l’esposizione ad eventuali rischi critici per l’azienda prima che portino a danni economico-finanziari. Questi indicatori vengono comunicati con cadenza giornaliera, settimanale, mensile o in tempo reale a seconda delle loro caratteristiche e la loro validità dipende dalla tempestività con cui sono comunicati.
Una volta che il Consiglio di Amministrazione approva il risk appetite, poi stabilisce una soglia di risk limit per ogni indicatore. Il risk manager andrà poi a monitorare l’andamento di questo indicatore e lo confronterà con la soglia di risk limit per capire se l’azienda sta assumendo più rischio di quanto era stato stabilito.
→ Tabella delle vulnerabilità. Questa tabella permette di associale a degli asset materiali, individuati preliminarmente attraverso l’inventario, quelli che possono essere i fattori potenziali di rischio. Per ognuno degli asset viene descritto se un determinato fattore di rischio può impattare su quest’ultimo, qual è l’impatto potenziale e se possono generare una perdita. Questo strumento è utile per capire il modo più adatto per gestire un rischio.
→ Rilevazione di eventi che generano perdite. Attraverso il monitoraggio di dati, un’organizzazione può individuare eventi passati che hanno prodotto conseguenze negative e quantificare le perdite che sono derivate per prevedere possibili eventi futuri. Questo strumento fornisce la base