La capacità di gestire il rischio assume sempre di più un valore strategico per le aziende. Gli azionisti e il management aziendale, sono sempre più consapevoli dell'importanza di gestire il rischio in modo integrato per salvaguardare il valore delle loro aziende. Le società leader, sempre impegnate nella ricerca di modalità per incrementare il valore per i loro azionisti, iniziano peraltro a interrogarsi sui possibili legami e connessioni tra risk management e creazione del valore. Si sta quindi prendendo coscienza che i rischi non devono essere sempre considerati soltanto minacce da evitare ma, in molti casi, se opportunamente gestiti, possono trasformarsi in opportunità da cogliere. Questo comporta una chiara identificazione e conoscenza dei rischi, delle possibilità di accadimento e dell'impatto sull'azienda, il tutto accompagnato da un continuo monitoraggio volto a gestirne ogni sviluppo nel tempo. In tal modo i rischi possono creare opportunità, quindi creare valore e ricchezza per gli azionisti. La domanda critica diventa: "come gestire i rischi e ricavarne valore?".

Enterprise Risk Management
L'Enterprise risk management (ERM) è rappresentato da un approccio metodologico strutturato e disciplinato che prende in considerazione, in un'ottica di conoscenza e valutazione dei rischi, tutti gli aspetti della gestione aziendale: strategie, mercato, processi, risorse finanziarie, risorse umane, tecnologie. "Enterprise-wide" significa la rimozione delle tradizionali barriere di funzione, di divisione, di dipartimento o culturali. Un approccio veramente integrato, focalizzato sul futuro e orientato ai processi può infatti aiutare le organizzazioni a gestire tutti i rischi di business e a iden-tificarne le opportunità connesse. Il risk management deve estendersi ben al di là dei tradizionali rischi di natura finanziaria per comprendere un'ampia varietà di nuovi rischi: strategici, operativi, operazionali, legali e di immagine. Le aziende devono affrontare una varietà di nuove sfide nella loro corsa verso la massimizzazione del profitto: globalizzazione, e-business, nuove partnership. Tali elementi, insieme alla crescente rapidità di cambiamento dei contesti operativi ed ambientali, richiedono una continua attenzione e capacità di reazione anche nella identificazione e gestione dei rischi aziendali. Per trasformare le minacce in opportunità un'azienda deve conoscere e gestire i rischi attraverso un processo di identificazione, classificazione e gestione. Questo significa avere una comprensione profonda dei rischi a cui si è potenzialmente esposti, identificarne la portata e collegare il piano di risk management alla strategia aziendale.

L'approccio ai rischi
Un approccio focalizzato sui rischi specifici dell'azienda, ne garantisce la completa identificazione e permette di procedere, anche nelle fasi di gestione dei rischi, nel rispetto dei ruoli, delle responsabilità e delle competenze derivanti dalla struttura organizzativa. Per le diverse aree del risk management è necessario infatti combinare competenze specifiche di tipo finanziario, tecnologico e dei processi operativi e sviluppare un approccio completo alla gestione del rischio prendendo in considerazione sia gli aspetti strategici che realizzativi. La gestione del rischio deve essere un processo dinamico che inizia dalla fase di pianificazione e viene supportato da appropriate metodologie e da una solida infrastruttura. Il processo di gestione del rischio deve assicurare un costante equilibrio tra assunzione dei rischi e livello allocato di capitale da un lato e business ben controllato dall'altro.

Modello per la gestione strategica di vertice dell'impresa e il controllo dei rischi
L'impresa non deve prendere in considerazione soltanto le aree di rischio tradizionali, come finanza o proprietà, ma uno spettro di rischi (vedi tabella "Identificazione e classificazione dei rischi") più ampio che include altre aree come immagine aziendale, etica, salute, sicurezza, ambiente, ecc.

Uno schema esemplificativo di modello di rischio applicabile all'impresa, suggerito in questa tabella, può fornire maggiori garanzie rispetto alla completa identificazione di tutti i rischi e alla capacità di gestione e di controllo nel tempo.

Rischi e cultura d'impresa
Con il cambiamento e la proliferazione dei rischi, è necessario che ogni responsabile dei diversi settori aziendali, per quanto di sua competenza, identifichi i rischi reali per la propria organizzazione, ne stimi le probabilità di accadimento, li valuti rispetto alla tolleranza della organizzazione stessa e, quando possibile, li compari, tramite analisi comparative, con quelli dei loro mercati e settori di riferimento.
Gli approcci per una corretta gestione dei rischi possono differire enormemente da azienda ad azienda e anche tra i diversi settori della stessa azienda. C'è comunque concordanza sul fatto che l'approccio debba nascere dal vertice e che trovi fondamento e supporto nella strategia aziendale e il modello che ne deriva sia coerente con la struttura aziendale e ne rispetti i livelli di delega, di autonomia e di responsabilità. I rischi pertanto possono essere gestiti, a seconda della loro importanza ed impatto, a livello di vertice strategico o essere trasferiti alle strutture più operative.
Per una corretta identificazione e analisi dei rischi è necessario disporre di una serie di metodologie e strumenti specifici. Ogni area aziendale, per quanto di propria competenza, deve essere coinvolta nelle fasi di analisi e di definizione delle misure da adottare in quanto l'applicazione delle metodologie e degli strumenti di risk management, richiedono competenze e professionalità specifiche di ogni settore.

Misure per la riduzione dei rischi: un esempio nell'area dei rischi di gestione delle informazioni
Nel seguito è riportato un esempio pratico di analisi dei rischi.
L'utilizzo di sistemi informativi complessi ed integrati, con attività di controllo fortemente automatizzate, richiede un monitoraggio continuo delle procedure e delle tecniche di verifica e controllo adottate. I mutamenti e la crescente complessità delle problematiche di tipo operativo, amministrativo, tecnologico e legislativo impongono alla funzione di controllo un adeguamento continuo dei metodi e delle tecniche di verifica dell'affidabilità e della sicurezza delle informazioni e delle procedure.
Adeguate metodologie di analisi comparativa consentono di analizzare i rischi connessi all'utilizzo dei sistemi informatici e di verificare l'adeguatezza dei controlli posti in essere. Consentono inoltre di individuare il corretto equilibrio tra la riduzione dei rischi e la massimizzazione dell'efficienza operativa.
L'esempio riportato nel seguito (fig. 1) sintetizza il livello di rischio applicabile all'impresa con il confronto con lo standard di settore. La situazione specifica dell'azienda (rappresentata dalla linea nera), ancorché caratterizzata da un rischio medio alto, è in linea come caratterizzazione con l'andamento del settore evidenziato dalle diverse gradazioni di colore.
Le aziende devono ricercare un giusto equilibrio tra rischi e controlli. Il grafico riportato (fig. 2) illustra le informazioni relative ai controlli in essere e le mette a confronto con quelle di aziende simili che presentano profili di rischio (graduati dal verde al rosso) mediamente inferiori. Nel caso pratico l'azienda assume nell'area della continuità dei sistemi informativi e della sicurezza un livello di rischio maggiore rispetto al riferimento di settore.

La matrice di sintesi per la valutazione dei rischi e dei controlli connessi all'uso delle tecnologie informatiche (tabella I), consente di mettere in relazione i rischi con i relativi controlli che possono, nella fattispecie, mitigare i rischi. I rischi possono infatti essere mitigati dai controlli indicati nella parte destra della matrice.
Solo con un'analisi adeguata del modello di business, delle tendenze di settore e del profilo di rischio adottato si possono introdurre misure efficaci e allo stesso tempo competitive per gestire i rischi.

KPMG è una delle maggiori organizzazioni al mondo nel campo dei servizi professionali alle imprese. È presente in 155 paesi con un personale che supera le 100.000 unità. In Italia KPMG opera attraverso 27 uffici distribuiti su tutto il territorio nazionale ed è rappresentata da diverse entità giuridiche che svolgono attività di revisione contabile, di assurance, di management consulting, servizi amministrativi e contabili e di consulenza fiscale e legale. L'attività di risk management è uno dei servizi strategici della KPMG con un'esperienza pluriennale maturata in vari settori tra cui: servizi finanziari, industria, informazione, comunicazione ed intrattenimento, beni di consumo. Indirizzo Internet: www.kpmgconsulting.it