CHE COS'E' IL RISK MANAGEMENT?

di Gian Carlo Mocci

QualitiAmo inaugura una nuova sezione del sito che tratterà di risk management e che si avvarrà della collaborazione dell'ing. Gian Carlo Mocci, un esperto del settore.

risk
L'internal auditing in Geox
L'intervista al dott. Simone Colombo, Chief Internal Auditor di GEOX
Una presentazione sul risk management
Il risk management nel futuro del SGQ
La nuova ISO 9004 e il risk management
Gestione del rischio: se ne occupa anche la ISO
Ancora sulla ISO 9004
Crescere imparando a gestire i rischi




Grandezza caratteri: piccoli | medi | grandi

E’ con grande piacere che raccolgo l’invito di Qualitiamo a coordinare questa nuova sezione dedicata al Risk Management. L’idea è di focalizzarsi sugli aspetti di vostro interesse, con un continuo scambio in modo che questa sia la "vostra" sezione.

In questo primo “incontro” prediligerò la semplicità, evitando i formalismi, anche a scapito di qualche imprecisione.

Il Risk Management è con noi ogni giorno, già dal mattino quando decidiamo che vestiti indossare per uscire di casa (infatti “rischiamo” di indossare un abbigliamento non adeguato alle condizioni meteo e/o alle persone che incontreremo).

Sfatiamo quindi la concezione diffusa che si tratti di una tematica applicabile solo per le grandi Aziende, se infatti è vero che le PMI potrebbero non disporre di risorse tali da poter pagare costosi consulenti che predispongono processi e numerosi documenti visti talvolta a poco valore aggiunto è altrettanto vero che buoni processi di Risk Management non richiedono necessariamente sovrastrutture costose e complesse.

Vediamo ora di definire il Risk Management ed il Rischio usando, tra le tante esistenti, le definizioni della UNI 11230 – Gestione del Rischio, Vocabolario.

Risk Management: Insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un'organizzazione con riferimento ai rischi.

Rischio: Insieme della possibilità di un  evento e delle sue  conseguenze sugli obiettivi.

Ricordiamo che un processo di risk management è costituito in genere almeno dalle fasi di:

  • Identificazione
  • Misurazione
  • Valutazione
  • Gestione
(per maggiori info si veda anche http://issuu.com/gcmocci/docs).

Per comodità possiamo individuare tre grandi aree: Financial Risk, Operational Risk, IT Risk.
Direi che “il Mondo della Qualità” è più attinente all’ambito dei rischi operativi.

Pertanto nel seguito sviluppiamo a titolo di esempio una sintetica porzione (identificazione) di analisi dei Rischi per le attività di Certificazione dei Sistemi di Gestione. Analogo esercizio può farsi per Enti di Ispezione ed Enti Notificati.

Per brevità individuiamo solo 3 dei molteplici rischi ai quali sono esposti gli attori principali:

Il Consulente

  • Competenza: un consulente è pagato in proporzione al valore aggiunto in grado di fornire all’azienda cliente, ovvero alla sua capacità di risolvere problemi. Meno problemi risolve e più sarà considerato poco utile. La competenza è da considerarsi sia in verticale (conoscere molto bene poche tematiche) che in orizzontale (saper affrontare, e risolvere con il supporto di altri specialisti, un’ampia varietà di tematiche). La competenza orizzontale è indispensabile per fornire servizi di Risk Management completi.
  • Immagine/reputazione: il consulente può permettersi pochi errori, se infatti non è considerato un valido professionista avrà difficoltà ad acquisire nuovi clienti. Come noto perdere un cliente è molto più semplice (e veloce) che acquisirne uno. Da notare che la reputazione talvolta non è direttamente proporzionale alla competenza.
  • Mercato/Clienti: operare in un uno specifico settore o schema così come avere pochi clienti ma piuttosto grandi implica una bassa diversificazione del rischio. Se quel settore o solo uno dei grossi clienti entra in crisi il consulente vede sparire una importante fetta del suo portafoglio.

Una situazione simile è capitata a quei consulenti in grado di offrire solo servizi in ambito ISO 9001.

L’Azienda Certificata

  • Mercato: talvolta alcuni tipi di certificazioni costituiscono una barriera all’ingresso per accedere a certi mercati e sono indispensabili per fare business. Lo è sicuramente il mondo della marcatura CE necessaria per mettere in commercio taluni prodotti. Allo stesso modo per partecipare a certi bandi di gara è obbligatorio possedere alcune certificazioni di sistema. L’eventualità di perdere questo tipo di certificazioni è quindi un importante elemento da tenere sotto controllo.
  • Responsabilità civile: E’ un rischio sempre presente, con probabilità variabile ma gravità talvolta determinabile (ad esempio perché definita per legge). Può essere gestito in diversi modi, tipicamente riducendo la probabilità che si verifichi e tramite trasferimento (con soluzioni assicurative o contrattualmente).
  • Credito: questo è un rischio di cui si parla tutti i giorni sui giornali, ossia il riuscire ad essere pagati secondo i tempi pattuiti per il lavoro già svolto. E’ un rischio in parte legato al mercato di riferimento di ciascuna azienda, può gestirsi in vari modi quali: diversificando il portafoglio clienti, adottando adeguate clausole contrattuali, trasferendo il rischio con componenti assicurative.

L’Auditor

  • Responsabilità professionale: questo è un tema sempre più pressante. All’auditor libero professionista vengono solitamente trasferite contrattualmente tutte le responsabilità derivanti dal suo operato. Questo rischio si può gestire ad esempio sia aumentando le competenze (e quindi riducendo il rischio di errori ma aumentando le responsabilità in caso di contenziosi) sia trasferendo il rischio con una soluzione assicurativa specialistica appositamente predisposta. Nel caso di auditor dipendenti da un Ente il rischio è presente nella stessa misura, ciò che cambia sono le modalità di gestione.
  • Mercato/Clienti: l’auditor libero professionista può fornire i suoi servizi ad un solo Ente o a più Enti. Se lavora con un solo Ente potrà avere condizioni privilegiate, ma se questo riduce l’attività assegnatagli l’auditor avrebbe poco lavoro, non ha pertanto diversificato il rischio su più Enti. Viceversa accade per l’auditor dipendente, infatti se all’Ente diminuisce il lavoro allora per sopperire ai costi fissi darà più incarichi agli auditor interni e meno agli esterni.
  • Competenza: se l’auditor non ha competenze diversificate potrebbe essere qualificato in pochi schemi e settori potendo pertanto offrire un limitato range di servizi di audit ai suoi Enti clienti o all’Ente di cui è dipendente. Come visto sopra la competenza è anche un elemento di gestione del rischio Responsabilità Professionale.

L’Ente di certificazione

  • Mercato: gli Enti di certificazione si trovano oggi ad affrontare una situazione nella quale alcuni mercati sono piuttosto maturi (es. ISO 9001) e le relative certificazioni sono diventate una commodity. Ciò implica la necessità di rivedere le strutture dei costi (per offrire prezzi più bassi), le modalità di offerta dei servizi (per evitare che gli enti appaiono tutti uguali) e l’approccio al mercato (sino ad alcuni anni fa gli Enti potevano contare sulla consistente richiesta di certificazioni da parte delle aziende, oggigiorno vi è invece la necessità di “procacciare” nuove aziende clienti, non perdere quelle acquisite e vendere più servizi ai clienti già in portafoglio)
  • Immagine/reputazione: l’Ente viene scelto anche per il suo prestigio e la sua credibilità. L’immagine e il brand sono forse l’asset più importante di un Ente di Certificazione. L’immagine può essere pregiudicata sia direttamente per delle problematiche dell’Ente medesimo (es. la sospensione di accreditamenti da parte dell’Ente di accreditamento) che indirettamente per delle problematiche relative ad aziende clienti. Negli ultimi mesi si sono verificati diversi casi piuttosto seri, anche riportati dalla stampa.
  • Competenza: questa è legata agli investimenti dell’Ente in ricerca e sviluppo per essere tra i primi ad offrire nuovi servizi, così come alla formazione dei propri valutatori, sia interni che esterni. La competenza tecnica è un valido strumento per gestire la responsabilità professionale degli auditor dipendenti e per ridurre le ripercussioni dovute ai coinvolgimenti degli auditor esterni.

Ebbene per ciascuno di questi rischi si deve attuare una valutazione in termini quali-quantitativi per poi implementare le più adeguate modalità di gestione.
Segnalo che perché l’imprenditore, o il top management nel caso di aziende più grandi, dia adeguata importanza ad una analisi dei rischi è importante trasformare tutto in termini monetari per quanto possibile, in tal modo se ne scoprirà il grande valore aggiunto durante la preparazione di budget e piani dei conti e spese.
 
L’Ente di Certificazione è da considerarsi una società di servizi, ma lo stesso esercizio che abbiamo fatto noi è applicabile per un Museo, una Industria, o il bar sotto casa, dove entrano in gioco anche asset materiali (impianti, prodotti, etc .. ).

Il ruolo di un Risk Manager (anche in questo caso le definizioni abbondano) e di un sistema di Risk Management  è quindi quello di massimizzare gli effetti positivi (risparmio premi assicurativi, mantenimento clienti esistenti, aumento di fatturato … ) e minimizzare quelli negativi (coinvolgimenti legali, riduzione quota di mercato, perdita di immagine, …).

A questo punto ogni vostra utile considerazione, commento, domanda è benvenuta.

A presto
Gian Carlo Mocci

Gian Carlo Mocci, già Risk Manager, Quality Manager, e Responsabile Commerciale in un prestigioso Ente di Certificazione e Ispezione Internazionale, è Responsabile Clienti in Prudential Financial, Auditor SGA, SGQ, SGS, Internal Auditor Certificato CCSA e membro della Commissione UNI Terminologia della Gestione del Rischio.
 

Bookmark and Share