Vincoli, convinzioni e sistemi di controllo

Per gestire i rischi strategici è necessario soprattutto comunicare vincoli efficaci, sia per la conduzione dell’impresa che per la sua strategia, e installare sistemi efficaci di controllo interni. I sistemi di vincoli hanno lo scopo di far conoscere i rischi da evitare e di rimuovere ogni possibilità di giustificare comportamenti in grado di esporre l’impresa a livelli di rischio indesiderabili. I sistemi di controllo interno hanno lo scopo di proteggere le attività patrimoniali dell’impresa e di rimuovere l’opportunità di commettere errori involontari o atti illeciti deliberati nell’elaborazioni delle transazioni e nella misurazione delle performance. Insieme, questi due tipi di sistemi forniscono il controllo necessario per impedire che errori accidentali o deliberati compromettano la capacità dell’impresa di creare valore per i clienti, per gli azionisti e per chi ci lavora.

Coloro che all’interno di un’organizzazione detengono il potere devono ogni giorno effettuare delle scelte sul modo con cui creare valore. Essi devono saper bilanciare le tensioni tra profitto, crescita e controllo, tra obiettivi di breve termine e obiettivi di lungo termine, tra l’interesse personale e il desiderio di contribuire al successo dell’organizzazione. A volte, però, può capitare che qualcuno persegua delle opportunità in un modo che in effetti danneggia l’impresa: opportunità non in linea con la strategia deliberata dell’impresa. Per essere certi che i dipendenti intraprendano il giusto tipo di attività, i manager devono prima di tutto infondere in loro un senso di impegno nei confronti di un chiaro insieme di valori di fondo. I valori di fondo sono convinzioni che definiscono i principi, l’ambito e l’orientamento di base. Forniscono criteri guida sulle responsabilità nei confronti di clienti, dipendenti, comunità locali e azionisti. I valori di fondo fornisco criteri guida ai dipendenti laddove regole e procedure operative standard da sole non bastano. Senza un senso di partecipazione allo scopo dell’organizzazione in cui lavora, un individuo non riuscirà a essere pienamente coinvolto nelle decisioni che influiscono su crescita e redditività. I manager non dovrebbero mai delegare la definizione della mission e dei credo: essi dovrebbero sfruttare ogni opportunità, sia scritta sia orale, per confermare personalmente i valori di fondo e la loro importanza. Comunicando chiaramente all’intera organizzazione i comportamenti e le opportunità off-limits, (Simons, 2004).

Fig. 4 – Componenti fondamentali per una corretta strategia di business.

Fonte: Simons (2004), Sistemi di controllo e misure di performance

Il management deve comunque difendersi sia dalle violazioni deliberate sia dagli errori involontari della società. Errori possono verificarsi in molti modi: persone con poca esperienza possono elaborare le transazioni in modo scorretto, ma anche persone esperte possono commettere errori involontari nella fretta del disbrigo quotidiano delle loro incombenze.

A causa di questi rischi inevitabili, anche i manager delle imprese molto piccole devono implementare controlli e protezioni per poter essere certi che tutte le informazioni sulle transazioni siano contabilizzate nel modo appropriato. Questi sistemi e procedure, chiamati controlli interni sono definiti come le politiche e le procedure studiate per garantire l’affidabilità delle informazioni contabili e salvaguardare le attività patrimoniali della società, (Simons, 2004).

La comprensione approfondita dei principali rischi in termini di categoria, probabilità e impatto consente di renderli trasparenti facilitando la valutazione sull’opportunità di assumerli e/o mitigarli.

Le aziende devono quindi sviluppare, a livello di corporate e di business units, una cultura del rischio talmente diffusa per cui tutti i manager sono indotti a valutare contemporaneamente sia i ritorni che le potenziali perdite integrando così l’analisi del rischio nel processo decisionale day by day.

Sono 4 gli elementi essenziali che devono essere assicurati e risultare sempre allineati per costruire un efficace governo del rischio, (Tonelli, 2007)30:

 Trasparenza;  Strategia;

 “Accountability”;

30 _{Tonelli G., Valutare e gestire il rischio migliorando il processo decisionale, in Quaderni di Management N.28} – luglio/agosto 2007.

 Cultura del rischio.

2.9.1 Trasparenza

Le aziende devono conoscere esattamente quali rischi affrontare e il loro potenziale impatto sul business, allora è evidente che, ad esempio in una grande azienda, non solo si devono comprendere i rischi assunti nelle differenti business unit, ma occorre anche aggregarli assieme e determinare l’effetto a livello complessivo di rischi corporate ottenendo così una visione integrata. L’esigenza di poter disporre di una vista trasparente e integrata del rischio, così come viene percepita dai responsabili ai vari livelli è un fatto ormai incontrovertibile. La mappa strategica del rischio è, ad esempio, un modo semplice e immediato per rappresentare in un diagramma i rischi (classificati per categoria e valore) di ogni business unit e per fornire una vista globale dei ricavi corporate a rischio.

Business Units

A B C D E Altri Totale

Market Risk 70 170 20 15 10 5 290

Financial Risk 120 300 140 550 20 10 1140

Technology/Operational Risk 25 190 40 200 20 15 490

Innovation Risk 30 250 80 270 5 N/A 635

Ricavi Totali a Rischio 245 910 280 1035 55 30 2555 Concentrazione del rischio

Alta (>20% Capitale) Media (>10% Capitale)

Tab. 1: Matrice Strategica del Rischio

Fonte: Quaderni di Management N.28 – luglio/agosto 2008

Questa sistematica review consente di creare consenso e condivisione su quesiti come, (Tonelli, 2007):

A livello corporate, le grandi concentrazioni di rischio evidenziate dalla matrice stanno effettivamente generando ritorni più alti o stanno distruggendo valore?

Se l’azienda sta gestendo adeguatamente i tipi di rischio ad alta concentrazione ma questi restano troppo elevati, come possono essere trasferiti con contratti assicurativi oppure parzialmente mitigati?

Queste ed altre domande possono trovare soddisfacenti risposte se vengono basate su dati effettivi, che, per quanto approssimati e mai del tutto trasparenti, siano condivisi e valutati mediante un processo continuativo e ciclico che coinvolge tutti gli attori interessati.

2.9.2 Strategia

Formulare una strategia di rischio che consenta all’impresa di articolare il proprio “risk

ritorni potenzialmente generabili, è una delle più importanti attività da compiere con riferimento alle decisioni di investimento a livello di BU e Corporate. Definire questi elementi fornisce chiarezza e direzione ai manager e favorisce la ricerca dei trade off ottimali tra

rischio e ritorno allineando la strategia di rischio con la strategia generale dell’azienda. È

infatti il CEO che, insieme al Board, dovrebbe definire la strategia di rischio dell’azienda; ma di fatto questa strategia è invece inavvertitamente determinata, ogni giorno, da dozzine di decisioni finanziarie e di business assunte a livello più operativo, spesso con visioni dei vari responsabili che differiscono radicalmente, (Tonelli, 2007).

2.9.3 Accountability

Il compito di una efficace organizzazione del rischio è di identificare, misurare e valutare il rischio in modo “consistente” in ogni business unit (o divisione) e quindi fornire una visione integrata, a livello corporate, di questi rischi, assicurando che la loro somma è un profilo di rischio coerente con la strategia di rischio dell’azienda, (Tonelli,.2007).

Profilo professionale adeguato

I Risk Experts, sia a livello corporate che di BU, devono avere il rigore intellettuale di “consigliare” i manager in modo credibile e di indurli ad integrare le considerazioni di “ritorno del rischio” nelle decisioni di business.

Per attivare questo processo, un ingrediente chiave è l’assunzione di un Risk Officer che riporti direttamente al CEO o al CFO e che abbia abbastanza carisma e

commitment per essere considerato un “pari” dai capi delle BU.

Separazione dei compiti Occorre tenere separate le funzioni che impostano le policy del rischio e che monitorano la compliance da quelle che originano e gestiscono i rischi.

Chiare Responsabilità Individuali

Le funzioni di Risk Management richiedono chiare e trasparenti job description in particolare relativamente a impostazione, identificazione e controllo delle policy. Devono anche essere definiti i collegamenti e le divisioni di responsabilità, particolarmente tra la funzione di corporate risk management e le business units. Ad esempio, il corporate center ha il diritto/dovere di rivedere le decisioni di risk- return delle BU?

Risk Ownership L’esistenza di una struttura di Risk Management non assolve le BU dall’assumersi una piena ownership e accountability per i rischi di pertinenza.

Le BU hanno infatti sicuramente la miglior percezione possibile dei loro rischi e costituiscono la “prima linea” dell’azienda a difesa della presa di rischi non dovuti.

Tab. 2 - Accountability

Fonte: Quaderni di Management N.28 – luglio/agosto 2008

2.9.4 Cultura del Rischio

Lo scopo è quello di far sì che i manager, quando elaborano processi decisionali, considerino “istintivamente” nell’ambito della loro mappa mentale sia i ritorni che i rischi.

Per creare una cultura del rischio efficace, le aziende si devono dotare di un processo di “risk review” formale e “company-wide”, dove ogni BU sviluppa il proprio profilo di rischio che viene poi aggregato a livello di corporate, (Tonelli, 2007).

La gestione del rischio sarà una delle chiavi del successo per le aziende che competono in un’economia globale e in sempre più rapido cambiamento.

Il processo di valutazione equilibrato che deve produrre il giusto trade-off è solo parzialmente dovuto all’applicazione di metodologie, procedure e strumenti; è invece soprattutto il risultato di azioni coordinate, finalizzate a sviluppare sensibilizzazione diffusa, comportamenti trasparenti e consapevoli, corrette informazioni e responsabilizzazione nonché presidio unitario dell’organizzazione della gestione del rischio.