Il tema del Risk Management è ormai cruciale per qualsiasi tipo di impresa. Le organizzazioni che oggi non gestiscono minacce e potenziali incidenti non solo sono a rischio, ma spesso sono “il” rischio. Fallire nell’identificare, prevedere e mitigare, per esempio, i rischi operativi – che comprendono anche quelli informatici – equivale infatti a mettere a repentaglio non soltanto il proprio business, ma anche l’operatività di intere filiere.
Senza contare la sempre maggiore importanza che sta rivestendo la gestione dei rischi in ambito ambientale, e più in generale rispetto alle tematiche ESG.
Nell’era del cybercrime e degli attacchi informatici che prendono di mira le aziende, e all’interno di scenari che contemplano Supply Chain sempre più integrate, digitali e sostenibili, un corretto approccio al Risk Management è dunque vitale, ancor prima ancora che strategico.
Risk Management, significato e importanza per le imprese
La storia dei sistemi economici e dei mercati finanziari degli ultimi anni è stata caratterizzata da molti casi di crisi e, nelle situazioni più patologiche, di dissesti che hanno certamente lasciato il segno. È difficile trovare un “trait d’union” tra tutti. C’è però un elemento molto ricorrente che caratterizza queste situazioni negative: è il disallineamento tra profili di rendimento e profili di rischio nell’ambito del sistema decisionale e di governance delle aziende.
La forte enfasi data alla necessità di raggiungere obiettivi di risultato soprattutto nel breve periodo ha spesso lasciato poco spazio alla valutazione, e alla quantificazione ove possibile, del rischio associato a determinate tipologie di scelte. Il risultato è stato che si è verificato un disallineamento tra la massimizzazione dei risultati rispetto alla capacità di imprese e società bancarie e finanziarie di creazione del valore.
Software (ERM): come sceglierli e utilità in azienda. Clicca sull’immagine per saperne di più
Definizione di Risk Management
Che cos’è innanzitutto il Risk Management? La disciplina viene definita come l’insieme di azioni intraprese dalle aziende nel tentativo di alterare e controllare il livello di rischio associato alle linee di business e, in generale, all’impresa nel suo complesso. «La valenza gestionale di questa definizione è quella di identificare i rischi associati a determinate scelte strategiche e operative dell’impresa e di assumere decisioni sulle modalità attraverso cui trattare tali rischi» – spiega Marco Giorgino, Full Professor of Financial Markets & Institutions and Financial Risk Management al Politecnico di Milano.
Who's Who
Marco Giorgino
Full Professor of Financial Markets & Institutions and Financial Risk Management al Politecnico di Milano.
Va precisato che il concetto di rischio non è solo negativo (downside risk): l’innovazione e la capacità di cambiamento sono per definizione portatori di rischio ma anche, allo stesso tempo, generatori di opportunità in grado di creare valore per l’impresa (upside risk). Assumere una valenza esclusivamente negativa del rischio potrebbe portare all’immobilismo decisionale e al non cogliere e al non costruire determinate occasioni che, nel tempo invece, potrebbero rivelarsi di successo. «Di conseguenza, è errato pensare che evitare il rischio sia per definizione una strategia vincente – dice Giorgino -. Le imprese di successo, infatti, sono proprio quelle che investono e che hanno nell’innovazione e nel cambiamento alcune delle leve principali di sviluppo, con un governo del rischio che consente di cogliere le opportunità».
L’evoluzione del Risk Management
La disciplina del Risk Management ha avuto un’evoluzione molto rilevante con una rapida accelerazione negli ultimi anni. Si è passati da una visione estremamente ‘assicurativa’ del rischio, che ha portato nel tempo ad una ricerca di trasferimento del rischio verso l’esterno (appunto verso le compagnie assicurative), a una visione più gestionale, che porta alla necessità di trattare il rischio in maniera proattiva, valutando cosa è opportuno trasferire e cosa invece è necessario, per cogliere i vantaggi di certe scelte, trattenere e finanziare internamente.
«Nell’evoluzione dell’approccio, si è assistito anche a un allargamento sempre più ampio e complesso delle varie tipologie di rischio cui l’impresa è esposta. Tale evoluzione ha riguardato anche le competenze e le professionalità necessarie per assolvere al ruolo di risk manager» – precisa Giorgino, che spiega come da una lettura storicamente più vicina alla figura dell’insurance manager, si sia andati verso competenze più gestionali, che richiedono, da un lato, una maggiore conoscenza del business e dei suoi processi chiave, così come dei mercati finanziari dove poter trovare risposte alle esigenze di copertura. A queste si aggiungono da un parte elementi a supporto dell’interpretazione dell’evoluzione dell’impresa, e, dall’altra, una solida base quantitativa a supporto delle necessarie modellizzazioni per la misurazione e la gestione del rischio.
L’importanza della corretta gestione dei rischi nella massimizzazione dei risultati
La mappatura dei rischi dell’impresa oggi è un’attività estremamente articolata che passa attraverso un’attenta valutazione dei processi di business, del posizionamento sui mercati, del rapporto con intermediari e operatori finanziari, del modello organizzativo.
«La storia dei sistemi economici e dei mercati finanziari degli ultimi anni è stata caratterizzata da molti casi di crisi e, nelle situazioni più patologiche, di dissesti che hanno certamente lasciato il segno – aggiunge Giorgino -. L’elemento ricorrente che caratterizza queste situazioni negative è il disallineamento tra profili di rendimento e profili di rischio nell’ambito del sistema decisionale e di governance delle aziende. La forte enfasi data alla necessità di raggiungere obiettivi di risultato, soprattutto nel breve periodo, ha spesso lasciato poco spazio alla valutazione, e alla quantificazione ove possibile, del rischio associato a determinate tipologie di scelte. Il risultato? Un disallineamento tra la massimizzazione dei risultati rispetto alla capacità delle imprese di creare valore».
Risk Management aziendale: strategie e strumenti per la resilienza. Clicca sull’immagine per approfondire
Le categorie dei rischi: strategici, finanziari e operativi
Una recente analisi sulla mappatura dei rischi in un segmento molto importante del sistema imprenditoriale italiano, quello delle piccole e medie aziende, suddivide le categorie di esposizione al rischio in tre voci principali: strategici, finanziari e operativi.
Nell’ambito dei rischi strategici ricadono la concentrazione del portafoglio sia da un punto di vista di mercato che da un punto di vista di prodotto, i rischi regolamentari, ossia di adeguamento e compliance alla normativa, e, in misura sempre più crescente, i rischi reputazionali, uno dei principali elementi di novità emerso negli ultimi anni.
Un’analisi più attenta sulla categoria dei rischi finanziari lascia emergere il rischio di credito, inteso come deterioramento delle posizioni creditorie, derivanti sia da attività commerciali sia da attività finanziarie, ma anche il rischio di liquidità e quello di tasso di interesse, legati ad andamenti imprevisti della dinamica finanziaria.
Sul fronte dei rischi operativi si possono infine citare quelli associati alla strutturazione dei processi aziendali e quelli collegati alla condotta dei manager e dei dipendenti, tema questo molto sentito anche in relazione alla disciplina regolamentare sulla responsabilità delle persone giuridiche.
Le nuove sfide da affrontare: i fronti cyber ed ESG
Bisogna puntualizzare che oggi l’Operational Risk Management non può prescindere dalla predisposizione di una strategia accurata anche sul fronte dell’universo cyber. In altre parole, la governance degli asset materiali e immateriali su cui si reggono le attività informatiche dell’azienda – e in particolare gli scambi di dati e i flussi legati al patrimonio informativo – deve essere considerata parte integrante della gestione dei rischi.
Per quanto relativamente giovane, l’ambito cyber costituisce un aspetto sempre più strategico di tutto ciò che in azienda viene associato alle discipline su cui si basa la prevenzione delle minacce operative, e si contraddistingue per una sempre maggiore interdipendenza funzionale.
L’efficacia di una strategia di Risk Management in quest’ambito deriva soprattutto dalla capacità che matura l’organizzazione nel monitorare i processi digitali e nell’orchestrare gli strumenti, le procedure e gli asset che supportano il processo di dematerializzazione.
Il Risk Management legato ai temi ESG (Environmental, Social, Governance) è ancora più giovane. Rispecchiando le dinamiche pionieristiche che caratterizzano le competenze su cui si stanno innestando le strategie di sostenibilità, la disciplina è tutt’ora in piena evoluzione.
Cercando comunque di fornire una definizione per questa categoria, è possibile dire che determinare i fattori di rischio ESG implica lo sviluppo di una visione olistica, ampia e concreta dell’impatto che i vari processi aziendali possono avere sull’ecosistema in cui prende vita il business.
Si rende quindi necessaria un’analisi preliminare, di alto livello, che funga da premessa alla valutazione di tutte le tematiche potenzialmente coinvolte, con l’obiettivo di inquadrare un perimetro di massima per effettuare una serie di assessment più focalizzati sui vari verticali, ma condotti utilizzando i medesimi criteri di verifica e mitigazione dei rischi.
I 10 rischi che le aziende temono di più
Secondo il 10° Osservatorio sulla diffusione del Risk Management nelle medie imprese italiane realizzato da Cineas intervistando un campione di 351 aziende, oggi un’impresa su 3 (30,3%) ritiene prioritario introdurre un sistema di prevenzione, gestione e controllo del rischio.
Fonte: Cineas (2023)
L’aumento dei costi delle forniture energetiche si pone saldamente in testa (45,1%) ai rischi “esistenziali”, quelli cioè potenzialmente in grado di minare la stabilità e la resilienza del business oggi o in futuro. A seguire, l’eventualità di un’interruzione delle catene di fornitura (43,5%) e la perdita delle risorse chiave (28,3%). Crisi del mercato globale, probabilità di nuove pandemie, calamità naturali, danni reputazionali, aumento dei tassi d’interesse, obsolescenza tecnologica e tensioni interne sono gli altri pericoli citati nella “top 10”.
Fonte: Cineas (2023)
Risk Management: l’approccio corretto
A prescindere dal tipo di rischio che si vuole governare, è fondamentale prevedere diversi livelli di integrazione rispetto al resto della struttura. «Il punto è centrale – commenta Marco Giorgino -. La funzione è integrata e supporta i processi chiave dell’impresa pur mantenendo la sua indipendenza oppure la funzione esercita esclusivamente un ruolo di monitoraggio e di misurazione in una logica di controllo?».
Alcuni principi generali suggeriti dal professore possono aiutare nell’interpretare e costruire il ruolo della funzione in una chiave costruttiva, sostanziale, attiva.
La funzione deve contribuire alla creazione del valore
Se si parte da modelli valutativi che basano il proprio funzionamento sull’equilibrio tra rendimento e rischio, ciò vuol dire che nell’ambito del sistema decisionale aziendale la valutazione dei rendimenti non può prescindere dalla determinazione del rischio associato a quei rendimenti. Ed è per questo che sempre più diffusi sono gli indicatori risk-adjusted nella misurazione delle performance aziendali.
La funzione deve essere coinvolta nei processi di pianificazione strategica
Il livello di coinvolgimento sia sostanziale e non una mera questione formale. Nel momento in cui il top management dell’azienda prende decisioni strategiche, all’interno del processo decisionale, in modo indipendente, l’attività di Risk Management deve contribuire indirizzando la decisione dove il profilo rendimento-rischio possa essere ottimizzato.
La funzione deve essere parte integrante del sistema di governance e organizzativo
Spesso ci si interroga su quale sia la collocazione più corretta affinché la funzione assolva nel migliore dei modi al proprio ruolo. Da un lato, c’è la necessità che essa eserciti un ruolo di contributore al processo decisionale, ed è per questo che risulta opportuno tenerla molto vicina ai ruoli e ai processi di business.
Dall’altro, c’è l’importanza di considerarla come l’elemento di garanzia affinché le risk policies definite dal consiglio di amministrazione, con il supporto eventuale di comitati consultivi (es. comitato per il controllo interno), siano rispettate quando sono prese decisioni, a tutela del patrimonio aziendale.
La funzione identifica il rischio per poterlo gestire
Fondamentale è il ruolo della funzione nell’assessment del rischio al fine di poter definire quali sono le più opportune modalità di gestione, ossia le strategie attraverso cui trattarlo. Considerando le categorie di rischio che classificano il rischio sotto i profili strategici, finanziari ed operativi, si può osservare come le imprese italiane, che pur manifestano ancora una rilevante incidenza delle soluzioni di risk transfer, siano diventate più attive.
Il trasferimento del rischio, infatti, è stato sovente la soluzione, attraverso la ricerca di prodotti e strumenti nel mercato assicurativo e finanziario. Negli ultimi tempi, a questo, si sono accompagnate soluzioni di gestione del rischio vere e proprie. È, infatti, un dato importante quello relativo alla scelte di risk reduction e di risk retention.
Alla riduzione del rischio si perviene attraverso un’analisi dei processi aziendali che consenta di cogliere per ogni fattore la probabilità di accadimento e l’impatto eventuale. Così facendo, è possibile identificare soluzioni che mirino a ridurre tali probabilità e a mitigarne gli effetti, arrivando a ‘ritenere’ quei rischi che è opportuno l’azienda corra per poter generare valore e che, pertanto, dovranno essere finanziati internamente con una adeguata capitalizzazione.
La funzione evolve con l’evoluzione del business dell’azienda
La funzione è parte integrante dell’impresa. Pertanto, è molto importante che essa abbia un’evoluzione che tenga conto, da un lato, dell’evoluzione del modello di business e dei processi dell’impresa, e, dall’altro, dei cambiamenti che intercorrono sui mercati finanziari e nei sistemi economici.
I rischi globali più rilevanti per il 2024
Gli ultimi anni sono stati forieri di un periodo particolarmente dirompente nella storia dell’umanità. L’impatto del riscaldamento globale sempre più rilevante, le ripercussioni della pandemia da Covid-19, l’instabilità geopolitica sono tutti fenomeni che hanno avuto, mai come prima, ripercussioni dirette sul business e da qui in poi le cose sembrano destinate solo a peggiorare. Queste sfide sono ampiamente descritte nel Global Risks Report 2024 stilato dal World Economic Forum.
Lo studio basato sulle opinioni di quasi 1.500 esperti di rischi globali, responsabili politici e leader del settore, evidenzia che i 5 principali rischi percepiti come globalmente rilevanti nel 2024 sono: eventi climatici estremi, disinformazione generata dall’AI, polarizzazione sociale, crisi del costo della vita e attacchi informatici.
I 5 rischi globali più rilevanti per il 2024 (WEF, World Economic Forum)
Il ruolo delle tecnologie emergenti (AI Generativa in testa)
La minaccia rappresentata dalla disinformazione occupa il primo posto, in parte a causa della diffusione dell’accesso facile a tecnologie sempre più sofisticate, come l’AI Generativa, che potrebbero compromettere la fiducia nelle informazioni e nei media. Il boom di contenuti sintetici a cui abbiamo assistito nel 2023 non sembra destinato a rallentare e un’ampia gamma di attori, anche economici, probabilmente capitalizzerà da questa tendenza.
Al secondo posto, come causa percepita di rischi aggiuntivi da tenere in considerazione per gli effetti stimati sul business, troviamo gli eventi meteorologici estremi – alluvioni, tempeste… – che, concordano gli esperti, sono in crescita sia in termini di numerosità che di portata. Il loro impatto sul business è, dunque, sempre più rilevante.
Risk Management e cybercrime
Altro tema chiave è quello della sicurezza informatica. «I settori e le aziende di tutto il mondo sono sull’orlo di una trasformazione tecnologica senza precedenti – sottolinea Sean Doyle, Lead della Cybercrime Atlas Initiative del World Economic Forum –. Le tendenze della cybersecurity e del cybercrime sono guidate dagli sviluppi tecnologici ed è quindi necessario comprendere le implicazioni immediate, a medio e lungo termine, di queste tecnologie all’interno di ciascuna organizzazione».
Le tecnologie emergenti possono fornire soluzioni efficaci al problema della sicurezza intrinseca degli ambienti IT aziendali e il divario tra le organizzazioni che sono in grado di rendersi cyber-resistenti e quelle che non lo sono sta crescendo, con effetti diretti sulla resilienza del business.
I cyber criminali stanno adottando nuove tecnologie, come gli strumenti di Intelligenza Artificiale Generativa, che permettono di aumentare l’ampiezza del target e migliorare l’efficacia delle proprie azioni criminose con sforzi (e costi) minimi.
Equità informatica: il nodo dei talenti
Rispondere ad attacchi sempre più sofisticati e capillari richiede investimenti sempre più consistenti e l’acquisizione di talenti che molte organizzazioni non hanno ancora al proprio interno. Per questo motivo, la percentuale di aziende in grado di proteggersi a dovere dagli aggressori informatici o riprendersi facilmente da un attacco sta diminuendo. Un gap di “equità informatica” che avrà un impatto sul business molto pronunciato nel corso del 2024, secondo il rapporto del WEF.
E mentre le organizzazioni si affrettano ad adottare nuove tecnologie, come l’IA Generativa, non dovrebbero perdere di vista i rischi creati da applicazioni future di altre tecnologie, come l’informatica quantistica. Lo sviluppo tecnologico sta infatti rendendo più marcato il divario di equità informatica tra le diverse aziende e i diversi Paesi. Questo rende tutti più vulnerabili, anche le organizzazioni meglio protette.
Articolo originariamente pubblicato il 02 Mag 2022