Il concetto di rischio nella quotidiana operatività di un’impresa è spesso erroneamente interpretato come un elemento da evitare. Nella realtà dei fatti, invece, il rischio non è solo inevitabile, ma connaturato all’esperienza stessa della gestione aziendale. Qualsiasi decisione strategica e qualsiasi attività operativa reca con sé una percentuale più o meno significativa di rischio. L’imprenditore o, più in generale, la governance, valuta le azioni da intraprendere, dunque, non sulla base dell’esistenza di un rischio associato, ma sulla base della soglia di tollerabilità che essa stessa avrà determinato in funzione dei propri obiettivi strategici (il cosiddetto Risk Appetite).
Il rischio operativo è descritto dal Comitato di Basilea per la Vigilanza Bancaria come “il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni”.
Dunque, mettendo temporaneamente da parte gli eventi esogeni, che sono per loro stessa natura eterogenei, il rischio operativo è quasi sempre riconducibile all’assetto organizzativo societario, in tutte le sue dimensioni. Questo significa, di conseguenza, che per poter gestire il rischio in maniera efficace è necessario concepire l’impresa come un sistema ordinato di risorse umane che operano in processi strutturati e disciplinati da policy e procedure interne.
Dal momento che questi elementi sono comuni a tutte le imprese, a prescindere dalle dimensioni e dal mercato in cui operano, ne consegue che la gestione del rischio, a differenza di quanto spesso ritenuto, non sia un elemento di sensibilità unicamente per gli enti vigilati o le società di grandi dimensioni, ma che trovi una sua profonda utilità anche nelle piccole e medie imprese, dove una strategia di efficientamento è essenziale per distinguersi dai competitors.
L’attuale contesto pandemico e il conseguente stravolgimento di molte delle prassi operative consolidate nelle imprese (vedasi l’adozione dello smart-working, l’introduzione dei protocolli di prevenzione sanitaria, etc.), ha reso ancor più urgente l’adozione di un risk-based approach.
È esattamente con questo scopo che nasce Compliance & Risk Alliance S.r.l. (C&RA), per fornire un supporto alle imprese di varie dimensioni, operanti in qualsiasi mercato, nella realizzazione della propria strategia di gestione del rischio. C&RA ed i suoi soci, con esperienza consolidata in tutti i settori, dal bancario, all’assicurativo, passando per l’industriale, supporta e guida i propri clienti nell’implementazione di soluzioni mirate all’adozione di un Enterprise Risk Management (ERM), prendendo le mosse dalle best practices internazionali e da collaborazioni con partner leader nel settore del Governance, Risk & Compliance Management (GRC), quali, nella fattispecie, MetricStream, società multinazionale leader nel mercato delle applicazioni in cloud nell’ambito della Governance, Risk & Compliance.
Quest’ultima ha recentemente condotto uno studio su tali specifici ambiti, a livello globale, intervistando dirigenti e professionisti responsabili del rischio in vari settori, tra cui bancario, finanziario, tecnologico, manifatturiero, pubblica amministrazione, trasporti, istruzione e sanità. Dallo studio è emerso un aspetto di fondamentale importanza: il 57% degli intervistati ha riconosciuto di aver modificato il proprio approccio alla gestione del rischio, per adeguarlo al nuovo contesto operativo venutosi ad instaurare a seguito dello scoppio della pandemia. Di questi, il 41,5% ha confermato di utilizzare un software di gestione del rischio, non integrato con le funzioni di conformità, cybersicurezza, gestione di terze parti, etc.
Al contrario, il 52,6% dei professionisti che già si erano dotati di un sistema di gestione integrato del rischio (IRM) non ha dovuto apportare alcun cambiamento.
L’analisi di MetricStream ha dunque dimostrato che dotarsi di un sistema di gestione integrato del rischio consente di affrontare con rapidità ed efficienza qualunque circostanza imprevista.
La modalità di implementazione di un sistema di gestione integrato del rischio è stata anche recentemente ridisegnata dal COSO Enterprise Risk Management (COSO ERM), che ha definito le componenti interconnesse che devono innestarsi in tutti i processi operativi, su iniziale impulso del management.
Così facendo, l’Enterprise Risk Management (ERM) conduce ad un incremento qualitativo della gestione aziendale, evolvendosi da semplice strumento della governance per la gestione dei rischi con approccio top down, a parte integrante dell’operatività di processo, con un approccio ai rischi bottom up, in grado di assicurare e accrescere l’efficienza, la quale conduce a maggiore valore aggiunto.
La Sopravvivenza di un’Azienda dipende dalla sua capacità di creare valore per i suoi Stakeholder
Per realizzare ciò, C&RA adotta un approccio di integrazione sistemica, in tutti i processi operativi, della cultura del rischio con le componenti informative e tecnologiche (Data & Technology), utilizzando soluzioni estremamente innovative (i.e. MetricStream).
Le imprese, attraverso l’implementazione di un sistema integrato ERM, potranno quindi gestire con accuratezza e costanza qualunque tipologia di rischio senza dover di volta in volta,al variare del contesto, interno o esterno, modificare la propria operatività.