La gestione del rischio utile per le PMI: dove fallisce

La gestione del rischio è un argomento che i consigli di amministrazione e i membri della gestione esecutiva devono affrontare con urgenza. In molte aziende, la gestione del rischio è vista solo come un necessario ma alla fine inutile adempimento dei requisiti legali. Ma al più tardi da quando i rischi che minacciano l'economia globale sono stati discussi al WEF di Davos, i manager e i media se ne occupano più o meno intensamente. Si tratta di una rete complessa di pericoli e minacce come la carenza di competenze, i cambiamenti demografici, lo squilibrio del capitale, la volatilità finanziaria, la transizione energetica, la carenza di energia, la carenza di acqua, il riscaldamento globale e la migrazione [1, 2], per citarne solo alcuni. È comprensibile che i manager vogliano sapere come queste tendenze influenzino le loro attività commerciali.

Regolamenti legali e industriali

La legge prevede (art. 961 CO) l'obbligo di una gestione dei rischi per determinate forme giuridiche (AG quotate in borsa) al di sopra di una certa dimensione aziendale (CHF 40 milioni di fatturato/> 250 dipendenti). 3] L'esistenza e il funzionamento devono ora essere confermati nel rapporto di gestione della relazione annuale. Diversi regolamenti specifici del settore sono indicati come standard contabili riconosciuti (IFRS per le PMI/Swiss GAAP FER/ IPSAS), ma le raccomandazioni per la governance aziendale specificano anche come il reporting deve essere effettuato.

Il consiglio di amministrazione può quindi anche essere richiesto dalla legge di implementare e dimostrare un sistema di gestione del rischio funzionante.

L'implementazione è di solito fatta implementando uno standard di gestione del rischio generalmente accettato (COSO ERM, ISO 31 000, ONR 49 000ff) e i processi corrispondenti. Questi processi sono poi controllati una volta all'anno da una società di revisione e l'esistenza di questi processi è confermata nel rapporto di revisione. Nell'ambito di questi processi, il Comitato dei rischi del Consiglio d'amministrazione e la Direzione generale ricevono generalmente un rapporto da 1 a un massimo di 4 volte all'anno con i maggiori rischi rilevanti per l'azienda.

Tutti parlano di gestione del rischio...

Diversi studi globali e su larga scala delle Big 4, tra cui Deloitte [4] e PwC [5], ma anche delle compagnie di assicurazione [6], mostrano che una netta maggioranza dei manager intervistati considera importante la gestione del rischio. Inoltre, quasi tutti vogliono investire nell'ottimizzazione della gestione del rischio in futuro. È interessante notare che solo circa un terzo dei manager include ancora informazioni concrete sulla gestione del rischio nelle loro decisioni. Continuano a prendere decisioni basate sull'istinto.

...ma pochi lo usano!

Quali sono dunque i principali problemi che impediscono a una PMI di utilizzare al meglio la gestione del rischio. Ci sono certamente tre ragioni principali [7]:

1. troppo poche risorse ("la nostra forza lavoro è più importante altrove").

2. troppo poca conoscenza ("La gestione del rischio richiede specialisti")

3. aspettativa di beneficio troppo bassa ("Non cambia nulla se conosco i rischi").

Dal nostro punto di vista, sono proprio gli approcci comunemente applicati per risolvere questi tre problemi acuti che portano a molti problemi più piccoli, che poi ostacolano una soluzione ottimale per una PMI. Le aree problematiche più importanti identificate sono brevemente discusse di seguito. Essi comprendono (vedi anche l'adiacente, presentazione dei problemi generali per le PMI):

• Troppi esperti: Ci sono molti specialisti sul mercato, ognuno dei quali è un genio nel suo campo. Ma ci sono molte aree di competenza nella gestione del rischio (vedi box). Poiché le risorse finanziarie sono spesso limitate e i problemi acuti richiedono una soluzione rapida ed esperta, vengono stabilite le priorità sbagliate.
• Pensiero ostinato del siloCi sono molte aree, dipartimenti e funzioni all'interno dell'organizzazione. Ognuno di loro ha esigenze diverse e individuali sulla gestione del rischio. In assenza di coordinamento, il più forte prevarrà [8] (vedi box).
•  Troppi standard: Ci sono molti standard che vengono applicati solo in singole sotto-aree di gestione del rischio e sono utilizzati dagli esperti del settore. Inoltre, ci sono standard e insiemi di regole che sono prescritti o abituali nelle aree organizzative e sono quindi preferiti (vedi box). L'ignoranza della loro necessità o di insiemi di regole di livello superiore e di opzioni alternative porta a una dispersione delle risorse disponibili. Inoltre, troppo spesso manca una valutazione costi-benefici prima della loro attuazione.
•  Troppe cause legali: Guidati dalle necessità delle singole funzioni e aree, così come dall'uso di standard molto specializzati da parte degli esperti chiamati in aiuto, vengono introdotti diversi processi di gestione del rischio indipendenti e paralleli, nota bene per gli stessi processi o molto simili. Questo porta inevitabilmente a un elevato sforzo di documentazione e quindi a impegnare le risorse. Un ulteriore aspetto negativo è che questo può anche inibire massicciamente l'innovazione.
• Troppi strumenti: C'è ora un numero confusamente grande di strumenti di gestione del rischio, da semplici liste di controllo a software specifici. Questi a loro volta generano varie forme di rapporti. Gli esperti da un lato raccomandano e implementano spesso metodi già pronti che conoscono bene e che usano ovunque. Le funzioni e le divisioni, d'altra parte, di solito conoscono solo gli strumenti comunemente usati nella loro area di competenza; questi poi coprono principalmente i loro bisogni immediati. Questa circostanza porta ad un grande diluvio di informazioni ed è quindi responsabile di una visione d'insieme molto limitata. Anche se gli strumenti di gestione del rischio attualmente in uso soddisfano i requisiti del campo speciale per il quale sono stati sviluppati, è spesso discutibile se possono essere utilizzati in modo ottimale per una gestione efficiente del rischio aziendale. Spesso non soddisfano i criteri di efficienza, diversità e anche di comunicazione nella misura che sarebbe richiesta per una PMI. [8]

Una situazione insoddisfacente

L'esperienza ha dimostrato che queste numerose aree problematiche sovrapposte e, nonostante tutto, interdipendenti, fanno sì che la gestione del rischio sia perseguita con grandi spese, ma non sia valutata come benefica. Ciò significa che i vantaggi reali che risulterebbero da una gestione del rischio appropriata, efficiente e integrale non vengono sfruttati [9]. Tuttavia, questo dovrebbe essere nell'interesse di una PMI con un buon governo aziendale.