È inutile ignorare il fatto che grandi e gravi accadimenti in passato abbiano segnato non solo la storia dell’azienda che li ha provocati, ma anche l’intero contesto economico, finanziario e sociale del nostro tempo. Uno per tutti è il caso Lehman Brothers e le ripercussioni globali che ha avuto: a causa del suo fallimento nel 2008 l’intero sistema economico-finanziario ha subito un collasso durato anni e del quale tutt’ora si sentono gli effetti.

Leggi l’articolo: “Fallimento Lehman Brothers: dieci anni per pensare e costruire un nuovo modo di gestire le aziende”.

Proprio per questo la funzione di Risk Management ha assunto in questi anni un ruolo cruciale all’interno delle aziende poiché fornisce i corretti strumenti e individuale soluzioni per far fronte a eventi potenzialmente dannosi.

Una definizione di Risk Management

Risk Management significa in inglese propriamente “Gestione del Rischio”. Ma di fatto per un’azienda che cos’è un rischio? Prima di tutto si intende la probabilità di accadimento di tutti quegli eventi che possono provocare perdite o danni per l’azienda e le persone coinvolte (es. danni alle strutture, danni alle persone fisiche, danni economici o di immagine). I rischi possono essere di diversa natura: strategici, finanziari, operativi, reputazionali e regolamentari cioè di adeguamento e ottemperanza alle normative collegate.

Il Risk Management si articola in una serie di attività che permettono di identificare i potenziali rischi aziendali, valutarli e mettere a punto le strategie necessarie per evitarli oppure gestirli al meglio, al fine di ridurre gli impatti sull’azienda con effetti positivi anche sull’ambiente economico-sociale circostante.

Il concetto di rischio aziendale si è evoluto negli anni. In passato le aziende non erano così consapevoli del ruolo strategico di tale funzione e si pensava che fosse legato esclusivamente al mondo delle assicurazioni: consci dell’eventualità che l’azienda avrebbe potuto incorrere in danni, i manager credevano che la migliore tutela possibile fosse appunto esternalizzare il rischio con la sottoscrizione di assicurazioni. Con il passare del tempo il Risk Management ha assunto un ruolo decisamente più strategico e pervasivo nel contesto aziendale. La corretta applicazione di un approccio di Risk Management implica la conoscenza di processi, dinamiche, del contesto in cui opera l’azienda,degli obiettivi a lungo termine e dei progetti in divenire.

Le fasi

Per capire come prevedere e gestire un rischio è bene predisporre un piano operativo preciso. Ecco le fasi che, secondo l’esperienza di Sernet, si devono seguire:

  • Analizzare e comprendere il contesto in cui opera l’azienda (analisi del contesto esterno);
  • Analizzare e comprendere i processi aziendali (analisi del contesto interno e dei processi aziendali);
  • Individuare, con la collaborazione del management, i potenziali rischi cui l’azienda potrebbe andare incontro (mappatura dei rischi);
  • Valutare i rischi: qual è la probabilità che questi possano accadere? Che tipo di impatto potranno avere? Sono di natura esterna, quindi provocati da accadimenti indipendenti dalla volontà delle persone che vi lavorano, oppure di natura interna? Quali sono gli errori umani? Avranno un impatto alto o basso? È possibile dare una scala di priorità? (analisi e valutazione dei rischi);
  • Elaborare il piano d’azione: come comportarsi, gestire e contenere in maniera pratica il rischio che si manifesta? Spesso è utile dotarsi di un codice etico aziendale che dovrebbe essere adottato da tutti i manager e i dipendenti (piano di mitigazione);
  • il piano di gestione del rischio si è rivelato funzionale? Ciò che era stato pensato è stato effettivamente utile per evitare danni e ripercussioni interne ed esterne? E’ necessario rivedere le assunzioni e le attività fatte nelle fasi precedenti? (azioni supplementari – follow up).

L’approccio di Sernet: leggi qui

La compliance normativa

Una delle ragioni che hanno portato alla ribalta negli ultimi anni il tema del Risk Management deriva dalla nascita di una regolamentazione normativa che ha sensibilizzato e responsabilizzato le aziende su una serie di temi, tanto da adottare procedure specifiche di gestione del rischio aziendale.

Infatti il quadro normativo italiano ha portato ad elaborare una serie di norme alle quali le aziende devono adeguarsi affinché i rischi aziendali possano essere contenuti e, nel caso , gestiti al meglio, al fine di ridurre gli impatti negativi sull’ecosistema sociale.

Tra queste le più importanti sono:

  • il D.Lgs. 231/01 – “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.” che ha determinato l’approvazione di Modelli Organizzativi finalizzati alla prevenzione di reati.
  • il D.Lgs. 58/1998Testo Unico della Finanza che, insieme alle successive modifiche ed integrazioni, chiede che nella relazione sulla gestione legata al bilancio vengano date informazioni specifiche in merito ai rischi ed incertezze (Art. 154 ter) e in merito alle principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria.
  • l’Art . 2428 del Codice Civile dove si richiede che il bilancio sia corredato da una relazione degli amministratori in cui si specificano i principali rischi ed incertezze a cui la società è esposta.
  • il D.Lgs. 39/2010 che prevede l’esistenza di un collegio sindacale che vigili sull’efficacia dei sistemi di controllo interno e di gestione del rischio.
  • Il GDPR che obbliga le aziende a prevedere una serie di procedure per tutelare e proteggere i dati personali degli utenti.
  • Il D.Lgs. 81/2008 che, in ambito di salute e sicurezza sul lavoro, sancisce la necessità di elaborare il cosiddetto DVR – Documento di Valutazione dei Rischi che possano ledere le persone sul posto di lavoro.

Come valutare e gestire il rischio aziendale

È intuitivo comprendere che non sempre è possibile per le aziende compiere un’analisi dei rischi e adottare le migliori procedure di prevenzione e gestione dei rischi, se tale analisi proviene esclusivamente dall’interno. Vivere la quotidianità aziendale può essere da una parte un vantaggio poiché permette di essere a conoscenza di tutte le dinamiche e dei processi, ma per contro può portare a una valutazione poco obiettiva dei rischi che questi possono arrecare.

Un soggetto esterno competente che ha acquisito le dinamiche di rischio anche di altre aziende ed è conoscitore delle più recenti metodologie di Risk Management può aiutare l’azienda nei percorsi che abbiamo sopra delineato in termini di certezza dei risultati e dei tempi di realizzazione del progetto.