Gestire una azienda è una attività che vede coinvolte diverse discipline, anche piuttosto diverse le une dalle altre. E in molti degli ambiti toccati dalla gestione aziendale si nascondono rischi concreti che la azienda stessa corre, che talvolta possono impattare in modo disastroso sulla continuità della attività imprenditoriale. Se lo vediamo dal punto di vista aziendale, si tratta di rischi estremamente rilevanti che devono assolutamente essere gestiti per evitare che una azienda sostanzialmente sana possa essere affossata da un solo “malaugurato errore”.
Alessandro Mazzeranghi, MECQ S.r.l.
Esistono situazioni che possono danneggiare una azienda più o meno gravemente, senza però comportare la repentina interruzione della attività; queste non ci interessano in questa sede. Vogliamo invece focalizzarci solo su quegli eventi che possono, da soli e a fronte di una situazione aziendale complessivamente soddisfacente, condurre alla repentina e inaspettata chiusura.
Alla fine nel nostro settore i punti di forte criticità sono tre:
• Eventi che possono creare un danno agli asset talmente rilevante da impedire il proseguimento della attività; (non per nulla nel settore tissue c’è tanta attenzione alla tematica della prevenzione incendi.
• Eventi che possono fare perdere la fiducia dei consumatori in un brand o in una azienda (per i prodotti a marchio del fabbricante), o che possono provocare rivalse catastrofiche dal cliente / distributore; su questo tema non possiamo sottovalutare il fatto che i prodotti di consumo si rivolgono ad un mercato le cui reazioni a fronte di forti stimoli emotivi non sono facili da prevedere.
• Eventi che possono configurare violazioni di legge tanto rilevanti da comportare “pene” per la azienda sostanzialmente non superabili con le risorse disponibili; pur considerando che le legislazioni delle varie zone del pianeta differiscono fra loro in modo rilevante (troppo a nostro avviso), dobbiamo rilevare che in molti paesi condotte imprenditoriali scorrette vengono fortemente penalizzate.
Quanto appena considerato dovrebbe dare l’idea dell’ampiezza del problema, e di quanto il tema sia multidisciplinare.
LA MANCANZA DI UN APPROCCIO STRATEGICO ORGANICO.
Come può un manager che dirige una azienda, che sia una corporate, una grande azienda o una azienda “padronale”, avere le competenze per tenere conto in modo organico di tutti i fattori di rischio che possono impattare sulla sua organizzazione? Chi scrive conosce le diverse realtà dimensionali delle aziende del tissue, e ritiene di rispondere a questa domanda come segue: da solo non può farcela, ha bisogno dell’aiuto di collaboratori fidati, ma si troverà comunque in difficoltà se ogni collaboratore, specialista di un settore, esporrà le proprie considerazioni con uno stile scelto in autonomia.In pratica manca un approccio strategico e condiviso da tutti i soggetti che partecipano alla valutazione, e questo ovviamente porterà a scelte di risk management non equilibrate perché non basate su dati omogenei.
IL RISK ASSESSMENT COME BASE (INDISPENSABILE) DEL RISK MANAGEMENT. C’è poco da discutere, una corretta gestione del rischio si deve basare su premesse omogenee e certe, e lo strumento non può essere che il risk assessment. Alla fin fine è una metodologia talmente semplice e razionale che si può applicare a tutte le situazioni in cui si vuole capire la concreta necessità di gestire un rischio.
Vediamo molto rapidamente un paio di concetti chiave per poi capire come applicare il risk assessment alle tematiche che possono impattare sulla continuità di business.
Il risk assessment consente di stimare l’entità concreta di un rischio considerando e combinando la gravità del danno e la probabilità che il danno in questione effettivamente si verifichi. È intuitivo che per danni che presentano la medesima gravità, la situazione a più alta probabilità di accadimento sarà quelle a cui deve corrispondere un rischio maggiore. Un danno catastrofico, teoricamente possibile ma praticamente caratterizzato da una probabilità che tende a zero, corrisponderà altresì a un rischio quasi nullo. E così via; dal che si deduce quasi automaticamente che il rischio è dato da una sorta di prodotto fra gravità e probabilità.
APPLICARE IL RISK ASSESSMENT DOVE IL DANNO È LA INTERRUZIONE DELLA CONTINUITÀ DI BUSINESS. Considerando l’approccio per così dire standard al risk assessment, la applicazione al caso che stiamo considerando “gode” di una semplificazione che bisogna utilizzare con cautela: la gravità del danno è sempre la stessa in quanto ciò che vogliamo prevenire è l’interruzione della attività d’impresa. Attenzione però a non mescolare le cose: solo le situazioni che hanno l’effettiva e concreta possibilità di interrompere la attività sono da considerarsi come parte del risk assessment.
Sono invece più complessi due altri aspetti: la identificazione delle situazioni pericolose (sotto il profilo che stiamo dicendo) e la valutazione della probabilità di accadimento.
Per identificare i pericoli, ovvero le situazioni che devono essere prevenute per evitare la interruzione della attività imprenditoriale, è necessaria la previsione di scenari che, potendosi presentare concretamente, potrebbero portare alle conseguenze indesiderate. Gli scenari dovranno essere chiaramente previsti (ovvero descritti) non solo sotto il profilo degli eventi ma anche sotto quello dei soggetti coinvolti e del loro interesse rispetto alle azioni che potrebbero innescare tali scenari. Specialmente in alcune pratiche di bilancio, ma non solo ovviamente, si possono riscontrare situazioni di interesse aziendale (presunto interesse, dovremmo dire) che potrebbero indurre alcuni soggetti ad avventurarsi in pratiche tanto poco etiche quanto concretamente imprudenti. Parliamo di bilancio ma potremmo altrettanto facilmente parlare di pratiche quali la corruzione o la mancata prevenzione di danni all’ambiente, che potrebbero apparire atti effettuati a vantaggio della azienda. E che quindi potrebbero apparire come pratiche “positive” a coloro che intendono fare il bene della azienda.
Passando alla stima della probabilità di accadimento recuperiamo appieno l’importanza di una corretta descrizione dello scenario; infatti solo conoscendo come un determinato evento si può manifestare, si riesce a capirne la concreta probabilità di accadimento. La probabilità deve tenere conto di diversi fattori, in cui si intrecciano gli aspetti tecnici così come quelli legati al comportamento umano dei singoli e alla complessiva organizzazione della azienda.
CONSIDERIAMO IL CASO DI UN INQUINAMENTO DI UNA RISORSA IDRICA (un corso d’acqua nei pressi di una cartiera); evidentemente se la cartiera ha un depuratore esisterà un aspetto tecnico assolutamente rilevante legato al funzionamento corretto dell’impianto e alla sua idoneità rispetto alla dimensione della fabbrica. Esistono però altri fattori che combinano l’aspetto tecnico con il comportamento umano: la gestione delle misure volte a verificare il buon funzionamento dell’impianto, la gestione delle manutenzioni programmate e su guasto ecc.
Consideriamo invece un processo aziendale assai meno tecnico (nel senso che non entrano in gioco macchine o impianti); come noto la messa in atto di pratiche corruttive è una fonte di grave rischio per le aziende per effetto sia delle legislazioni nazionali che della percezione della opinione pubblica. Ebbene, per prevenire la corruzione , al di là dei puri e semplici divieti più o meno credibili da parte dell’alta direzione, uno strumento ben noto è il controllo degli acquisti, con particolare riferimento all’acquisto di beni immateriali (per esempio prestazioni intellettuali, consulenze ecc.). Se ci domandiamo che probabilità esiste che in una azienda si possano verificare casi di corruzione, dobbiamo prima di tutto chiederci se la corruzione potrebbe essere di qualche “utilità” per l’azienda, e in secondo luogo quante persone debbano fra loro concorrere per mettere in atto una concreta pratica corruttiva. È evidente che se aumenta il numero delle persone fra loro indipendenti che devono concorrere all’atto la probabilità diminuisce.
IL RISK MANAGEMENT CONSEGUENTE AL RISK ASSESSMENT. Se la attività di assessment è stata condotta in modo omogeneo, arriveremo ad avere un panorama dei rischi per la azienda che ha una sua leggibilità complessiva; troveremo situazioni in cui il pericolo astrattamente esiste ma la bassissima probabilità ci indice a considerare il rischio trascurabile, e altre che invece necessitano di un maggiore controllo in quanto il rischio, concretamente, è tutt’altro che trascurabile. Per queste seconde sarà quindi necessaria la definizione di adeguate misure di controllo che riconducano il rischio nella sfera dell’accettabile.
Salvo pochi casi (vedi l’esempio del depuratore), per i quali esistono misure tecniche che per loro natura garantiscono già una certa efficacia, le misure coinvolgeranno le persone. Sia individualmente, facendo ben comprendere quanto certi comportamenti apparentemente favorevoli alla azienda, siano concretamente dannosi, sia come insieme di elementi che costituiscono una organizzazione (complessa). Il secondo profilo è quello più interessante e affidabile (in termini di prevenzione) perché meglio stimabile (si esula dalla percezione individuale del bene aziendale).
Organizzazione, ovvero regole chiare e documentate espresse tramite procedure, quindi ove ragionevole anche registrazioni in relazione agli snodi critici, e comunque applicazione del concetto che non deve esistere alcun soggetto che, autonomamente e senza vigilanza, possa mettere in atto condotte estremamente pericolose per la sopravvivenza della azienda. E, per ultimo, verifica della effettiva applicazione delle regole.
L’ECCESSO DI REGOLAMENTAZIONE. Non possiamo sfuggire a questo tema; le regole, le procedure, le registrazioni, i controlli, la reciproca vigilanza sono tutti elementi che ingolfano il funzionamento delle aziende; quindi è importante che il risk assessment sia realizzato con attenzione, per evitare di mettere in atto misure di prevenzione per rischi che in effetti non esistono.
Torneremo sul tema in futuro, delle regole e del buon funzionamento delle aziende; qui vogliamo solo ribadire che se c’è qualcosa che deve essere prevenuto, si tratta proprio dei rischi di cui stiamo parlando. Piuttosto riduciamo il livello di controllo su altre questioni, ma gestiamo al meglio quelle situazioni che potrebbero mettere in discussione l’esistenza stessa della azienda.