Trattamento dei risch

Una volta identificati e valutati i rischi è possibile definire le azioni utili per la loro gestione. In via generale le strategie per la gestione dei rischi possono essere sintetizzate come segue:

− eliminare il rischio, evitando di svolgere l’attività rischiosa o

azzerando la causale del rischio (evidentemente azioni non realizzabili nella maggior parte dei casi);

− ridurre il rischio, incidendo sulle due componenti del rischio stesso:

probabilità di accadimento ed entità o severità di impatto;

− ridistribuire il rischio, modificando le attività specifiche e il modus

operandi per ripartire maggiormente il rischio sulle varie parti del sistema e quindi ridurre le due variabili prima accennate;

− accettare il rischio, assumendosi le responsabilità ed i costi

dell’accadimento dell’evento;

− trasferire il rischio, ossia stipulare contratti che addossano ad una

terza parte (di norma una compagnia di assicurazione) il sostenimento della perdita arrecata dall’evento dannoso o parte di esso.

Il tipo di trattamento varierà da un’azienda all’altra, anche se appartenenti allo stesso settore. Questo perché in primo luogo ogni azienda avrà un diverso profilo di rischio, in secondo luogo perché la scelta del tipo di trattamento dipenderà dai giudizi soggettivi di chi governa l’azienda. Prima di stabilire una strategia di risposta al rischio è necessaria una valutazione sulla convenienza ad assumere o meno i rischi. Infatti, non è detto che tutti i rischi individuati debbano essere assunti; se l’azienda dovesse ritenere il rischio eccessivo, superiore al risk appetite aziendale, può decidere di evitare il rischio abbandonando le azioni che lo determinerebbero.

Una volta che in rischio è giudicato sopportabile nasce il problema di come fronteggiarlo. Prima di esaminare le diverse strategie è opportuno considerare alcuni elementi. La formulazione delle azioni di trattamento richiede una presa di coscienza degli eventi che possono pregiudicare il raggiungimento degli obiettivi aziendali ed avere un impatto negativo sulla creazione di valore.

L’altro fattore da considerare è la Risk Tollerance, cioè il limite entro cui il rischio può essere sopportato. In sostanza tutti quei rischi che ricadono al di sotto della soglia di accettabilità sono quei rischi per i quali non verrà intrapresa alcuna azione di trattamento. In genere la decisione di rinunciare al trattamento di un rischio segue ad un’analisi costi/benefici poco conveniente.

Per i rischi che ricadono oltre la soglia di tolleranza esistono due alternative di trattamento:

1) Ridurre la probabilità di accadimento 2) Contenere l’impatto

Per ridurre la probabilità di accadimento di un fenomeno rischioso possono essere utilizzate diverse attività di controllo; per esempio può essere richiesta l’autorizzazione per lo svolgimento di alcune attività, oppure possono essere inserite delle password per limitare l’accesso ad alcuni beni aziendali, o ancora risultano utili i match fra documenti diversi per accertarne la veridicità.

Per contenere gli effetti di un evento negativo, invece, possono essere applicate diverse tecniche.

Una delle più diffuse è l’assicurazione che consiste nell’affidarsi ad un terzo soggetto che dietro pagamento di una somma di denaro, si impegna a rimediare al danno subito dall’azienda nel caso in cui l’evento negativo si verificasse.

Un’alternativa all’assicurazione può essere la Captive Insurance, che consiste nel creare una società indipendente che assicuri i rischi della capogruppo o delle consociate. Altre azioni di contenimento dei danni sono alcuni strumenti di copertura finanziaria come l’hedging, il factoring, gli swaps e i futures.

Concludendo dobbiamo dire che le azioni di governo dei rischi possono essere di diversi tipi, l’elemento fondamentale è che tali azioni siano coordinate tra loro in modo da tener conto della sistematicità dei rischi particolari.

7 A

’

R

Prima di inquadrare le figure che si occupano di Risk Management dal punto di vista operativo, ovvero all’interno delle realtà economiche, c’è da dire che negli ultimi anni sono sorte un certo numero di associazioni di professionisti, organizzazioni di categoria, riviste, che aggiornano e diffondono le conoscenze e le informazioni su concetti e tecniche di gestione del rischio. Ciò a dimostrazione di come sia in fermento tutto l’ambiente che circonda la disciplina del Risk Management.

In origine era presente la figura dell’Insurance Manager al quale però veniva richiesto solo di acquisire polizze assicurative al miglior prezzo possibile, quindi la sua provenienza dal mondo assicurativo poteva rivelarsi un importante punto di forza. Fondamentalmente questa figura doveva far sì che l’impresa sostenesse il minor costo possibile, in caso si verificassero gli eventi negativi previsti. In seguito, come sappiamo, la figura dell’Insurance Manager si è trasformata in quella del Risk Manager. Tale soggetto era incaricato di gestire i rischi connessi alla sicurezza generale dell’impresa. Per ogni tipologia di rischio veniva individuato un responsabile e delle specifiche misure di prevenzione. I compiti assegnati al Risk Manager in genere erano:

• la raccolta di informazioni sulla frequenza e l’entità media delle perdite causate dai rischi;

• la determinazione del profilo dei rischi che incombono sull’impresa, con la stesura di una checklist completa dei rischi;

• la formulazione del possibile scenario che si avrebbe dopo il manifestarsi dell’evento negativo;

• l’organizzazione del flusso delle informazioni nei confronti dell’alta direzione e dei responsabili funzionali, sulle circostanze in cui si sono manifestati i sinistri e le loro cause;

• la realizzazione di un’analisi costi–benefici sulle diverse soluzioni di trattamento del rischio;

• la formulazione di programmi di prevenzione in collaborazione con i responsabili di area funzionale, e il successivo controllo della loro esecuzione;

• la tempestiva segnalazione all’alta direzione delle inefficienze riscontrate.

Per affrontare i rischi in maniera efficace oggi è noto che la sola figura del

Risk manager non è sufficiente, poiché per operare in modo corretto egli

necessita del supporto dei responsabili delle diverse aree funzionali. Nella nuova ottica di gestione integrata del rischio la funzione del Risk Manager deve profondamente modificarsi: il concetto di gestione del rischio ha un carattere sistemico nell’impresa, infatti, il Risk Manager nella nuova accezione dovrebbe essere chiamato a svolgere attività di supporto e di consulenza al Vertice Aziendale ed alle altre funzioni aziendali sul tema della gestione dei rischi imprenditoriali. La funzione del Risk Manager nella sua nuova e più ampia configurazione, tipica del “Enterprise Wide Risk Analysis”, assolve al ruolo di:

1. individuare le strategie, le linee guida, le policy e le procedure di gestione del rischio, curando o valutando anche gli aspetti metodologici del modello da usare (se acquisito dall’esterno);

2. supporto al Vertice Aziendale per l’individuazione del “Profilo di Rischio aziendale”, ovvero le soglie di accettazione o meno dei rischi; 3. definire le migliori modalità per addivenire alla individuazione, alla

valutazione organica e strutturata del rischio, individuando e indicando le regole di valutazione della probabilità e della severità di impatto; 4. definire le migliori modalità con cui vanno gestiti i rischi emersi

(accettazione, non accettazione, trasferimento etc)

5. coordinare le attività di impostazione dei piani correttivi/preventivi indicando le metodologie di analisi costi/benefici;

6. coordinare e sorvegliare l’applicazione dei piani azione e verificarne i risultati;

7. coordinare la periodica attività di “refreshing” dei rischi nel tempo; 8. raccogliere i dati quantitativi o informativi circa le varie tipologie di

eventi negativi che accadono in azienda.

È opportuno specificare che non è il Risk Manager che dà luogo alle valutazioni del rischio. Queste restano pur sempre una responsabilità di chi opera concretamente sulle attività aziendali, in base al principio che siamo di fronte ad un metodo di “autovalutazione del rischio” e non di mera “valutazione del rischio”. Il Risk Manager, piuttosto, è la “mente pensante” su come il problema va affrontato in azienda e diventa uno dei supporti principali del Capo Azienda. Il Risk Maganer quindi, svolgendo un essenziale ruolo di staff, deve possedere una buona capacità di coordinamento, di programmazione, di relazioni personali e di leadership, insomma la capacità di coniugare ed approfittare delle competenze degli altri. Il Management è direttamente coinvolto nella gestione dei rischi poiché è responsabile di tutte le azioni aziendali.

L’alta direzione come abbiamo detto in precedenza ha un ruolo fondamentale nella gestione del rischio: il consiglio di amministrazione ha il compito di definire le linee di indirizzo del sistema di controllo interno, in modo da permettere l’individuazione dei principali rischi e la loro valutazione, gestione e monitoraggio.

L’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo ha il compito di identificare tutti i principali rischi aziendali e dare esecuzione alle linee di indirizzo definite dal consiglio di amministrazione e deve contribuire alla progettazione del sistema di controllo interno.

Altra figura centrale nella gestione dei rischi è quella dell’Internal Auditing che svolgendo la propria attività fornisce un valido supporto al consiglio di amministrazione e al management nella valutazione dei rischi. In particolare è compito degli internal auditor svolgere verifiche sul rispetto di norme e regolamenti e sull’affidabilità del reporting.

Infine possono essere coinvolti nella gestione dei rischi delle società esterne fornitrici di servizi in outsorcing. Molte società, infatti, per lo svolgimento delle analisi sui rischi si rivolgono ad enti esterni per avere servizi di alta qualità a costi più contenuti. Altre società invece optano per la creazione al proprio interno di unità di gestione del rischio con a capo un Risk officer. La funzione di Risk Management può collocarsi in modi diversi all’interno delle aziende. In alcune imprese, soprattutto in quelle di piccole e medie dimensioni, non è economico avere una funzione così specialistica e si preferisce affidarsi a consulenti esterni. I vantaggi derivanti da una scelta di questo tipo consistono in costi contenuti e la possibilità di potersi avvalere della notevole conoscenza che i consulenti hanno maturato con la costante presenza sul mercato assicurativo, nonché la loro imparzialità ed indipendenza di giudizio. D’altro canto con tale soluzione possono mancare i benefici di un’attività svolta a tempo pieno e soprattutto “all’interno dell’azienda”, vivendone “in prima linea” i momenti positivi e negativi e conoscendola approfonditamente.

Le soluzioni organizzative in base alle quali il Risk Manager dovrebbe collocarsi all’interno dell’azienda sono più di una e tutte con un minimo di validità:

- Funzione autonoma e di diretta dipendenza gerarchica dal Capo Azienda; - Funzione autonoma e dipendenza gerarchica dal Capo Azienda, ma con

dipendenza funzionale dal “Comitato dei Rischi”, realizzato quale emanazione del Consiglio di Amministrazione aziendale;

- Funzione collegata con l’Internal Auditing (in sostanza dal Responsabile dell’I.A. dipendono due attività: la Revisione Interna e la Risk Analysis) - Funzione collegata con la Pianificazione Strategica (in sostanza dal

Responsabile della Strategia dipendono due attività: la Pianificazione Strategica e la Risk Analysis).

Oltre a questi attori principali, altre figure possono essere coinvolte nella gestione del rischio: Risk Committee, che affianca il management per

garantire il coordinamento delle azioni di risposta; Audit Commitee, che ha il compito di supervisionare il funzionamento del modello ERM.