L'ENTERPRISE RISK MANAGEMENT
NELLE IMPRESE NON FINANZIARIE

Rischio e gestione del rischio - Contesto di riferimento

Da sempre le capacità di identificazione, valutazione e gestione dei rischi sono alla base del successo aziendale.
Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere per definizione un tratto distintivo dell’azione imprenditoriale e una componente irrinunciabile del management.

Oggi, l’interesse per il tema del risk management, gradualmente accresciutosi nell’ultimo decennio, è letteralmente esploso negli anni più recenti, alimentato in primo luogo dal verificarsi di collassi finanziari che hanno travolto alcune grandi imprese quotate, interessando i destini di migliaia inconsapevoli investitori.
Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai più profonde di quelle desumibili dall’esame dei vari scandali Enron, Worldcom, Parmalat o Cirio, per citarne solo alcuni dei più noti fra quelli che hanno occupato le prime pagine dei quotidiani negli ultimi tempi.
Questi sono da considerarsi infatti casi limite in cui si è mescolato il mal intento dei vertici aziendali con decisioni di management non all’altezza, assunte in un passato più o meno lontano e con l’inadeguatezza dei sistemi di controllo interno.

Se si prova allora a spingere lo sguardo al di là delle più immediate evidenze, si ha modo di vedere come l’importanza di gestire i rischi aziendali affondi le sue radici in motivazioni profonde e consistenti:

• nella crescente instabilità dei contesti economico-politico-sociali in cui le imprese operano;
• nei nuovi modelli organizzativi adottati dalle imprese;
• negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business;
• nell’evoluzione della normativa;
• nell’accresciuta sensibilità e attenzione da parte degli stakeholder circa il raggiungimento degli obiettivi stabiliti dal vertice aziendale

In passato la gestione del rischio avveniva all’interno di sistemi aziendali relativamente semplici, governati in logica accentrata, con una presenza diretta dell’imprenditore, attivo in prima persona sui diversi fronti del processo decisionale.
Tale assetto organizzativo spingeva verso una gestione del rischio scarsamente formalizzata ma naturalmente integrata, perchè accentrata in un’unica figura.

Le imprese di oggi, invece, sono tipicamente realtà complesse, altamente articolate al loro interno e governate in logica decentrata. Sono dunque realtà entro le quali l’attenzione di ciascun manager è concentrata su limitati segmenti di attività, dall’osservazione dei quali è possibile cogliere solo visioni parziali del sistema di rischi cui l’azienda è esposta.
L’elevata articolazione dell’assetto organizzativo diventa spesso responsabile di gestioni locali del rischio fra loro poco coordinate e, conseguentemente, poco efficaci nel tentativo di gestire i rischi in ottica integrata.

Alla complessità organizzativa si aggiunge l’evoluzione del contesto economico, sociale e politico: l’apertura della Comunità Europea ai Paesi dell’Europa dell’Est, l’emergere nei mercati internazionali di nuove economie, l’introduzione dell’euro, l’invecchiamento della popolazione nei Paesi industrializzati e la crescente immigrazione proveniente dai Paesi più poveri, l’evoluzione delle tecnologie di calcolo e di interconnessione. Quelli appena citati sono solo alcuni tra gli elementi che hanno avuto, e continueranno ad avere nei prossimi anni, effetti dirompenti sul modo di fare impresa.

A questi fattori di natura generale se ne aggiungono di più specifici, relativi ai business e ai Paesi nei quali l’azienda opera.
I mutamenti nei diversi contesti normativi (ad esempio del lavoro, della tutela dell’ambiente, della protezione dei consumatori, ecc.), l’avvento di nuove tecnologie di produzione e di comunicazione, l’ingresso nel sistema competitivo di nuovi attori e minacce provenienti da potenziali nuovi entranti, i frequenti cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e forme distributive sono tutti fattori che inevitabilmente limitano l’autonomia di governo del management, impattando sugli obiettivi e sulle strategie d’impresa, e determinano una continua evoluzione dei modelli di business.

Da ultimo, l’accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a una sempre più attiva rivendicazione da parte di questi del soddisfacimento delle proprie attese, imponendo al management di conseguire con continuità risultati sempre più ambiziosi.

Tutti gli elementi sopraccitati sono, in sintesi, la causa di nuovi rischi e di un aumento dell’impatto e della frequenza di accadimento di quelli già esistenti. Da qui deriva il riconoscimento del risk management come un processo da affiancare e integrare agli altri processi presenti in azienda, da governare in modo continuativo e formalizzato mediante soluzioni organizzative riconosciute e condivise dall’intera organizzazione.

Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento degli obiettivi fissati in sede di pianificazione delle strategie aziendali possono, tuttavia, divenire fonti di opportunità per coloro i quali, meglio di altri, sappiano anticiparli e governarli. La capacità di identificare, misurare e gestire i rischi diventa, pertanto, un differenziale competitivo che l’azienda può sfruttare per cogliere opportunità di business compatibili con il profilo di rischio prescelto. In tal senso, il processo di gestione del rischio diventa, oltre che strumento per prevenire e gestire l’impatto di eventi dannosi sull’impresa, una leva per creare valore.

Concetto di rischio

Il termine «rischio» è stato impiegato sinora per esprimere in termini generali l’esposizione all’incertezza che caratterizza tutte le realtà imprenditoriali.
In questo paragrafo si propone una definizione più puntuale, che sarà poi adottata nel corso del lavoro. Prima di questo, però, si riportano alcune delle più comuni definizioni «classiche» presenti in letteratura.

Tali contributi fanno generalmente riferimento ai concetti di incertezza e variabilità dei risultati. A titolo esemplificativo, si pensi a: «i rischi sono eventi futuri incerti che possono influenzare negativamente il raggiungimento degli obiettivi strategici, operative, finanziari e di compliance» o a «il rischio è una condizione nella quale si potrebbe verificare una deviazione avversa dal risultato atteso o sperato».

Tradizionalmente, cioè, si usa distinguere tra eventualità favorevole e rischio, associando a quest’ultimo una connotazione esclusivamente non favorevole.
In questa visuale il rischio d’impresa riguarda esclusivamente la possibilità di subire uno scostamento negativo rispetto ai risultati attesi.

In altri termini, c’è un esplicito riferimento al concetto di «danno», ovvero ad un avvenimento futuro portatore di perdite o minori utili rispetto alle ipotesi formulate inizialmente. Inoltre, è opinione diffusa che l’entità del rischio sia soggetta a subire variazioni nel tempo in relazione all’evoluzione dei fattori interni all’impresa e alle variabili ambientali, e sia calcolata sulla base delle informazioni disponibili circa lo stato futuro della realtà oggetto di osservazione. I decisori non hanno la possibilità di conoscere con certezza il futuro e ricorrono a processi di stima che tengono conto di tutti i possibili scenari che si potrebbero presentare.

Fatta questa premessa, la definizione di rischio che si intende utilizzare per questo lavoro, ritenendola più coerente con gli obiettivi degli autori, considera il rischio come la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni al sistema aziendale. Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle variabili critiche del business model all’influsso dei fattori di rischio. L’influsso dei fattori di rischio può avere connotazione sia positiva sia negativa (e non solo negativa come spesso si pensa), configurandosi il rischio come generatore sia di possibili perdite, sia di opportunità di creazione di valore. Il rischio in taluni casi può essere anche modellizzato come combinazione di probabilità di accadimento ed impatto (esposizione).

La definizione di rischio qui accolta implica che il rischio sia strettamente correlato alle caratteristiche del business model e, quindi, alla combinazione di variabili di sistema che determinano sia l’esposizione al rischio, sia le potenzialità di creazione di valore dell’impresa.

Tali variabili possono essere sostanzialmente ricondotte a tre categorie:

• Variabili organizzative/commerciali. Definiscono le caratteristiche dei soggetti che partecipano alla gestione delle transazioni di business: management, risorse aziendali interne, clienti, fornitori e altri soggetti partecipanti.
  Si pensi, ad esempio, alle implicazioni sulla rischiosità di un business indotte dalla solvibilità dei clienti (rischio di credito) o di certi fornitori (rischio di conformità dei prodotti). Si pensi, ancora, alle possibili conseguenze di una catena gerarchica debole e dell’effetto sull’affidabilità deicomportamenti dei dipendenti (rischio di compliance)
• Variabili infrastrutturali/tecnologiche. Definiscono le caratteristiche delle infrastrutture e dei meccanismi organizzativi e tecnologici, che supportano lo svolgimento degli scambi.
  Rientrano, in tal caso, i rischi connessi all’impiego di valute diverse (rischio di cambio) e i rischi indotti dall’adozione di soluzioni informatiche a presidio degli scambi (rischio di continuità del business)
• Variabili di governance. Definiscono la struttura di governo dell’impresa stabilendone i meccanismi decisionali e di controllo.
  I rischi sono legati all’inadeguatezza del vertice aziendale ad assumere decisioni critiche per lo sviluppo del business (rischio di inadeguatezza del processo decisionale)

Con le convenzioni introdotte, un’azienda è esposta al rischio quando il potenziale mutamento di una delle variabili del modello di business o del contesto in cui opera l’impresa potrebbero comportare, entro un orizzonte temporale definito, uno scostamento negativo o positivo dalle performance attese.

Classificazione dei rischi

In letteratura esistono numerose classificazioni dei rischi; ciascuna di esse è funzionale a mettere in evidenza determinate proprietà, aspetti distintivi dei fattori e delle conseguenze dei rischi stessi.
In particolare, si fa principalmente distinzione tra rischi:

• dinamici e statici;
• sistematici e diversificabili;
• puri e speculativi;
• core e non core;
• inerenti e residui

I rischi dinamici sono quelli derivanti dal cambiamento del contesto economico e dipendono sia dall’evoluzione delle variabili esterne - l’economia, i competitor, il settore di appartenenza e i consumatori -che dalle decisioni prese internamente dal management.
I rischi dinamici sono difficilmente prevedibili e generano una potenziale perdita di profitti per l’impresa.

I rischi statici sono quelli che occorrono a prescindere dall’evoluzione del contesto competitivo in cui opera l’impresa e dipendono esclusivamente da fattori interni all’impresa. Contrariamente ai rischi dinamici sono prevedibili e si verificano con una certa regolarità. Queste caratteristiche offrono il presupposto per il loro trasferimento sul mercato assicurativo.

Sulla base della correlazione tra gli effetti economici del rischio e le principali variabili macroeconomiche e finanziarie, si distingue tra rischi sistematici (o non diversificabili) e rischi diversificabili.

Affinché un rischio possa essere qualificato come sistematico, il legame tra il rischio e la fonte di rischio sistematico non deve seguire alcun prestabilito nesso di causalità.
Sono fonti di rischio sistematico le principali variabili macroeconomiche e/o finanziarie, quali l’andamento generale dell’economia (misurata, per esempio, dalla variazione nel PIL), l’andamento dei tassi d’interesse di mercato (misurati, per esempio, dal rendimento effettivo dei titoli di stato a breve scadenza) e l’inflazione (misurata, per esempio, dalla variazione dell’indice dei prezzi al consumo). Spesso le fonti di rischio sistematico sono «sintetizzate» da un unico fattore di rischio sistematico, detto «rischio di mercato».

I rischi sistematici sono detti anche «non diversificabili», in quanto attraverso il processo di diversificazione non è possibile eliminarli o ridurli, e sono «additivi», cioè il rischio sistematico derivante dalla somma di due variabili aleatorie è uguale alla somma dei rischi sistematici delle due variabili aleatorie.

I rischi che non sono legati a fonti di rischio sistematico sono detti diversificabili. Il termine diversificabile si riferisce al fatto che i rischi non sistematici possono essere eliminati attraverso il processo di diversificazione, che consiste nell’assumere numerose variabili aleatorie non perfettamente correlate fra di loro al fine di ridurre la variabilità complessiva attraverso la compensazione dei rischi.
Riconoscendo che in alcuni contesti le deviazioni dal risultato atteso possono essere solo sfavorevoli, mentre in altri contesti possono essere sia sfavorevoli che favorevoli, si è consolidata la tendenza a distinguere le due tipologie di rischio in rischi puri e rischi speculativi.

Alla prima categoria appartengono i rischi ritenuti assicurabili, ossia quei rischi che si prestano ad essere gestiti mediante il procedimento assicurativo.

Alla seconda categoria appartengono sia i rischi finanziari, la cui fonte di aleatorietà è l’incertezza deiprezzi sui mercati finanziari, sia i rischi industriali, la cui fonte di aleatorietà deriva dall’andamento di tutte le variabili rilevanti dell’attività produttiva, commerciale e amministrativa dell’impresa. I rischi speculativi non sono assicurabili perché presuppongono la consapevolezza del management di sostenere un rischio che potenzialmente darà origine ad un utile (upside risk), ma che, alternativamente, potrebbe comportare anche una perdita (downside risk).

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla nuova ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
In calce all'articolo riporteremo quotidianamente un aggiornamento sulla futura norma)

La ricerca di un maggior rendimento comporta l’aumento della variabilità dei risultati e sul piano rischio-rendimento equivale ad uno spostamento in direzione opposta rispetto al caso di copertura dai rischi, dove si accetta un minor rendimento in cambio di una riduzione della rischiosità.
Tra queste due alternative estreme si colloca l’arbitraggio, ossia una strategia orientata alla ricerca di un maggior rendimento, supportata da una contemporanea riduzione del livello di rischio. La possibilità di arbitraggio è legata ad una situazione di temporaneo disequilibrio del mercato e viene velocemente annullata da un riassetto delle condizioni di stabilità tra domanda e offerta.

I rischi core, ossia i rischi connaturati al tipo di attività svolta dall’impresa, sono i rischi che non possono essere trasferiti e che, gestiti adeguatamente, diventano fonte di un potenziale extra-rendimento rispetto al tasso atteso di remunerazione del capitale.
Tali rischi sono gestibili esclusivamente attraverso accurate scelte strategiche, stabilendo in quali settori e mercati competere, adottando politiche di accentramento o di delocalizzazione, scegliendo di integrarsi verticalmente o di esternalizzare e definendo per la configurazione scelta le modalità di conseguimento e di mantenimento del vantaggio competitivo. I rischi non core sono quelli ai quali l’impresa è esposta come conseguenza dell’attività che svolge e che possono essere eliminati sia mediante soluzioni che impattano sulla strategia aziendale, sia attraverso opportuni strumenti di copertura finanziaria e trasferimento assicurativo.
Tra i rischi di una società non finanziaria, ad esempio, sono giudicati non core il rischio di cambio e il rischio sui tassi di interesse.

I rischi inerenti sono i rischi che riguardano un’impresa in assenza di qualsiasi azione di management che possa alterare il loro impatto e la loro probabilità di accadimento; in altre parole, sono i rischi caratterizzanti l’attività d’impresa e su cui sono focalizzate le azioni di risk management.
I rischi residui sono, invece, i rischi che interessano in via residuale l’impresa dopo che il management ha intrapreso le opportune azioni di mitigazione dei rischi inerenti [COSO, 2002, T32]; in altri termini, sono i rischi non governati da azioni di risk management per volontà del management o per inconsapevolezza da parte dello stesso circa la loro esistenza.

Al di là delle classificazioni sopra riportate, che appaiono evidentemente teoriche, generiche e poco pratiche ai fini della gestione day by day degli stessi rischi, studiosi, società di consulenza ed imprese fanno generalmente ricorso a classificazioni dei rischi più operative ed intuitive. Tra queste, quelle maggiormente riconosciute ed apprezzate dalle imprese non finanziarie6, fanno principalmente distinzione tra rischi:

• strategici;
• finanziari;
• operativi;
• potenziali (hazard)

Come si potrà intuire, si tratta di una segmentazione dei rischi per macroarea tematica.

(Fonte: Tesionline)

PER SAPERNE DI PIU':