I RISCHI CHE EMERGONO

Non sorprende che i rischi connessi alla supply chain siano al primo posto. La globalizzazione ha enormemente sviluppato e complicato i sistemi di approvvigionamento delle aziende che coinvolgono un numero elevato di fornitori e subfornitori, esponendo l’azienda a rischi crescenti in caso di evento dannoso severo occorso a uno di questi. Molte imprese fanno affidamento su infrastrutture civili scricchiolanti, sulla fornitura di energia internazionale e su altri punti focali che le espongono a rischi finanziari gravi, in caso di interruzione delle attività.

A breve distanza dal primo, il danno ambientale, anch’esso molto sentito: il principio del chi inquina paga apre un fronte importante di rischio per il fatto di poter essere chiamati a sostenere costi importanti di ripristino, nel caso in cui il danno si sia manifestato, ma anche di prevenzione, nel caso in cui vi sia una semplice minaccia. Il 77% delle imprese italiane considera, quello ambientale, uno dei rischi più rilevanti per la propria azienda e il 29% si sente impreparato a gestire un’emergenza di questo tipo.  

Al terzo posto troviamo il cyber risk, di cui si parla molto ultimamente: oltre un terzo delle aziende cita i virus (49%), l'hackeraggio (38%) e il furto di dati da parte di terzi (37%), tra le principali preoccupazioni; tuttavia, il 63% delle società crede che i dipendenti e gli errori interni possano rappresentare una minaccia maggiore di quella rappresentata dai crimini informatici.

Seppur non classificati tra quelli emergenti, crescono i rischi in capo ad amministratori e dirigenti (D&O), per il complicarsi delle crisi finanziarie, delle modifiche normative e del crescente orientamento globale: gli errori di reportistica e l’esposizione a corruzione e frode sono le preoccupazioni più sentite.

In termini di settore, marina, spedizioni ed engineering sono i più preoccupati per l’impatto causato dalle catastrofi naturali; per il settore manifatturiero, i rischi legati a un’interruzione dell'attività e alla filiera sono i più allarmanti (secondo il 60% degli intervistati); il settore energy e utility indica come maggiore rischio i mutamenti di natura legislativa; l’aviazione e i servizi finanziari sono i più interessati dall’impatto di possibili attacchi informatici su vasta scala.

Per quanto concerne l’Europa, l’indagine rileva aziende molto più fiduciose per il futuro dell’Eurozona, rispetto a 12 mesi fa, anche se alcuni Paesi, tra cui Spagna e Portogallo, temono l’impatto dei piani di austerità.

In Italia, il principale rischio è legato alla recessione, seguito dall’interruzione dell’attività e della filiera produttiva e dai rischi reputazionali. 

Secondo la 2014 Terrorism & Political Violence Map – la mappa annuale di Aon Risk Solutions che analizza il rischio di violenza politica e terrorismo in tutto il mondo – il terrorismo colpisce principalmente il Medio Oriente (che subisce il 28% di tutti gli attacchi registrati globalmente nel 2013) e, in Europa e Asia, la Russia e la Turchia.

Secondo lo studio, il 33% di tutti i Paesi ad alto rischio, a livello mondiale, è localizzato nell’Africa sub-sahariana; 34 Paesi hanno raggiunto un livello minore di rischio rispetto all’anno precedente; in particolare, l’Europa ha visto un notevole miglioramento, con ben 11 paesi non più soggetti al pericolo di disordini civili e diminuisce il rischio di terrorismo e violenza politica anche in Corea del Sud, Malesia e Samoa; viceversa, quattro i Paesi in cui si stima che il rischio sia aumentato: Brasile (dove le proteste anti-governative del 2013 continueranno nel 2014 in vista dei Mondiali di Calcio e delle elezioni presidenziali del prossimo ottobre), Giappone (l’incremento della spesa militare e delle tensioni geopolitiche hanno innalzato il livello di rischio), Bangladesh (scioperi e proteste contro i bassi salari e le cattive condizioni di lavoro nel settore abbigliamento hanno sconvolto il Paese per oltre 70 giorni) e Mozambico.

Nonostante crescano i rischi e la loro percezione, c’è ancora molto da fare perché le aziende aumentino la consapevolezza di essere seriamente esposte a questi rischi e si organizzino di conseguenza. La ricerca di Ace Group evidenzia che il top management delle società Emea non dispone di tempo e risorse da dedicare alla gestione dei rischi emergenti. Tra i principali ostacoli nella gestione dei rischi emergenti, la mancanza di attenzione da parte della dirigenza (57%), di risorse umane e di competenze (46%), di strumenti e processi di gestione dei rischi (40%), di conoscenza e di informazioni sui rischi (38%), di risorse finanziarie (34%) e di opzioni assicurative (13%). È sorprendente che proprio coloro che nelle aziende hanno la responsabilità di garantire un futuro sostenibile nel medio-lungo termine siano considerati, dagli specialisti interni, la principale barriera a una gestione efficace.

Molti dei rischi citati sono complessi e caratterizzati da impatti che possono essere sistemici e, ancora oggi, sono gestiti in specifici ambiti funzionali e fuori dal controllo di chi in azienda dovrebbe occuparsene. Sarebbe necessario un approccio più interfunzionale e multidisciplinare sotto il controllo specialistico della funzione di risk management e con il pieno appoggio dei vertici.

A una crescente percezione dei rischi si accompagna un’accresciuta consapevolezza della rilevanza strategica della gestione del rischio. “Il 2012 Risk Management Benchmarking Survey di Ferma – conferma Paola Luraschi, principal di Milliman – rileva una correlazione diretta tra il livello di maturità dei processi di risk management e il miglioramento, negli ultimi cinque anni, dei risultati finanziari aziendali: su un campione di 809 società europee, il 74% di quelle con Ebitda crescente ha processi maturi o avanzati di risk management”.

Due gli approcci al rischio, adottati dalle aziende: quello regulatory driven (che inserisce il risk management all’interno degli adempimenti normativi aziendali) e quello business driven (che considera il risk management uno strumento a supporto di chi fa strategia aziendale). “Il reale valore aggiunto nel miglioramento del business (sia in termini di maggiore efficienza di processi e procedure sia in termini di contenimento delle conseguenze dei rischi) si ha nel caso di approccio business driven. Un esempio di particolare attualità, in relazione alle novità normative, è rappresentato dalle iniziative intraprese in Uk per supportare la gestione del cyber risk mediante il coinvolgimento di istituzioni pubbliche e soggetti di vigilanza per rafforzare la cyber security delle organizzazioni e dei settori da loro controllati, anche con auto diagnosi settoriale dei propri livelli di sicurezza”.

Quale che sia l’approccio adottato, due i tratti del rischio che emergono: la dinamicità (conseguenza diretta dell’adattamento delle attività aziendali al contesto) e la interconnessione (i rischi non agiscono singolarmente e la loro combinazione, che evolve nel tempo, produce effetti diversi da quelli che avrebbero prodotto singolarmente). 

“Un approccio efficace per la gestione del rischio – sottolinea Luraschi – deve essere in grado di catturare tali specificità e di adattarsi all’evoluzione strutturale sistemica. Tale approccio si contrappone a quello tradizionalmente adottato, che ha natura statica e retrospettiva, in quanto si basa sull’analisi degli eventi di perdita (o negative event), prodotti in passato dal rischio e quindi produce una rappresentazione dei rischi basata sulla struttura aziendale quale era quando si sono prodotti gli eventi di perdita (di qui la natura retrospettiva e statica dell’analisi). Tale approccio, oltre a non essere in grado di catturare rischi emergenti dal mutato contesto, non ha la capacità di rappresentare le interconnessioni, anche esse dinamiche, tra i rischi.

Alla luce del contesto di riferimento attuale è quindi essenziale adottare approcci dinamici di risk management che siano capaci di evolvere con la struttura aziendale grazie ad una combinazione di tecniche analitiche che sintetizzano i dati relativi al passato (dati di perdita) quelli relativi al presente (Key Risk Indicators) e quelli relativi al futuro (Expert Opinion). Infine – conclude – è sempre più evidente il ruolo strategico nell’attività di risk management delle operazioni di resilienza”.