GUIDE E HOW-TO

Risk Management, cos'è e perché è cruciale per il successo delle imprese

Guardare soltanto agli obiettivi di breve termine spesso mina la corretta valutazione delle singole scelte aziendali, sul piano strategico e operativo. Ecco perché conviene inquadrare rischi e opportunità di business e gestire entrambe le dimensioni facendo affidamento sulle moderne definizioni della disciplina del Risk Management. Il punto di vista di Marco Giorgino, Full Professor of Financial Markets & Institutions and Financial Risk Management al Politecnico di Milano

02 Mag 2022

Domenico Aliperto

Il tema del Risk Management è ormai cruciale per qualsiasi tipo di impresa. Le organizzazioni che oggi non gestiscono minacce e potenziali incidenti non solo sono a rischio, ma spesso sono “il” rischio. Fallire nell’identificare, prevedere e mitigare, per esempio, i rischi operativi – che comprendono anche quelli informatici – equivale infatti a mettere a repentaglio non soltanto il proprio business, ma anche l’operatività di intere filiere. Senza contare la sempre maggiore importanza che sta rivestendo la gestione dei rischi in ambito ambientale, e più in generale rispetto alle tematiche ESG. Nell’era del cybercrime e degli attacchi informatici che prendono di mira le aziende, e all’interno di scenari che contemplano Supply Chain sempre più integrate, digitali e sostenibili, un corretto approccio al Risk Management è dunque vitale, ancor prima ancora che strategico.

Leggi anche: Russia Ucraina, i rischi per le imprese e come mitigarli

Risk Management, significato e importanza per le imprese

La storia dei sistemi economici e dei mercati finanziari degli ultimi anni è stata caratterizzata da molti casi di crisi e, nelle situazioni più patologiche, di dissesti che hanno certamente lasciato il segno. È difficile trovare un “trait d’union” tra tutti. C’è però un elemento molto ricorrente che caratterizza queste situazioni negative: è il disallineamento tra profili di rendimento e profili di rischio nell’ambito del sistema decisionale e di governance delle aziende. La forte enfasi data alla necessità di raggiungere obiettivi di risultato soprattutto nel breve periodo ha spesso lasciato poco spazio alla valutazione, e alla quantificazione ove possibile, del rischio associato a determinate tipologie di scelte. Il risultato è stato che si è verificato un disallineamento tra la massimizzazione dei risultati rispetto alla capacità di imprese e società bancarie e finanziarie di creazione del valore.

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity

Definizione di Risk Management

Che cos’è innanzitutto il Risk Management? La disciplina viene definita come l’insieme di azioni intraprese dalle aziende nel tentativo di alterare e controllare il livello di rischio associato alle linee di business e, in generale, all’impresa nel suo complesso. «La valenza gestionale di questa definizione è quella di identificare i rischi associati a determinate scelte strategiche e operative dell’impresa e di assumere decisioni sulle modalità attraverso cui trattare tali rischi» – spiega Marco Giorgino, Full Professor of Financial Markets & Institutions and Financial Risk Management al Politecnico di Milano.

Marco Giorgino

Full Professor of Financial Markets & Institutions and Financial Risk Management al Politecnico di Milano.

Va precisato che il concetto di rischio non è solo negativo (downside risk): l’innovazione e la capacità di cambiamento sono per definizione portatori di rischio ma anche, allo stesso tempo, generatori di opportunità in grado di creare valore per l’impresa (upside risk). Assumere una valenza esclusivamente negativa del rischio potrebbe portare all’immobilismo decisionale e al non cogliere e al non costruire determinate occasioni che, nel tempo invece, potrebbero rivelarsi di successo. «Di conseguenza, è errato pensare che evitare il rischio sia per definizione una strategia vincente – dice Giorgino -. Le imprese di successo, infatti, sono proprio quelle che investono e che hanno nell’innovazione e nel cambiamento alcune delle leve principali di sviluppo, con un governo del rischio che consente di cogliere le opportunità».

L’evoluzione del Risk Management

La disciplina del Risk Management ha avuto un’evoluzione molto rilevante con una rapida accelerazione negli ultimi anni. Si è passati da una visione estremamente ‘assicurativa’ del rischio, che ha portato nel tempo ad una ricerca di trasferimento del rischio verso l’esterno (appunto verso le compagnie assicurative), a una visione più gestionale, che porta alla necessità di trattare il rischio in maniera proattiva, valutando cosa è opportuno trasferire e cosa invece è necessario, per cogliere i vantaggi di certe scelte, trattenere e finanziare internamente.

«Nell’evoluzione dell’approccio, si è assistito anche a un allargamento sempre più ampio e complesso delle varie tipologie di rischio cui l’impresa è esposta. Tale evoluzione ha riguardato anche le competenze e le professionalità necessarie per assolvere al ruolo di risk manager» – precisa Giorgino, che spiega come da una lettura storicamente più vicina alla figura dell’insurance manager, si sia andati verso competenze più gestionali, che richiedono, da un lato, una maggiore conoscenza del business e dei suoi processi chiave, così come dei mercati finanziari dove poter trovare risposte alle esigenze di copertura. A queste si aggiungono da un parte elementi a supporto dell’interpretazione dell’evoluzione dell’impresa, e, dall’altra, una solida base quantitativa a supporto delle necessarie modellizzazioni per la misurazione e la gestione del rischio.

L’importanza del Risk Management nella massimizzazione dei risultati

La mappatura dei rischi dell’impresa oggi è un’attività estremamente articolata che passa attraverso un’attenta valutazione dei processi di business, del posizionamento sui mercati, del rapporto con intermediari e operatori finanziari, del modello organizzativo.

«La storia dei sistemi economici e dei mercati finanziari degli ultimi anni è stata caratterizzata da molti casi di crisi e, nelle situazioni più patologiche, di dissesti che hanno certamente lasciato il segno – aggiunge Giorgino -. L’elemento ricorrente che caratterizza queste situazioni negative è il disallineamento tra profili di rendimento e profili di rischio nell’ambito del sistema decisionale e di governance delle aziende. La forte enfasi data alla necessità di raggiungere obiettivi di risultato, soprattutto nel breve periodo, ha spesso lasciato poco spazio alla valutazione, e alla quantificazione ove possibile, del rischio associato a determinate tipologie di scelte. Il risultato? Un disallineamento tra la massimizzazione dei risultati rispetto alla capacità delle imprese di creare valore».

Le categorie dei rischi: strategici, finanziari e operativi

Una recente analisi sulla mappatura dei rischi in un segmento molto importante del sistema imprenditoriale italiano, quello delle piccole e medie aziende, suddivide le categorie di esposizione al rischio in tre voci principali: strategici, finanziari e operativi.

Nell’ambito dei rischi strategici ricadono la concentrazione del portafoglio sia da un punto di vista di mercato che da un punto di vista di prodotto, i rischi regolamentari, ossia di adeguamento e compliance alla normativa, e, in misura sempre più crescente, i rischi reputazionali, uno dei principali elementi di novità emerso negli ultimi anni.

Un’analisi più attenta sulla categoria dei rischi finanziari lascia emergere il rischio di credito, inteso come deterioramento delle posizioni creditorie, derivanti sia da attività commerciali sia da attività finanziarie, ma anche il rischio di liquidità e quello di tasso di interesse, legati ad andamenti imprevisti della dinamica finanziaria.

Sul fronte dei rischi operativi si possono infine citare quelli associati alla strutturazione dei processi aziendali e quelli collegati alla condotta dei manager e dei dipendenti, tema questo molto sentito anche in relazione alla disciplina regolamentare sulla responsabilità delle persone giuridiche.

Le nuove sfide da affrontare: i rischi sui fronti cyber ed ESG

Bisogna puntualizzare che oggi l’operational risk management non può prescindere dalla predisposizione di una strategia accurata anche sul fronte dell’universo cyber. In altre parole, la governance degli asset materiali e immateriali su cui si reggono le attività informatiche dell’azienda – e in particolare gli scambi di dati e i flussi legati al patrimonio informativo – deve essere considerata parte integrante della gestione dei rischi.

Per quanto relativamente giovane, l’ambito cyber costituisce un aspetto sempre più strategico di tutto ciò che in azienda viene associato alle discipline su cui si basa la prevenzione delle minacce operative, e si contraddistingue per una sempre maggiore interdipendenza funzionale. L’efficacia di una strategia di Risk Management in quest’ambito deriva soprattutto dalla capacità che matura l’organizzazione nel monitorare i processi digitali e nell’orchestrare gli strumenti, le procedure e gli asset che supportano il processo di dematerializzazione.

Il Risk Management legato ai temi ESG (Environmental, Social, Governance) è  ancora più giovane. Rispecchiando le dinamiche pionieristiche che caratterizzano le competenze su cui si stanno innestando le strategie di sostenibilità, la disciplina è tutt’ora in piena evoluzione. Cercando comunque di fornire una definizione per questa categoria, è possibile dire che determinare i fattori di rischio ESG implica lo sviluppo di una visione olistica, ampia e concreta dell’impatto che i vari processi aziendali possono avere sull’ecosistema in cui prende vita il business. Si rende quindi necessaria un’analisi preliminare, di alto livello, che funga da premessa alla valutazione di tutte le tematiche potenzialmente coinvolte, con l’obiettivo di inquadrare un perimetro di massima per effettuare una serie di assessment più focalizzati sui vari verticali, ma condotti utilizzando i medesimi criteri di verifica e mitigazione dei rischi.

I 10 rischi che le aziende temono di più

Secondo il IX Osservatorio sulla diffusione del risk management nelle medie imprese italiane realizzato da Cineas intervistando un campione di 350 aziende tra dicembre 2021 e febbraio 2022, oggi un’impresa su 4 (26,5%) ritiene prioritario introdurre un sistema di gestione e controllo del rischio e per oltre l’80% delle aziende ciò rappresenta una componente dello sviluppo sostenibile. Questa maggiore consapevolezza sul tema dei rischi si rileva nel fatto che, a differenza di quanto accaduto per la pandemia piombata senza alcuna previsione, questa volta il 44% delle aziende intervistate ha ipotizzato la possibilità di rischio conflitto prima che si manifestasse ufficialmente il 20 di febbraio. Non è un caso che i rischi geopolitici siano compresi nella Top 10 dei rischi più temuti all’interno delle aziende. Al primo posto della classifica, come in ogni passata edizione, c’è la sicurezza sul posto di lavoro, affiancata con la pandemia dai problemi di salute sul posto di lavoro; al secondo posto il cyber risk; al terzo la difettosità del prodotto. Seguono in ordine: catastrofi naturali; rischi regolamentari; danni ambientali; rischi di perdere competenze professionali significative per l’attività d’impresa; rischi finanziari; imitazione del prodotto; rischi geopolitici.

Risk Management: l’approccio corretto

A prescindere dal tipo di rischio che si vuole governare, è fondamentale prevedere diversi livelli di integrazione rispetto al resto della struttura. «Il punto è centrale – commenta Marco Giorgino -. La funzione è integrata e supporta i processi chiave dell’impresa pur mantenendo la sua indipendenza oppure la funzione esercita esclusivamente un ruolo di monitoraggio e di misurazione in una logica di controllo?».

Alcuni principi generali suggeriti dal professore possono aiutare nell’interpretare e costruire il ruolo della funzione in una chiave costruttiva, sostanziale, attiva.

  • La funzione deve contribuire alla creazione del valore. Se si parte da modelli valutativi che basano il proprio funzionamento sull’equilibrio tra rendimento e rischio, ciò vuol dire che nell’ambito del sistema decisionale aziendale la valutazione dei rendimenti non può prescindere dalla determinazione del rischio associato a quei rendimenti ed è per questo che sempre più diffusi sono gli indicatori risk-adjusted nella misurazione delle performance aziendali.
  • La funzione deve essere coinvolta nei processi di pianificazione strategica. Il livello di coinvolgimento sia sostanziale e non una mera questione formale. Nel momento in cui il top management dell’azienda prende decisioni strategiche, all’interno del processo decisionale, in modo indipendente, l’attività di Risk Management deve contribuire indirizzando la decisione dove il profilo rendimento-rischio possa essere ottimizzato.
  • La funzione deve essere parte integrante del sistema di governance e organizzativo. Spesso ci si interroga su quale sia la collocazione più corretta affinché la funzione assolva nel migliore dei modi al proprio ruolo. Da un lato, c’è la necessità che essa eserciti un ruolo di contributore al processo decisionale, ed è per questo che risulta opportuno tenerla molto vicina ai ruoli e ai processi di business. Dall’altro, c’è l’importanza di considerarla come l’elemento di garanzia affinché le risk policies definite dal consiglio di amministrazione, con il supporto eventuale di comitati consultivi (es. comitato per il controllo interno), siano rispettate quando sono prese decisioni, a tutela del patrimonio aziendale.
  • La funzione identifica il rischio per poterlo gestire. Fondamentale è il ruolo della funzione nell’assessment del rischio al fine di poter definire quali sono le più opportune modalità di gestione, ossia le strategie attraverso cui trattarlo. Considerando le categorie di rischio che classificano il rischio sotto i profili strategici, finanziari ed operativi, si può osservare come le imprese italiane, che pur manifestano ancora una rilevante incidenza delle soluzioni di risk transfer, siano diventate più attive. Il trasferimento del rischio, infatti, è stato sovente la soluzione, attraverso la ricerca di prodotti e strumenti nel mercato assicurativo e finanziario. Negli ultimi tempi, a questo, si sono accompagnate soluzioni di gestione del rischio vere e proprie. È, infatti, un dato importante quello relativo alla scelte di risk reduction e di risk retention. Alla riduzione del rischio si perviene attraverso un’analisi dei processi aziendali che consenta di cogliere per ogni fattore la probabilità di accadimento e l’impatto eventuale. Così facendo, è possibile identificare soluzioni che mirino a ridurre tali probabilità e a mitigarne gli effetti, arrivando a ‘ritenere’ quei rischi che è opportuno l’azienda corra per poter generare valore e che, pertanto, dovranno essere finanziati internamente con una adeguata capitalizzazione.
  • La funzione evolve con l’evoluzione del business dell’azienda. La funzione è parte integrante dell’impresa. Pertanto, è molto importante che essa abbia un’evoluzione che tenga conto, da un lato, dell’evoluzione del modello di business e dei processi dell’impresa, e, dall’altro, dei cambiamenti che intercorrono sui mercati finanziari e nei sistemi economici.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
@RIPRODUZIONE RISERVATA
Domenico Aliperto

Nato ad Aversa, studia a Milano, dove si laurea in Relazioni Pubbliche all’università IULM e comincia il percorso che lo porterà a diventare giornalista. Per i portali del gruppo Digital360 segue i temi dell’economia digitale e dell’innovazione tecnologica, viaggia, scrive e all'occorrenza fotografa. In passato ha collaborato con diversi quotidiani e magazine. Da sempre appassionato di narrativa e poesia, nel 2016 apre il blog Librimprobabili.com e nel 2017 pubblica con l'editore Biancaevolta il romanzo storico Non Conquistammo Che Sabbia.

Articolo 1 di 4