Risk Management – Il primo blog in Italia sui temi del Risk Management.

“Non dobbiamo prepararci solo a ciò che possiamo prevedere, ma anche a ciò che non è prevedibile“.

Archivio per Enterprise Risk Management

La Top Ten dei rischi, secondo le imprese

Global RM Survey

Aon Risk Solutions ha effettuato negli ultimi mesi del 2014 un sondaggio sulla percezione dei rischi, raccogliendo le testimonianze di oltre 1.400 manager e dirigenti appartenenti ai board di compagnie pubbliche e private di più di 60 paesi.

Il risultato è una classifica dei rischi più temuti, che mostra qualche conferma e importanti novità.
Per la prima volta dal 2007, il rischio reputazionale si posiziona in cima alla classifica. Insieme al timore per i danneggiamenti nella percezione del brand, è cresciuta la considerazione anche nei confronti del cyber risk, che è entrato per la prima volta nella top ten posizionandosi al nono posto (mentre nel Barometro dei Rischi di Allianz il Cyber Risk è in quinta posizione sui principali dieci). A ciò contribuisce la crescente consapevolezza che questi due rischi hanno una forte connessione, basti pensare a quanto facilmente crolla la fiducia dei consumatori nei confronti del brand qualora avvengano violazioni di dati o frodi informatiche.
A posizionare al primo posto il rischio reputazionale hanno contribuito anche numerosi eventi di cronaca (si prenda ad esempio la scomparsa del volo Malaysia Airlines 370 o il product recall di Toyota), la cui massiccia copertura da parte dei media ha molto spesso posto in una posizione critica, in tempi rapidissimi, l’azienda coinvolta, danneggiandone l’immagine e mettendo a rischio la fiducia dei consumatori.
Analizzando le altre voci della classifica, il timore di non riuscire ad adeguarsi ai frequenti cambiamenti normativi è leggermente diminuito, passando dalla seconda posizione del 2013 (ultimo rilevamento) alla terza attuale, in virtù della crescente attenzione e sensibilità delle aziende nei confronti delle coperture D&O.
L’indagine rileva poi che il rischio derivante dall’incapacità di fornire soluzioni innovative e adeguate alle esigenze dei clienti si posiziona al sesto posto. Secondo le previsioni, raggiungerà il quarto posto nel 2018, a dimostrare come la crescente mole di informazioni a disposizione delle aziende non sia percepita come un reale aiuto nel delineare i desideri dei consumatori, ma più come una massa spesso caotica di dati difficile da interpretare e utilizzare.
Riappare, infine, tra i primi dieci rischi, per la prima volta dal 2007, il danno materiale diretto. Strettamente correlato ad esso, come hanno dimostrato i diversi eventi atmosferici catastrofici dell’ultimo anno, è il timore nei confronti della business interruption, al settimo posto.
La classifica completa:
1. Danno reputazionale / danno d’immagine
2. Crisi economica / lenta ripresa dell’economia
3. Cambiamenti normativi e legislativi
4. Crescita della concorrenza
5. Mancata capacità di attrarre e trattenere professionisti talentuosi
6. Mancata capacità di innovare e riconoscere i bisogni dei consumatori
7. Business interruption
8. Third-party liability
9. Cyber crime e hackeraggio
10. Danno materiale diretto (Property Risk)
(fonte ANRA.it)
Annunci

Il processo di risk management e il risk manager consulente

In questo periodo, come già saprai, sto frequentando il corso “Enterprise Risk Management“ all’Università di Verona del quale sto raccontando le mie impressioni.

Uno dei moduli fin ora più interessanti (almeno per me, tra i troppi poco utili) è stato quello tenuto dall’ing. Maurizio Castelli, ex risk manager Pirelli, oggi in veste di managing director di XL Insurance, che ci ha parlato tra l’altro del processo di risk management e del ruolo del risk manager.

Innanzitutto si è detto che il Risk Management è un processo, non una funzione !

Mi piace precisare questo aspetto poiché, in ambito aziendale, si è soliti definire le varie funzioni, ma poco i processi e allora vediamo la distinzione tra i due concetti:

1. Funzione: è il ruolo che risulta assegnato a un elemento di un aggregato sistemico. In contesto organizzativo è il ruolo di una persona in un ufficio o in una squadra operativa, un reparto in una fabbrica, una unità in una divisione militare, …

2. Processo: è un insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita fornendo valore aggiunto[Norma UNI 9000:2000] 
Un processo è caratterizzato dal fatto di essere ripetibile e coinvolge un insieme di risorse e di attività tra loro interconnesse che trasformano degli elementi in ingresso (input) in elementi in uscita (output). Le risorse possono comprendere personale, disponibilità finanziaria, mezzi, apparecchiature, tecnologie e metodologie. Un processo è quindi una serie intercorrelata di azioni, eventi e meccanismi diretta ad aggiungere valore.

E’ poi seguita una descrizione dell’evoluzione del concetto di risk management e della professione di risk manager in un modo che mi è parso alquanto interessante (credo anche per i molti che seguono il corso) o almeno meno teorico-scolastico di quanto non mi sia capitato di leggere o di ascoltare in questi quindici anni.

a) I “Basics“: Insurance Buying. E’ il primo gradino, quello in cui si gestiscono unicamente i rischi assicurabili e si utilizza il risk tranfer come unico strumento di gestione del rischio. Diciamo che questo è il luogo tipico dell’incontro tra l’azienda e un intermediario assicurativo.

b) Prima evoluzione: Insurance Management. Rappresenta un approccio più integrato alle tematiche assicurative in quanto porta inevitabilmente ad una attività di analisi e mappatura dei rischi da trasferire. In questa ottica l’Insurance Management può essere visto come una evoluzione dell’Insurance buying ed è la prima “disciplina complesssa” di Risk Management.

c) Seconda evoluzione: Risk Management Tradizionale. L’uso di strumenti addizionali per la gestione di quei rischi che venivano precedentemente trasferiti interamente ai mercati assicurativi, ha portato alla nascita del Risk Management, nel senso che si è dato a questo termine per due o tre decenni. Tali strumenti includono l’Alternative Risk Transfer (ART) nel quale sono comprese le Captives, il Risk Engineering, e la Risk Mitigation/Loss Prevention. Inoltre molti Risk Managers sono stati sempre più coinvolti su una gamma di rischi più ampia di quelli tradizionalmente considerati come “assicurabili”, tra cui i rischi politici, i rischi di credito, gli employee benefits etc .. .

d) Ulteriore sviluppo: Risk Management Avanzato. Numerosi “Risk Managers Tradizionali” a partire dagli anni ’90 sono stati coinvolti in ulteriori aree, quali il Crisis Management, il RM su Grandi Progetti, il RM sulle attività di M&A. Inoltre, molti risk managers sono stati portati ad un livello più alto della gerarchia aziendale e sono stati coinvolti in alcuni processi decisionali relativi ad azioni strategiche (come ad esempio la decisione se proseguire o meno un certo progetto). Questi Risk Managers Avanzati” si muovono, comunque, ancora in un ambito “tradizionale”. 

e) Un nuovo profilo: Enterprise Risk Manager (puro). Principalmente a causa di nuove regole, normative e leggi, molte grandi aziende hanno sentito la necessità di avere un approccio integrato ed “olistico” ad una vasta gamma di rischi, inclusi i rischi finanziari, quelli operazionali e quelli strategici. In questo modo è nato l’Enterprise Risk Manager. Nella sua più stretta definizione tuttavia l’ERM non è coinvolto nella gestione operativa dei rischi, ma solo in un ruolo di “facilitatore” del processo di analisi e mappatura dei rischi. Questo perché la gestione degli stessi viene lasciata alle funzioni operative che nella visione ERM più “pura” sono considerate le “proprietarie” dei rischi stessi. Si può quindi affermare che, se è vero che l’ERM è coinvolto in una gamma di rischi molto più vasta, è anche vero che il numero di strumenti utilizzati è molto più ridotto.

f) Quando un  “RM tradizionale” diventa un ERM: Enterprise Risk Management “combinato. Quando il ruolo di ERM è affidato ad un RM preesistente, sebbene il cambiamento di cultura ed approccio metodologico sia molto significativo, normalmente il RM continua ad essere coinvolto con molte delle attività che gestiva precedentemente, quali assicurazioni, Captive management, Risk Engineering

Ulteriori scenari: a complicare ulteriormente le cose molte aziende considerano anche l’HSE (Health, Safety and Environment) e la Security, come aree che appartengono alla sfera del “Risk Management”. Qui non ho ben capito (e in effetti non l’ho chiesto) perché si dica che “le cose si complicano“ quando, personalmente per quello che vivo ogni giorno, vedo questi ruoli di naturale competenza di un risk manager.

Tutte queste considerazioni sono state riassunte da Castelli molto efficacemente nella sua Matrice delle discipline di risk management il quale ha poi concluso affermando che la “disputa” sul “vero risk management” non ha alcun senso (ed io, per quanto conta, sono pienamente d’accordo). Esistono, infatti, differenti discipline di Risk Management che coinvolgono vaste competenze, quasi sempre indisponibili in una singola funzione. L’integrazione ed il coordinamento di queste funzioni rappresentano la sfida per una reale ottimizzazione del valore aggiunto prodotto dal processo di Risk Management.

In questa descrizione, tuttavia, mi pare che Castelli si sia concentrato nell’analizzare l’evoluzione guardandola più con l’occhio di un risk manager dipendente della struttura aziendale che anche con quello di un risk manager consulente il quale spesso (se non sempre) deve rapportarsi con l’alta direzione e quindi è integrato de facto proprio ai più alti livelli della gerarchia aziendale.

A mettere una “toppa“ (non me ne voglia Castelli) in questo ragionamento, ci pensa il collega free lance Filippo Bonazzi, con questo articolo (risalente al febbraio 2006) “focalizzato sulla figura del risk manager consulente esterno, il professionista, cioè, che svolge continuativamente attività di gestione del rischio a favore dell’azienda (pubblica o privata) senza essere inquadrato contrattualmente quale lavoratore dipendente della medesima“.

E io, dove mi colloco? Bè potrei dire che, sulla base della esperienza maturata sul campo, mi sento coinvolto in tutte le definizioni sopra citate.

Posso anzi affermare che non esiste (almeno questo vale per me) un ruolo predefinito e la capacità del risk manager consulente è forse anche quella di adattarsi, avendone le competenze, alle diverse esigenze aziendali. Ad esempio, in alcune realtà mi occupo degli aspetti che riguardano la salute e la sicurezza del lavoro così come di quelli ambientali, tutte attività che rientrano nella definizione di prevenzione dei danni (Loss Prevention) e che per me rappresentano i servizi con più alto valore aggiunto per le aziende. In altre, invece, gli aspetti descritti dal collega Filippo Bonazzi rappresentano l’attività prevalente.

In tutti i casi, l’importante è agire con una elevata competenza ed una “rigorosa applicazione dei principi etici e deontologici“.

E tu che hai avuto la pazienza di leggere questo lungo post, che ne pensi?

Diario di un risk manager a Verona

giornalismo-thumb

Lo scorso febbraio, mi sono iscritto al corso sull’Enterprise Risk Management in svolgimento presso l’Università di Verona fino al prossimo mese di maggio e ho intenzione di farti partecipe di questa esperienza raccontando le mie sensazioni, i docenti, gli incontri e altro ancora. Suddividerò i vari racconti uno per ogni lezione (almeno a quelle a cui ho partecipato e parteciperò).

Prossimamente, allora passa di qua per il primo racconto.

%d blogger hanno fatto clic su Mi Piace per questo: