Sono tante le tipologie di rischio conosciute, alle quali le organizzazioni si espongono ogni giorno. Di alcune tipologie esiste consapevolezza, perché hanno a che vedere con il quotidiano o perché sono parte della cultura di impresa; di altre si parla poco o addirittura non se ne conosce l’esistenza per vari motivi. In questo periodo di crisi globale può essere interessante adottare da una parte una definizione polivalente di rischio e dall’altra una metodologia che permetta ad un’azienda di affrontare i propri rischi, qualsiasi essi siano. In questo articolo tratteremo l’Enterprise Risk Management (Erm) cercando di comprendere di cosa si tratta e con quali strumenti informatici si può supportare.
Erm: l’approccio deve essere proattivo
La differenza fra gestione tradizionale del rischio ed Enterprise Risk Management è notevole. Nell’approccio classico il processo è frammentato, il rischio è considerato come un aspetto negativo ed il comportamento accettato è quello reattivo o “ad hoc”. Nell’approccio Erm il processo è invece fortemente integrato, il rischio è interpretato anche in via positiva ed il comportamento da adottare è quello proattivo.
In un mondo sempre più regolamentato, la tendenza in quasi tutti i settori è quella di rispondere ad un’esigenza normativa presidiando il rischio specifico. Questo è, di per sé, un errore strategico perché porta ad un dispendio notevole di risorse (interne e/o esterne) e a pochi benefici per l’azienda. Una visione globale del rischio ed una metodologia di approccio proattivo trasformano invece in competitività tutte le azioni che comunque dovrebbero essere svolte per rispondere a requisiti di conformità. Ma qual è il concetto “amichevole” di rischio che l’Enterprise Risk Management introduce?
In parole semplici il rischio d’impresa è la probabilità, per un’organizzazione, di non raggiungere i propri obiettivi. Un concetto che prescinde da definizioni elaborate ma che si focalizza sul fatto che un’azienda per esistere deve raggiungere dei risultati e lo deve fare con certi tempi e con certe modalità. Trasformare tutto questo in un processo ben identificato e gestibile non è semplice; il Committee of Sponsoring Organizations of the Treadway Commission (Coso) ha prodotto una propria visione, universalmente conosciuta, che indica quali componenti devono essere prese in considerazione per implementare un adeguato processo di Enterprise Risk Management.
Il cubo di Coso
Tramite lo studio della rappresentazione tridimensionale dei componenti secondo la commissione “Coso” è possibile comprendere come “automatizzare” un processo di Enterprise Risk Management o, meglio, come gli strumenti informatici possono supportarne le fasi previste. Trattandosi di un “framework” completo l’Erm coinvolge aspetti di contesto organizzativo che possono essere molto complicati da governare con un sistema informatico ma è possibile raggiungere ottimi risultati focalizzando l’attenzione sui due concetti cardine del framework: il rischio e la risposta al rischio.
A tal proposito, semplificando ai minimi termini, si possono identificare le seguenti fasi di processo: definire gli obiettivi; identificare i rischi; classificare i rischi; implementare le risposte ai rischi; monitorare le risposte ai rischi.
Il “cubo di Coso” suggerisce 4 categorie di obiettivi (prima dimensione), 8 componenti da coinvolgere nel processo (seconda dimensione) e diversi livelli di contesto applicativo (terza dimensione).
Tecnologia ed enterprise risk management
Alcune delle fasi elencate nel paragrafo precedente sono già presenti in aziende che hanno maturato una certa cultura interna del rischio e possono anche essere gestite con le infrastrutture informatiche già esistenti. Molte organizzazioni, ad esempio, utilizzano una intranet nella gestione dei loro processi; il team che, in azienda si occupa del processo Erm, può incoraggiare le unità organizzative a collocare le loro “best risk practice” sul sito interno dedicato all’Erm.
Pubblicizzare le modalità di gestione del rischio delle diverse unità tramite la pubblicazione di risk checklist, swot analysis, risk survey, brainstorming, ecc., serve a diffondere una sana cultura del rischio. Se la intranet può aiutare nel raggiungere una migliore consapevolezza diffusa del rischio (di supporto alla fase 2), gli strumenti di mappatura dei processi eventualmente già presenti possono servire ad individuare le criticità legate all’operatività e a derivare quindi scenari di rischio da sottoporre ai responsabili di divisione (fase 2).
Il sistema informatico contabile solitamente già archivia le perdite dovute a rischi che si sono manifestati: un’accurata gestione del piano contabile può essere sufficiente per isolare questi dati e renderli disponibili ad analisi post-evento.
L’analisi qualitativa, tramite scenari, e l’analisi delle perdite contabilizzate permettono di classificare i rischi suggerendo l’elenco delle categorie alle quali assoggettarli (fase 3). Quanto descritto è ciò che di solito si trova già in una qualsiasi organizzazione; se l’azienda è particolarmente sensibile al rischio è comune trovare prodotti informatici acquistati da terzi o, più spesso, sviluppati internamente che supportano in parte la risposta al rischio ed il monitoraggio delle risposte.
Più raro è trovare informatica a supporto della fase 1.
L’approccio corretto
L’Enterprise Risk Management è uno strumento molto potente di governance dell’azienda, che si traduce nell’implementazione di un processo di gestione del rischio d’impresa e nell’impegno del suo mantenimento nel tempo. Nonostante questo, l’Erm può essere applicato in contesti di qualsiasi dimensione perché ciò che richiede è ciò che ogni azienda già fa ma spesso in modo non disciplinato e senza alcuna metodologia. Attività di gestione del rischio sono presenti in ogni organizzazione ma sono più costose di quanto dovrebbero e spesso sono inefficaci, esponendo l’azienda a rischi molto grandi. Un’applicazione dosata dell’Erm e l’utilizzo di un applicativo integrato che tenga traccia di tutte le informazioni trattate nelle varie fasi sono l’approccio più corretto.
Idealmente, una volta identificati gli obiettivi di natura strategici e derivati gli obiettivi operativi, di reporting e di conformità, si possono individuare le aree ed i processi più critici ed applicare l’Erm gradualmente. Si tratta in pratica di esercitare le 5 fasi di cui sopra operando in contesti ben definiti dell’azienda (per area o per processo) per poi espandere il modello. Il patrimonio informativo che può essere raccolto nell’esecuzione del processo può ruotare intorno al processo (process driven) o intorno al rischio (risk driven). Nel primo caso tutti i dati sono legati ai processi e alle attività mappate; nel secondo caso, tutto è ricondotto al rischio, che viene tracciato e classificato informaticamente. In tutti e due i casi è opportuno prevedere un sistema di reporting sofisticato che permetta all’Erm manager o, in mancanza di questo, al top management di fare le opportune analisi.
In conclusione, tutte le aziende possono trarre giovamento dall’applicazione dell’Erm a patto che l’approccio sia mirato e non generalizzato e che si traduca in un processo ben identificato. Le attività che l’implementazione di un tale processo impongono non sono nuove ma generalmente già esistenti all’interno sebbene condotte in modo non disciplinato ed assai dispendioso. L’introduzione di un approccio metodologico al rischio d’impresa porta ad un risparmio nei costi operativi e ad una migliore risposta. L’utilizzo di tool informatici integrati a supporto dell’implementazione dell’Erm è vincente in quanto rende virtuoso il modello e permette di capitalizzare le informazioni, ma è fondamentale che i dati siano correlati e tracciabili.
*Mauro Beneduci è Amministratore Delegato di SDG Italy
www.sdgitaly.it
