Come contribuire a correggere difetti di miopia o scarsa lungimiranza mediante la vista che un approccio integrato al governo e controllo dei rischi può garantire
Premessa
Il tema della evoluzione delle funzioni di audit e compliance da compliance inspector a strategic advisor è ripetuto come un mantra nelle presentazioni e nelle occasioni di dibattito pubblico tra gli addetti ai lavori che operano in ambito GRC (Governance, Risk, Compliance).
Diviene, quindi, importante porsi il problema di come le funzioni di assurance di terzo e secondo livello possano mettere in pratica questo precetto e fornire il proprio contributo, in modo effettivo ed efficace su temi di carattere strategico.
Affinché ciò avvenga, è necessario contribuire in modo concreto alla creazione di valore e non sulla base di semplici enunciazioni e dichiarazioni di intenti.
In tal senso, scarsa lungimiranza da parte del management, ed in generale degli stakeholder, che chiameremo sinteticamente “miopia“, è un ambito dal quale non possiamo considerarci estranei se intendiamo realizzare appieno la nostra missione, come anche gli Standard della nostra professione suggeriscono.
Miopia strategica: la lezione di Levitt
Cosa si intende per miopia? Pur consapevoli dei rischi che si possono correre dal cimentarsi su discipline non a noi familiari, proviamo ad azzardare una definizione utile alla nostra trattazione. Ricorrendo a fonti etimologiche accreditate (Treccani), possiamo considerare la miopia come un “ vizio di rifrazione dell’occhio, dovuto a particolari condizioni anatomiche oculari – omissis – per cui i raggi luminosi provenienti da oggetti distanti vanno a fuoco su un piano anteriore alla retina, sulla quale invece si formano immagini sfocate e diffuse”. In sintesi, una patologia per la quale non si mettono adeguatamente a fuoco oggetti lontani . Nell’uso comune il termine si associa ad una mancanza di perspicacia o carenza di lungimiranza nell’individuare le possibili conseguenze di decisioni ed eventi correlati.
In ambito economico-aziendale, l’articolo dal titolo “Marketing Myopia” comparso sull’Harvard Business Review di Theodor Levitt e pubblicato nel 1960, ha rappresentato una pietra miliare sull’argomento, essendo ancora oggi molto utile per le lezioni che si possono apprendere dalla sua lettura. L’articolo pone in luce come aziende che non abbiano adeguatamente definito la loro visione e missione abbiano di fatto preferito una prospettiva di breve termine concentrata tutta sulla produzione e sulla massimizzazione del profitto a breve termine. La miopia sta nel non porre attenzione ai possibili scenari futuri su come le esigenze del mercato possano evolvere e conseguentemente la competizione, anche di sistemi/ prodotti sostitutivi. Per citare alcuni esempi portati da Levitt, pensiamo alla crisi delle imprese di trasporto ferroviario americano concomitante alla crescita parallela del trasporto aereo o alle perdite subite dall’industria cinematografica per effetto dell’affermarsi dei media televisivi.
Ancora oggi possiamo riscontrare diversi casi di miopia strategica; rilevarli dopo che le conseguenze negative di questi atteggiamenti si sono avverate non serve a molto. Nell’ottica di realizzare appieno la nostra missione-obiettivo di advisor strategici o trusted advisor può essere utile ragionare su quelli che sono segni evidenti di questo “difetto di visuale” per suggerire e favorire l’implementazione di adeguate misure correttive.
Missione – visione – strategie e governo e controllo dei rischi
Nella prima parte del testo “Governo e Controllo dei rischi –Manuale per scelte consapevoli e sostenibili “(1), a cura dell’autore di questo scritto, si è ritenuto importante fornire definizioni di base su Missione – Visione – Strategie come premessa fondamentale ai fini dell’illustrazione dei principali framework nella nostra professione, utilizzati per valutare sistemi di controllo interno e gestione dei rischi. Questo approccio non deriva da alcuna istanza di tipo teorico ma, nella logica proprio manualistica perseguita, mirata a dare evidenza su come, fornendo esempi concreti, si possano ravvisare carenze nell’approccio strategico. Un caso tipico attiene a quelle tipologie di imprese che esaltano nella comunicazione esterna lo sviluppo di sistemi sostenibili creando valore per la società, a livello di visione, e che poi declinano la propria missione citando solo obiettivi economici di breve termine a basso rischio e alta profittabilità. Incoerenze di questo tipo tra definizione di missione e visione sono le premessa di insuccessi e crisi analoghi a quelli citati in premessa. Queste incoerenze vanno individuate ed opportunamente comunicate da parte delle funzioni di assurance. Con quale approccio e modalità è quanto nel seguito proviamo ad approfondire.
Assurance e advisory in un contesto complesso e mutevole
Va premesso che il tema non è banale in quanto le mutate prospettive di scenario hanno ampliato in modo significativo le aree nelle quali vanno espressi opinioni e giudizi. Il cambiamento è riconducibile, in ultima analisi, all’introduzione della dimensione strategica, tra gli obiettivi di valutazione dei Sistemi di Controllo Interno e Gestione dei Rischi (SCIGR), come rappresentato nel framework COSO ERM, già nella prima release del 2004. Con tale innovazione, il tema della valutazione dello SCIGR non si esaurisce agli ambiti finanziari e di compliance ma richiede una visione “più alta” delle entità organizzative oggetto dei giudizi. Ciò con l’intento di approfondire il tema del rischio all’interno del contesto strategico in cui operano le imprese, mantenendo al contempo ben salda la tensione sulle problematiche legate al Governo e Controllo dei Rischi.
Una corretta e coerente definizione della visione e missione, delle strategie e degli obiettivi aziendali è quindi il presupposto imprescindibile, da cui consegue l’identificazione dei rischi prioritari, che possono minacciare il perseguimento deli obiettivi strategici, sulla base dei quali possono essere ragionevolmente adottati strumenti di mitigazione e controllo. Non solo: strategie e obiettivi sono influenzate da valutazioni relative alla propensione e alla tolleranza, a loro volta condizionate dalle aspettative di una pletora di stakeholder.
In tale contesto, il quadro di insieme diviene complesso e mutevole, con una serie di fattori che interagiscono reciprocamente in modo dinamico e correlato: non è un caso se il Framework ERM definisca il risk management come un processo continuativo e pervasivo e se richieda una discussione congiunta di rischio e strategia al fine di sviluppare risposte efficaci e controlli idonei.
Tale prospettiva è resa ancora più attuale dalla rapidità dei cambiamenti dell’ambiente esterno cui le imprese sono esposte e che impongono l’adozione di strategie emergenti. Dal punto di vista della Compliance, l’evoluzione del quadro normativo internazionale e nazionale, solo se correttamente gestito dai policy maker, può provocare benefici effetti su interi sistemi economici, in termini di diffusione di regole di governo societario e trasparenza.
Come approcciare i rischi globali per prevenire “patologie” di miopia strategica
Per trovare il bandolo di questa matassa complessa qualche riflessione d’insieme va fatta su come affrontare i rischi globali, cercando peraltro di individuare tratti comuni che ci possono aiutare a favorire un approccio integrato.
Consideriamo in tal senso la crisi pandemica ed il tema della cybersecurity. Per quanto diversi in termini di classificazione, genesi e diffusione, ci sono elementi di comunanza che non vanno sottovalutati. Il virus da Covid 19 si è propagato per effetto di continue varianti che si sono diffuse a livello globale, creando nuove ondate di contagi. Per analogia possiamo considerare che i virus informatici in grado di bloccare i sistemi a supporto di imprese e organizzazioni complesse costituiscono una grave minaccia proprio per le caratteristiche di mutevolezza con le quali si presentano. I rimedi, che siano vaccini o sistemi tecnologici di protezione, richiedono una laboriosa attività di analisi e adattamento che non può mai ritenersi esaurita. Peraltro i migliori risultati in termini di resilienza si sono ottenuti laddove le spinte centrifughe a gestire separatamente gli effetti di questi rischi globali siano state bilanciate da risposte al rischio integrate. Nel caso della pandemia ciò ha riguardato a condivisione di base di dati sui risultati della ricerca nell’efficacia dei vaccini e, per quanto attiene alla gestione dei macchinari, i sistemi mirati alla conservazione dei vaccini e la somministrazione degli stessi. Analogamente per i rischi tecnologici che considerato le interconnessioni esistenti tra sistemi globali non possono essere contrastati con approcci “autarchici” che comportano un elevato rischio di soccombenza e possibilità di sopravvivenza solo nel breve termine.
L’ultimo Global Risk Report(2) emesso nel 2022 evidenzia come la comunità globale a tutto il 2021 nutra forti preoccupazione in un orizzonte temporale di lungo termine prevalentemente per rischi sociali ed ambientali. Per quanto attiene ai primi, l’attenzione è posta sui rischi di coesione sociale, sulla crisi dei mezzi di sussistenza ed i rischi di deterioramento della salute mentale, la cui severità ha manifestato un incremento dall’inizio della pandemia.
Analogamente per quelli ambientali i fallimenti per il cambiamento climatico, gli eventi naturali estremi e le perdite di biodiversità. Ovviamente i rischi finanziari e economici direttamente indotti dal crescente divario tra paesi economicamente sviluppati ed LDS (Least Developed Countries) sono percepiti come prioritari nel lungo termine. In concomitanza all’emissione del report (basato su survey raccolte nel 2021) l’inizio del conflitto in Ucraina ha profondamento mutato lo scenario geopolitico internazionale rendendo rischi connessi ad armi di distruzione di massa fortemente percepiti a livello globale.
Peraltro il forte conflitto che si sta combattendo nella dimensione cyber rende ancora più evidente il difetto di percezione che la comunità globale ha manifestato nei confronti dei rischi tecnologici considerati una minaccia solo nel breve termine. Non a caso il Report ha segnalato questo come un tema critico parlando di difetto di percezione dei rischi globali (blind spot in risks perception), in sintesi: miopia.
Conclusioni
La resilienza in un contesto globale ed interconnesso non è facile né da ottenere né da valutare: un ambiente interno ed esterno caratterizzato da un livello sempre crescente di complessità impone un allargamento progressivo delle prospettive, sia di coloro che gestiscono l’impresa, che di chi è chiamato ad una attività di controllo e di assurance.
Per trarre, da queste brevi riflessioni, una conclusione utile ai professionisti chiamati a fornire valutazioni sul sistema di controllo interno e gestione dei rischi, l’approccio volto alla creazione di valore richiede di adottare una visione orientata non più ai soli processi o ad aspetti amministrativi. Piuttosto, comporta una profonda comprensione delle intime dinamiche aziendali e delle interrelazioni con l’ambiente esterno, senza con ciò rinunciare ai requisiti di indipendenza e terzietà che, comunque, bisogna mantenere rispetto alle scelte del management.
Intervento di Fabio ACCARDI, Docente di vari master ed executive programme presso Università di Roma Tor Vergata, Luiss Business School, Associazione Italiana Internal Auditors (AIIA) nonché membro di diversi OdV.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr. Fabio Accardi (2021) “Governo e controllo dei rischi -Manuale per scelte consapevoli e sostenibili. Metodologia, casi ed esemplificazioni“; Edizione Franco Angeli “
(2) Cfr. The World Economic Forum (WEF) (2022), Global Risk Report 2022
Claudio Maria Perfetto Replica
Le aziende non sono lungimiranti. Se lo fossero, non staremmo qui a parlarne.
Le aziende badano al risparmio, e sono event-driven (guidate dagli eventi).
I sistemi informatici delle aziende vengono hackerati perchè le aziende utilizzano sistemi cosiddetti “dipartimentali”, gestiti da sistemi operativi che sono conosciuti da una stragrande maggioranza di persone, soprattutto da ragazzi particolarmente “smanettoni”. I sistemi dipartimentali possono essere facilmente “bucati”, allo stesso modo in cui una tavoletta di burro alla temperatura di 25 gradi centigradi può essere bucata da un grissino. Mi meraviglio, inoltre, come un’azienda lasci operare un dipendente da remoto (smart working) senza curarsi se dietro tale persona ci sia uno sconosciuto al quale il dipendente potrebbe mettere in bella mostra i dati aziendali (tra cui quelli dei clienti/pazienti).
Per avere un sistema informatico non hackerabile (diciamo, al 99%), occorre utilizzare sistemi cosiddetti “centrali”, ovvero computer della classe mainframe, gestiti da sistemi operativi conosciuti da un numero ristretto di persone (sistemisti mainframe) che si siano formate per diversi anni internamente ad una grossa azienda. Nessun ragazzo o adulto, per quanto “smanettone” possa essere, sarà mai in grado di “bucare” un mainframe (senza l’aiuto di un sistemista mainframe, chiaramente).
Computer mainframe e sistemisti mainframe costano molto di più dei computer dipartimentali e sistemisti dipartimentali. I loro costi sono sostenibili solo da grosse aziende.
Ipotizzo che i sistemi informatici delle aziende italiane, che ultimamente in periodo pandemico sono state sotto attacco hacker, siano sistemi dipartimentali.
Solo dopo che l’evento disastroso è avvenuto, le aziende ricorrono ai ripari. Ma, comunque, sempre esposte a nuovi attacchi hacker. In questo senso le aziende sono guidate dagli eventi.
Si può parlare quanto si vuole di normative da adottare, procedure da seguire, test da effettuare, audit da passare… ma poi interviene il CFO (Chief Financial Officer) che dice: “quanto ci costa?”. Sì, d’accordo, il CFO acconsentirà a spendere trentamila euro per la sicurezza informatica. Ma spendere trentamila euro per la sicurezza informatica equivale a innaffiare una pianta con una goccia d’acqua.
Le aziende italiane non sono lungi-miranti, sono focalizzate sull’oggi, non sul domani. Si costruiscono la strada da percorrere man mano che la percorrono, superando di volta in volta gli incidenti di percorso, venendo ridimensionate, accorpate, cedute, chiuse.
Pertanto, le aziende italiane non sono nemmeno lungi-andanti.
Le aziende italiane riflettono in piccolo il medesimo spirito che anima l’azienda Italia.