Nell’ambito dei rischi delle imprese, l’approfondimento illustra i tratti salienti del metodo ERM (Enterprise Risk Management) volto a valutare i rischi, ovvero a prevedere eventi che si devono ancora verificare. In tale prospettiva di analisi, l’autore delinea un approccio.

SOMMARIO:

1. I rischi delle imprese - 2. Le linee guida sull’ERM - 3. La valutazione dei rischi nell’ERM - 4. Un approccio pragmatico alla valutazione dei rischi - 5. La business Interruption - 6. La Business Impact Analysis (BIA) - 7. La BIA nella prassi - Conclusioni - NOTE

1. I rischi delle imprese

Pensare l’impossibile! Questo è lo slogan adottato dagli assicuratori dopo l’attentato alle torri gemelle nel 2001. Chi tra i risk managers avrebbe immaginato che tra il 2020 e il 2022 avremmo avuto una pandemia su scala mondiale e una guerra mondiale per procura? Difficile prevederlo! Proviamo a vedere quali sono i principali rischi stimati dalle grandi imprese nell’indagine annuale eseguita dal FERMA [1] sino al 2020: Il primo report di ERM pubblicato nel 2022, a cura del World Economic Forum [2], ha riportato i seguenti risultati: Top 10 global risks by severity over the next 10 years Fonte: World Economic Global Risk Report,2022, 14. Come potrete rilevare dalle diverse risposte indicate nei Report emerge una netta divergenza tra principali rischi percepiti nel 2022 e quelli indicati negli anni precedenti, con una diversa valutazione dei rischi tra la visione degli imprenditori e quella dei risks managers: i rischi che hanno trovato maggior diffusione sui mezzi di comunicazione [3] hanno avuto maggior riscontro nelle indagini [4]. Se lo scopo prioritario dell’Enterprise Risk Management (ERM in seguito) è quello valutare i rischi, ovverosia prevedere eventi che si devono ancora verificare, perché c’è questa correlazione tra l’attualità degli eventi, diffusi dai mezzi di comunicazione e la stima dei rischi emergenti dalle indagini di Risk Management via via condotte? Se il modello di ERM è un metodo scientifico e organizzato, perché prevale la percezione dei rischi legati all’at­tualità, ovverosia di tipo psicologico? Si può spiegare perché si verifica questa contraddizione. Una prima risposta può derivare dal fatto che i risk manager sono ancora culturalmente legati alla gestione dei rischi assicurabili e la transizione all’ERM potrebbe non essere gestita dalla loro funzione, bensì dalla funzione Compliance o Controllo di gestione. Pertanto, sono meno avvezzi a valutare l’incertezza economica. La seconda perché le grandi imprese che hanno adottato un approccio di ERM, superando il Risk Management tradizionale, hanno affidato alle società di consulenza organizzativa e gestionale, che di fatto formano il COSO [5], l’applicazione dei progetti: queste ultime hanno utilizzato un modello, mutuato dai rischi assicurabili, bello dal punto di vista grafico e [continua ..]

2. Le linee guida sull’ERM

La prima versione del modello di ERM risaliva a un documento del 2004 prodotto dal COSO [6] trasformatosi nella norma ISO 31000/2009 [7]: aveva una definizione ‘tautologica’ del rischio [8], criticata oltre che dagli statistici, anche dai Risk Manager; inoltre, adottava il modello operativo utilizzato per l’analisi degli errori nei processi di produzione di beni industriali derivante dal modello ISO 9000 sui Sistemi Qualità, il cosiddetto approccio per processi, che aveva avuto anche un buon risultato nell’applicazione delle Linee Guida di Basilea II per le banche. In questo settore vi sono tre macro processi operativi: conti correnti, investimenti e credito. Queste attività sono state standardizzate per esigenze di compliance e sono tutte governate da sistemi informativi. Pertanto, l’analisi dei processi è semplificata e ripetibile, con poche variazioni, in qualsiasi banca. La norma ISO 31000 nella versione originaria derivava da una cultura di controllo operativo, tipica dei sistemi qualità industriali e delle funzioni di auditing e compliance, che per cultura si occupano di aspetti analitici e operativi. Ma questo modello funziona bene quando si analizzano attività standardizzate: nel settore industriale e nei servizi esistono svariati processi di produzione, non soggetti a stringenti vincoli legislativi [9].

3. La valutazione dei rischi nell’ERM

In analogia al metodo utilizzato nel sistema bancario, nella fase di adozione del modello di ERM è chiesto all’impresa [10] di identificare tutti i processi che la caratterizzano dopodiché si presenta un elenco di rischi molto analitico da valutare con quadri direttivi coinvolti nelle fasi di un singolo processo. Si tratta di colloqui in genere individuali. Ciascun soggetto interpellato deve stimare sia la gravità sia la frequenza attesa dei rischi che ritiene prioritari (in genere 10 su un elenco molto ampio, da 100 a 400 eventi elencati). Nota: Questa è la tabella più diffusa: possono variare tra una società e l’altra le frequenze correlate a ciascuna classificazione o la misura della gravità attribuita alle definizioni. Successivamente, si applica un modello di selezione dei rischi basato sullo Scoring: viene presentato all’impresa un report che indica come rischi prioritari quelli che, a parità di indice, hanno ricevuto più voti dai soggetti che hanno partecipato all’indagine. Questo approccio a mio parere – condiviso da altri studiosi di risk management – ha tre punti deboli: 1)  La probabilità di accadimento di un evento dannoso viene stimata da soggetti che non sono addetti ai lavori, nel senso che non hanno esperienza statistica sulla frequenza di un evento fatta salva l’esperienza personale. Ne consegue che la stima della frequenza attesa di un evento sarà più puntuale per gli eventi più frequenti e meno gravi piuttosto che per quelli rari e catastrofali. È noto che anche nei rischi assicurabili la stima della frequenza attesa dei sinistri su un campione molto ampio, qual è il portafoglio di una compagnia, non è attendibile sull’orizzonte temporale di un anno: tanto è vero che gli assicuratori ricorrono alla riassicurazione per stabilizzare i risultati di bilancio, qualora il loro portafoglio avesse un andamento statistico annuale difforme dalla frequenza attesa. A maggior ragione sarà difficile prevedere la frequenza attesa di altri eventi non assicurabili [11], che possono anche avere un andamento osservato in campioni molto ampi rispetto al singolo caso rappresentato dall’impresa o dal gruppo di imprese su cui si svolge la mappatura dei rischi. Per questi eventi, per i quali non esiste una base statistica interna affidabile [12], il ricorso [continua ..]

4. Un approccio pragmatico alla valutazione dei rischi

Se l’ERM si occupa di rischi imprenditoriali a carattere strategico, sia in termini di tempo/lavoro sia in termini di efficacia, conviene partire dall’analisi dell’organizzazione produttiva dell’impresa a livello macro, anziché analizzare i processi a livello micro, ovverosia individuare in sequenza: l’organizzazione produttiva, correlandola a parametri economico finanziari interni (linee di prodotto o mercati); le aree di vulnerabilità dell’impresa che possono anche essere presenti nei singoli processi e l’impatto che può avere sulla attività dell’azienda, ovverosia; stimare la sola gravità potenziale di un evento dannoso indeterminato e catastrofale, piuttosto che stimare la probabilità e la gravità di molti eventi diversi. Data l’inaffidabilità statistica della stima della probabilità di un evento raro, se non si hanno basi di dati affidabili, si rischia di fare un lavoro teorico ma alquanto sterile, utile a fare simulazioni di scenari ma sulla base di stime inattendibili[19]. Solo dopo aver valutato le conseguenze di un evento grave e indeterminato, si possono poi fare delle valutazioni con il Top Management sui singoli eventi potenziali [20], senza condizionarne la politica di gestione dei rischi a priori sulla base della semplice (e scarsa, talvolta nulla) percezione soggettiva degli addetti ai lavori di una probabilità rara. A maggior ragione, la stima della probabilità di eventi non ‘indipendenti’ né ‘casuali’ dal punto di vista statistico, qual è il default di una grande banca internazionale che impatta su scala globale i mercati, o una crisi energetica internazionale, non è ‘affidabile’ [21]. Ma se l’evento si verifica, avremo un danno catastrofale sulla singola impresa analizzata [22]. Pertanto, nell’ERM occorre prendere in considerazione anche questi scenari. Qual è dunque il vantaggio dell’analisi globale dell’impresa, cioè delle semplici aree di vulnerabilità, a prescindere dalla frequenza attesa? Nel momento si sono individuate le aree di vulnerabilità in modo oggettivo e stimati quali sono gli effetti correlati (gravità) al verificarsi di un evento catastrofale, si possono attivare delle misure di prevenzione e mitigazione del danno più efficaci in caso di eventi [continua ..]

5. La business Interruption

Passiamo dall’Enterprise Risk Management e dalla critica al metodo più diffuso per la valutazione dei rischi al tema più specifico, ossia i rischi della Business Interruption: anche in questo caso esiste una norma a supporto di chi voglia gestire il rischio: UNI-EN 22301 Business Continuity Management System [23]. Il vantaggio nell’adozione della norma consiste nell’individuare a priori i rischi di BI e adottare strategie e strutture adeguate a garantire la continuità produttiva dell’azienda quando si verificassero eventi gravi che ne pregiudicherebbero la sopravvivenza. Perciò esiste un Business Continuity Management System. Come arrivare alla valutazione della Business Interruption? Innanzitutto, un dato empirico: nei rischi assicurabili non vi sono statistiche analitiche sufficienti per determinare delle tariffe BI, in quanto questa copertura non ha una diffusione elevata: gli assicuratori si limitano ad applicare dei coefficienti del tasso per l’assicurazione danno diretto, in funzione del periodo di copertura (dai 3 ai 24 mesi), con qualche lieve oscillazione in funzione del grado di integrazione produttiva del settore merceologico assicurato. Ma vi è una certezza: non vi è correlazione diretta tra l’ammontare del danno materiale e quello da interruzione d’esercizio. A maggior ragione nel caso dell’Enter­prise Risk Management, dove gli eventi da considerare sono infinitamente maggiori e le conseguenze ancora più difficili da stimare.

6. La Business Impact Analysis (BIA)

Per la valutazione del rischio BI si parte dalla prima fase: Business Impact Analysis, ovverosia che cosa succede nella mia azienda se un evento imprevisto crea un’interruzione dei flussi produttivi? Il metodo alternativo più efficace, prima esposto per l’ERM, viene qui esaltato: si inizia dall’analisi delle vulnerabilità in senso assoluto, tenendo conto dei fattori che influenzano la stabilità dell’impresa: 1. l’organizzazione produttiva 2. il mercato 3. la struttura finanziaria. Con questo approccio si possono ottenere risultati interessanti senza necessariamente coinvolgere un numero elevato di personale operativo, con economie di scala economiche e di apprendimento sui rischi più gravi. Quali esempi macroscopici di vulnerabilità oggettiva, possiamo indicare: la produzione concentrata in un unico sito un fornitore di materie prime o di componenti esclusivo: la perdita del fornitore pregiudicherebbe o la produzione o i risultati di bilancio[24] un cliente che assorbe una quota rilevante del fatturato[25]: se viene meno questa fornitura, l’impresa viene destabilizzata. Lo schema operativo di Businees Impact Analysis (BIA) è fisso ma deve essere adeguato per ciascuna impresa, attraverso un’analisi di dettaglio. Esistono una serie di domande chiave che permettono di individuare i casi di vulnerabilità potenziale, nonché l’analisi sul potenziale impatto. Ecco un esempio nell’ipotesi che un processo iniziale di produzione interno si arresti, per un evento esogeno che abbia impatto negativo e tutta l’impresa, conseguentemente, cessi di produrre: l’impresa continuerà a fatturare fino al­l’esaurimento della merce depositata nei magazzini [26]. Pertanto, qualora vi siano processi di produzione interni vulnerabili, questo è l’approccio iniziale di BIA adottato per il singolo processo: 1. la possibilità e i tempi di ripristino degli impianti[27] 2. l’individuazione di potenziali fornitori di processo esterni all’impresa. Per ciascuno di questi, l’analisi verterà sui seguenti fattori: capacità di aumento temporaneo dei volumi produttivi tempi di consegna incidenza sul costo di produzione (e sulla produzione dei ricavi) affidabilità/qualità del prodotto cessione di Know How (può diventare un concorrente?) 3. [continua ..]

7. La BIA nella prassi

Per dimostrare l’utilità della Business Impact Analysis forniamo l’esito di tale attività in due casi reali, riportati in sintesi:

Conclusioni

Il rischio Business Interruption è uno dei rischi più sottovalutati e più complessi da stimare, dati: la numerosità degli eventi che possono interrompere la continuità produttiva dell’azienda, a prescindere dai casi sistemici più recenti l’enorme variabilità delle conseguenze di uno stesso evento su due imprese della stessa dimensione e operanti nello stesso settore merceologico, derivanti dalla difformità dell’organizzazione produttiva, del mercato e della struttura finanziaria. Non può pertanto essere oggetto di raccolta dati a fine statistici, se non a livello macroeconomico. Nonostante ciò, le imprese che seguono la filosofia della BCMS individueranno le aree di vulnerabilità agli eventi catastrofali e potranno studiare dei piani di emergenza, con rilevanti vantaggi competitivi nella ripresa dell’attività rispetto ad aziende simili che non hanno adottato tale modello. Tuttavia, l’approccio in ottica di ERM genera un problema apparentemente filosofico-politico. In un mondo sinora dominato da un’ideologia economica neo-liberista mascherata da globalizzazione, in cui l’orizzonte temporale dei manager delle grandissime imprese è orientato al profitto a brevissimo periodo, su base trimestrale, tutta le strategie delle aziende sono state concentrate sulla minimizzazione dei costi di produzione garantita dall’assenza di barriere alla circolazione delle merci. Questa ideologia ha talmente pervaso la società che anche l’operato dei governi ne è stato influenzato. Come giustificare altrimenti l’assenza di una politica di diversificazione delle fonti di approvvigionamento energetico riscontrata in numerosi paesi europei? Non sarebbe stata necessaria una guerra per suggerire tale politica: la teoria economica applicabile all’ERM suggeriva la riduzione dell’incertezza attraverso la diversificazione [28]. In una pioneristica tesi di laurea, dove si giustificava teoricamente l’ERM [29] quale strumento di gestione dell’impresa, a proposito della Businees Interruption, si riportavano due casi emblematici: 1. “Il microprocessore ha un’applicazione diffusa in molti settori, ed è diventato un componente fondamentale di tutti i prodotti dell’industria. Se l’impresa ne ha concentrato la progettazione e la produzione in un unico [continua ..]

NOTE