Abbiamo già affrontato questo argomento, a noi caro, nelle sue molteplici sfaccettature. Nel mondo industriale attuale, specie quello che opera nei paesi maturi, i rischi “mortali” per le aziende si moltiplicano e diventano un elemento fondamentale di valutazione per una buona governance aziendale.
Alessandro Mazzeranghi
Oggi alcuni fatti rilevanti ci “costringono” a tornare sull’argomento con ancora maggiore decisione. Li elenco in ordine cronologico:
• Il crollo della domanda e dei prezzi delle commodities ha messo in crisi quegli imprenditori che operavano nel settore, spe-cialmente nello shale oil, con basi finanziarie non sufficientemente solide, avendo creduto di fatto ad una crescita continua del mercato. Le aziende più grandi e solide passeranno tramite dure ristrutturazioni, quelle più piccole e più esposte verso le banche in buona parte falliranno.
• Lo scandalo VW evidenzia invece come un problema di governance (indipendentemente dal dolo individuale è ovvio che la governance ha fallito completamente) può minare la credibilità di una grandissima azienda facendole perdere valore ancor prima che si manifestino pienamente tutte le conseguenze.
• Infine, nel suo piccolo, la nuova ISO 9001, edizione 2015, pone l’accento sulla gestione dei rischi e delle opportunità, ovviamente sottintendendo prima di tutto quei rischi e quelle opportunità che possono cambiare radicalmente il futuro di una azienda.
Chi scrive ha imparato da un cliente un termine, un termine che trovo rappresentativo: minaccia (per la continuità di business). Rende l’idea di un rischio talmente grande che mette in discussione la sopravvivenza di una fabbrica, di un brand o di una intera società o corporale.
QUINDI UNA STRUTTURA INDUSTRIALE CHE SI AUTOGOVERNA, se vuole continuare ad esistere deve conoscere e controllare le minacce a cui è esposta. Conoscere e controllare!
Permettetemi un caso: una azienda prestigiosa è esposta ad esondazioni del fiume che scorre presso lo stabilimento. Per questo è perfettamente assicurata (in relazione ai danni eventuali) e nei contratti mette una clausola che prevede che non possano esserci penali per ritardi di consegna imputabili a disastri naturali. Ma due esondazioni a distanza di un anno l’una dall’altra fanno accumulare un ritardo sulla commessa più importante della azienda pari ad un anno, e questo porta ad una tale perdita di credibilità sul mercato e a una tale difficoltà organizzativa nella gestione dei programmi che l’azienda rischia il fallimento, salvato solo da un aumento di capitale. Cosa se ne deduce: il rischio esondazione era ben noto, erano state prese misure di controllo “standard”, ma la minaccia complessiva era fuori controllo. Forse era stata sottovalutata?
LA GESTIONE DEL RISCHIO: IL RUOLO DEL RISK ASSESMENT.
Se una minaccia è nota si presume che il management aziendale cerchi di gestirla; bene o male, qualche azione la metterà comunque in atto. Ma se non è nota è ovvio che il management non farà nulla di preventivo.
Un concetto così banale che non dovrebbe neanche essere espresso, se non fosse che propria la non conoscenza delle minacce è spesso all’origine dei maggiori fallimenti della governance aziendale.
Se per esempio consideriamo le direttive europee in materia disciplina della responsabilità amministrativa delle persone giuridiche e degli enti privi di personalità giuridica, che tendono ad ampliare continuamente i reati a cui si può applicare tale disciplina, ci rendiamo già conto che le conseguenti minacce per le aziende non sono sempre ben note o ben valutate. E questo colpisce perché si tratta comunque di disposizioni di legge specifiche (rivolte esplicitamente alla regolamentazione della conduzione aziendale) precise (perché comprese esplicitamente e dettagliatamente in testi di legge), e quindi “ben note” e “facilmente interpretabili”.
QUESTO LASCIA IMMAGINARE QUANTO PIÙ SFUGGENTI RISULTINO ALTRE MINACCE che non derivano da regole, anche legali, così ben indirizzate (e quindi “riconoscibili”). E poi, ancora, ci sono rischi che non derivano da regole scritte ma dalla sensibilità della clientela, o da rischi che apparentemente sono solo a carico della clientela. Un esempio “industriale”, pur di altro settore: una azienda che produce un semilavorato su specifica del cliente, destinato ad un impianto di raffinazione del petrolio, e indispensabile per potere avviare l’impianto, che danno può generare se per il danneggiamento di un impianto produttivo manda in ritardo di 5 mesi la consegna, provocando un ritardo di un mese nell’avviamento della raffineria? È chiaro che nel nostro settore non si presentano situazioni così catastrofiche, però certamente lasciare i banchi dei supermercati francesi sguarniti per un mese di un brand di igienica premium potrebbe essere un bel danno, o se preferite un bel regalo alla concorrenza …
Cose ovvie, una volta dette; domandiamoci però: ma davvero conosciamo tutti i rischi a cui la nostra azienda è esposta?
IN SOSTANZA STIAMO CERCANDO DI EVIDENZIARE CHE NEL RISK MANAGEMENT IL PUNTO FONDAMENTALE (che non possiamo sbagliare) è il risk assesment, ovvero la identificazione dei rischi e la loro stima e valutazione.
E questo è un aspetto importante, e in un certo senso innovativo rispetto alla consueta prassi di conduzione delle aziende. E conforta che anche la ISO 9001:2015 ponga un importante focus su questo argomento. Anzi, senza dirlo nel modo esplicito che useremo nelle prossime righe, sottintende un ulteriore concetto fondamentale:
• se prima si deve fare un risk assesment per capire in modo ordinato e sistematico (dunque si spera: anche completo) quali sono i rischi a cui è esposta l’azienda in quanto struttura unitaria e monolitica,
• subito dopo è fondamentale capire quali sono i processi aziendali all’interno dei quali possono essere commessi “errori” che genererebbero tali rischi.
L’ANALISI DEI PROCESSI SOTTO IL PROFILO DEI RISCHI È QUINDI FONDAMENTALE, e a dire il vero è una pratica assai rara. E andrebbe istituita, specie nei contesti in cui i rischi riconosciuti come possibili per l’azienda sono molteplici.
Facciamo un esempio nel nostro settore considerando il classico tema (processo) della manutenzione: all’interno si annidano dei “passaggi” determinanti per la salute e la sicurezza sul lavoro, altri fondamentali per la tutela ambientale, altri ancora necessari per la tutela degli asset strategici e dei beni aziendali, infine altri ancora fortemente correlati con la qualità e la conformità del prodotto. Forse l’esempio non è fra i più complessi (probabilmente il processo di acquisto di beni e servizi è ancora più complesso), ma crediamo che già renda l’idea di come un risk assesment di processo multidisciplinare non sia un qualcosa che si può fare “a buon senso” ma richieda un approccio sistematico e analitico.
Fatto questo, come già dicevamo, non risulterà poi così difficile introdurre quelle modalità di gestione dei processi e quei controlli necessari per tenere sotto controllo i possibili rischi. Naturalmente resta poi la applicazione delle regole stabilite, argomento che su cui sorvoliamo in queste pagine per la sua estrema complessità.
IL FLUSSO DA SEGUIRE. Quindi, se prendiamo atto che i rischi a cui oggi le aziende sono esposte sono infinitamente più rilevanti di quelli che dovevano fronteggiare le aziende non più di trenta anni orsono, ci troviamo necessariamente a concludere che governare una azienda senza controllare i rischi è quantomeno azzardato.
E allora proviamo a ricapitolare i “passi” da seguire:
• effettuare una valutazione dei rischi a cui può essere esposta l’azienda partendo da quelli connessi a violazioni legali le cui conseguenti pene potrebbero danneggiare o distruggere la continuità di business, per poi procedere coi rischi legati alle possibili perdite di credibilità sul mercato, a possibili perdite di know how ecc.;
• sulla base degli esiti della valutazione dei rischi identificare un numero limitato di rischi critici a cui dare la priorità in termini di prevenzione e protezione (non più di cinque secondo i famosi criteri del diagramma di Pareto); meglio non estendere troppo i rischi da considerare altrimenti esiste la concreta possibilità di creare strutture organizzative troppo complesse che diventano vere e proprie sovra strutture paralizzanti;
• per i rischi selezionati indagare quali sono i processi aziendali all’interno dei quali i rischi stessi possono essere generati; in pratica il risultato di questa analisi è un elenco dei processi aziendali critici, per ognuno dei quali si indicheranno i potenziali rischi associati;
• per i processi critici definire procedure che indichino le misure di gestione dei rischi “presenti”, punti di controllo e (fon-damentale) i soggetti responsabili delle varie azioni; raccomandiamo caldamente di definire senza equivoci chi deve fare co-sa e quando lo deve fare; il come può essere “delegato” alle competenze e alle capacità delle persone, oppure definito puntualmente (ovviamente in funzione delle caratteristiche delle risorse umane disponibili ma anche del grado di autonomia che si vuole dare ai singoli).
NATURALMENTE A MONTE DEL RAGIONAMENTO SU PROCEDURE E PROCESSI consigliamo sempre di fare una mappatura e una definizione precisa della organizzazione aziendale tramite mansionario e job description; attività necessaria che in qualche modo si colloca sopra la definizione dei processi, e intende definire quali risorse manageriali e comunque decisionali vengono impegnate dalla azienda per la prevenzione dei rischi.
PICCOLA CONCLUSIONE. Vogliamo solo ribadire: oggi una corretta gestione aziendale non può ignora-re l’aspetto di controllo dei rischi (per l’azienda) che, crescendo sempre più, sono diventati uno degli elementi inevitabili di una corretta governance orientata al mantenimento / incremento del valore aziendale nel tempo. Ormai l’idea che “non saremo proprio così sfortunati che una cosa del genere capiti proprio a noi!” ha perso di credibilità pratica! Quindi dobbiamo capire e poi agire. *