Gestire il rischio come fonte di vantaggio competitivo
Transcript
Gestire il rischio come fonte di vantaggio competitivo
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura economica, il tema del rischio, già da tempo rilevante in termini accademici, risulta di grande attualità per le imprese. In particolare, il concetto di rischio si è arricchito dal punto di vista sia dell’oggetto che da quello dell’ambito di applicazione: si è passati da un concetto di rischio in termini finanziari o assicurativi (dunque circoscritto all’area Finance), a un’accezione di rischio di business, che coinvolge tutta l’azienda (dall’ambito finanziario, all’ambito sociale, dall’ambito competitivo, all’ambito reputazionale). Le imprese non possono essere «passive» di fronte alle determinanti di rischio. Non possono reagire solo dopo che l’evento negativo si è verificato, ma devono «giocare di anticipo», integrando la gestione del rischio di business nella pianificazione strategica. Una gestione del rischio in questa prospettiva diventa una vera e propria opportunità per l’impresa e può costituire motivo di rilancio del proprio modello di business. La gestione del rischio si evolve dunque da strumento di compliance a leva di vantaggio competitivo. In tutto ciò l’attendibilità e la disponibilità tempestiva dell’informazione costituisce un requisito centrale: visto il loro ruolo decisivo nel presidio dell’integrità e della fruibilità dei dati, le soluzioni di gestione dei processi di scambio di informazioni rappresentano un elemento facilitatore nella gestione del rischio in questa dimensione evolutiva. Da qui l’obiettivo del Progetto di ricerca ovvero ANALIZZARE IL RUOLO DEGLI STRUMENTI DI DIGITALIZZAZIONE DELLE INFORMAZIONI COME ELEMENTO DI SUPPORTO ALLA GESTIONE DEL RISCHIO IN CHIAVE DI RILANCIO COMPETITIVO. 2 Il processo di gestione del rischio Nella definizione del CoSO*, la gestione del rischio d’impresa (Enterprise Risk Management, ERM) è un «processo disegnato per identificare gli eventi potenziali che potrebbero avere un impatto più o meno significativo sull’azienda, per gestire il rischio in coerenza con il grado di propensione al rischio definito dall’azienda, per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali». * Committee of Sponsorship Organization of the Treadway Commission, «Enterprise Risk Management – Integrated Framework» Il Framework dell’ERM individua le seguenti fasi del processo di gestione del rischio: Definizione degli obiettivi Identificazione degli eventi avversi (1) (2) Valutazione del rischio Definizione della risposta al rischio Attività di controllo (4) (5) (3) Informazione e comunicazione (6) Monitoraggio (7) LA DIMENSIONE DEL RISCHIO NELLA SUA ACCEZIONE «STRATEGICA» (FONTE DI POTENZIALE VANTAGGIO COMPETITIVO) 3 Il processo di gestione del rischio (segue) La lettura del processo di gestione del rischio secondo il paradigma «input, trasformazione, output, risorse, vincoli», permette di evidenziare 5 componenti: RISCHIO PROCESSI AZIENDALI STRATEGIA Il concetto di rischio come una delle fonti di valore per l’impresa VALORE RISORSE 4 Il processo di gestione del rischio (segue) Le componenti rappresentate sopra sono di seguito descritte: • la strategia aziendale, da cui deriva la definizione degli obiettivi; • i processi aziendali che in quanto vettore degli sforzi dell’organizzazione verso la creazione di valore (raggiungimento degli obiettivi) incorporano i concetti di valutazione della rischiosità, di definizione della risposta al rischio e delle connesse attività di controllo e monitoraggio; i flussi informativi «cablati» nei processi consentono la rilevazione, l’elaborazione e la comunicazione delle informazioni necessarie per la gestione del rischio; • il valore creato mediante il raggiungimento degli obiettivi strategici; in questa accezione, un’impresa crea valore se raggiunge i propri obiettivi strategici; • i rischi, intesi come eventi potenzialmente avversi che, insistendo sui processi aziendali, ostacolano il raggiungimento degli obiettivi, riducendo il valore creato dall’impresa; • le risorse a disposizione (umane e tecnologiche), la cui combinazione (secondo le modalità definite nella risposta al rischio) permette di gestire gli eventi potenzialmente avversi. 5 Gli obiettivi del Progetto di ricerca Il Progetto di ricerca intende concentrare l’indagine su due aspetti: RISCHIO PROCESSI AZIENDALI 2 Presentare il contributo dei sistemi di gestione del flusso informativo di processo in termini di mitigazione della rischiosità di processo STRATEGIA VALORE 1 Presentare un modello di valutazione della rischiosità di processo RISORSE 6 Gli obiettivi del Progetto di ricerca 1) Presentare un modello di valutazione della rischiosità di processo L’attività di valutazione del rischio è finalizzata a comprendere le probabilità di manifestazione di ciascun evento avverso e l’impatto di tale manifestazione sul raggiungimento degli obiettivi strategici. La rischiosità dei processi può essere valutata con riferimento a 3 parametri: Valutazione del rischio 7 Gli obiettivi del Progetto di ricerca 1) Presentare un modello di valutazione della rischiosità di processo COERENZA RISPETTO AGLI OBIETTIVI Dimensione strategica In quanto vettore degli sforzi dell’organizzazione verso la creazione di valore, i processi aziendali rappresentano la declinazione operativa degli obiettivi strategici. La valutazione dell’allineamento tra processi e obiettivi si realizza attraverso il confronto tra i valori consuntivi di KPI associati ai processi e i valori target derivanti dagli obiettivi strategici. CONFORMITÀ RISPETTO ALLE BEST PRACTICE Valutazione del rischio Dimensione operativa Il processo genera valore attraverso la combinazione delle risorse a sua disposizione secondo modalità operative definite da procedure o «acquisite» per prassi non formalizzate o consuetudini. La valutazione di conformità del processo è tesa a evidenziare il grado di deviazione delle modalità operative in essere rispetto a quelle che minimizzano tempi e costi di esecuzione e massimizzano la qualità dell’output del processo. COMPLIANCE RISPETTO A NORME E REGOLAMENTI Al processo dovrebbe essere associato un sistema di controlli disegnati e operanti al fine di prevenire o individuare tempestivamente comportamenti in violazione delle procedure interne o delle normative cui l’azienda è soggetta come conseguenza del contesto in cui opera. La rischiosità del processo aumenta se le modalità operative in essere non consentono di rispettare quanto previsto dalle regole interne ed esterne. 8 Gli obiettivi del Progetto di ricerca 1) Presentare un modello di valutazione della rischiosità di processo LA VALUTAZIONE DI COERENZA FORNISCE UNA MISURA DELLA «DISTANZA» DEL PROCESSO RISPETTO AL VALORE CHE È «INCARICATO» DI GENERARE COERENZA LA VALUTAZIONE DI CONFORMITÀ EVIDENZIA DELLE «CRITICITÀ OPERATIVE», IL CUI IMPATTO SU TEMPI COSTI E QUALITÀ ABBATTE IL VALORE GENERATO DAL PROCESSO LA VALUTAZIONE DI COMPLIANCE EVIDENZIA DELLE «CRITICITÀ DI CONTROLLO» DELL’ADERENZA ALLE NORME, CUI È LEGATO IL RISCHIO DI INCORRERE IN SANZIONI, PERDITE FINANZIARIE RILEVANTI O DANNI DI REPUTAZIONE CONFORMITÀ Per ogni dimensione viene emesso un giudizio di rischiosità del processo. I 3 giudizi vengono riepilogati da un grafico a triedro, che evidenzia il gap del processo rispetto alla minimo profilo di rischio. LA RIDUZIONE DEL GAP È L’OBIETTIVO DELLA RISPOSTA AL RISCHIO. COMPLIANCE 9 Gli obiettivi del Progetto di ricerca 2) Presentare il contributo dei sistemi di gestione del flusso informativo di processo in termini di gestione del rischio come opportunità La definizione della risposta al rischio è finalizzata a individuare la migliore combinazione di risorse in grado di ridurre il «gap» tra la rischiosità accertata e il profilo di rischio accettato dall’impresa. Si distinguono in proposito due fattori mitiganti del rischio, che orientano la definizione della risposta: l’adeguata gestione dei processi e la disponibilità di informazioni complete e tempestive. ADEGUATA GESTIONE DEI PROCESSI RISPOSTA AL RISCHIO = DISPONIBILITÀ DI INFORMAZIONI COMPLETE E TEMPESTIVE PER LE DECISIONI E IL CONTROLLO TRASFORMAZIONE DEL RISCHIO DA MINACCIA A OPPORTUNITA’ 10 Gli obiettivi del Progetto di ricerca 2) Presentare il contributo dei sistemi di gestione del flusso informativo di processo in termini di gestione del rischio come opportunità La ricerca dell’adeguata gestione dei processi in ottica di trasformazione del rischio da minaccia a opportunità può comportare il loro ridisegno, secondo 3 possibili direttrici: • INFORMATICO adozione di soluzioni informatiche atte a supportare le attività di controllo • OPERATIVO ripensamento delle modalità operative al fine di renderle conformi a best practice di funzione/settore e di allinearle a quanto previsto dalle normative cui è soggetta l’azienda • ORGANIZZATIVO revisione della struttura organizzativa e delle responsabilità connesse, in modo da renderle coerenti con le nuove modalità operative. ADEGUATA GESTIONE DEI PROCESSI RISPOSTA AL RISCHIO = DISPONIBILITÀ DI INFORMAZIONI COMPLETE E TEMPESTIVE PER LE DECISIONI E IL CONTROLLO TRASFORMAZIONE DEL RISCHIO DA MINACCIA A OPPORTUNITA’ 11 Gli obiettivi del Progetto di ricerca 2) Presentare il contributo dei sistemi di gestione del flusso informativo di processo in termini di gestione del rischio come opportunità ADEGUATA GESTIONE DEI PROCESSI RISPOSTA AL RISCHIO = DISPONIBILITÀ DI INFORMAZIONI COMPLETE E TEMPESTIVE PER LE DECISIONI E IL CONTROLLO TRASFORMAZIONE DEL RISCHIO DA MINACCIA A OPPORTUNITA’ La trasformazione del rischio da minaccia a opportunità richiede l’esistenza dei seguenti requisiti dell’informazione: • Accuratezza (precisione e correttezza); • Idoneità (sufficiente dettaglio e aggiornamento); • Integrità (protezione da modifiche accidentali o intenzionali); • Univocità (esistenza di una sola fonte o garanzia della coincidenza degli stessi dati provenienti da fonti diverse); • Disponibilità (accesso possibile da parte dei soggetti abilitati che devono utilizzare l’informazione); • Tempestività (disponibilità nei tempi necessari per l’utilizzo). Affinché ciò sia garantito in maniera efficiente, occorre pertanto adottare soluzioni informatiche che presidino tutti i punti di ingresso e di condivisione dell’informazione in azienda. 12