La perdita di centralità del risk management

Secondo alcuni analisti, dal 2015 ad oggi l’interesse da parte del top management verso le funzioni di rischio sembra essere in calo. Come migliorare la cultura della gestione del rischio e l’efficacia delle analisi?

19 Apr 2022

Manuel Angelo Salvi

DPO & Standards consultant presso GRC Team S.r.l.

Alcuni prestigiosi report evidenziano un raffreddamento dell’interesse da parte del top management nella gestione del rischio e nella sua utilità. Verrebbe da chiedersi se, talvolta, l’analisi del rischio non venga fatta solo per mere esigenze di compliance.

Secondo Aon, società di analisi, solo una minoranza di aziende top coinvolge le funzioni di rischio nelle decisioni aziendali chiave e meno della metà di quest’ultime chiama in causa formalmente le proprie funzioni di rischio nelle decisioni strategiche importanti.

Se dunque persino le grandi realtà perdono interesse verso il risk management, figuriamoci le piccole, da sempre più intrinsecamente concentrate sull’operatività ordinaria e con significativi vincoli di risorse.

La cultura del rischio ne è messa a dura prova forse anche per scelte fatte in passato.

La superficialità di alcune analisi del rischio

Gli elementi per rendere le nostre analisi del rischio pienamente efficaci e funzionali sono tutti alla nostra portata, ma spesso pecchiamo nel loro pieno utilizzo. Queste parole potrebbero suonare tranchant e provocatorie, chiaramente taluni analisti così come alcuni settori specifici sono più abili e costanti nell’applicazioni di questi elementi, ma, temo, siano minoritari. Purtroppo, credo siano una sparuta legione di esempi positivi, detentori di un incredibile vantaggio competitivo, che io vorrei disvelare.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

I problemi delle analisi del rischio, in cui mi capita d’imbattermi, o l’assenza d’interesse su certi temi, mi portano sempre più a pensare che le analisi del rischio spesso non funzionino e abbiano in sé numerosi problemi. A questa preoccupazione abbiamo già dedicato un articolo. Come un perfetto carpentiere, l’analista, per svolgere una perfetta analisi dei rischi, necessita di strumenti di lavoro e di materiali di alta qualità.

Gli strumenti li abbiamo da tempo oramai, abbiamo le conoscenze, abbiamo gli strumenti, abbiamo fior fiori di framework ma…

Breve e incompleta storia dell’analisi del rischio

L’uomo da sempre si occupa di gestione del rischio. All’inizio era mitigazione guidata dal mero istinto o dall’esperienza pregressa. Costruivamo mura per proteggerci dall’assalto dei nemici o scavavamo canali per evitare le periodiche alluvioni.

Solo in tempi moderni l’approccio è divenuto più sistematico e si è potuto iniziare a parlare di valutazione del rischio. Lo sviluppo della teoria della probabilità e della statistica nel diciassettesimo secolo ci ha permesso di quantificare il rischio in modo significativo. Tuttavia, purtroppo, questo rigoroso approccio matematico è stato adottato solo in settori specifici quali ad esempio quello assicurativo e finanziario, dove la professione dell’attuario si è prima sviluppata e poi consolidata attraverso requisiti di accreditamento, fino a divenire col tempo qualcosa di decisamente più strutturato e guadagnandosi il ​​titolo di scienza attuariale.

Tuttavia, fino alla metà del XX secolo, l’idea che un’azienda manifatturiera, produttiva o della logistica, tanto per citarne alcune, utilizzasse un metodo assimilabile a quello degli attuari per valutare il rischio ad esempio del lancio di nuovi prodotti o per acquisizioni importanti non veniva preso seriamente in considerazione.

Dagli anni ’60 abbiamo oltre alla conoscenza anche gli strumenti. Se fino ad allora l’assenza di profonde e consolidate basi analitiche, matematiche e statistiche, potevano essere un’effettiva barriera a un’analisi del rischio efficace, l’avvento dei computer ci ha notevolmente semplificato la vita. I calcolatori elettronici e i fogli di calcolo, Excel o Google sheet solo per citare i più comuni e basici, veramente alla portata di tutti, ci hanno permesso di applicare concetti statistici complessi con una semplicità disarmante, permettendoci ad esempio di generare migliaia di scenari casuali e utilizzare tanto per citarne uno il Metodo Montecarlo, con pochissimi click sulla nostra tastiera.

Che sia Excel o uno dei tanti tool presenti sul mercato, gli strumenti, per applicare i rigorosi metodi matematici e probabilistici della scienza attuaria anche alla nostra organizzazione, sono alla nostra portata e sono spesso di default installati sui nostri device.

Pur avendo conoscenze e anche strumenti, verso la fine del XX secolo, si è preferito scegliere una via diversa. Si è presa una scorciatoia.

La scorciatoia qualitativa

Una nuova via è stata tracciata in materia di analisi del rischio, un percorso indipendente e lontano della gestione del rischio strettamente quantitativa, fino a quel momento praticata.

Nel tentativo di mappare e tracciare un panorama di rischi emergenti sempre più variegato e complesso; nel tentativo di far fronte ad adempimenti normativi e di compliance, che iniziavano ad accendere i riflettori sull’analisi del rischio; nel tentativo di applicare l’analisi del rischio in settori e contesti, che ne erano completamente avulsi; nel tentativo di far digerire l’analisi dei rischi a proprietà e imprenditori in modo semplice e comprensibile; le “big eight” vararono, quella che chiamo impropriamente “scorciatoia all’analisi del rischio”.

La scorciatoia in sé non è negativa, come nella vita le scorciatoie hanno vantaggi e svantaggi. Se si ha piena consapevolezza che essa è una scorciatoia, con i suoi indubbi vantaggi e le sue ovvie limitazioni, essa può essere un iniziale approccio per arrivare a obiettivo puntuali. L’analisi qualitativa però dovrà poi essere in un’ottica di miglioramento continuo arricchita, strutturata e resa pienamente analitica.

“Negli anni ’90 le otto principali società di consulenza hanno promosso una prima versione di uno strumento comune di comunicazione del rischio noto come matrice del rischio, nonché vari metodi di classificazione del rischio o di punteggio del rischio qualitativo. Questi erano semplici da usare e semplici da comunicare. In alcuni casi, la pressione ad adottare un qualche metodo di analisi del rischio ha incoraggiato rapidamente l’adozione del metodo più semplice senza una debita considerazione dei suoi effetti.”[1]

Il report dell’Economist

L’Economist, nell’executive summary di un Report dal titolo “Risk management in front line” scrive: “Gli esempi di aziende che adottano un approccio genuinamente strategico alla gestione del rischio rimangono pochi e rari. La comunicazione tra le funzioni di rischio e l’attività in generale può essere talvolta frammentata, mentre una cultura e una consapevolezza del rischio a livello aziendale possono essere difficili da raggiungere”.

Il report, una survey a 500 executive, aimè non recentissimo, offre spunti interessanti e a mio avviso ancora validi, che sintetizzo qui:

  • la gestione strategica del rischio rimane un’attività immatura in molte aziende;
  • l’investimento nella funzione di rischio è limitato con significativi vincoli di costo e budget;
  • gli executive riconoscono che la gestione del rischio è uno dei loro maggiori punti deboli, con solo il 35% che afferma che la propria azienda è efficace nell’anticipare e misurare rischi emergenti;
  • solo una minoranza di aziende coinvolge le funzioni di rischio nelle decisioni aziendali chiave e meno della metà delle aziende coinvolge formalmente le proprie funzioni di rischio nelle decisioni strategiche importanti.

L’elemento che più di tutti mi ha fatto riflettere della survey dell’Economist è la platea degli intervistati. Se fra gli executive delle 500 migliori e più organizzate aziende mondiali, realtà con ampie risorse e presumibilmente tutte con strutture dedicate al rischio, l’alta direzione solo nel 41% dei casi ha delle aspettative sul contributo che la funzione di rischio può portare al decision making, quale sarà la fiducia verso il risk assessment in organizzazioni di taglia inferiore?

Se nemmeno le grandi organizzazioni si aspettano un contributo significativo alla loro gestione strategica, da parte delle funzioni preposte alla gestione del rischio, lo potranno essere le piccole e medie organizzazioni italiane?

Il 59% degli executive non si aspetta ed evidentemente non pretende che le analisi del rischio forniscano un contributo che possa aiutare la direzione a definire la strategia aziendale.

Ma se questa pretesa non esiste, per quale motivo continuiamo a fare analisi dei rischi?

Non dovrebbe esserci tra le principali funzioni di un’analisi del rischio proprio il migliorare le decisioni critiche dell’organizzazione?

Qual è l’interesse verso il risk management?

Vista la particolare propensione delle norme obbligatorie e facoltative a essere sempre più risk based think, visto il clamore che i grandi report internazionali generano ogni qualvolta viene stilata una Top Ten dei rischi globali, viste le continue crisi globali che improvvisamente sembrano sconvolgere annualmente le nostre esistenze, mi aspetterei che l’interesse verso il risk management sia ai suoi massimi storici.

Secondo “Aon’s 2021 Global Risk Management Survey”, dal 2015 a oggi l’interesse da parte del top management verso le funzioni di rischio sembra essere in calo.

Nel 2007, Aon rilevava che il 50% delle organizzazioni aveva al suo interno un’unità specifica di risk management. Dato salito al suo apice nel 2015 e poi da allora sceso di 5 punti percentuali, per assestarsi nel 2021 al 65,8%. In Italia il dato è fermo al 61,1%.

La survey di Aon, effettuata su un campione comunque ristretto (2.300 intervistati), così come tutti o quasi i report internazionali, analizza la situazione attraverso la posizione privilegiata delle organizzazioni top mondiali. Ciò mi lascia il dubbio che il quadro emergente sia più roseo di quello generale.

Il 31% ritiene che “non vi è alcun riconoscimento da parte del top management dell’importanza della valutazione del rischio” è il lapidario e sconfortante dato emergente da un’indagine svolta congiuntamente da Hubbard Decision Research e dalla sede olandese di KPMG (HDR/KPMG).

Se dunque persino le grandi realtà perdono interesse verso il risk management, figuriamoci le piccole, da sempre più intrinsecamente concentrate sull’operatività ordinaria e con significativi vincoli di risorse.

Il risk management è formalizzato?

Personalmente mi aspetterei che un’analisi dei rischi seria e strutturata sia formalizzata come minimo almeno attraverso una policy dedicata.

Purtroppo, non sempre è così e nel 40,5% dei casi non sono attive delle politiche di controllo e gestione dei rischi, stabilite dall’alta direzione (dato Aon).

Guardando il bicchiere mezzo pieno si evince che un 59,5% afferma di aver adottato approcci formali o parzialmente formali alla gestione del rischio, quota che si alza con la crescita dimensionale dell’organizzazione, toccando il 96% per le aziende con entrate superiori ai 10 miliardi di dollari.

Sembrerebbe emergere una correlazione fra dimensione dell’azienda e formalizzazione delle politiche di gestione del rischio, così come del numero di risorse dedicate, e ciò è ovviamente facilmente intuibile.

Ciò d’altro canto dovrebbe suggerire che minore è la dimensione dell’organizzazione e minore è la formalizzazione, il budget e le risorse dedicate alla gestione del rischio. Quest’ultima considerazione sembrerebbe essere quella più vicina alla situazione italiana, dove tutte le considerazioni fin qui fatte potrebbero essere acuite ed esacerbate dalla polverizzazione del tessuto economico italiano.

Qual è l’approccio predominante?

Sono consapevole di sostenere una posizione minoritaria ardua ma non impossibile, come descritto in questo articolo dal titolo: “L’illusione dell’intangibile nell’analisi del rischio, come misurare aspetti apparentemente immisurabili”.

Che l’approccio qualitativo sia abbondantemente maggioritario è evidente anche dall’indagine di HDR/KPMG, la quale evidenzia:

  • il 78% utilizza una gestione del rischio di tipo qualitativa utilizzando punteggi o matrici di rischio;
  • il 20% afferma di utilizzare metodi quantitativi, probabilità, simulazioni e strumenti familiari ad attuari e statistici.

Il dato forse più sorprendente è che il metodo più usato in assoluto è la matrice di rischio qualitativa sviluppata internamente, che supera di gran lunga per utilizzo la matrice di rischio basata su standard internazionali.

Fra i metodi quantitativi più utilizzati vi sono la simulazione Monte Carlo (85%), l’analisi statistica dei dati storici (77%) mentre fra i meno comuni vi sono la statistica bayesiana (56%) o la teoria dell’utilità (17%).

Conclusioni

Lo scenario e l’interesse sul risk management è davvero così cupo? Come possiamo migliorare la cultura della gestione del rischio e l’efficacia delle nostre analisi? È possibile un compromesso fra la semplicità sia comunicativa che di realizzo di un’analisi qualitativa e il rigore e la complessità di un’analisi quantitativa?

Se nei report al top management le matrici di rischio e le mappe di calore fossero sostituite da grafici e puntuali considerazioni economiche, che quantifichino in euro i livelli di rischio, potremmo accendere il loro interesse?

Note

  1. The failure of risk management, D. W. Hubbard, edito da Wiley

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA
S
Manuel Angelo Salvi
DPO & Standards consultant presso GRC Team S.r.l.
Argomenti trattati

Approfondimenti

R
risk assessment
R
risk management

Articolo 1 di 2