di Francesco Domenico ATTISANO
No Risk Management… no good Strategy. La correlazione tra il rischio e la strategia
“La gestione del rischio è strategia e la strategia è essa stessa gestione del rischio d’impresa(1).
In considerazione di ciò, a parere di chi scrive, il risk management benché sia fondamentale per il business aziendale è ancor più vitale per la definizione della strategia da adottare.
In buona sostanza: “Il rischio è parte integrante della strategia di ogni azienda”.
Peraltro, ancora oggi, l’importanza della gestione del rischio d’impresa non sempre è sufficientemente percepita e compresa da tutte le organizzazioni; a tal punto che, talvolta, ci si interroga sull’utilità del risk management o sugli ulteriori costi da affrontare; ma non è così… non si pensa ai vantaggi competitivi che si posso acquisire e ai benefici valoriali e culturali potenzialmente ottenibili.
Il Risk Management, infatti, può aiutare il board (i CdA) e il top management (la cd C-Suite), a prendere decisioni strategiche e d’investimento di medio – lungo periodo consapevoli degli eventi rischiosi.
È importante, inoltre, precisare subito che: il tema della relazione tra rischio e strategia non riguarda solo le aziende di grandi dimensione e già strutturate ma è la base per tutte le organizzazioni che vogliono crescere nel lungo periodo, PMI (e Startup) comprese.
L’enterprise risk management, pertanto, dev’essere inquadrato e inserito nel processo di pianificazione strategica di qualsiasi entity(2). Con ciò, s’intende ribadire che la gestione del rischio d’impresa è una componente essenziale e naturale dell’azienda, uno dei principali fattori critici di successo di ogni organizzazione(3).
Detto quanto sopra, si ritiene che tutte le organizzazioni, sia private che pubbliche, indipendentemente dalle dimensioni e dai prodotti realizzati e/o servizi erogati, nonché dagli stakeholder di riferimento, dovrebbero avere all’interno un’adeguata expertise (ancora meglio un’unità ad hoc, professionalizzata e agile) che si occupi di rischi e di sistemi di controllo integrati a 360°(4).
Il risk management va permeato nella vita quotidiana dell’organizzazione(5). L’interazione della gestione del rischio, in tutte le sue sfaccettature, con il processo decisionale e la cultura generale dell’organizzazione è un lavoro impegnativo… il percorso è lungo e richiede sistematicità. Ma solo così si può raggiungere una reale integrazione della gestione dei rischi nel cuore dell’organizzazione.
È necessario pensare ai rischi (in termini di minacce e opportunità) già nel momento in cui si prendono le prime scelte, cioè quando si definisce la strategia e si assumono le prime decisioni.
Non è un caso che il nuovo ERM(6) del COSO, sottolinea sin da subito l’importanza dell’integrazione tra strategia e rischi. In particolare, il framework pone maggiore enfasi sulla rilevanza di riflettere e considerare il tema rischio ancora prima dell’implementazione delle strategie, già durante la fase della progettazione delle strategie medesime.
In pratica, bisogna pensare ai rischi nel corso dell’intero ciclo di vita dell’organizzazione, ovvero dalla sua costituzione.
Il framework COSO ERM ha trattato diverse tipologie di rischio che possono sorgere come risultato della determinazione della strategia aziendale.
Nel grafico sopra è illustrata “Strategy in context.”, cioè la strategia nel contesto della mission, della vision e dei valori organizzativi fondamentali, come motore della direzione generale e della performance di un’entity. Fonte: ERM – Integrating Strategy with Performance, Executive Summary © 2017 Selection; Committee of Sponsoring Organizations of the Treadway Commission. All rights reserved. Used with permission.
Di seguito, sulla base dell’analisi dell’ERM, sono riportati alcuni aspetti – elementi per comprendere l’intrinseca relazione tra il rischio e la strategia.
In primo luogo, ogni strategia che s’intraprende ha un profilo di rischio, un set di rischi che derivano dalle strategie definite. In buona sostanza, tipologie e quantità di rischi a cui l’organizzazione si espone possono variare sulla base di una particolare strategia scelta.
Il Board e il Top management pertanto, dovrebbero considerare il rischio accettabile nell’ambito di ciascuna strategia alternativa possibile (ovvero nella fase della strategy selection); e come ogni strategia alternativa indirizzerà e guiderà l’organizzazione nella definizione degli obiettivi, nell’allocazione delle risorse economiche e umane, nello sviluppo coerente dei progetti – iniziative finalizzati al raggiungimento degli obiettivi definiti, nella capacità di realizzazione della stessa.
Se il Top Management e il Board non considerano le strategie alternative potrebbero definire delle strategie cd miopi o limitate. L’impatto potenziale (in termini di outcome e risultati attesi) delle diverse strategie alternative andrebbe determinato prima di finalizzare il piano strategico (quest’ultimo con orizzonte temporale solitamente triennale, che è il tempo necessario per valutare gli impatti effettivi delle decisioni strategiche e quindi gli outcome delle strategia definita).
Altro tema rilevante è l’integrale correlazione tra la strategia e gli eventi rischiosi.
Nel processo di selezione delle strategie è insito considerare i rischi. Usualmente, il focus sui rischi è in relazione ai loro potenziali effetti sulla capacità e fattibilità di eseguire la strategia e quindi del raggiungimento degli obiettivi sottostanti.
Molteplici volte i rischi individuati nell’esecuzione e attuazione della strategia (la cd strategy execution) – cioè incardinati nei progetti finalizzati al conseguimento degli obiettivi definiti – sono così rilevanti che minacciano la strategia stessa. In alcuni casi i rischi individuati nella programmazione ed esecuzione dei progetti – iniziative strategiche sono talmente importanti, che dovrebbero far considerare al Board la ridefinizione della strategia stessa.
Un ultimo aspetto, ma il primo in ordine di importanza, da considerare l’allineamento della strategia e degli obiettivi strategici e di business.
Ogni entity ha una mission e un core value che definisce e chiarisce i suoi scopi, cosa vorrebbe conseguire e come intende guidare la struttura – macchina organizzativa. Paradossalmente, nel definire la strategia (ovvero nella fase della strategy definition) c’è la possibilità che la stessa non sia perfettamente allineata alla mission e alla vision.
Ed ecco quindi un evento rischioso che a prima vista parrebbe illogico: si può realizzare l’ipotesi che le strategie siano eseguite correttamente, realizzandole, ma sono paradossalmente non coerenti alla mission e alla vision (il cd rischio della strategia). Benché la strategia venga eseguita con successo, un disallineamento della stessa può incrementare la possibilità che l’entity non realizzi la sua missione e/o possa nuocere ai valori stessi dell’organizzazione.
Alla luce di quanto sopra, la “gestione strategica del rischio” – intesa come “il processo di identificazione, analisi, valutazione, gestione e risposta del rischio nella strategia aziendale dell’organizzazione – risulta essenziale.
In definitiva, capire e assimilare la relazione tra rischio e strategia, in termini di:
- comprensione dei rischi strategici dell’organizzazione e dei connessi processi di gestione dei rischi
- cognizione e consapevolezza di come il rischio viene considerato e incorporato nella definizione della strategia dell’organizzazione e nei processi di misurazione delle performance
risulta indispensabile per tutte le organizzazioni, sia private che pubbliche.
Per concludere, per successivi spunti di riflessione, si riportano alcune asserzioni e considerazioni:
- Il rischio condiziona la capacità di un’organizzazione di raggiungere la propria strategia e gli obiettivi di business. Le decisioni strategiche determinano il successo o il fallimento finale dell’organizzazione.
- La gestione del rischio non crea la strategia, ma incide sul suo sviluppo. Il Risk Management (nelle organizzazioni di qualsivoglia dimensione, sia private che pubbliche) dovrebbe essere un argomento prioritario nella scelta e definizione della strategia, nonché nella sua implementazione, esecuzione e attuazione, fino a giungere ad un eventuale rimodulazione o cambio di rotta.
- Mission, Vision, valori e corporate culture(7) incidono fortemente nella gestione del rischio e nelle strategie. Sono i presupposti della resilienza nei periodi di cambiamento o di crisi.
- La cultura condiziona il modo in cui l’organizzazione vive e applica il Risk Management, in termini di identificazione dei rischi, di valutazione, di quale tipologia di rischi sono accettati e di come sono gestiti e di quali risposte vengono fornite agli eventi rischiosi(8).
- Un’efficace gestione del rischio aziendale aiuta a ottimizzare le performance, con l’obiettivo di migliorare le capacità di creare, preservare e, in ultima analisi, realizzare valore per l’organizzazione e gli stakeholder.
- La gestione del rischio inizia dall’alto(9), in quanto una responsabilità chiave dei board è quella di contribuire e supervisionare lo sviluppo e l’esecuzione delle strategie e degli obiettivi di business dell’organizzazione, in relazione ai rischi (la cd risk oversight).
- Il top management (e di riflesso il management) dev’essere consapevole che l’enterprise risk management è una componente essenziale del dibattito strategico all’interno dell’organizzazione e senza una robusta e consapevole cultura del rischio non si sopravvive.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr. U.Pidun, M.Rodt, A. Roos, S.Stange e J.Tucker (2017),”The Art of Risk Management”; www.bcg.com
(2) Con il termine entity si cerca di ricomprendere tutte le tipologie di organizzazioni (a scopo di lucro, no profit, del settore pubblico) di qualsiasi dimensione.
(3) Cfr. F.D. Attisano (2019), “Il Rischio come opportunità per gestire l’incertezza”; www.riskcompliance.it
(4) Cfr.F.D .Attisano (2020), “Una visione a tutto campo”; Rivista Internal Audit. n.104 gennaio- marzo 2020, www.aiiaweb.it
(5) Cfr. F.D. Attisano (2019), “Enterprise risk management: un profondo cambiamento nella gestione del rischio d’impresa”; www.riskcompliance.it
(6) Cfr Committee of Sponsoring Organizations of the Treadway Commission (2017),” Enterprise Risk Management – Integrating Strategy with Performance”; www.coso.org
(7) F.D. Attisano (2020), “La Corporate culture: fattore determinante del successo”; www.riskcompliance.it
(8) F.D. Attisano (2020), “Rafforzare la Risk culture”; Rivista Internal Audit. n.104 gennaio- marzo 2020; www.aiiaweb.it
(9) F.D. Attisano (2020),“Tone from the top e Risk awareness driver fondamentali della Risk culture”;www.riskcompliance.it
Cfr P.J Sobel (2018), “Understanding risk in the strategy-setting process”; www.ethicalboardroom.com
Cfr Committee of Sponsoring Organizations of the Treadway Commission (2017), Enterprise Risk Management – Integrating Strategy with Performance- Executive Summary www.coso.org
Cfr. F. Martens – S.J. Perraglia (2016), “Risk Through the Eyes of Strategy”; The Resilience Journal and the Risk Insights Blog; www.pwc.com