È indubbio che ancora oggi in molte aziende italiane le tematiche di GRC, Governance, Risk Management e Compliance sono troppo spesso sottovalutate e ridotte alla sola compliance normativa invece di essere viste come un eventuale e potente mezzo da utilizzare nella conduzione del business.
Ciò comporta un’enfatizzazione dei costi sostenuti ed un insufficiente riconoscimento del ruolo che il Risk Management può avere nella gestione strategica ed operativa del business.
La vera missione dei sistemi di Risk Management in azienda è infatti quella di preservare il valore creato con l’attività di impresa, contribuendo a prevenire l’insorgere di eventi negativi, che potrebbero non essere stati adeguatamente considerati nello scenario imprenditoriale. In presenza di condizioni di incertezza straordinarie, come quelle che si stanno verificando in questo momento, il ruolo del Risk Management così interpretato, cioè come leva nella gestione operativa di impresa, diventa ancora più centrale.
Quali sono dunque le condizioni che favoriscono l’effettivo ottenimento di vantaggi dall’attività di Risk Management?
Di seguito riassumo quattro punti (focalizzazione, integrazione, sinergia con l’organizzazione e gestione delle performances, supporto dell’It) che, basandomi sulle mie osservazioni, sembrano non di rado scarsamente considerati.
Figura 1: Livelli di maturità del Risk Management
(Cliccare sull’immagine per ingrandirla)
Focalizzazione
Il Risk Management deve iniziare sempre da una corretta individuazione e valutazione dei rischi (“Risk Assessment”) ai quali l’azienda potrebbe essere esposta sia a livello strategico che operativo. Il Risk Assessment viene talvolta realizzato in un processo separato da quelli decisionali aziendali e prevede un limitato coinvolgimento diretto del management operativo. Una tale impostazione porta ad individuare facilmente una vasta gamma di potenziali rischi, senza però individuare concretamente cosa questi significhino per il business.
È corretto dunque partire dalla, seppur ovvia, constatazione che la gestione dei rischi avviene sempre ed in tutte le aziende, anche se spesso in una forma non strutturata e per questo meno efficace, nonostante un reale impegno da parte del management. Per questo motivo è “d’obbligo” focalizzare le strutture preposte specificatamente al Risk Management nel fornire un reale contributo alla gestione dei quesiti di particolare interesse per l’imprenditore e il management, verificando allo stesso tempo l’esistenza di eventuali altre aree di rischio.
Integrazione
Il Risk Management deve per definizione essere parte integrante dei processi decisionali strategici ed operativi. Infatti, sia l’individuazione dei rischi significativi, sia l’introduzione e l’applicazione delle relative efficaci ed efficienti misure di contenimento degli stessi sono possibili solo ed esclusivamente nelle condizioni di una piena integrazione del Risk Management all’interno dei processi di linea. La gestione veramente proficua dei rischi avviene solo se svolta direttamente nell’ambito dei processi operativi e non a latere degli stessi.
Figura 2: Centralità di un software GRC
(Cliccare sull’immagine per ingrandirla)
Sinergie con l’efficienza organizzativa e la gestione delle performance
L’integrazione del Risk Management all’interno dei processi operativi apre ampi spazi per le sinergie fra la gestione dei rischi, le iniziative atte al miglioramento organizzativo e la gestione delle prestazioni aziendali. L’analisi di un processo fatta per valutare i rischi di business continuity può fornire anche ottimi spunti per la razionalizzazione del processo stesso. La ponderazione degli scenari per i budget aziendali con la valutazione dei rischi associati può aiutare a realizzare una pianificazione più puntuale o addirittura a riallocare delle risorse. Questi sono solo alcuni esempi delle possibili sinergie.
Supporto degli strumenti informatici
Per concludere, è necessario sottolineare che tutte le attività di Risk Management daranno un reale valore aggiunto alla conduzione del business e saranno maggiormente efficienti tanto più verranno opportunamente supportate da adeguati strumenti informatici.
Le aree e le forme di applicazione dell’It nel Risk Management possono essere infatti molto diverse, a cominciare dalla compliance, citata all’inizio; la predisposizione di adeguati supporti informatici, come in tutti gli altri ambiti aziendali, è possibile solo se le competenze tecniche e quelle relative al Risk Management vengono integrate durante lo sviluppo di tali supporti.
* Partner di Reply Consulting