Prospettive di sviluppo

Una messa a regime richiede dunque interventi su almeno tre fonti, tra loro strettamente interconnessi: quello del follow up dei workshop di CRSA; quello del mantenimento e dello sviluppo della metodologia; quello dell’integrazione con il sistema di pianificazione e controllo. C’è l’esigenza di dare continuità all’esperienza di CRSA, a fini di periodico aggiornamento del portafoglio rischi e delle contromisure adottate. Infatti solo il monitoraggio continuo del sistema obiettivi-risorse-rischi consente una tempestiva identificazione di situazioni a rischio e l’attivazione di efficaci contromisure.

Al fine di dare continuità all’esperienza CRSA e assicurarne la completa trasformazione da esercizio a pratica manageriale, è necessario mantenere pressione sul processo. A tal fine sono state avviate quattro linee di intervento, (Beretta, 2004):

La nomina di un referente del processo di CRSA per ciascuna unità del Gruppo, responsabile nei confronti del vertice della corretta ed efficace applicazione della metodologia;

La definizione di norme e procedure di controllo dei rischi che definiscono a livello di Gruppo prassi e punti di controllo finalizzati al governo dei rischi;

L’istruzione di un ruolo di supporto metodologico permanente (identificato all’interno del project office) che dia continuità all’iniziativa e stimoli il miglioramento delle soluzioni metodologiche sviluppate nelle prime sperimentazioni;

Lo sviluppo di un’applicazione informatica a supporto della gestione dei rischi. Tale applicazione, sviluppata all’interno del Gruppo, costituisce innanzitutto il repository dei rischi identificati e valutati dal management. Inoltre, essendo distribuita all’interno del Gruppo, supporta la gestione dei piani d’azione identificati all’interno del CRSA a livello sia di manager responsabili della loro implementazione, sia di responsabili di business unit/funzione, sia di preposto all’attuazione. Al fine di assicurare nel tempo la rilevanza dei contenuti informativi del repository di rischi e piani d’azione, sono

previsti periodici aggiornamenti in occasione dell’elaborazione e revisione dei piani di business.

6.7 Conclusioni

Le iniziative di risk assessment hanno spesso nella vita delle imprese la durata di una stagione: nate magari in modo occasionale, da esigenze di quotazione in borse valori o da richiami fatti dai revisori esterni o dagli auditor interni, faticano a perdere l’immagine di esercizio occasionale pensato per richiamare l’attenzione del management su temi che in un dato momento sono sotto lo scrutinio del vertice e degli stakeholder. Appena la tensione si allenta, perché risposte consolatorie sono state date al vertice o perché l’attenzione del management viene attratta da nuove urgenze, queste iniziative, prive di solide radici organizzative, si spengono, senza aver prodotto sostanziali mutamenti nei sistemi di gestione. Nell’esperienza del Gruppo Telecom Italia, il progetto CRSA nasce su mandato del vertice, con il preciso obiettivo di farne strumento del management per la gestione sistematica dei rischi all’interno del Gruppo.

La scelta di fondo operata dal vertice, di posizionare il CRSA fra gli strumenti di governance e management, indica nella quantità e qualità della partecipazione del management il principale obiettivo assegnato all’iniziativa nella sua implementazione a vasto spettro. I momenti di incontro-confronto del management hanno assolto, nelle fasi iniziali del progetto, funzioni di allineamento degli obiettivi individuali agli obiettivi del Gruppo e di business unit. È stata proprio l’elevata partecipazione del management a spingere un’enfatizzazione degli aspetti sostanziali del progetto CRSA. Emerge con chiarezza dall’esperienza esaminata come si sia rinunciato all’adozione di sofisticate metodologie di identificazione dei rischi che a vario titolo possono insistere sulle condizione di gestione, a tutto favore di un approccio pragmatico, facilmente trasferibile al management e pienamente da questo accettato, anche per la scelta di centrarlo sull’identificazione dei fattori che possono compromettere il conseguimento degli obiettivi aziendali.

Elevata partecipazione del management e centralità degli obiettivi aziendali sono i due tratti

che più di altri testimoniano l’allineamento dell’approccio seguito dal Gruppo Telecom Italia rispetto ai punti di riferimento dati dal CoSO Report e accolti dalle best practices di corporate governance in tema di controllo interno.

La scelta di promuovere un attivo coinvolgimento del management ha portato con sé alcune implicazioni di grande rilievo.

In primo luogo, al fine di promuovere una partecipazione attiva e convinta del management all’interno di un’iniziativa dalla quale, al più, potevano emergere punti di debolezza nei sistemi di controllo in essere, i vertici aziendali hanno fortemente sponsorizzato l’iniziativa, facendone un progetto strategico di gruppo, collocato all’interno di un più vasto sistema di interventi sulla corporate governance.

In secondo luogo, la partecipazione convinta abbisogna di tempi e supporto organizzativo. Abbisogna di tempi adeguati al fine di trovare una collocazione non occasionale nei programmi di attività e nei processi organizzativi del management. Abbisogna di supporto organizzativo: il management deve poter ricevere supporto metodologico adeguato a esprimere il suo potenziale conoscitivo e il suo patrimonio di conoscenze deve poter trovare punti di accumulazione e strumenti di diffusione all’interno del gruppo. E allora si spiega la durata biennale del progetto (in cui si è scelto di non scambiare la qualità per la velocità) e il costo in termini di risorse manageriali impegnate.

In terzo luogo, la partecipazione attiva del management all’interno di un Gruppo della complessità, dell’articolazione (anche territoriale) e delle dimensioni di Telecom Italia deve essere governata al fine di evitare che le spinte adattive provenienti dalle singole unità di business possano compromettere l’unitarietà del progetto di gruppo.

Il quadro che si presenta è dunque quello di un progetto di estrema complessità.

In conclusione, l’esperienza del Gruppo Telecom Italia testimonia come il CRSA, per poter essere strumento di miglioramento della gestione, non possa e non debba risolversi in un esercizio fatto una tantum, nel chiuso di un ufficio di corporate, al riparo della realtà quotidiana vissuta dal management. Esso deve invece diventare catalizzatore delle energie del management, che deve impossessarsene per farne un proprio strumento di gestione.

Nelle parole di uno dei manager responsabili del CRSA nel Gruppo Telecom Italia: «la metodologia è talmente innovativa e prevede un intervento così attivo e contributivo del management che quello che è stato fatto sinora non può essere lo standard, ma solo un punto di partenza. Il Gruppo, a partire dai suoi vertici, ha creduto e crede nel CRSA quale importante tassello all’interno del sistema di governance. Al di là dei primi, importanti risultati conseguiti, ciò che conta è che le condizioni organizzative perché l’esercizio si trasformi in pratica manageriale corrente siano state create».

Vorrei concludere con una battuta. Frequentemente, mi viene posta la seguente domanda: «Che cosa bisogna fare, in pratica, per riuscire nell’attività di risk management?». La mia risposta prevede l'utilizzo di una metafora: «Svolgere efficacemente l'attività di risk management è un po' come andare in bicicletta; occorre definire chiaramente il tracciato da percorrere, bisogna poi mantenere l'equilibrio necessario a superare gli ostacoli che si presentano lungo la strada, ed, infine, è indispensabile pedalare!».