di Francesco Domenico ATTISANO
Suggerimento per gli esperti e professionisti dei Rischi: “Rimuoviamo inizialmente dal vocabolario quotidiano la parola Risk”
Non parliamo di rischi con il board e il top management… Ma di: “cosa potrebbe succedere”(1).
Infatti, per farci comprendere (in qualità di esperti, tecnici o professionisti del rischio, del controllo interno e dell’internal audit) forse sarebbe meglio parlare di altro, perlomeno inizialmente, come ad esempio di: quali strategie s’intendono adottare e quali azioni s’intendono mettere in campo; quali sono le preoccupazioni correlate o le prospettive future.
Insomma, concentriamo l’attenzione sugli obiettivi. Al top management, sarebbe opportuno porre domande incentrate:
- sul reale allineamento degli obiettivi strategici alle strategie del board;
- sui fattori interni che potrebbero incidere sul conseguimento degli obiettivi strategici prefissati?
- sugli eventi esterni che potrebbero influenzare le performance definite, impattando sul loro pieno conseguimento e sulla creazione di valore
Ebbene sì, potremmo lasciare perdere la parola “rischio”, almeno in principio, senza fare voli pindarici.
Quando si tratta e si pronuncia il temine “risk” lo stesso non viene sempre compreso. Bisogna essere fortunati come alla roulette se si trova un interlocutore consapevole di cosa si vuole trattare e dei correlati effetti.
Facendo un po’ di cronistoria, ad esempio, oltre 10 anni fa, nel corso di una sessione in-formativa con il top management di un’azienda – supportato dai miei colleghi (anch’essi internal auditor certificati CIA e/o CCSA) – cercavo di spiegare la dicotomia tra risk, risk event, risk factor, risk assessment, risk appetite, risk tolerance, risk response.
L’incontro finì positivamente, ma trasferire e rendere consapevole le persone fu un lavoro spasmodico ed estenuante; ci costò un’intera mattinata, per non dire una giornata, con un grande dispendio di energie.
Da tale esperienza imparai una lezione: “Lasciamo perdere…, negli incontri futuri col top management e alle prossime riunioni con il management cerchiamo di trasferire i concetti di risk, risk assessment e del risk management senza parlare di rischi … “.
Ovviamente non ci riuscì, mi veniva naturale parlare di rischi, ma forse allora i tempi erano prematuri, specie se si vuole rafforzare la cultura del rischio dentro le organizzazioni aziendali.
L’aneddoto, sopra descritto, serviva solo per far capire che c’era un caos diffuso con la terminologia riguardante il rischio.
Dall’esempio sopra citato, peraltro, qualcuno potrebbe pensare che le questioni siano totalmente cambiate, ma invece…
Capita spesso, tuttora, di perdere tempo nello spiegare il significato di rischio o di trovarsi in circoli viziosi, in cui tutti si assurgono a professori della tematica rischio.
In pratica, ancora oggi c’è molta confusione tre le parole: rischio, evento rischioso, fattore di rischio, propensione al rischio, tolleranza al rischio, gestione del rischio, trattamento e risposta al rischio.
La sua definizione, purtroppo, non sempre è utilizzata come nei global standard dell’IIA(2) ovvero dell’ERM 2017(3). Secondo quest’ultimo il rischio viene definito come: “la possibilità che si verifichino eventi che incidano sul raggiungimento degli obiettivi strategici e di business”.
Quindi, per essere ascoltati, prima di essere capiti o spiegarsi al meglio, come mi ha suggerito un partner lungimirante, quando lavoravo in PWC nei primi anni 2000, bisogna essere: “compresi a prova di scimmia”; per fare ciò, risulta fondamentale parlare il linguaggio dei nostri interlocutori.
In considerazione di quanto sopra, una lezione che si potrebbe apprendere è: “Al fine di comunicare, con il vertice aziendale (ovvero il board dell’organizzazione – entity) e anche con il top management, in maniera semplice, sintetica e schietta, non parliamo più di rischi” … “Se trattiamo dei rischi con il board e il top management parliamo e trattiamo di tutto, salvo che dei rischi associati alle strategie, ai piani, nonché agli obiettivi e azioni definiti”.
Ovviamente, tale asserzione è provocatoria.
Per tutti gli specialisti ed esperti della materia (vedasi in primis Risk Manager, Internal Auditors, strutture di compliance e in generale di chi si occupa di linee di difesa di secondo e terzo livello) un’affermazione di tale portata potrebbe essere considerata blasfema.
Tuttavia, risulta essere luogo comune associare alla parola “risk” solo una connotazione negativa, senza, erroneamente, pensare all’accezione positiva della parola, ovvero “l’opportunità”. Risulta essenziale evitare la creazione di muri di Berlino tra noi e l’interlocutore.
Quanto sopra, serve per far riflettere che è necessario ragionare oltre la quota parte negativa del rischio, pensando in maniera proattiva e, quindi, ancor di più su quella positiva(4).
Invece di focalizzarsi sugli aspetti negativi, su come evitare o mitigare (ridurre) gli eventi sfavorevoli, sarebbe opportuno fermarsi, respirare a occhi chiusi, ragionare e concentrarsi sulle: “Problematiche basilari, sui concetti elementari, su cosa è più auspicabile e giusto fare”.
Pertanto, invece di sforzarsi a cercare di definire in maniera più o meno corretta il rischio, bisognerebbe andare oltre, incavando e approfondendo cosa c’è nell’ambiente sottostante gli obiettivi definiti e quali strategie s’intendono attuare; l’optimum sarebbe comprendere se le strategie decise sono in linea con la mission e la visione dell’organizzazione.
Ragionare in questi termini con il vertice aziendale, con il decision maker, potrebbe portare a scoprire i presupposti degli obiettivi, e nel contempo rendere consapevoli su cosa potrebbe andare male, ma anche sui vantaggi impliciti di ciò che si desidera attuare.
L’obiettivo primario, in considerazione del contesto attuale, è consentire al vertice aziendale e al top management di sentirsi ragionevolmente più sicuro; bisogna creargli delle comfort zone, nell’ambito delle quali, prendano positivamente il contributo di coloro che, all’interno della propria organizzazione, trattano i rischi senza provare a parlarne.
Alziamo le “antennine”, andiamo oltre…
Se c’è un rischio all’orizzonte, risulta necessario farlo comprendere, valutarlo e rispondere alla massima velocità, senza aspettare l’arrivo dell’evento rischioso. Mai essere impreparati.
Secondo una prospettiva gestionale, ciò implica che, mentre:
- l’individuazione dei rischi risponde alla domanda: “Quali eventi con effetti rischiosi possono manifestarsi”,
- l’identificazione dei fattori o fonti, consta nell’assessment del perché, di come, dove, quando, tali eventi possono sopraggiungere.
Il passo successivo è pensare alle ipotetiche soluzioni di risposta (accettazione, mitigazione, trasferimento, rifiuto)
Se si vuole diventare partner strategici all’interno dell’organizzazione e avere successo (in termini di creazione di valore aziendale), bisogna pensare sia ai punti di debolezza, ma anche, e soprattutto, ai punti di forza dell’organizzazione e alle opportunità.
Risulta, infatti, necessario essere incisivi e sapere comunicare in maniera efficace. Occorre agire con delle leve che toccano i nervi delle persone, creando un clima di fiducia.
Praticamente bisogna sfruttare:
- il nostro knowledge,
- la nostra awareness e
- la nostra expertise,
per generare valore aggiunto, ancora meglio se quest’ultimo è sostenibile.
Ricordiamoci che il tempo a nostra disposizione, negli incontri con il vertice aziendale, ma anche con il top management, è poco, limitato, quindi, bisogna sfruttarlo al meglio, renderlo proficuo, suscitando interesse e apprezzamento.
Stuzzicare riflessioni e pensieri per i prossimi passi, affinchè ci sia un secondo e un terzo momento di condivisione o addirittura avviare subito un momento decisionale sul cosa fare.
Insomma, mentre si lavora sugli obiettivi dell’organizzazione e si analizzano i correlati indicatori per misurare i target prefissati, sarebbe opportuno esaminare attentamente l’ambiente interno e, ancor di più, il contesto esterno, al fine di comprendere quali siano le possibili situazioni o eventi che possono influire negativamente, ma anche positivamente sugli obiettivi”. In tal senso, l’ascolto attivo consente, anche l’individuazione di indicatori di rischio che offrono segnali di avvertimento, facendo risaltare quei potenziali cambiamenti o eventi collegati a un rischio emergente o a un’opportunità latente(5).
In definitiva, per ottenere ascolto, migliorando la conversazione con il vertice aziendale e gli stakeholders interni, probabilmente, bisogna ascoltare di più e utilizzare con molto parsimonia le parole risk e risk management.
Concludendo, bisogna migliorare i rapporti, creare e infondere fiducia (trust) e sicurezza…
Per fare ciò, si ritiene indispensabile sviluppare una cultura aziendale improntata sul rischio, la cd risk culture(6), al fine di “iniettarla all’interno dell’organizzazione” e, conseguentemente, integrarla nei processi aziendali. La risk culture è prioritaria e va permeata all’interno di tutta l’azienda(7).
Solo dopo aver creato consapevolezza sul rischio e confidenza con il risk management si può trattare tali argomenti, correlandoli in maniera sinergica alle strategie, agli obiettivi aziendali (strategici e di business) e alle correlate performance attese.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr Internal Auditor Magazine (2020); Road to recovery, pag.8; (giugno 2020) – IAonline
(2) IIA – The IIA’s International Standards define a risk as ‘the possibility of an event occurring that will have an impact on the achievement of objectives. Risk is measured in terms of impact and likelihood Cfr. Risk, THEIIA, International Standards-Glossary
(3) COSO ERM – Enterprise Risk Management – Integrating Strategy with Performance (2017), “The possibility that events will occur and affect the Risk achievement of strategy and business objectives”.
(4) F.D.Attisano (2019), “Il Rischio come opportunità per gestire l’incertezza”; www.riskcompliance.it
(5) F.D. Attisano (2020), “Una visione a tutto campo”, Rivista Internal Audit. n.102 luglio – settembre 2019; www.aiiaweb.it
(6) F.D. Attisano (2020), “Rafforzare la risk culture”, Rivista Internal Audit. n.104 gennaio- marzo 2020; www.aiiaweb.it
(7) F.D. Attisano (2020), “Tone from the top e Risk awareness driver fondamentali della Risk culture”; www.riskcompliance.it