50 anni di gestione interdisciplinare del rischio

Siamo nel 2015 e i salti tecnologici aumentano rapidamente, i prodotti e le linee di produzione appaiono più complessi, la rete digitale è in aumento e, di conseguenza, le concentrazioni di valore e una legislazione più severa dominano anche le aziende svizzere. Si potrebbe pensare che la società di oggi veda i rischi come una minaccia costante. Sarebbe molto meglio creare una cultura aziendale disinformata che permetta di gestire in modo chiaro e trasparente, se non continuo, i rischi e i loro cambiamenti, le norme e le misure di protezione.

Per valutare e controllare i rischi in modo più uniforme, gli studiosi di economia che lavorano in Svizzera hanno anche sviluppato le prime strutture e leggi sulla gestione dei rischi. Il Prof. Dr. Bruno Brühwiler, esperto di grande esperienza e amministratore delegato di Euro Risk Ltd., che ha avuto un ruolo chiave nello sviluppo di standard nazionali e internazionali, ha detto a Management & Quality: "Le imprese si sono imbattute in questo argomento su entrambe le sponde del Pacifico. Tuttavia, 50 anni fa non c'era una gestione del rischio diffusa - tranne che per gli studi sullo spazio, sui disastri o sui reattori. La scienza stessa ha guadagnato slancio solo attraverso le grandi aziende multinazionali, la maggior parte delle quali ha dovuto gestire un dipartimento di assicurazione e gestione del rischio.

In questa prima ondata negli anni 70, compagnie come Swiss RE, Zurich o Winterthur Insurance hanno definito i primi approcci di gestione del rischio che "risuonano" ancora oggi. Nel frattempo, ogni economista ha imparato che il bisogno di avversione al rischio non può essere semplicemente esternalizzato per mezzo di un contratto di assicurazione. Prof. Dr. Brühwiler: "L'assicurazione contro i rischi ha senso finché non si superano i fattori di costo e si ignorano le relazioni causali".

Molti manager e impiegati, tuttavia, mancano ancora di consapevolezza dei potenziali dirompenti per lo più dinamici o di un approccio metodico alla gestione del rischio.

Gestione professionale del rischio

Il Risk Management (RM), a volte un elemento di un insieme più ampio di regole, forma un guard rail costante in ogni momento - in modo che, per esempio, la gestione delle crisi secondo ISO 22301 (Business Continuity Management) non si concentra solo su eventi di perdita reali, ma identifica anche i processi e le lacune nelle catene di salvataggio a monte e a valle. Infatti, RM - non da ultimo a causa di nuovi sviluppi tecnici e compiti di gestione di vasta portata - organizza mondi di lavoro sempre più complessi e prodotti sensibili.

"Tuttavia", dice il Prof. Dr. Brühwiler, "la gestione del rischio purtroppo è tornata alla ribalta solo a causa delle crisi finanziarie".

Tuttavia, la definizione effettiva dello standard da applicare per la messa in pericolo (e anche per il salvataggio) dell'esistenza dell'azienda è e rimane problematicamente vaga. Dal 1. 5. 1998, la legge tedesca sulle società per azioni (AktG) stabilisce solo al paragrafo 91 (2) che "il consiglio di amministrazione deve istituire un sistema di monitoraggio al fine di identificare tempestivamente eventuali rischi che potrebbero mettere in pericolo l'esistenza della società". In Svizzera, l'articolo 663b del Codice delle obbligazioni svizzero richiede "informazioni sull'esecuzione di una valutazione dei rischi" (vedi Infobox).

I manager dovrebbero ammettere una massima al più tardi nella pratica: "La responsabilità non può mai essere delegata".

Da un lato, tali leggi possono comportare enormi compiti di archiviazione anche per la più piccola delle aziende. D'altra parte, un dirigente d'azienda che non ha una visione rigorosa dei rischi della sua azienda prenderà quasi certamente decisioni disastrose. Quindi, ieri, oggi e domani, gli specialisti di RM devono essere in grado di esaminare e valutare quelle situazioni che sono meno pericolose per il raggiungimento degli obiettivi di un progetto, ma che possono ugualmente diminuire i risultati di successo.

Al più tardi da quando eventi gravi come il grounding di Swissair hanno colpito l'economia svizzera, anche nelle università si insegnano linee guida ad hoc per la gestione del rischio. I manager devono ammettere una massima nella pratica al più tardi: "La responsabilità non può mai essere delegata". Le frasi aziendali stanno gradualmente diventando obsolete, anche se molte decisioni sembrano così astruse per un manager e i possibili eventi sembrano così remoti.

Requisiti per le aziende

La SAQ (Associazione svizzera per la qualità) è stata fondata nel 1965. L'associazione, che oggi conta circa 1.800 membri, l'80% dei quali sono aziende, è più che un catalizzatore per l'equivalenza delle norme ISO applicate a livello internazionale. Per 50 anni, SAQ ha ruotato intorno alla certificazione e all'auditing di aziende gestite in modo professionale. Da qui è nata nel 1983 la SQS (Associazione svizzera per i sistemi di qualità e di gestione).

"Forse in passato la RM veniva spesso confusa con la gestione della qualità, l'ottimizzazione dei processi e la sottoscrizione", dice il Prof. Dr. Brühwiler, docente e presidente della Euro Risk Ltd, ma negli ultimi anni c'è stata una chiara tendenza verso la valutazione integrale dei pericoli. I corsi di formazione e gli eventi di SAQ aiutano i dirigenti a rendere giustizia al loro compito di coordinare la sicurezza aziendale con le aspettative dei dipendenti (ed eventualmente degli azionisti) attraverso norme e linee guida ottimali.

La pianificazione specifica dell'azienda integra altri dipartimenti intorno all'area finanziaria vera e propria. "Non opera RM semplicemente attraverso modelli", dice il Prof. Dr. Brühwiler. Questa è anche l'opinione di Bettina Hübscher, docente e responsabile del progetto RM all'Università di Scienze Applicate e Arti di Lucerna, HSLU. Per lo sviluppo dell'azienda, è più importante essere in grado di valutare, pesare e ammortizzare i rischi e le opportunità che si presentano realmente - nonostante tutte le dichiarazioni di conformità, le linee guida sulla sicurezza dei prodotti, le normative sugli incidenti, i sistemi di gestione delle emergenze, delle crisi e della continuità che sono stati progettati.

Bettina Hübscher: "L'HSLU si affida quindi sempre a misure ad hoc a breve termine, oltre a misure strategiche sostenibili. Tuttavia, funzionano solo se la RM è coordinata con il CC, è vissuta dal vertice dell'azienda a ogni dipendente e praticata regolarmente (combinare l'analisi con la sintesi, esercizi/formazione)".

Una buona governance aziendale è accompagnata da misure di rischio e di conformità. Per la docente HSLU Bettina Hübscher, consiste in almeno sei aspetti importanti. Centrale per questo è "una visione olistica dell'azienda e l'inclusione della cultura aziendale".

• Salvaguardare gli interessi dei diversi gruppi
• gestione funzionale
• cooperazione orientata all'obiettivo della gestione e della supervisione dell'azienda
• Trasparenza nelle comunicazioni aziendali
• gestione appropriata dei rischi
• Le decisioni di gestione sono orientate alla creazione di valore a lungo termine

Se non si crea una "cultura aziendale" funzionante, sorgeranno sicuramente altri rischi. Per non reagire solo agli eventi in modo reattivo, frettoloso o improvvisato, i processi di RM dovrebbero essere integrati nella gestione aziendale. In questo contesto, gli standard co-definiti dal Prof. Dr. Brühwiler, come ISO 31000 (Risk Management - Principi e linee guida) e ONR 49000, Risk Management for Organizations and Systems, Application of ISO 31000 in Practice, possono servire come importanti scambi nella professionalizzazione. Quest'ultimo standard è attualmente tra i primi 5 standard ISO applicati professionalmente.

L'OCSE ha dichiarato che è uno "standard mondiale de facto". In ogni caso, corrisponde a un'espansione e aggiornamento della gestione classica del rischio nell'Enterprise Risk Management. Su questa base, le aziende stanno creando sempre più posizioni di Chief Risk Officer.

Leggete di più nella parte 2 sulle pietre miliari, rispettivamente sugli standard, sulla strada verso la gestione integrata del rischio nel prossimo numero di Management & Quality, che sarà pubblicato a giugno 2015.