Sono ancora troppo poche le realtà che dispongono di una strutturata attività di Risk Management; mentre in passato un processo di mappatura e gestione dei rischi era appannaggio di poche e lungimiranti aziende, ora un tale impegno è fondamentale per ogni tipologia di impresa.
Se per il mondo bancario, regolamentato dall’Autorità di Vigilanza Banca d’Italia, è previsto l’obbligo di dotarsi di un sistema di mappatura, valutazione e monitoraggio dei rischi operativi, per le aziende non esiste un vincolo normativo. Nel mondo industriale infatti, la percezione dell’importanza di un processo strutturato di Risk Management è ancora troppo bassa.
Questo è quanto emerge da una Survey condotta da Aon; la ricerca, realizzata in partnership con ANDAF (Associazione Nazionale Direttori Amministrativi e Finanziari), ha permesso di realizzare un Assessment per la rilevazione dei principali rischi percepiti dai partecipanti, e dei processi di Risk Management posti in essere dalle aziende associate.
I risultati della Survey sono stati stata presentati al XXXVII Congresso Nazionale ANDAF, svoltosi a Napoli dal 25 al 26 ottobre 2013.
L’indagine ha in primo luogo analizzato i principali rischi percepiti e il livello di preparazione (Risk Readiness) nella gestione dei rischi da parte dell’Impresa. In secondo luogo sono stati analizzati i processi, le risorse e gli strumenti di Risk Management adottati dalle aziende.
Per quanto riguarda i Top Risk, questa è la lista dei principali rischi che, secondo le aziende coinvolte nella survey, possono avere un impatto significativo sulle aziende:
1 business interruption – supply chain interruption
2 fallimento nell’innovare/soddisfare le aspettative del cliente
3 danni reputazionali
4 cambiamenti legislativi
5 crisi finanziaria
6 concorrenza e globalizzazione
7 rischio credito/disponibilità di capitale
8 rischio di credito della controparte
9 rischio liquidità/cash flow
10 fallimento nell’attrarre/trattenere talenti
Questa classifica mette in luce una situazione allarmante: vengono sottovalutati alcuni dei rischi che assumeranno una rilevanza sempre maggiore nel prossimo futuro, come il rischio cambiamento climatico/disastri naturali e il cyber risk. Come ci ha ricordato la recente tragedia che ha colpito le Filippine, il cambiamento climatico sta avendo conseguenze imprevedibili, difficili da gestire. E’ pertanto fondamentale tutelarsi per far fronte al rischio di fenomeni naturali sempre più frequenti.
Per quanto concerne il cyber risk, aumenta la frequenza degli attacchi da parte di hacker informatici, che possono mettere a repentaglio l’intero sistema informatico di un’azienda, con gravi danni per l’impresa stessa. Nei mesi scorsi si sono verificati numerosi casi di attacchi informatici di vario genere, che hanno avuto alta risonanza mediatica. Innanzitutto il caso del Tribunale di Milano, che lo scorso gennaio ha visto apparire nella home page del proprio sito una maschera tricolore dell’eroe dei fumetti V for Vendetta, accompagnata da messaggi poco incoraggianti. Rimanendo in Italia, a febbraio un falso twitt rilasciato dall’account ufficiale della Fiat, annunciava la cessione del marchio torinese alla Cadillac. Anche una multinazionale come Sony, recentemente è rimasta vittima di un importante attacco informatico: le sono stati sottratti 100 milioni di profili completi degli utenti.
Se ci soffermiamo sul livello di Risk Readiness, è interessante osservare fino a che punto le aziende coinvolte nella Survey si sentono preparate nell’affrontare diverse tipologie di rischio.
Come si evince dal grafico sopra riportato, tra i rischi che le aziende sono meno pronte a contrastare figurano il rischio politico, il rischio prezzo commodity, il rischio clima/disastri naturali e i rischi connessi al fallimento nell’attrarre/ritenere talenti e alle fluttuazioni del tasso di cambio/interesse.
Questi sono invece i rischi il cui livello di Risk Readiness tra le aziende è maggiore:
– rischio credito/disponibilità di capitale
– responsabilità civile terzi
– rischio liquidità/cash flow
– crisi finanziaria
Passando ai Processi di Risk Management Aziendale, emerge che solo il 19% delle aziende che hanno partecipato alla Survey ha adottato delle tecniche integrate, ovvero hanno adottato un metodo quali – quantitativo per la misurazione dei rischi.
Altro dato preoccupante riguarda il processo di definizione delle Risk Mitigation; solo nel 23% dei casi è stato implementato un processo strutturato di prevenzione del rischio.
Risulta quindi evidente la mancanza, in molte aziende, di un’adeguata attività di Risk Management; una situazione grave se si considera che il verificarsi di situazioni impreviste può portare a seri danni in grado di compromettere la continuità economico/finanziaria di un’impresa.
Un altro punto che vale la pena considerare è l’interesse delle aziende verso alcuni specifici ambiti di Risk Management.
Come emerge dal grafico riportato, le aree verso cui gli associati ANDAF dimostrano un interesse maggiore sono:
– risk assessment
– definizione di una strategia di prevenzione e di controllo dei rischi
– definizione del «framework» di risk management
– formazione e tool di gestione e monitoraggio del rischio
Se, come ci ricorda una nota pillola di saggezza popolare, “prevenire è meglio che curare”, è necessario per le aziende italiane che ne sono sprovviste correre ai ripari implementando una strutturata attività di gestione del rischio.