Rischio-Compliance-Sostenibilità

Osservazioni in materia di approccio al rischio tra mutazione di scenario esterno, doppia materialità e sostenibilità

21 November 2022

di Marco AVANZI

Un cambiamento necessario per la continuità d’impresa.

Usualmente è stato solito considerare in modo separato i profili di Risk Management/Compliance e quelli della Sostenibilità sebbene avessero da sempre condiviso una serie di valori, presupposti e target; nonostante ciò questi hanno percorso strade per lo più separate e hanno ricevuto considerazione diverse all’interno del mondo dell’impresa.

Negli ultimi anni l’approccio è mutato, più nella realtà dei fatti che nell’approccio delle organizzazioni stesse, che sembrano essere in ritardo nel cogliere il mutamento e l’opportunità che ne derivano dalla sinergia di queste tre tematiche.

Nell’approccio tradizionale la visione risk management – compliance – sustainability è sempre stata caratterizzata da questi consueti assunti:

  1. la sostenibilità è un tema relegato alle imprese di più rilevanti dimensioni;
  2. la sostenibilità è sempre stata concepita nell’ottica (differente) della social corporate responsibility(1);
  3. la compliance aziendale è un concetto legato ad un to-do richiesto da una norma molto spesso fine a stesso;
  4. la gestione del rischio è un qualcosa che potevano permettersi le imprese di più grandi dimensioni, molto spesso diviso tra RM nel mondo finanziario e operativo se non, nello scenario peggiore, legato unicamente al mondo dell’insurance.

Questa visione legata al passato, ahimè, risulta oggi ancora molto attuale nelle imprese e soffre di una miopia rispetto al cambiamento radicale del mondo attuale, nonché permane legata all’incapacità delle organizzazioni di comprendere il “nuovo corso” e di sfruttarne le sinergie.

Alcuni sono i drivers che dovrebbero far ripensare l’approccio alla gestione del rischio nel mondo attuale che oltretutto sono strettamente legati ai cambiamenti intervenuti ad oggi. Alcuni spunti per comprendere il cambiamento potrebbero essere:

  • Gli stakeholders sono cambiati: la visione aziendale della creazione di valore interno, o per gli azionisti unicamente, non trova ragione assoluta quando coloro che sono clienti e partner richiedono e ricercano ulteriori effetti positivi ed esterni all’azienda (ambiente – social);
  • L’approccio normativo sta cambiando: al fine di gestire aspetti critici e potenzialmente irreversibili le istituzioni hanno chiaramente capito che l’approccio di soft law fino ad oggi utilizzato per promuovere l’interesse e la protezione di valori e asset, diversi da quelli aziendali propri, non ha portato risultati. La necessità è di rendere cogente ciò che prima era virtuoso e volontario(2).
  • La consapevolezza delle istituzioni: la comprensione di come gestire determinati rischi o temi da parte delle istituzioni è mutata nel senso di aver chiaramente compreso che le sfide attuali non possono essere gestite unicamente dagli Stati ma gli oneri e compiti di prima linea devono essere presi in carico dalle organizzazioni stesse(3);
  • L’approccio verso le grandi aziende: le MNE (multinational enterprise) diventano sempre maggiormente destinatarie di compiti e obblighi di tutela dei soggetti più deboli del mercato, non solo limitando comportamenti abusivi, (che già c’erano) ma supportando le filiere di SME (small medium enterprise) nel raggiungimento dei nuovi obiettivi facendosi carico di loro istanze e adempimenti(4);
  • Le norme: gli impianti normativi, in primis quelli comunitari, hanno ormai già da tempo intrapreso un cambio da prescrizioni cogenti di obblighi di fare a obblighi di “valutazione” ponendo in capo all’impresa non definiti task ma doveri di valutazione del rischio e successiva scelta autonoma delle misure da adottare, ponendo il giudizio di “colpa” in ottica di “diligenza” di questa valutazione, più che di adempimento(5).
  • Le filiere: da un assetto di filiere totalmente interconnesse e globali si sta passando ad una esigenza di re-shoring domestico a fronte di una razionalizzazione della volatilità delle relazioni internazionali che non garantisce lo status quo alla luce di esigenze nazionali e politiche nuove;
  • Il controllo della continuità della supply chain: da un approccio multilaterale focalizzato sui soggetti di appoggio (distribuzione e moltiplicazione dei soggetti rilevanti per la supply chain) ad un concetto di accorciamento delle filiere focalizzato su ciò che sta in mezzo tra l’impresa e i propri fornitori, più che sul numero e tipo di fornitori stessi;
  • Gli asset rilevanti: da un approccio ove il digitale non era altro che un modo diverso per svolgere compiti che prima erano svolti in modo pratico o manuale alla considerazione del “processo digitalizzato” come un vero e proprio asset aziendale che può essere esso stesso fonte del rischio ove pervasivo in tutta l’organizzazione(6);
  • La resilienza organizzativa: da una concezione ove la resilienza era l’obiettivo per gestire eventi critici, contenuti nel tempo, a fronte dei quali garantire continuità sino al ripristino dello status quo, ad una comprensione di eventi che, avveratisi, cambiano per tempi medio lunghi l’intero assetto della realtà aziendale ed economica per cui lo sforzo delle aziende non è più solamente “reagire” ad eventi incidentali sino al termine dell’emergenza, ma saper mutare a fronte di eventi che persistono nel tempo chiedendo all’azienda di cambiare e non più solamente di resistere.

In uno scenario dove le vecchie variabili sono mutate, persistere sulle metodologie pregresse può non essere virtuoso ma addirittura pericoloso per la sopravvivenza stessa dell’organizzazione.
A fronte di un cambio degli stakeholders d’impresa, mantenere il focus sulla sola redditività economica potrebbe risultare antitetico come un piano di marketing che non analizza la propria clientela. Allo stesso modo, mantenere un approccio alla compliance quale “adempimento di obblighi normativi” in uno scenario ove la richiesta è di compiere valutazioni del rischio, può portare a non fornire una reale rappresentazione del rischio dell’azienda a chi deve decidere.
Operare in termini di risk management senza comprendere come lo scenario esterno sia cambiato e proponendo quindi sempre le medesime soluzioni, risulta quantomeno critico, portando a proporre soluzioni di mitigazione del rischio “lineari” in un mondo che sta facendo della volatilità e della destrutturazione una delle sue principali caratteristiche.

Quali soluzioni e quali possibilità per le organizzazioni in uno scenario del genere?

Alcune considerazioni si potrebbero desumere dagli eventi attuali e del breve periodo nonché dalle spinte delle politiche istituzionali che stanno cercando di guidare il cambiamento:

1. Sostenibilità: questo concetto non deve più essere avvicinato al vecchio paradigma della CSR (Corporate Social Responsibility) e al comportamento virtuoso e volontario. La gestione del rischio di sostenibilità è diventato un vero e proprio rischio strategico alla pari della continuità e dell’obiettivo di creazione di valore a lungo termine. La mancata integrazione di questi concetti all’interno delle valutazioni strategiche e all’interno dei framework di valutazione del rischio comporta sicuramente una parziale considerazione dei rischi dell’azienda e un pregiudizio, non solo, a fattori esterni (ambiente – social etc..) ma altresì alla capacità dell’azienda di creare valore economico a lungo termine.

2. Doppia Materialità: il cambiamento di prospettiva verso la sostenibilità e il concetto prima espresso, comportano che gli approcci al rischio considerino, non solo, i consueti potenziali impatti sul business aziendale di eventi tradizionali ma, altresì, focalizzino gli eventi con impatti esterni all’azienda in quanto, indirettamente possono portare a riflessi sulla capacità stessa dell’organizzazione di produrre valore a lungo termine(7).

3. Stakeholders: il passaggio da un driver di mercato prezzo-qualità-revenue ad una aggiunta di valori come impatti esterni su temi rilevanti socialmente, comporta la necessità di intraprendere un esercizio di individuazione di questi stakeholders, dei rischi a cui potrebbero essere esposti dall’operato aziendale e alla integrazione di queste valutazioni dentro le scelte economiche e strategiche stesse dell’azienda. Non farlo, sarebbe come decidere di produrre un prodotto senza sapere cosa vuole la clientela.

4. Integrazione del rischio: gli aspetti di compliance, di gestione del rischio e di sostenibilità devono trovare sintesi in sistemi di gestione che permettono di integrare le varie valutazioni e i vari aspetti.

5. Visione olistica: la gestione del rischio non è una prerogativa di un ufficio di risk management o di compliance. Gli attori principali sono proprio coloro che operano nelle prima linee e che conoscono il rischio meglio degli altri e hanno le prospettive di gestione settoriali più tecniche. Questi risk owners devono essere integrati nei processi di valutazione e gestione.

6. Comprensione degli scenari esterni e non essere autoreferenziali: investire tempo e risorse nel comprendere l’evoluzione dei rischi di contesto. L’importanza che viene data alle ricerche di mercato per scopi di definizione di nuove opportunità di prodotto deve avere un bilanciamento in un medesimo approccio di analisi di contesto di rischio esterno.

7. Dalla capacità di reazione alla capacità di foreseeing: rimane fondamentale la capacità di reazione ad eventi avversi ma deve essere accompagnata da una capacità di creare ed elaborare possibili scenari futuri a cui appoggiare le valutazioni in termini di definizione delle strategie di reazione.

8. Dalla resilienza all’antifragilità: l’organizzazione dovrebbe utilizzare approcci al rischio integrati al fine di percepire gli eventi avversi, non solamente con lo scopo di resistere ma, altresì, con la finalità di cambiare adattandosi al mutamento. Molto spesso nella gestione del rischio si denota un approccio volto a mitigare o resistere ad avventi avversi più che alla comprensione degli scenari futuri e al come mutare l’organizzazione per individuarne opportunità ed evitare eventi critici(8).

9. Una gestione del rischio quale elemento di una buona leadership: la gestione del rischio e il modello di pensiero associato dovrebbe diffondersi all’interno della cultura aziendale e chi si occupa di gestione del rischio dovrebbe far maturare le capacità di leadership tali per poter guidare questo cambiamento culturale.

Una mutazione del ruolo e della concezione della gestione del rischio risulta fattuale e dovuta alla luce dei cambiamenti che possiamo osservare.

Forse una prima riflessione andrebbe proprio fatta da coloro i quali si occupano di gestione del rischio e procedono a trarre valutazioni e considerazioni da un presupposto di “linearità” della realtà che si discosta totalmente dalle dinamiche reali(9).

In conclusione e sulla base delle considerazioni fatte i possibili suggerimenti sono:

  • guardare all’ambiente reale oltre che agli eventi passati e alle osservazioni standard; concentrarsi anche sui trend principali e sulle evoluzioni generali dei fenomeni per anticipare la potenziale evoluzione di un rischio o di una normativa;
  • analizzare le cause / le minacce ma concentrarsi anche sulle “condizioni” del rischio. Queste ultime sono i risultati di svariati fenomeni; dello sviluppo delle politiche e della situazione etica di un’organizzazione, dell’evoluzione del mercato, di come operano i singoli processi in azienda e come stanno cambiando, di come le persone percepiscono un rischio;
  • le cose stanno cambiando, esternamente e internamente. La valutazione non è attuale senza una continua rivalutazione di contesti, condizioni, cause e minacce;
  • attenzione al concepire il risk management come produzione di Heat-Map o rating di rischio. Ogni valutazione di rischio ha come scopo principale il supporto al processo decisionale e deve essere contestualizzato in termini di condizioni attuali e trend di sviluppo futuri sempre in riferimento ad una precisa strategia;
  • attenzione alla concezione del rischio focalizzata sugli asset/valori interni all’organizzazione. Il cambiamento negli stakeholder e gli impatti estremamente rilevanti che il cambio di contesto esterno può portare deve fondare l’analisi anche sugli impatti esterni all’azienda, abbracciando quel concetto di doppia materialità che ancora si fatica a vedere all’interno delle organizzazioni.

Non considerare questi profili e questi aspetti della gestione del rischio (a prescindere dalle valutazioni di merito), costituisce un rischio in sé per l’organizzazione.

Un’azienda, sia SME sia PMI, che non comprenda chi siano i propri stakeholder è esposta alla possibilità di eventi non valutati in relazione a questi soggetti, ignorando aspetti rilevanti per i propri clienti, consumatori o fornitori.
Non focalizzare il rischio in modo attuale può significare perdere clienti, mercato, reputation o non essere considerati nel portafoglio delle più grandi imprese come fornitori.

Approcciare il rischio, anche di compliance, come un mero to-do, espone al rischio maggiore di non considerare a priori azioni e attività che le istituzioni si aspettano, aumentando il rischio di non conformità nonché le esposizioni personali del management. Non comprendere lo scenario esterno nel suo cambiamento può comportare un indebolimento della propria catena di fornitura basata su fondamentali non più attuali. Non dimentichiamo che tutti questi aspetti hanno rilievo:

  1. non solamente sui costi del rischio ma, sopratutto,
  2. sulle capacità di finanziare investimenti e rischi.

Sempre di più le financial institutions analizzano i rischi considerando, in aggiunta, anche questi profili in quanto espressione di maturità d’impresa, profittabilità e solidità.

Un cambiamento di approccio è quindi necessario e auspicato, ciò in quanto pone a rischio, non solo, la maturità ed efficienza dei sistemi di gestione interni ma, sopratutto, la continuità e profittabilità dell’impresa stessa nel lungo termine.

 


Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:

(1)  M. Avanzi (2021), Valutazione dei rischi aziendali ESG tra doppia materialità e integrazione;  Risk & Compliance Platform Europe

(2)  Basti pensare a quegli assetti di soft law in materia di Responsible Business Conduct (OECD) che ad oggi sono oggetto di una proposta di direttiva UE volta a renderli cogenti. In alcuni paesi, si noti, questi modelli sono già stati adottati con norme nazionali. Per un panoramica si rimanda a:  M. Avanzi (2022),  Una prospettiva internazionale sugli obblighi delle imprese in materia di catene di fornitura;  Risk & Compliance Platform Europe

(3)  Si pensi a quelle norme che rendono cogenti per determinati settori o per determinate aziende definite critiche l’adozione di specifici standard, misure o assetti organizzativi.

(4)  Si pensi alle norme in materia di UTP – Unfair Trading Practices – e al recepimento italiano con il D. Lgs 198.2021 ma, altresì, a tutti quegli obblighi di due diligence che stanno prendendo forma negli ultimi tempi. Rilevante è il progetto di direttiva UE in materia di mandatory due diligence nella supply chain. CSDD. In questo caso le imprese di medio grandi dimensioni vengono coinvolte in un processo di verifica degli impatti negativi delle loro produzioni tenendo in considerazione anche la propria filiera e collaborando nel processo di gestione del rischio anche con la PMI in tutta la catena del valore.

(5)  Si intendono tutte quelle norme che per le loro caratteristiche richiedono una valutazione del rischio di base. Si pensi alle norme in materia di SSL, MOG 231, ambiente, protezione dei dati personali.

(6)  Su questo aspetto si consideri tutto quell’assetto di norme volto a gestire le cc.dd. Infrastrutture critiche e al perimetro della Direttiva NIS.

(7)  Per un approfondimento sulla doppia materialità si veda: M. Avanzi (2021), Valutazione dei rischi aziendali ESG tra doppia materialità e integrazione;  Risk & Compliance Platform Europe

(8)  Per il concetto di antifragilità si legga: Antifragile. Prosperare nel disordine – Nassim Taleb – 2013

(9)  Per alcune considerazioni sulle contraddizioni di alcuni errori metodologici nella valutazione del rischio si rimanda alle osservazioni già pubblicate in:  M. Avanzi (2020),  Suggerimenti per evitare un approccio “standard” nella gestione dei rischi di Compliance;  Risk & Compliance Platform Europe



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *