IL RISCHIO SI FA OPPORTUNITÀ… DI BUSINESS

Più del 90% delle società rispondenti ha effettuato, almeno una volta, il proprio risk assessment e poco più della metà ha già provveduto a definire formalmente un processo di Erm (Enterprise risk management), mentre la gran parte delle restanti ritiene necessario l’avvio di un’attività in tal senso. Tuttavia, ai rischi considerati più critici non sempre corrisponde la definizione di un processo di gestione degli stessi, come nel caso dei rischi reputazionali, ritenuti particolarmente rilevanti, ma non sempre gestiti attraverso un processo specifico. Tra i principali ostacoli all’adozione di un processo di Erm, emerge su tutti la mancanza di tempo e risorse.

In ogni caso, i benefici dell’Erm sono reali e in alcuni casi misurabili per la maggior parte delle società quotate italiane, secondo cui la creazione di valore e la protezione della reputazione rappresentano i principali vantaggi e le maggiori motivazioni alla base dell’implementazione del processo di Erm.

Il risk management diventa, quindi, una delle priorità dell’agenda del top management delle società quotate: la gran parte delle rispondenti intende mantenere stabili o incrementare gli investimenti nel processo di Enterprise risk management, con particolare riguardo all’implementazione di modelli integrati di Erm e all’introduzione di un sistema di reporting sull’andamento dei rischi e delle azioni di mitigazione di supporto ai processi strategici e operativi (Embedded risk management)

I risultati della survey confermano che la gestione dei rischi, anche se ancora ai primi passi, è un tema di riconosciuta importanza. I processi di risk management vengono introdotti per fronteggiare i rischi e, ove possibile, tradurli in opportunità o vantaggi competitivi. Non si tratta più solo di una strumentazione vista in chiave difensiva, ma di una funzione cruciale per orientare i processi decisionali e di pianificazione strategica delle imprese: un fattore chiave per stabilizzare i percorsi di crescita sostenibile delle aziende. 

Nel nuovo paradigma della società del rischio ci sono alcuni elementi che rendono il risk management una vera e propria priorità: la globalizzazione dei mercati impone alle imprese di confrontarsi quotidianamente con la complessità, l’incertezza e la volatilità dei risultati. La comunità finanziaria e gli stakeholder si aspettano che le imprese siano in grado di prevedere, analizzare e gestire i rischi con impatti potenzialmente devastanti sullo standing e la reputazione delle imprese; la fiducia è diventata una delle merci più preziose e rare nel rapporto tra l’impresa e il mercato, quindi è essenziale l’introduzione di processi e sistemi per la prevenzione di collassi dei sistemi di controllo; l’inasprimento delle sanzioni per la colpa organizzativa ha diffuso un atteggiamento di ostracismo nei confronti dell’azienda che non si è dotata di sistemi adeguati di prevenzione e controllo.

Una delle sfide più importanti riguarda la disponibilità di modelli di misurazione del valore creato, attraverso sistemi di identificazione, assessment, gestione e monitoraggio dei rischi, che si estendano a tutte le aree e i processi aziendali dove risiedono potenzialmente i rischi stessi: un processo direzionale trasversale di tipo top down, il cui funzionamento dipende dal coinvolgimento di tutte le strutture aziendali. È superata, quindi, l’idea di un risk management chiuso nel recinto di una funzione organizzativa isolata dal resto dell’azienda.

Ultimo aspetto, anche se non di minore importanza, è il controllo. I recenti scandali finanziari e le incertezze legate alla congiuntura economica hanno accresciuto la domanda di risk management da parte di tutti gli stakeholder. In questo ambito, il legislatore è intervenuto definendo, con il recepimento della direttiva europea sul controllo legale dei conti, specifiche responsabilità di vigilanza e di assurance interna sull’efficacia dei processi di controllo interno e di gestione del rischio. In particolare, l’art. 19 del dl n. 39 del 27 gennaio 2010 ha introdotto l’obbligo per il collegio sindacale (identificato nel comitato per il controllo interno), di vigilare sull’efficacia dei sistemi di gestione del rischio. Questo provvedimento accresce le responsabilità degli organi di controllo e degli organi amministrativi, ed è prevedibile che molte società sfrutteranno il potenziale competitivo ottenibile tramite lo sviluppo di modelli di Embedded risk management, nonché, nel caso delle quotate, per adempiere alle nuove disposizioni normative. Questo percorso virtuoso potrà rappresentare lo stimolo per la diffusione della cultura di risk management in tutte le realtà aziendali indipendentemente dalle dimensioni o dalla presenza di obblighi normativi.