In questo periodo, come già saprai, sto frequentando il corso “Enterprise Risk Management“ all’Università di Verona del quale sto raccontando le mie impressioni.
Uno dei moduli fin ora più interessanti (almeno per me, tra i troppi poco utili) è stato quello tenuto dall’ing. Maurizio Castelli, ex risk manager Pirelli, oggi in veste di managing director di XL Insurance, che ci ha parlato tra l’altro del processo di risk management e del ruolo del risk manager.
Innanzitutto si è detto che il Risk Management è un processo, non una funzione !
Mi piace precisare questo aspetto poiché, in ambito aziendale, si è soliti definire le varie funzioni, ma poco i processi e allora vediamo la distinzione tra i due concetti:
1. Funzione: è il ruolo che risulta assegnato a un elemento di un aggregato sistemico. In contesto organizzativo è il ruolo di una persona in un ufficio o in una squadra operativa, un reparto in una fabbrica, una unità in una divisione militare, …
2. Processo: è un insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita fornendo valore aggiunto. [Norma UNI 9000:2000]
Un processo è caratterizzato dal fatto di essere ripetibile e coinvolge un insieme di risorse e di attività tra loro interconnesse che trasformano degli elementi in ingresso (input) in elementi in uscita (output). Le risorse possono comprendere personale, disponibilità finanziaria, mezzi, apparecchiature, tecnologie e metodologie. Un processo è quindi una serie intercorrelata di azioni, eventi e meccanismi diretta ad aggiungere valore.
E’ poi seguita una descrizione dell’evoluzione del concetto di risk management e della professione di risk manager in un modo che mi è parso alquanto interessante (credo anche per i molti che seguono il corso) o almeno meno teorico-scolastico di quanto non mi sia capitato di leggere o di ascoltare in questi quindici anni.
a) I “Basics“: Insurance Buying. E’ il primo gradino, quello in cui si gestiscono unicamente i rischi assicurabili e si utilizza il risk tranfer come unico strumento di gestione del rischio. Diciamo che questo è il luogo tipico dell’incontro tra l’azienda e un intermediario assicurativo.
b) Prima evoluzione: Insurance Management. Rappresenta un approccio più integrato alle tematiche assicurative in quanto porta inevitabilmente ad una attività di analisi e mappatura dei rischi da trasferire. In questa ottica l’Insurance Management può essere visto come una evoluzione dell’Insurance buying ed è la prima “disciplina complesssa” di Risk Management.
c) Seconda evoluzione: Risk Management Tradizionale. L’uso di strumenti addizionali per la gestione di quei rischi che venivano precedentemente trasferiti interamente ai mercati assicurativi, ha portato alla nascita del Risk Management, nel senso che si è dato a questo termine per due o tre decenni. Tali strumenti includono l’Alternative Risk Transfer (ART) nel quale sono comprese le Captives, il Risk Engineering, e la Risk Mitigation/Loss Prevention. Inoltre molti Risk Managers sono stati sempre più coinvolti su una gamma di rischi più ampia di quelli tradizionalmente considerati come “assicurabili”, tra cui i rischi politici, i rischi di credito, gli employee benefits etc .. .
d) Ulteriore sviluppo: Risk Management Avanzato. Numerosi “Risk Managers Tradizionali” a partire dagli anni ’90 sono stati coinvolti in ulteriori aree, quali il Crisis Management, il RM su Grandi Progetti, il RM sulle attività di M&A. Inoltre, molti risk managers sono stati portati ad un livello più alto della gerarchia aziendale e sono stati coinvolti in alcuni processi decisionali relativi ad azioni strategiche (come ad esempio la decisione se proseguire o meno un certo progetto). Questi Risk Managers Avanzati” si muovono, comunque, ancora in un ambito “tradizionale”.
e) Un nuovo profilo: Enterprise Risk Manager (puro). Principalmente a causa di nuove regole, normative e leggi, molte grandi aziende hanno sentito la necessità di avere un approccio integrato ed “olistico” ad una vasta gamma di rischi, inclusi i rischi finanziari, quelli operazionali e quelli strategici. In questo modo è nato l’Enterprise Risk Manager. Nella sua più stretta definizione tuttavia l’ERM non è coinvolto nella gestione operativa dei rischi, ma solo in un ruolo di “facilitatore” del processo di analisi e mappatura dei rischi. Questo perché la gestione degli stessi viene lasciata alle funzioni operative che nella visione ERM più “pura” sono considerate le “proprietarie” dei rischi stessi. Si può quindi affermare che, se è vero che l’ERM è coinvolto in una gamma di rischi molto più vasta, è anche vero che il numero di strumenti utilizzati è molto più ridotto.
f) Quando un “RM tradizionale” diventa un ERM: Enterprise Risk Management “combinato. Quando il ruolo di ERM è affidato ad un RM preesistente, sebbene il cambiamento di cultura ed approccio metodologico sia molto significativo, normalmente il RM continua ad essere coinvolto con molte delle attività che gestiva precedentemente, quali assicurazioni, Captive management, Risk Engineering.
Ulteriori scenari: a complicare ulteriormente le cose molte aziende considerano anche l’HSE (Health, Safety and Environment) e la Security, come aree che appartengono alla sfera del “Risk Management”. Qui non ho ben capito (e in effetti non l’ho chiesto) perché si dica che “le cose si complicano“ quando, personalmente per quello che vivo ogni giorno, vedo questi ruoli di naturale competenza di un risk manager.
Tutte queste considerazioni sono state riassunte da Castelli molto efficacemente nella sua Matrice delle discipline di risk management il quale ha poi concluso affermando che la “disputa” sul “vero risk management” non ha alcun senso (ed io, per quanto conta, sono pienamente d’accordo). Esistono, infatti, differenti discipline di Risk Management che coinvolgono vaste competenze, quasi sempre indisponibili in una singola funzione. L’integrazione ed il coordinamento di queste funzioni rappresentano la sfida per una reale ottimizzazione del valore aggiunto prodotto dal processo di Risk Management.
In questa descrizione, tuttavia, mi pare che Castelli si sia concentrato nell’analizzare l’evoluzione guardandola più con l’occhio di un risk manager dipendente della struttura aziendale che anche con quello di un risk manager consulente il quale spesso (se non sempre) deve rapportarsi con l’alta direzione e quindi è integrato de facto proprio ai più alti livelli della gerarchia aziendale.
A mettere una “toppa“ (non me ne voglia Castelli) in questo ragionamento, ci pensa il collega free lance Filippo Bonazzi, con questo articolo (risalente al febbraio 2006) “focalizzato sulla figura del risk manager consulente esterno, il professionista, cioè, che svolge continuativamente attività di gestione del rischio a favore dell’azienda (pubblica o privata) senza essere inquadrato contrattualmente quale lavoratore dipendente della medesima“.
E io, dove mi colloco? Bè potrei dire che, sulla base della esperienza maturata sul campo, mi sento coinvolto in tutte le definizioni sopra citate.
Posso anzi affermare che non esiste (almeno questo vale per me) un ruolo predefinito e la capacità del risk manager consulente è forse anche quella di adattarsi, avendone le competenze, alle diverse esigenze aziendali. Ad esempio, in alcune realtà mi occupo degli aspetti che riguardano la salute e la sicurezza del lavoro così come di quelli ambientali, tutte attività che rientrano nella definizione di prevenzione dei danni (Loss Prevention) e che per me rappresentano i servizi con più alto valore aggiunto per le aziende. In altre, invece, gli aspetti descritti dal collega Filippo Bonazzi rappresentano l’attività prevalente.
In tutti i casi, l’importante è agire con una elevata competenza ed una “rigorosa applicazione dei principi etici e deontologici“.
E tu che hai avuto la pazienza di leggere questo lungo post, che ne pensi?
Focalizzo la mia attenzione sul concetto di processo piuttosto che di funzione.
Il risk manager è un facilitatore del processo di risk management, che deve in realtà permeare tutte le funzioni aziendali. Il risk manager coordina i processi di risk management che avvengono in azienda e favorisce la diffusione della cultura di gestione del rischio in azienda. E questo vale sia per il risk manager dipendente dell’azienda, sia per il risk manager consulente esterno.
Le doti del risk manager non sono solo tecniche ma soprattutto organizzative e “comunicative”.
Un saluto e grazie come sempre degli ottimi spunti di riflessione, Paola
"Mi piace""Mi piace"