Attuazione difficile

La gestione del rischio sta diventando sempre più importante nelle aziende e nelle organizzazioni. La necessità di una gestione attiva e consapevole del rischio adattata alle esigenze individuali sta diventando evidente (per esempio "Deepwater Horizon" e "crisi finanziaria"). I requisiti legali e i regolamenti obbligano ad agire. Nuovi approcci come il GRC (Governance, Risk & Compliance) stanno già cercando di integrare le varie discipline di gestione del rischio (governance, EH&S, rischi finanziari, conformità, rischi ICS, ecc.) Il GRC mira ad ancorare la gestione dei rischi in modo più consapevole e quindi generare un maggiore impatto, evitare le ridondanze e sfruttare le sinergie tra sistemi di gestione posizionati in modo simile.

ERM come strumento di gestione

I sistemi di gestione del rischio dovrebbero essere implementati fondamentalmente per due motivi: In primo luogo, per soddisfare i requisiti legali (garantire la conformità legale), e in secondo luogo, per generare valore aggiunto nell'azienda o nell'organizzazione.

Nel contesto della definizione dei concetti di gestione del rischio oggi, vengono spesso proposti modelli di implementazione complicati in cui i benefici sono difficili da vedere. I sistemi di gestione sono prodotti di servizio e

Beneficio difficile da vedere

come progettare e applicare tale. Questi dovrebbero essere integrati nei processi dell'azienda utilizzando approcci pratici. Dovrebbero essere efficienti dal punto di vista delle risorse, supportando il "business" nelle operazioni quotidiane con adeguate informazioni sui rischi. Tipicamente, i sistemi di gestione del rischio con panoramiche di rischio aggregate e soluzioni adattate al rischio per le misure dovrebbero supportare il management nel processo decisionale, nello sviluppo della strategia, nella pianificazione aziendale e nella gestione dei progetti.

Inoltre, la gestione è costantemente coperta da nuovi sistemi di gestione. Si nota chiaramente una saturazione nel top management così come tra i rispettivi proprietari di processi aziendali. Un vero impegno da parte del management verso la propria linea e la forza lavoro è possibile solo se la leadership percepisce la gestione del rischio non solo per motivi di conformità, ma come uno strumento di gestione e riconosce anche un beneficio pratico. L'ulteriore sviluppo di una struttura di gestione del rischio che è inadeguata nella maggior parte delle organizzazioni oggi può avere successo solo dall'alto verso il basso e con la partecipazione del management esecutivo (CEO) e del consiglio di amministrazione. Secondo l'esperienza pratica, è soprattutto una questione di idee di pensiero in quattro aree:

1. mancanza di responsabilità / impegno

Ci sono varie ragioni per cui la gestione del rischio non è applicata o lo è solo in modo rudimentale al più alto livello nel mondo aziendale, compreso il fatto che le opportunità sono in primo piano e le responsabilità del top management non sono ancora applicate o lo sono in modo insufficiente. Sono le opportunità allettanti che si presentano e che, senza considerare il lato del rischio, sembrano essere molto più alte e raggiungibili? Il settore finanziario conferma esattamente il quadro che qualsiasi processo di gestione del rischio (compresi i sistemi di controllo interno) non viene deliberatamente applicato e che il top management si presenta come completamente ingenuo e ingenuo a posteriori. È anche un fatto che si perdono miliardi di valore per gli azionisti, il pubblico interviene e la direzione non ha abbastanza responsabilità.

La base legale svizzera per la gestione del rischio (vedi riquadro) è molto breve e poco chiara; non c'è alcun riferimento esplicito a come la gestione del rischio debba essere attuata. Anche il "come" è difficilmente rispondente agli standard attuali. In particolare, manca una chiara "best practice" nelle principali aree di rischio. Il focus dei sistemi ERM dovrebbe essere la pianificazione delle misure e lo sviluppo di soluzioni simili ai modelli. Gran parte dei rischi principali sono intersettoriali e simili. Gli standard di azione genererebbero significativi benefici aggiuntivi in questo caso. Per esempio, rischi come la perdita di personale chiave o i rischi di acquisto, per citare solo due esempi, si possono trovare in molte industrie diverse. Le tendenze attuali come "Governance, Risk & Compliance" sono di natura teorica e sono particolarmente adatte come base per la consulenza, ma portano pochi vantaggi pratici aggiuntivi nella pratica (l'eliminazione delle duplicazioni non è sicuramente un effetto chiave).

Spesso, non c'è un vero impegno da parte del top management. Nella maggior parte dei casi, una buona visione del rischio è di poca importanza per il CEO, che si misura con la massimizzazione del profitto e non con la minimizzazione del rischio. Spesso, l'esistenza di una mappa rudimentale dei rischi è sufficiente per le richieste di una direzione esecutiva o del consiglio di amministrazione, che è anche completamente sufficiente secondo la base legale in Svizzera (nessun revisore richiede informazioni più dettagliate).

L'impegno della direzione dipende troppo spesso dalle preferenze personali e dall'agenda del rispettivo membro della direzione. L'impegno determina anche la capacità del risk manager di muoversi con successo all'interno dell'organizzazione.

2. organizzazione ERM insufficiente

Oggi, la gestione dei rischi viene effettuata con profondità e accuratezza variabili nelle aziende, spesso come un processo isolato, che di per sé è una contraddizione (anche gli approcci di controllo non vengono effettuati separatamente e non in modo integrato).

Una valutazione dei rischi viene generalmente effettuata dal top management nelle relazioni trimestrali e annuali da una a quattro volte l'anno. Un processo continuo di gestione integrata dei rischi che coinvolga tutti i livelli gerarchici e che affronti le responsabilità non è per lo più in atto.

Solo l'integrazione e l'inclusione nei processi strategici, operativi e di supporto, così come l'indirizzamento delle responsabilità

carenze nella formazione

Questo permette una visione globale del rischio, come richiesto in un ERM (Enterprise Risk Management). Naturalmente, le discipline esperte come i sistemi di controllo interno, la salute e la sicurezza sul lavoro, la sicurezza, la gestione della continuità aziendale, la tesoreria, la gestione delle crisi, la gestione dei rischi finanziari, la sicurezza delle informazioni, ecc. devono essere integrate di conseguenza.

La gestione del rischio è una disciplina giovane, almeno per quanto riguarda l'attuazione consapevole dei processi di gestione del rischio. Di conseguenza, gli approcci di gestione del rischio e i piani d'azione standardizzati sono molto eterogenei. Nonostante l'applicazione sempre più diffusa del risk management, i risk manager generalmente formati sono ancora una rarità. La formazione dovrebbe essere basata sulle esigenze pratiche attuali e sui campi di rischio esistenti e fornire agli studenti standard e metodi di gestione (misure di rischio). Questo può essere garantito solo se si effettua una ricerca di base e uno scambio di competenze dall'insegnamento alla pratica. Oggi, l'educazione manca di metodi su come le specifiche categorie di rischio dovrebbero essere gestite attraverso i loro potenziali di rischio. Le eccezioni, dove un gran numero di esperti ben qualificati è disponibile, includono aree come la sicurezza informatica, la sicurezza sul lavoro, la protezione antincendio, i rischi di credito e di mercato. Tuttavia, questi raramente capiscono il beneficio di una soluzione integrata per la rispettiva azienda/organizzazione.

Poiché i rischi evitati non possono essere misurati e i confronti tra gli stati di rischio prima o dopo l'introduzione di eventuali misure (confronti lordo-netto) non reggono ad un esame più approfondito, anche le misure di rischio e il loro valore non possono essere misurati direttamente. Con l'impossibilità di misurare l'aumento di valore, anche la fornitura di risorse a livello aziendale non sarà facile da far rispettare.

Il valore aggiunto può essere generato solo se, oltre ai rischi principali, gli standard di misure e semplici

Strumenti adatti solo in misura limitata

vengono messi a disposizione metodi pratici. Tuttavia, questo è il compito delle università e non delle aziende.

3. metodi complicati con poco valore aggiunto

I metodi di gestione dei rischi per la registrazione e l'analisi approfondita dei rischi e delle loro misure richiedono molto tempo e non sono standardizzati. Questi attributi non solo sovraccaricano i gestori del rischio, ma di solito anche gli organi di gestione. Naturalmente, ci sono delle eccezioni, per esempio, esistono modelli di rischio sofisticati per i rischi finanziari. Tuttavia, come hanno dimostrato in modo significativo numerosi eventi nell'industria dei servizi finanziari negli ultimi anni, questi modelli possono essere utilizzati solo in misura limitata nella realtà e hanno troppe carenze per gestire i rischi finanziari a lungo termine.

Per ragioni di praticabilità, la valutazione delle varie categorie di rischio nelle aziende spesso non viene effettuata su base interdivisionale. Le valutazioni dei rischi sono molto difficili da capire e vengono effettuate solo su base qualitativa (tranne nei campi cosiddetti facilmente quantificabili dei rischi finanziari, ecc.) Gli strumenti sono adatti solo in misura limitata. I rischi nei processi aziendali vengono affrontati in modo intuitivo, raramente consapevole e approfondito, distaccato dalla gestione del rischio. Gli strumenti ERM non forniscono supporto ai processi aziendali.

Collegamento culturale

Oggi, anche nei grandi gruppi internazionali, il reporting è fatto manualmente, cioè senza o solo parzialmente utilizzando strumenti ERM. I rapporti integrati - in cui diverse categorie di rischio sono riportate in modo integrato - sono raramente preparati. Lo sforzo richiesto per il reporting al consiglio di amministrazione e al consiglio di gestione è quindi molto alto e l'applicabilità degli strumenti ERM per il reporting nella pratica è ancora troppo poco sviluppata. Oggi, gli strumenti sono per lo più database, ma possono anche essere gestiti sulla base di Excel, Share Point. Le opzioni di simulazione per gli strumenti ERM sono anche molto limitate in alcuni casi; anche qui, concetti orientati all'utente creerebbero un valore aggiunto.

4. mancanza di cultura del rischio

La cultura aziendale prevalente è legata all'attività svolta nell'azienda. Inoltre, la cultura dipende fortemente dalla storia dell'azienda e anche dalla cultura esemplificata dal management.

Inoltre, la cultura del rischio è anche fortemente influenzata da modi di pensare che tendono ad essere rappresentati nelle singole professioni. Il risk manager deve quindi adattarsi a questi modi di pensare, e i risultati dell'analisi dei rischi sono quindi diversi. Quindi un'analisi dei rischi deve essere realizzata da un'unità il più possibile eterogenea di un'organizzazione per evitare di orientarsi verso risultati troppo unilaterali.

La cultura aziendale offre spesso troppo poche basi per poter collegare culturalmente la gestione del rischio. Gli errori localizzati e i rischi dei dipendenti possono spesso essere discussi liberamente e non vengono comunicati alla direzione. Gli approcci di whistle-blowing funzionano solo in misura limitata e possono avere conseguenze sotto il profilo del diritto penale.