di Francesco Domenico ATTISANO
Provando a fare una rapida ricerca su Google del termine Risk Management appaiono oltre 1 miliardo e 300 milioni di risultati, mentre della parola Risk ne scaturiscono addirittura circa 2 miliardi. Dalla data di redazione dell’articolo alla sua pubblicazione, si è presumibilmente certi che questi numeri continueranno a crescere.
Questo praticamente dimostra che il tema della gestione del rischio non è proprio un interesse di pochi e quindi dei professionisti del settore, ma è diventato un “must”, anzi di linguaggio comune nel mondo aziendale e non solo.
La finalità di questo breve articolo non è trattare in maniera classica e tradizionale la gestione dei rischi, considerati anche gli innumerevoli studi e dottrina aziendalistica sul tema, ma esporre alcune sintetiche osservazioni sulla nuova visione del rischio e del risk management, alla luce dei nuovi modelli e/o standard di riferimento(1) a livello mondiale, per indurre a spunti di riflessione.
Nonostante possa sembrare pleonastico, ma non lo è, si può affermare che: “tutte le organizzazioni sia private che pubbliche, di qualsiasi settore, di tutte le dimensioni, si trovano di fronte all’incertezza, conseguente a fattori esterni e interni che rendono aleatorio il conseguimento dei loro obiettivi”.
I nuovi framework e standard internazionali (in primis COSO ERM e ISO 31000), in maniera diversa ma similare, partendo dallo stesso presupposto e arrivando alle medesime conclusioni, chiariscono esplicitamente che il rischio non va più considerato esclusivamente nella sua accezione negativa, bensì allargano la prospettiva del suo significato, ricomprendendo l’incognita, ovvero l’incertezza. Praticamente viene data una nuova interpretazione al rischio, enfatizzando gli aspetti positivi del rischio, in termini di opportunità per le organizzazioni.
Muovendosi da questa nuova concezione del rischio, il risk management viene inquadrato come propulsore fondamentale per la gestione dell’incertezza, per essere pronti al cambiamento, cogliendo le opportunità e sempre nell’ottica del miglioramento dell’organizzazione; tutto ciò, al fine di proteggere e principalmente creare valore in un contesto esterno in continua evoluzione.
Ed ecco, che si arriva al punto snodale, per non parlare addirittura della svolta epocale della gestione del rischio.
Il Risk Management, anche in considerazione della crisi economico – finanziarie che ha afflitto molteplici aziende negli ultimi anni, non può più essere considerato un processo isolato all’interno dell’organizzazione, di proprietà esclusiva degli esperti del settore (quali ad esempio Risk manager, Internal Auditor).
Infatti, benché la struttura classica del processo di gestione del rischio rimane immutata (ovvero: risk identification, risk analysis, risk evaluation, risk treatment) il focus dei nuovi paradigmi, citati in precedenza, si sposta su altri concetti, come la “Strategy”, le “Performance”, la “Value Creation”, il “Commitment”, la “Leadership”. In pratica, l’interattività e l’integrazione del Risk Management nel contesto aziendale diventa fondamentale, pertanto l’enfasi non è più sulla mera riduzione del rischio o nella gestione delle potenziali minacce. Alla base di tali concetti, bisogna sempre ricordare che:
- senza assunzione di decisioni non ci sono rischi;
- senza rischi non ci sono opportunità;
- la cultura aziendale parte e si sviluppa dal board;
- la protezione e la creazione del valore dipendono dalla fiducia e dall’engagement con gli stakeholder.
Inoltre i nuovi modelli sono orientati sul Board e puntano il dito, ovvero sono rivolti al Management aziendale, che deve giocare un ruolo attivo, in quanto il risk management diventa parte integrante del processo decisionale, e i modelli di gestione del rischio hanno l’obiettivo di diventare un mezzo per assumere decisioni più consapevoli e strutturate, orientate agli obiettivi strategici dell’organizzazione. E’ importante, quindi, ribadire che la gestione dei rischi e il relativo riesame, sono competenza del MGT che va maggiormente responsabilizzato delle decisioni assunte anche in relazione ai rischi sottostanti ad ogni iniziativa intrapresa.
Ovviamente, senza l’accrescimento della cultura del rischio, in termini di consapevolezza e padronanza, non è possibile una reale implementazione del sistema di risk management; ed ecco qui che entrano in gioco gli specialisti del settore (Risk Manager e Internal auditor) per supportare e/o supervisionare il sistema di risk management e prima ancora nel ruolo di formatori e/o coach del rischio. Tenendo sempre a mente, che senza commitment del Board tutto ciò rimane un mero adempimento o tutti gli sforzi profusi rimangono forma senza sostanza.
Modello di sintesi (elaborazione Francesco Domenico Attisano)
CONCLUSIONI
In considerazione di quanto scritto sopra, a parere di chi scrive, solo dopo aver pensato e scelto la strategia (doverosamente allineata alla mission aziendale) e definito i correlati obiettivi si può focalizzare l’attenzione sulle performance e sui rischi (minacce e opportunità), nonché sugli idonei monitoraggi e opportuni controlli.
A valle di ciò, si ritiene che il Risk management “non è un obiettivo delle organizzazioni aziendali, ma soprattutto non è un progetto con un inizio ed una fine schedulata, né può essere inserito nella mappa strategica”, bensì è una “componente essenziale e naturale dell’azienda, uno dei principali fattori critici di successo di ogni organizzazione”, specie in uno scenario caratterizzato da complessità, forte volatilità e innovazione tecnologica.
Concludendo, le nuove direttrici su cui puntare diventano “allineamento naturale tra mission, strategia, performance e rischi” e “integrazione strutturale degli obiettivi- risultati che s’intendono perseguire col monitoraggio e il controllo, per quanto possibile, dell’incertezza”.
Intervento del Dott. Francesco Domenico ATTISANO – Commissario Esterno dell’Ufficio del Controllo Interno di Gestione – Regione Autonoma Sardegna – CIA, CRMA, CCSA, QAR.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) I due framework maggiormente utilizzati nelle aziende per l’implementazione del Risk Management sono il COSO ERM e l’ISO 31000. Entrambi sono stati recentemente aggiornati, precisamente nel 2017 e 2018.
