Valore aggiunto per le PMI!

In molte aziende, la gestione del rischio è vista solo come un adempimento necessario ma alla fine inutile dei requisiti legali. In un articolo precedente, le possibili ragioni sono già state esplorate.

Nel seguente articolo, spiegheremo ora le possibili soluzioni su come le PMI possono beneficiare di una gestione dei rischi appropriata e conveniente che va oltre la sicurezza finanziaria puramente legale. Con queste raccomandazioni in parte non convenzionali, ci stiamo deliberatamente muovendo in una direzione diversa, lontano dai soliti approcci dominati da processi e strumenti.

Obiettivi?

Prima di tutto, bisogna rispondere a queste domande fondamentali: Quali sono le aspettative di una PMI per una gestione del rischio efficace e utile? Supponendo, naturalmente, che le norme legali e specifiche del settore debbano essere rispettate. Gli obiettivi centrali della gestione integrale del rischio sono:

• Assicurare l'esistenza a lungo termine e lo sviluppo positivo dell'azienda,
• Prevenire il down-rating e le carenze di liquidità,
• Registrazione e valutazione integrale e uniforme dei rischi veramente rilevanti per tutta l'azienda,
• Creazione tempestiva di tutti i diversi moduli di rapporto, per un reporting basato sulle necessità dei diversi proprietari del rischio e delle parti interessate.

Come vantaggi aggiuntivi, vanno menzionati i seguenti punti:

• Fornire un supporto attivo per un processo decisionale intelligente, sia strategico, finanziario o operativo, e,
• Promozione di innovazioni e progetti promettenti.

Qui, l'attenzione è sull'importante intuizione che i rischi finanziari sono spesso solo gli effetti dei rischi strategici, operativi e tecnici per molte aziende. O, per dirla in un altro modo - le cause alla radice della maggior parte dei problemi finanziari risiedono quasi sempre in precedenti decisioni errate nell'area dello sviluppo strategico e dell'implementazione operativa [1]. Lungi da noi negare i rischi finanziari, ma una gestione efficace del rischio non dovrebbe fermarsi qui. Per ottenere un beneficio pronunciato, deve includere anche i molti altri aspetti e, in definitiva, le intuizioni sulla gestione del rischio devono essere incorporate nel processo decisionale iniziale.

Requisiti?

La seconda domanda importante prima di introdurre la gestione del rischio riguarda i requisiti necessari. Una PMI ha di solito risorse limitate e competenze insufficienti a sua disposizione. Inoltre, devono concentrarsi sul loro "business quotidiano". Questo porta ai seguenti requisiti per una gestione efficiente del rischio:

Il processo deve:

•  corrispondono alla cultura aziendale e di processo esistente,
• soddisfare le diverse esigenze specifiche della funzione,
• può essere ampiamente adattato alla sistematica dei documenti già esistenti,
• includere solo un processo chiaro e continuo nel corso dell'anno,
• essere negoziabile con risorse interne o esterne,
• ad ogni livello/funzione tempo efficiente e 
• essere complessivamente efficiente in termini di costi.

Segnalare dovrebbe:

• essere chiaro, semplice e comprensibile per i diversi destinatari, 
• può essere visualizzato chiaramente,
• può essere tracciato in "tempo reale" se necessario,
• corrispondono alle forme di rapporto predefinite di unità organizzative di livello superiore 
• e, naturalmente, soddisfare i requisiti legali e normativi.

Questo si traduce nella caratteristica più sorprendente di una gestione efficace del rischio. Deve essere flessibile! Questo evita che ogni funzione dell'azienda abbia il proprio sistema di gestione dei rischi secondo le proprie esigenze e necessità.

Il processo di gestione del rischio deve essere integrato nel processo esistente e nel sistema di gestione dei documenti?

Il sistema di gestione dei rischi implementato da queste aziende è altamente specializzato e di solito si basa su uno standard riconosciuto solo nella loro area. Questo riduce il problema di avere diverse soluzioni isolate non congruenti con processi che funzionano in parallelo e costi sproporzionatamente alti. In pratica, quindi, le funzioni e i dipartimenti le cui esigenze differiscono per quanto riguarda il metodo di analisi dei rischi utilizzato o la forma di reporting devono essere integrati nel sistema integrato di gestione dei rischi.

Un altro aspetto è la possibile integrazione in processi già esistenti. È un fatto che l'esistenza e il funzionamento di un sistema di gestione dei rischi in una società devono essere confermati dalla revisione [art. 961c CO] se essa soddisfa i criteri di una revisione ordinaria (SA quotata in borsa, > 40 milioni di fatturato, > 250 dipendenti) [2]. Attualmente, però, nessuna norma richiede esplicitamente l'audit o la certificazione del sistema di gestione dei rischi.

Ha quindi senso gestire il processo di gestione del rischio separatamente dai sistemi da sottoporre ad audit, come GMP, ISO 9001, ecc. Tuttavia, secondo gli standard attuali (ISO 31000, ONR 49000ff., COSO ERM), è richiesta l'esistenza di un sistema di gestione [3]. Nella gestione del rischio sono necessari anche la documentazione, la formazione, le revisioni guidate dal tempo e dagli eventi e il miglioramento continuo.

La nostra raccomandazione è quindi di utilizzare il sistema esistente per i compiti di gestione del rischio, ma di gestirlo formalmente a parte, in una "nave" diversa per così dire. Come esempio, vorremmo menzionare l'uso efficiente dell'ICS come controllo dei rischi anche per i processi non finanziari, specialmente per il monitoraggio continuo dei progetti strategici e l'allerta in tempo reale in caso di deviazioni di processo. Questo perché ICS esegue già molti dei compiti necessari. Vedi Tabella 3, Compiti dell'ICS.

Per varie ragioni, alla gestione del rischio viene negato il riconoscimento. Ciò è dovuto principalmente alle seguenti condizioni: Si può aver investito troppo tempo nei processi e quindi si tralascia il messaggio di successo. La mancanza di feedback, tuttavia, porta al fatto che non si è percepiti come parte del successo. Un altro aspetto è la mancanza di misurabilità che si attribuisce alla gestione del rischio. Questo è spesso dovuto alla mancanza di dati prima dell'implementazione del sistema.

Effetti positivi

Pertanto, la questione dei KPI (Key Performance Indices) rilevanti per il rischio o degli RPI (Risk Performance Indices) concreti deve essere posta per tempo. Si dovrebbero anche definire degli RPI chiari per la gestione del rischio e i KPI che devono essere influenzati da essa. Se la gestione del rischio può essere implementata integralmente e comunicata bene, mostra già lati positivi a breve termine, come ad esempio:

• Maggiore soddisfazione dei destinatari del rapporto sui rischi > Migliore comprensione individuale
• Migliore identificazione dei rischi > Maggiore feedback, attuazione delle misure
• Controllo più semplice, reazione più rapida > Segnalazione rapida delle deviazioni
• Sforzo ridotto per i risk reporter e i risk owner > Processo più efficiente

Anche la gestione integrale e di successo dei rischi mostra miglioramenti a medio termine:

• Maggiore sicurezza migliore motivazione > Affidabilità delle consegne - Soddisfazione del cliente
• Decisioni qualitativamente migliori > Percezione ottimale delle opportunità
• Maggiore consapevolezza del rischio > Formazione di una cultura del rischio propria dell'azienda
• Reputazione positiva con gli stakeholder, la comunità e gli azionisti

Così, alla fine, il raggiungimento degli obiettivi di gestione del rischio dovrebbe essere reso possibile anche a lungo termine se i KPI sono presi in considerazione. Vedi Tabella 2, quali KPI possono essere.

Un importante prerequisito per questo: I KPI desiderati devono essere definiti prima dell'introduzione della gestione del rischio - e devono essere già stati registrati su un lungo periodo di tempo per identificare le tendenze.

Una gestione efficace e integrale del rischio ha un'influenza significativa sul successo di una PMI. In particolare, i risultati a medio e lungo termine possono essere controllati positivamente con una gestione efficace del rischio.

La questione centrale posta all'inizio riguardo al beneficio diretto della gestione del rischio può quindi essere chiaramente avallata.