di Francesco Domenico ATTISANO
Riflessioni e potenziali benefici dello sviluppo di un Enterprise Risk & Performance Management (ERPM)
L’obiettivo della presente pubblicazione è fornire degli spunti di riflessione sul rapporto di interdipendenza tra i rischi e le performance, al fine di produrre delle conoscenze generali su cui basare successive applicazioni.
Il presupposto è il seguente: indipendentemente dalla forma (privata o pubblica) o dalle dimensioni dell’organizzazione, l’obiettivo finale di qualsiasi entity è sempre lo stesso, ovvero migliorare le performance (finanziarie e non) dell’organizzazione; preservando e, ancora meglio, creando valore per i propri portatori d’interesse (interni ed esterni)”.
Il tema di fondo è che il rischio e la performance dovrebbero essere collegati l’uno all’altro in quanto presentano complementarità e interdipendenza che possono essere sfruttate per ottenere prestazioni organizzative più elevate.
A parere di chi scrive, infatti, il raggiungimento della strategia passa attraverso la visione unica ed integrata dei sistemi di misurazione – valutazione delle prestazioni e di gestione dei rischi dell’entity.
Per far ciò, si ritiene che l’identificazione, la valutazione e la gestione dei rischi sia essenziale per qualsiasi organizzazione. Nel contempo, la performance di un’organizzazione viene attestata attraverso il conseguimento di una serie di obiettivi inerenti alla strategia scelta(1). Tuttavia, qualsiasi sistema di misurazione e gestione delle prestazioni, senza considerare il rischio è incompleto. Per chiudere il cerchio, si è convinti che il rischio sia parte integrante della strategia di ogni organizzazione(2).
A rafforzare tali asserzioni, il framework Enterprise Risk management – integrating with strategy and performance(3) ribadisce sempre di più l’importanza della creazione di valore, focalizzando la priorità nel conseguimento delle performance, rimanendo coerenti con le strategie aziendali, quest’ultime necessariamente in linea con la mission e la vision dell’organizzazione.
L’ERM 2017, infatti, dichiara espressamente che il rischio è pienamente integrato nel processo di pianificazione strategica e nel contesto della performance di un’organizzazione.
Piuttosto che come tematica separata, quindi, la gestione del rischio va permeata all’interno dell’organizzazione, per anticipare meglio il rischio collegato alle performance, in modo che quest’ultimo possa essere precorso, con la consapevolezza che il cambiamento può creare opportunità, non semplicemente il potenziale per le crisi o fallimenti.
Nel framework ERM viene maggiormente affermato e irrobustito il processo di identificazione, analisi, valutazione e ponderazione dei rischi, al fine di attivare il trattamento adeguato agli stessi e sviluppare un registro di eventi, in termini di situazione pericolose (minacce) e di opportunità.
Dunque, non si tratta più di gestire semplicemente i rischi; bensì, di individuare le incertezze e cogliere sempre di più le opportunità(4), nel contesto della strategia adottata e della performance organizzativa programmata e attesa.
Ebbene sì, unitamente alla governance, il risk mgt e il performance mgt costituiscono dei fattori critici di successo di qualsiasi entity, delle componenti essenziali(5).
Attenzione però…
Non basta disegnare e implementare un sistema di risk management e un sistema di performance management. Bisogna evitare di realizzare dei silos complessi, inefficaci e conseguentemente costosi.
Quindi, va adottata una metodologia strutturata e contemporaneamente definire un approccio flessibile al contesto esterno e all’ambiente interno dell’organizzazione.
Qualche spunto per ideare e sviluppare un Enterprise Risk & Performance Management (ERPM)
In sintesi, si ritiene che entrambi i processi abbiano come punto di partenza la definizione e la comunicazione delle strategie.
Dopodiché, il processo a cascata prevede la traduzione delle strategie in obiettivi strategici e in un correlato piano. Un volta stabilito il piano, vengono poi definiti, solitamente, i programmi e le iniziative progettuali (unitamente alle risorse economiche e umane correlate, necessarie alla loro realizzazione).
In tutti questi step, bisogna ragionare in maniera simultanea sia ai risultati delle performance (finanziarie, di sostenibilità e organizzative) che s’intendono realizzare che ai rischi correlati.
Le organizzazioni hanno bisogno, pertanto, di identificare i rischi che hanno un impatto sulla performance della strategia scelta e sugli obiettivi correlati (la cd fase della Risk identification).
Successivamente l’analisi e la valutazione dei rischi dev’essere effettuata a tutto tondo, ovvero a 360°, non può limitarsi alla sola analisi delle potenziali minacce, ma la stessa dev’essere arricchita con la diagnosi delle opportunità di tutti gli eventi potenziali correlati ai performance target definiti e attesi (Risk and Performance Assessment).
Pertanto, risulta importantissimo identificare e cogliere proattivamente le opportunità che emergono e gestire le incertezze negative (minacce) il più velocemente possibile, diminuendo, in tal senso, i tempi di risposta delle contromisure o degli adattamenti da porre in essere. Così facendo, si ritiene che si possa giungere a un’adeguata prioritizzazione degli eventi rischiosi che impattano sulle performance.
Altro tema rilevante da considerare è il cd Performance & Risk Measurement, propedeutico del Risk & Performance information use(6).
La combinazione delle informazioni sui rischi – incertezze e sulle performance in un unico sistema non è una soluzione semplice per raggiungere l’allineamento tra EPM ed ERM, in quanto vi è differenza di informazioni e dati scaturenti dai sistemi di misurazione delle performance ed i sistemi di risk management.
Se l’EPM fa molto affidamento sulla raccolta, l’assestamento e il reporting di un’ampia varietà di dati, metriche e informazioni sia economiche, finanziarie che operative, anche l’efficacia dell’ERM dipende dalla tempestiva raccolta e consolidamento delle informazioni e dei dati e relativi ai rischi aziendali.
In effetti, i Key Performance Indicator (KPI) offrono una visione in tempo reale dell’andamento delle performance dell’entity (economiche- finanziare, produttive e organizzative), ma non sempre sono proiettati al futuro.
I Key Risk Indicator (KRI), invece, sono principalmente sviluppati per monitorare i livelli ed i trend dei fattori di rischio (anticipando potenziali futuri eventi rischiosi) e/o per fornire il precocemente dei warning sui i fattori di rischio (collegati ad una minaccia emergente e/ o un’opportunità latente)(7).
In secondo luogo, non va sottostimata la proliferazione della tecnologia dell’informazione degli ultimi anni, che se da un lato ha consentito alle organizzazioni di generare più dati e report che mai, il rovescio della medaglia è stata la generazione di una miriade di dati, senza la strumentazione adeguata per tradurre quel mare di dati e informazioni in intuizioni e suggerimenti utili per le entity. Di conseguenza, scaturisce un terzo aspetto: il paradossale rischio di impiegare una quantità eccessiva di tempo, semplicemente per consolidare i dati e provare a risolvere le incongruenze (il classico errore del confrontare e riconciliare mele con pere).
In pratica, bisogna lavorare per disegnare e implementare degli indici sintetici, coerenti e tempestivi per la misurazione e il monitoraggio del profilo di rischio correlato alle performance attese. L’obiettivo è, quindi, concentrarsi su un insieme limitato di Key Performance Risk Indicator (KPRI) rilevanti per la strategia dell’organizzazione e allineati con la protezione e creazione di valore a lungo termine. Su questo punto, senza entrare nel dettaglio e approfondimento dei singoli framework, dalle ricerche effettuate(8), un valido strumento potrebbe essere sviluppato e integrato è la balanced scorecard (BSC)(9) combinata al sistema di gestione dei rischi d’impresa (ERM).
BENEFICI POTENZIALI DI UN SISTEMA ERPM
Per accrescere le probabilità di successo, bisogna attivarsi proattivamente per provare a modellare l’organizzazione, attraverso l’integrazione(10) delle performance con i rischi.
Un sistema integrato di enterprise risk management e di performance management (ERPM) progettato adeguatamente, in maniera intelligente, a parere di chi scrive, può consentire di:
- Leggere le dinamiche organizzative e i comportamenti dei lavoratori nell’ambiente interno
- Captare cosa potrebbe succedere nell’ambiente esterno
- Comprendere se gli obiettivi strategici chiave sono ancora raggiungibili
- Valutare lo stato dell’arte degli obiettivi operativi che discendono dagli obiettivi strategici
- Identificare le opportunità di adattamento delle strategie e modificare le tattiche organizzative
- Reagire, quindi, preventivamente per rispondere alle minacce, e nel contempo rimodulare le proprie iniziative – progetti strategici e operativi, per cogliere anche le opportunità.
CONCLUSIONI
Alla luce delle considerazioni sopra riportate, pertanto, si ritiene opportuno che i due sistemi (EPM e ERM) si parlino fra di loro, siano interdipendenti, affinché i comportamenti organizzativi e individuali dell’entity siano catalizzati in un’unica direzione: il raggiungimento degli obiettivi strategici e dei sottostanti obiettivi operativi o di business.
In definitiva, è opinione di chi scrive che bisogna consapevolizzarsi e considerare le gestioni del rischio e delle performance non solo in parallelo bensì strettamente allineate. Concludendo, si ritiene che i benefici effetti sinergici della potenziale osmosi dei due sistemi EPM e ERM siano ancora da esplorare.
L’auspicio è quindi che tale tematica, molto presto, potrà costituire un terreno fertile per la ricerca applicativa delle organizzazioni, con il contributo congiunto dei professionisti del risk, dell’internal audit, della pianificazione strategica e dell’organizzazione (magari creando apposite task force o progetti inter-direzionali), nel rispetto dei loro specifici ruoli.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) R. Kaplan, D. Norton (1996) “Linking the balanced scorecard to strategy”, California Management Review, vol.39, pp.53–79
(2) Cfr. F.D. Attisano (2020), “La mancanza di risk management non è una buona strategia”; www.riskcompliance.it
(3) Enterprise Risk Management – Integrating Strategy with Performance. Committee of Sponsoring Organizations of the Treadway Commission (COSO).
(4) Cfr. F.D. Attisano (2019), “Il Rischio come opportunità per gestire l’incertezza”; www.riskcompliance.it
(5) Cfr. F.D . Attisano (2019), “Il sempre più utile allineamento fra Risk e Performance Management”; Rivista Internal Audit n.102 luglio – settembre 2019, www.aiiaweb.it
(6) S.Z.A. Rasid, N.M. Golshan, W.K.W. Ismail, F.S. Ahmad (2012),“ Risk management Performance measurement and organisztional performance a conceptual framework”; International Journal of Production Research ,
(7) Beasley, M.S., Branson, B.C. and Hancock, B.V. (2010), “Developing key risk indicators to strengthen enterprise risk management”; COSO, pp. 1-12.
(8) Cfr. F.D. Attisano (2019), “Enterprise risk management: un profondo cambiamento nella gestione del rischio d’impresa”; www.riskcompliance.it
(9) Cfr. R Kaplan, D. Norton, (1996), “Using the balanced scorecard as a strategic management system”; Harvard Business Review, vol.74 pp.75-85
(10) Cfr. M. Beasley, A. Chen, K. Nunez, L. Wright, (2006), “Working Hand in Hand: Balanced Scorecards and Enterprise Risk Management”, Strategic Finance, Vol. 87, pp.49-55.
