7
per “difendersi dal rischio”, per circoscriverlo, bensì è un vantaggio competitivo che permette di
creare un ulteriore valore per gli stakeholders.
Il "rischio", fino a poco tempo fa, era considerato solo nella sua accezione negativa (Hazard) e
l'obiettivo del management delle società era proteggere il business minimizzando od eliminando i
rischi a tutti i costi.
Le innovazioni tecnologiche recenti, il processo di consolidamento, globalizzazione di molti settori,
la necessità di competere sul mercato dei capitali per assicurarsi risorse finanziarie nonché altri
fattori hanno reso l'ambiente in cui le società agiscono molto più complesso e dinamico. Questo
nuovo scenario ha incrementato la complessità e l'interrelazione dei rischi evidenziando come
un’insufficiente valutazione e gestione di questi rischi può condurre a strategie non efficaci,
insuccessi nel lancio di prodotti, scarsa competitività dei processi operativi o contenziosi legali che,
a loro volta, possono avere un impatto significativo sul valore della società .
Il "rischio" viene considerato parte integrante nella generazione del valore per gli azionisti e la sua
gestione, attraverso la valutazione delle cause e la misurazione degli effetti, diviene fondamentale
per il successo di un'impresa.
Questo tipo di approccio, utilizzato da molte imprese anglosassoni e in forte sviluppo nelle realtà
italiane, richiede uno sforzo non indifferente sia nelle attività operative che lo generano, sia
nell'atteggiamento culturale che lo sviluppa. Il risk management, dunque, è un processo per
l'identificazione e l'applicazione di piani di gestione del rischio per portare ad un livello accettabile i
rischi identificati (considerando economicamente accettabile il costo del "trattamento" applicabile).
Le imprese devono comprendere l'importanza di evolvere da un approccio tradizionale di delegare
ad ogni funzione/divisione la responsabilità di alcuni rischi; è necessario invece adottare un
approccio di risk management integrato. Nel passato le unità operative gestivano i rischi operativi,
le funzioni amministrative controllavano i rischi di credito, e avanti di questo passo, ma
quest'approccio ha dato dei risultati spesso insoddisfacenti. I rischi sono, infatti, fortemente
interdipendenti tra loro e non possono essere gestiti in modo frammentato esclusivamente da
funzioni/divisioni indipendenti. In questo ambito si colloca l’idea di Enterprise-Wide Risk
Management [James W. Deloach, 2000] ossia un approccio metodologico strutturato e disciplinato
che prende in considerazione, in un'ottica di conoscenza e valutazione dei rischi, tutti gli aspetti
della gestione aziendale: strategie, mercato, processi, risorse finanziarie, risorse umane, tecnologie.
"Enterprise-wide" significa la rimozione delle tradizionali barriere di funzione, di divisione, di
dipartimento o culturali. Un approccio veramente integrato, focalizzato sul futuro e orientato ai
processi può infatti aiutare le organizzazioni a gestire tutti i rischi di business e ad identificarne le
opportunità connesse.
8
Il risk management deve estendersi ben al di là dei tradizionali rischi di natura finanziaria per
comprendere un'ampia varietà di nuovi rischi: strategici, operativi, operazionali, legali e di
immagine. Le aziende devono affrontare una varietà di nuove sfide nella loro corsa verso la
massimizzazione del profitto: globalizzazione, e-business, nuove partnership. Tali elementi, insieme
alla crescente rapidità di cambiamento dei contesti operativi ed ambientali, richiedono una continua
attenzione e capacità di reazione anche nella identificazione e gestione dei rischi aziendali. Per
trasformare le minacce in opportunità un'azienda deve conoscere e gestire i rischi attraverso un
processo molto impegnativo che si può suddividere in queste fasi qui brevemente descritte [James
W. Deloach, 2000]:
• Sviluppare un linguaggio comune: Una società che si appresta ad intraprendere un’attività
di valutazione del rischio deve prima assolutamente sviluppare un linguaggio comune, un
vocabolario che sia condiviso da tutti gli attori. E’ questa una fase di primaria importanza
che non va sottovalutata, capire realmente di cosa si sta parlando e qual è il concetto di
rischio è fondamentale al fine della sua valutazione (che sarebbe distorta se tutti non hanno
ben chiaro ad esempio, che cosa sia il rischio legato all’outsourcing).
• Stabilire gli obbiettivi: La società deve stabilire gli obbiettivi che intende raggiungere
attuando un piano di Risk Management, in questo momento si dovrà inoltre individuare chi
all’interno delle prime linee sarà il referente.
• Valutare i rischi: Il prossimo passo che andrà compiuto è lo sviluppo di un processo
uniforme di tecniche e processi che siano in grado di identificare, valutare e misurare i
rischi. In questo momento sarà vitale raccogliere informazioni, dati , sensazioni e opinioni
del management che aiutino a decidere. Va da se, che questa fase, va ripetuta ciclicamente
nel tempo, e deve essere continuamente migliorata. Questo sarà il punto in cui mi
concentrerò maggiormente in questo elaborato.
• Trattamento e gestione del rischio: E’ il processo in cui si selezionano e si implementano
misure per modificare, minimizzare i rischi individuati negli steps precedenti, ma si può
anche decidere di utilizzare strumenti classici come l’assicurazione o di non tutelarsi in
nessun modo di fronte a certi rischi.
9
Per concludere questa introduzione vorrei sottolineare come intorno alle pratiche di gestione del
rischio, vi siano ancora (più in Europa che negli USA) sentimenti contrastanti. Molte imprese
guardano con diffidenza a questa pratica, in quanto non ne percepiscono il reale valore, sostengono
che la distanza dalla teoria alla pratica sia ancora troppa o che essi non dispongono delle
informazioni necessarie per individuare e soprattutto misurare il rischio, inoltre ci sono molte
resistenze da parte dei dirigenti nel rendere di dominio aziendale i rischi che le loro divisioni
corrono.
Ultima ma, non meno importante, un altro dei motivi per cui questa attività soffre delle resistenze è
la credenza che chi comunichi i propri rischi all’esterno danneggi la valutazione azionaria della
propria società ed aiuti la concorrenza. L’assenza in Italia di una legislazione interamente dedicata a
questo argomento e soprattutto di chiare sanzioni, è indice di come questo strumento sia ancora
sottovalutato.
10
CAPITOLO 1
Il Processo di Identificazione del Rischio
1.1 Definizione di Rischio
Prima di addentrarmi nella descrizione del processo di Valutazione del Rischio, credo sia vitale
darne una definizione. L’origine della parola rischio è attribuibile sia alla parola araba risq che alla
parola latina risicum [Kedar, 1970]. In arabo significava “qualcosa che ti è stato dato da dio e dal
quale tu trai profitto” ed ha una connotazione di evento fortuito e favorevole. Il latino risicum
originariamente si riferiva al risultato che produce l’impatto di una barca sullo scoglio, aveva quindi
una connotazione di un evento fortuito ma sfavorevole. A. Willet definì il rischio come l’incertezza
oggettivizzata riguardo all’accadimento di un evento indesiderabile [Borghesi, 1985].
In tempi più recenti si è inteso il rischio come la combinazione delle probabilità di un evento su un
orizzonte di tempo prestabilito dovuto al variare di elementi critici. In tutti i tipi di imprese, vi sono
eventi e conseguenze che costituiscono opportunità positive (upside) o minacce al successo
(downside). Il rischio quindi non deve essere visto come un qualcosa di prettamente negativo, e
parafrasando un proverbio italiano chi non rischia non rosica, o meglio non produce valore e quindi
non guadagna, per questo il rischio deve essere visto anche come un’opportunità. Al contrario un
evento viene definito risk-free quando non c’è nessuna incertezza sul suo accadimento in futuro e
nessuna variabile può determinarne o meno l’accadimento. Si capisce che pochissime attività
economiche sono risk-free.
Quando si parla di rischio vi sono altri due termini assai importanti, l’esposizione e l’incertezza.
Con il termine esposizione si intende la suscettibilità ad una perdita o la percezione di una minaccia
al patrimonio di un’azienda o ad un’attività produttiva. L’esposizione può essere sia positiva che
negativa. Se non c’è esposizione non c’è rischio.
L’incertezza sorge quando non conosciamo in anticipo il peso e la direzione del cambiamento a cui
la nostra fonte di valore (ad esempio l’innovazione tecnologica) è esposta. Così intesa essa è
estremamente correlata alla probabilità di accadimento di un evento.
Ultima parola è conseguenze, forse lo si da per scontato ma molti di noi quando pensano al rischio
ragionano in termini di conseguenze piuttosto che di pura probabilità. Le conseguenze quindi sono i
risultati tangibili del rischio sulle decisioni, eventi e processi. Non possiamo vedere il rischio
intangibile, ma possiamo anticipare ed osservare le conseguenze del rischio.
11
1.2 Creazione di un Linguaggio Comune e BRM
Quando si costruisce una società si parte sempre dalle fondamenta, si crea una base comune sopra la
quale poi vivranno le diverse aree di gestione, che svilupperanno propri linguaggi e proprie tecniche
di gestione. Il primo passo nel processo di valutazione del rischio è quello di adottare un linguaggio
comune, così che tutte le funzioni aziendali concordino sul significato che si attribuisce ad un
rischio evitando pericolosi fraintendimenti. Quindi anche definire il concetto di rischio, esposizione
ed incertezza è stato un utile esercizio preliminare di linguaggio comune. In questo paragrafo
seguirò il modello che usa Arthur Andersen e poi illustrerò teorie di altri autori. A mio avviso è
fondamentale che il management si concentri preliminarmente sulla creazione di una base comune
da cui partire, affinché il processo di gestione dei rischi possa essere compreso ed accettato da tutta
l’organizzazione. Il procedimento per raggiungere tale risultato è il seguente.
Il primo passo è quello di dividere le fonti di incertezza del business in tre macro-aggregati [James
W. Deloach, 2000]:
• I rischi connessi al contesto esterno: i quali si manifestano come fattori (externally driven)
che influenzano il raggiungimento degli obbiettivi aziendali. Ne sono un esempio la
concorrenza, l’instabilità politica o la disponibilità di credito (solo per citarne alcuni).
• I rischi connessi ai processi: sono quei rischi identificabili nell’attività economica e
produttiva dell’azienda, sono un esempio i rischi operativi (insuccesso di un prodotto) ed i
rischi finanziari (cambio).
• I rischi di informativa del processo decisionale: sono riconducibili ad errori o mancanze
degli strumenti utilizzati per prendere decisioni. Ad esempio i rischi di errori nella
pianificazione e nell’elaborazione dei budget.
Il passo seguente è quello di creare un Business Risk Model come quello illustrato nella pagina
seguente. Questo modello è molto generalizzato e toccherà poi ai preposti a questa attività adattarlo
alle peculiarità del business della propria società. Molto spesso capita che i tre macro-aggregati
(rischi connessi al contesto esterno, connessi ai processi, o di informativa al processo decisionale)
rimangano uguali ed anche le sottocategorie, mentre variano al variare dell’attività svolta dalla
società in questione gli specifici rischi. Per sviluppare questo tipo di attività si può utilizzare sia un
approccio top-down che bottom-up. Nel primo caso un gruppo di dirigenti della società si
riuniranno per adattare e modificare il BRM alla tipologia di business. Ed è questo spesso
l’approccio prescelto in quanto la decisione di effettuare questo tipo di attività deriva sempre
dall’alto. I rischi dopo essere stati individuati e inseriti nella griglia vengono descritti brevemente
uno ad uno, per fare questa attività il gruppo deve essere composto da appartenenti a tutte le aree
gestionali della società, in quanto è richiesta una conoscenza approfondita del business.
12
Business Risk Model
RR
RISCHI CONNESSI AL CONTESTO ESTERNO
Concorrenza Disponibilità di manodopera Settore di attività Fiducia degli investitori
Globalizzazione Disponibilità di capitali Giuridico\Legale Innovazione tecnologica
Mercati Finanziari Relazioni esterne Perdita per eventi catastrofici Instabilità politica
RISCHI CONNESSI AI PROCESSI
Rischi Operativi Rischi Finanziari
Risorse Umane Valore
Efficienza Cambio
Divario di prestazioni Strumenti finanziari
Obsolescenza Tassi di interesse
Qualità del prodotto
Ambientale Liquidità
Erosione del marchio Cash Flow
Conformità Concentrazione
Sicurezza dei dipendenti Costo delle opportunità
Customer satisfaction
Sviluppo del prodotto Credito
Capacità produttiva Inadempienza
Insuccesso di un prodotto Pagamento
Interruzione dell’attività Garanzie
Rischi di Delega Rischi Informativi e Tecnologici
Leadership Accesso
Outsourcing Disponibilità
Comunicazioni Integrità
Sistema premiante Analisi delle informazioni gestionale
Prontezza al cambiamento Infrastruttura
Rischi di Integrità
Frodi del management
Atti illegali
Reputazione
Frodi dei dipendenti
RISCHI DI INFORMATIVA DEL PROCESSO DECISIONALE
Informativa Gestionale Informativa Amministrativa Informativa Strategica
Determinazione dei prezzi Budget e Pianificazione Analisi contesto
esterno
Impegni contrattuali Informazioni contabili Indicatori di performance
Indicatori di performance Valutazione delle poste di bilancio Allocazione delle risorse
Allineamento Valutazione degli investimenti Struttura organizzativa
Definizione dei costi di prodotto Tassazione Ciclo di vita dei prodotti
Redditività dei settori di attività
13
Ecco qui ora un paio di esempi di attività di Risk Description:
Innovazione Tecnologica: Il rischio è legato alla mancata capacità dell’azienda di captare ed
anticipare i cambiamenti della domanda, agendo sull’aspetto dell’innovazione tecnologica.
Capacità Produttiva: Il rischio si riferisce ad una non corretta distribuzione temporale delle
produzioni e delle consegne in corso d’anno. Ciò genera un disomogeneo sfruttamento della
capacità produttiva disponibile, creando sovracapacità produttiva in alcuni mesi dell’anno e colli di
bottiglia, inefficienze, tensioni produttive in altri periodi dell’anno (tipicamente fine esercizio). Il
rischio è quello di generare impatti negativi sia sulla qualità del prodotto, sia sulle tempistiche di
consegna al cliente finale.
Come si può immaginare questo lavoro di breve descrizione del rischio va fatto per ogni rischio
individuato all’interno del BRM. Questa attività sarà effettuata dallo stesso gruppo che ha elaborato
il BRM. Questo è il metodo usato da Arthur Andersen, ma non è l’unico.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
