Il risk management, questo sconosciuto: l’Italia è all’ultimo posto per qualità di governo del rischio, che viene tuttora percepito come eventualità puramente negativa. Il perdurare della crisi economica e dello stato di difficoltà generale impone alle aziende un cambiamento strategico per competere o sopravvivere. Qui cerco di spiegare il grande valore aggiunto che il risk management rappresenta per le aziende italiane, i più gravi errori generalmente commessi e i tre principali fattori di successo.

Immaginate di avere davanti una platea di 100 imprenditori o CEO italiani e di porre loro la seguente domanda: “Che cos’è il risk management e quale valore aggiunto rappresenta per la vostra azienda?”. Ebbene, circa 80-90 di essi non sarebbero in grado di dare una risposta corretta, perché ne ignorano o ne sottovalutano il valore o perché lo ritengono un costo certo a copertura di perdite potenziali. Molti di essi potrebbero rivolgervi uno sguardo attonito e vacuo perché addirittura ignorano di cosa si stia parlando.

L’Italia risulta all’ultimo posto per qualità di governo del rischio (fonte: FERMA), con solo il 19% delle aziende che adottano tecniche integrate per i processi di risk management e solo il 23% dispone di un processo strutturato di prevenzione del rischio (fonti: AON e ANDAF). In particolare (fonti: Osservatorio PoliMI-CINEAS e CONFAPI Industria), il 90% delle piccole imprese e l’82% delle medie imprese italiane dispone di una sola figura non dedicata che svolge funzioni di gestione del rischio e che, nell’85% dei casi, corrisponde all’amministratore delegato (72%) o al direttore finanziario (13%), quando non ad un semplice insurance buyer. Eppure nel 2013 un’impresa italiana su due (46%, +20% rispetto al 2012) percepiva nettamente la contrazione in atto nel mercato e decideva di contrastarla operando cambiamenti nella struttura di vertice (90%) o aprendo a nuovi mercati (45%), mentre sono sempre meno le aziende che scelgono di indirizzare nuovi investimenti sul suolo nazionale.

Quindi, in estrema sintesi, molte aziende sentono la recessione economica e la crisi dei mercati, ma sono pochissime quelle che puntano a conseguire un’adeguata maturità della propria gestione del rischio. Rischio che viene perlopiù percepito come qualcosa di negativo (68% delle aziende – fonti: Osservatorio PoliMI-CINEAS e CONFAPI Industria) e non come possibilità di prevedere gli eventi, positivi e negativi, che potrebbero consentire all’azienda di salvaguardare la propria posizione di mercato o addirittura di migliorarla pur in periodo di crisi globale.

In tale senso, il mercato maggiormente regolamentato (forse l’unico) è quello bancario, con l’avvento della Circolare di Banca d’Italia n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” che è stata oggetto di diversi aggiornamenti, dei quali l’ultimo (15° aggiornamento del 2 luglio 2013) è focalizzato proprio sul sistema dei controlli interni, di cui la gestione del rischio è uno dei pilastri fondamentali. Gli altri settori non godono ancora di vincoli normativi che inducano le aziende a dotarsi di una gestione del rischio strutturata e integrata a tutti i livelli.

Eppure il prolungarsi della crisi economica, che colpisce da anni indistintamente tutti i settori, rende indispensabile definire precise linee guida per riuscire a competere, talvolta anche solo a sopravvivere, soprattutto per le piccole e medie imprese. Il calo dei profitti, l’insostenibilità dei costi, la difficoltà di mantenere quote di mercato e la recessione economica impongono un’urgente revisione delle strategie aziendali. Ma ciò non è possibile senza conoscere in maniera approfondita la propria azienda, a quali rischi essa è soggetta e quali opportunità potrebbero favorirne gli obiettivi di business.

La risposta è il risk management, cioè la gestione del rischio. Molti conosceranno il detto “prevenire è meglio che curare”: ebbene, il risk management consente di prevedere gli eventi futuri, positivi (opportunità) o negativi (rischi), che potrebbero incidere sul conseguimento degli obiettivi di business, mettendo in grado l’azienda di porre in atto le migliori contromisure con l’obiettivo di prevenire gli eventuali impatti e facilitare il verificarsi di condizioni favorevoli. Il risk management riduce sensibilmente la possibilità di sbagliare le strategie aziendali e gli investimenti, riduce i costi operativi e gli sprechi di tempo e denaro, riduce le probabilità di subire ingenti danni, riduce il livello di sinistrosità storica e, di conseguenza, i premi assicurativi. Tanto che sempre più compagnie assicurative si stanno specializzando nel fornire servizi di valutazione e piazzamento dei rischi, con la possibilità di abbassare i costi delle polizze.

Coloro che tuttora considerano il risk management come un costo certo, a fronte di eventi negativi che potrebbero non verificarsi mai, trascurano il fatto che un rischio non affrontato comporta un impatto notevolmente maggiore rispetto ad un rischio per il quale sono state pianificate e attuate specifiche contromisure in grado di diminuirne o azzerarne gli effetti. Contromisure che non necessariamente implicano costi monetari e che spesso consistono in semplici variazioni organizzative od ottimizzazioni dei processi interni. Questi soggetti poco lungimiranti non comprendono che gestire il rischio significa anche individuare le opportunità che, qualora opportunamente favorite e sfruttate, consentono di massimizzare gli utili e generare vantaggi competitivi nel proprio settore di riferimento.

Il risk management è una disciplina il cui ultimo fine è la definizione di un mix ottimale di strategie e strumenti idonei a ridurre il costo globale dei rischi cui l’azienda è inevitabilmente soggetta, sotto diversi aspetti. Basti pensare, per esempio, al “modello delle cinque forze competitive” (o “analisi della concorrenza allargata”) dell’accademico ed economista statunitense Michael Porter, in cui vengono analizzate le forze che operano nell’ambiente economico e che, con la loro azione, possono erodere la redditività a lungo termine dell’azienda. Il migliore approccio alla gestione del rischio è, infatti, quello di tipo strategico svolto a 360°, ovvero non esclusivamente focalizzato su determinati aspetti del business aziendale.

Quindi non solo i classici rischi di business (es. supply chain, finanziari, di credito, di liquidità, di mercato, di concorrenza, delle controparti, speculativi e operativi), ma anche quelle nuove ed emergenti forme di rischio che possono incidere altrettanto (se non di più) sul conseguimento degli obiettivi, come il rischio politico, il rischio di fallimento nell’attrarre o trattenere i talenti, il rischio di fallimento nell’innovare, il danno reputazionale, il rischio da cambiamento legislativo e di non conformità normativa, i rischi di cambiamento climatico e disastro naturale (sempre più attuali) e lo spesso sottovalutato cyber risk (attacchi informatici, sottrazione di informazioni critiche e di segreti industriali, arresto e compromissione di servizi informatici, defacement dei servizi web, risonanza mediatica, infezione di visitatori e clienti, ecc.) che non è trasferibile ad outsourcer e fornitori di servizi informatici.

La gestione del rischio prevede l’identificazione dei potenziali rischi (intesi anche come opportunità), l’adozione di tecniche di controllo, come la prevenzione (riduzione delle probabilità di impatto negativo) o la facilitazione (aumento delle probabilità di impatto positivo), la protezione (limitazione delle possibili conseguenze), la dissuasione o la rivelazione, quindi l’attuazione di contromisure, lo stanziamento delle apposite coperture finanziarie per lo sfruttamento delle opportunità, la ritenzione attiva (pianificazione finanziaria) o passiva (destinazione di risorse finanziarie in eccesso) e il trasferimento giuridico, contrattuale o assicurativo.

Il risk management merita di diventare un elemento centrale nell’analisi degli scenari di business, nella definizione delle strategie competitive e nel program management, per assicurare la riuscita dei progetti più grandi e complessi. Chi ricorre ad una sana ed efficace gestione del rischio per le proprie strategie aziendali, infatti, si trova a svolgere la propria attività in quasi totale assenza di concorrenza o in posizione di assoluto vantaggio, con un elevato valore sociale e con contenuti professionali di grande consistenza. Inoltre, particolare da non trascurare, conosce perfettamente il funzionamento della propria azienda, i punti deboli su cui investire e i punti di forza sui quali puntare.

Un’azienda che attua diligentemente una gestione integrata del rischio fornisce fiducia e sicurezza ai propri partner, clienti e fornitori, in particolare sui mercati esteri dove questa specifica funzione è ampiamente riconosciuta ed apprezzata dai manager d’azienda. Oggi, sul mercato italiano, dove ogni giorno diverse aziende sono costrette a chiudere, il risk management non ha ancora espresso il proprio elevatissimo potenziale e il suo valore è ancora molto poco percepito.

Il perdurare della crisi e lo stato di profonda difficoltà del mercato dovrebbe rendere finalmente chiaro alle aziende che la pratica di nascondere la polvere sotto il tappeto è assolutamente deleteria per gli interessi aziendali. Continuare a ripetere “questo non possiamo dirlo alla direzione” per paura di illustrare la reale situazione di rischio, offuscare le statistiche interne su entrate, perdite e clientela, oppure peggio ancora negare l’esistenza o edulcorare arbitrariamente i rischi, sono tutti errori gravissimi. È come se un paziente, affetto da una gravissima malattia, ignorasse del tutto la diagnosi del medico e continuasse la propria vita come se niente fosse, convinto di riuscire a sopravvivere.

È giunta l’ora di capire, una volta per tutte, che non misurare adeguatamente i rischi o, peggio, nasconderli arbitrariamente per paura di chissà quali reazioni, significa non mettere in condizione la direzione di decidere consapevolmente le migliori strategie per il bene dell’azienda. Meglio piuttosto puntare sui tre principali fattori di successo del risk management: un vertice aziendale che ci crede e ne sponsorizza l’adozione, lo sviluppo di competenze adeguate (non basta solo la buona volontà) e l’adozione di un approccio globale al rischio.

Ettore Guarnaccia