crisi impresa

home / Archivio / Fascicolo / Business interruption e business impact analysis

indietro stampa articolo indice fascicolo leggi articolo leggi fascicolo


Business interruption e business impact analysis

Elio Marchetti, Broker assicurativo. Cultore di Enterprise Risk Management

Nell’ambito dei rischi delle imprese, l’approfondimento illustra i tratti salienti del metodo ERM (Enterprise Risk Management) volto a valutare i rischi, ovvero a prevedere eventi che si devono ancora verificare. In tale prospettiva di analisi, l’autore delinea un approccio.

 

Articoli Correlati: Business Impact Analysis - Enterprise Risk Management - risk management

Business interruption and business impact analysis

Within the context of business risks, the paper illustrates the salient features of the ERM (Enterprise Risk Management) method aimed at assessing risks, or at predicting events that have yet to occur. In this perspective, the author outlines a pragmatic approach to risk assessment.

Keywords: ERM – risks – businesses.

» Per l'intero contenuto effettuare il login inizio

Sommario:

1. I rischi delle imprese - 2. Le linee guida sull’ERM - 3. La valutazione dei rischi nell’ERM - 4. Un approccio pragmatico alla valutazione dei rischi - 5. La business Interruption - 6. La Business Impact Analysis (BIA) - 7. La BIA nella prassi - Conclusioni - NOTE


1. I rischi delle imprese

Pensare l’impossibile! Questo è lo slogan adottato dagli assicuratori dopo l’attentato alle torri gemelle nel 2001. Chi tra i risk managers avrebbe immaginato che tra il 2020 e il 2022 avremmo avuto una pandemia su scala mondiale e una guerra mondiale per procura? Difficile prevederlo! Proviamo a vedere quali sono i principali rischi stimati dalle grandi imprese nell’indagine annuale eseguita dal FERMA [1] sino al 2020: Il primo report di ERM pubblicato nel 2022, a cura del World Economic Forum [2], ha riportato i seguenti risultati: Top 10 global risks by severity over the next 10 years Fonte: World Economic Global Risk Report,2022, 14. Come potrete rilevare dalle diverse risposte indicate nei Report emerge una netta divergenza tra principali rischi percepiti nel 2022 e quelli indicati negli anni precedenti, con una diversa valutazione dei rischi tra la visione degli imprenditori e quella dei risks managers: i rischi che hanno trovato maggior diffusione sui mezzi di comunicazione [3] hanno avuto maggior riscontro nelle indagini [4]. Se lo scopo prioritario dell’Enterprise Risk Management (ERM in seguito) è quello valutare i rischi, ovverosia prevedere eventi che si devono ancora verificare, perché c’è questa correlazione tra l’attualità degli eventi, diffusi dai mezzi di comunicazione e la stima dei rischi emergenti dalle indagini di Risk Management via via condotte? Se il [continua ..]

» Per l'intero contenuto effettuare il login inizio


2. Le linee guida sull’ERM

La prima versione del modello di ERM risaliva a un documento del 2004 prodotto dal COSO [6] trasformatosi nella norma ISO 31000/2009 [7]: aveva una definizione ‘tautologica’ del rischio [8], criticata oltre che dagli statistici, anche dai Risk Manager; inoltre, adottava il modello operativo utilizzato per l’analisi degli errori nei processi di produzione di beni industriali derivante dal modello ISO 9000 sui Sistemi Qualità, il cosiddetto approccio per processi, che aveva avuto anche un buon risultato nell’applicazione delle Linee Guida di Basilea II per le banche. In questo settore vi sono tre macro processi operativi: conti correnti, investimenti e credito. Queste attività sono state standardizzate per esigenze di compliance e sono tutte governate da sistemi informativi. Pertanto, l’analisi dei processi è semplificata e ripetibile, con poche variazioni, in qualsiasi banca. La norma ISO 31000 nella versione originaria derivava da una cultura di controllo operativo, tipica dei sistemi qualità industriali e delle funzioni di auditing e compliance, che per cultura si occupano di aspetti analitici e operativi. Ma questo modello funziona bene quando si analizzano attività standardizzate: nel settore industriale e nei servizi esistono svariati processi di produzione, non soggetti a stringenti vincoli legislativi [9].

» Per l'intero contenuto effettuare il login inizio


3. La valutazione dei rischi nell’ERM

In analogia al metodo utilizzato nel sistema bancario, nella fase di adozione del modello di ERM è chiesto all’impresa [10] di identificare tutti i processi che la caratterizzano dopodiché si presenta un elenco di rischi molto analitico da valutare con quadri direttivi coinvolti nelle fasi di un singolo processo. Si tratta di colloqui in genere individuali. Ciascun soggetto interpellato deve stimare sia la gravità sia la frequenza attesa dei rischi che ritiene prioritari (in genere 10 su un elenco molto ampio, da 100 a 400 eventi elencati). Nota: Questa è la tabella più diffusa: possono variare tra una società e l’altra le frequenze correlate a ciascuna classificazione o la misura della gravità attribuita alle definizioni. Successivamente, si applica un modello di selezione dei rischi basato sullo Scoring: viene presentato all’impresa un report che indica come rischi prioritari quelli che, a parità di indice, hanno ricevuto più voti dai soggetti che hanno partecipato all’indagine. Questo approccio a mio parere – condiviso da altri studiosi di risk management – ha tre punti deboli: 1)  La probabilità di accadimento di un evento dannoso viene stimata da soggetti che non sono addetti ai lavori, nel senso che non hanno esperienza statistica sulla frequenza di un evento fatta salva l’esperienza personale. Ne consegue che la stima della frequenza attesa [continua ..]

» Per l'intero contenuto effettuare il login inizio


4. Un approccio pragmatico alla valutazione dei rischi

Se l’ERM si occupa di rischi imprenditoriali a carattere strategico, sia in termini di tempo/lavoro sia in termini di efficacia, conviene partire dall’analisi dell’organizzazione produttiva dell’impresa a livello macro, anziché analizzare i processi a livello micro, ovverosia individuare in sequenza: l’organizzazione produttiva, correlandola a parametri economico finanziari interni (linee di prodotto o mercati); le aree di vulnerabilità dell’impresa che possono anche essere presenti nei singoli processi e l’impatto che può avere sulla attività dell’azienda, ovverosia; stimare la sola gravità potenziale di un evento dannoso indeterminato e catastrofale, piuttosto che stimare la probabilità e la gravità di molti eventi diversi. Data l’inaffidabilità statistica della stima della probabilità di un evento raro, se non si hanno basi di dati affidabili, si rischia di fare un lavoro teorico ma alquanto sterile, utile a fare simulazioni di scenari ma sulla base di stime inattendibili[19]. Solo dopo aver valutato le conseguenze di un evento grave e indeterminato, si possono poi fare delle valutazioni con il Top Management sui singoli eventi potenziali [20], senza condizionarne la politica di gestione dei rischi a priori sulla base della semplice (e scarsa, talvolta nulla) percezione soggettiva degli addetti ai lavori di una probabilità rara. A [continua ..]

» Per l'intero contenuto effettuare il login inizio


5. La business Interruption

Passiamo dall’Enterprise Risk Management e dalla critica al metodo più diffuso per la valutazione dei rischi al tema più specifico, ossia i rischi della Business Interruption: anche in questo caso esiste una norma a supporto di chi voglia gestire il rischio: UNI-EN 22301 Business Continuity Management System [23]. Il vantaggio nell’adozione della norma consiste nell’individuare a priori i rischi di BI e adottare strategie e strutture adeguate a garantire la continuità produttiva dell’azienda quando si verificassero eventi gravi che ne pregiudicherebbero la sopravvivenza. Perciò esiste un Business Continuity Management System. Come arrivare alla valutazione della Business Interruption? Innanzitutto, un dato empirico: nei rischi assicurabili non vi sono statistiche analitiche sufficienti per determinare delle tariffe BI, in quanto questa copertura non ha una diffusione elevata: gli assicuratori si limitano ad applicare dei coefficienti del tasso per l’assicurazione danno diretto, in funzione del periodo di copertura (dai 3 ai 24 mesi), con qualche lieve oscillazione in funzione del grado di integrazione produttiva del settore merceologico assicurato. Ma vi è una certezza: non vi è correlazione diretta tra l’ammontare del danno materiale e quello da interruzione d’esercizio. A maggior ragione nel caso dell’Enter­prise Risk Management, dove gli eventi da considerare sono [continua ..]

» Per l'intero contenuto effettuare il login inizio


6. La Business Impact Analysis (BIA)

Per la valutazione del rischio BI si parte dalla prima fase: Business Impact Analysis, ovverosia che cosa succede nella mia azienda se un evento imprevisto crea un’interruzione dei flussi produttivi? Il metodo alternativo più efficace, prima esposto per l’ERM, viene qui esaltato: si inizia dall’analisi delle vulnerabilità in senso assoluto, tenendo conto dei fattori che influenzano la stabilità dell’impresa: 1. l’organizzazione produttiva 2. il mercato 3. la struttura finanziaria. Con questo approccio si possono ottenere risultati interessanti senza necessariamente coinvolgere un numero elevato di personale operativo, con economie di scala economiche e di apprendimento sui rischi più gravi. Quali esempi macroscopici di vulnerabilità oggettiva, possiamo indicare: la produzione concentrata in un unico sito un fornitore di materie prime o di componenti esclusivo: la perdita del fornitore pregiudicherebbe o la produzione o i risultati di bilancio[24] un cliente che assorbe una quota rilevante del fatturato[25]: se viene meno questa fornitura, l’impresa viene destabilizzata. Lo schema operativo di Businees Impact Analysis (BIA) è fisso ma deve essere adeguato per ciascuna impresa, attraverso un’analisi di dettaglio. Esistono una serie di domande chiave che permettono di individuare i casi di vulnerabilità potenziale, nonché l’analisi sul potenziale impatto. Ecco [continua ..]

» Per l'intero contenuto effettuare il login inizio


7. La BIA nella prassi

Per dimostrare l’utilità della Business Impact Analysis forniamo l’esito di tale attività in due casi reali, riportati in sintesi:

» Per l'intero contenuto effettuare il login inizio


Conclusioni

Il rischio Business Interruption è uno dei rischi più sottovalutati e più complessi da stimare, dati: la numerosità degli eventi che possono interrompere la continuità produttiva dell’azienda, a prescindere dai casi sistemici più recenti l’enorme variabilità delle conseguenze di uno stesso evento su due imprese della stessa dimensione e operanti nello stesso settore merceologico, derivanti dalla difformità dell’organizzazione produttiva, del mercato e della struttura finanziaria. Non può pertanto essere oggetto di raccolta dati a fine statistici, se non a livello macroeconomico. Nonostante ciò, le imprese che seguono la filosofia della BCMS individueranno le aree di vulnerabilità agli eventi catastrofali e potranno studiare dei piani di emergenza, con rilevanti vantaggi competitivi nella ripresa dell’attività rispetto ad aziende simili che non hanno adottato tale modello. Tuttavia, l’approccio in ottica di ERM genera un problema apparentemente filosofico-politico. In un mondo sinora dominato da un’ideologia economica neo-liberista mascherata da globalizzazione, in cui l’orizzonte temporale dei manager delle grandissime imprese è orientato al profitto a brevissimo periodo, su base trimestrale, tutta le strategie delle aziende sono state concentrate sulla minimizzazione dei costi di produzione garantita dall’assenza di barriere [continua ..]

» Per l'intero contenuto effettuare il login inizio


NOTE

» Per l'intero contenuto effettuare il login inizio