Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Transcript

1 Associazione Italiana Corporate & Investment Banking Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment Banking ha promosso la ricerca dal titolo Il risk management nelle imprese italiane, volta a delineare lo stato dell arte della gestione del rischio nelle aziende di diverse dimensioni, come primo passo di una serie di iniziative volte alla diffusione della cultura di risk management nelle imprese minori. In particolare, attraverso il confronto tra la best practice utilizzata dalle grandi imprese e i processi effettivamente svolti nelle PMI, è possibile redigere un vademecum per quest ultime. Per perseguire tale finalità, la ricerca è stata suddivisa in tre fasi, ciascuna dedicata ad una particolare fascia di fatturato (Tabella 1) ed avente uno specifico sottoobiettivo. FASE 1- Grandi superiore 300 milioni) a 2 Medie IMPRESE COINVOLTE 10 imprese Campione: imprese MODALITÀ DI RICERCA Qualitativa (intervista ai responsabili del processo di risk management) Quantitativa (questionario strutturato sottoposto a direttori

2 compreso tra 25 e 300 milioni) 3 Piccole Rispondenti: 38 imprese generali e/o finanziari) Qualitativa compreso tra 2 e 25 milioni) 32 imprese (workshop con rappresentanti d impresa) Tabella 1. Le fasi della ricerca: le imprese coinvolte La prima fase, focalizzata sulle grandi imprese, aveva come scopo l identificazione della best practice adottata nell ambito dell Enterprise Risk Management (gestione integrata di tutti i rischi aziendali). La seconda fase, dedicata alle imprese di medie dimensioni, era volta a delineare lo stato dell arte dei processi di gestione dei rischi e di tutela della continuità dell impresa. La terza fase, riservata alle piccole imprese, doveva illustrare come il concetto di continuità d impresa e la sua tutela si caratterizzassero all interno di tale cluster. Risultati della ricerca Fase 1 Le Grandi Tale tipologia di azienda 1 pone in essere un processo strutturato di gestione del rischio, suddiviso nelle fasi di identificazione, valutazione, trattamento e monitoraggio. La fase di valutazione vede l utilizzo di tecniche di stima qualitative e/o quantitative, a seconda della tipologia di rischio presa in esame. Per la fase di trattamento si procede alla redazione di action plan la cui realizzazione è di competenza dei manager di linea o di funzione; le attività di controllo e monitoraggio sono svolte in modo continuativo. La supervisione del processo è affidata a unità dedicate: l internal auditing (controllo interno), la funzione di risk management o ad entrambe. Più specificatamente, l internal auditor prende in considerazione i rischi di conformità alle leggi e operativi ma non ha incarichi diretti di gestione. Il risk 1 Sono stati intervistati 10 responsabili del processo di risk management in grandi imprese italiane. Le interviste sono state effettuate tra giugno e luglio 2007.

3 manager è, invece, maggiormente focalizzato sulla gestione dei rischi puri e industriali, si occupa in prima persona della gestione dei programmi assicurativi. Dall indagine risulta che i fattori critici per la buona riuscita di un processo di risk management risiedono nel forte commitment dell alta direzione, nell interazione con tutte le funzioni aziendali e nella diffusione della cultura del rischio nell impresa. Fase 2 Le Medie Ai direttori finanziari e/o generali delle imprese di medie dimensioni è stato inoltrato un questionario 2 suddiviso in cinque sezioni: 1. i processi e le risorse considerati critici; 2. le tipologie di rischio e i processi di valutazione; 3. le misure di gestione della continuità aziendale; 4. il monitoraggio e le figure coinvolte; 5. in appendice, alcune domande sull entrata in vigore della normativa cosiddetta di Basilea 2. I tre rischi maggiormente percepiti dalle imprese 3 sono il rischio concorrenza (93%), il rischio commodity (76%) e il rischio di perdita delle persone chiave (71%). Nella figura 1 sono riportati i 3 processi considerati maggiormente critici dalle imprese e quelli tutelati da un piano di Business Continuity 4 (B.C.P.). 2 La rilevazione è stato eseguita tra novembre 2007 e febbraio I valori indicati sono ottenuti sommando le risposte molto importante e importante. 4 Per Business Continuity si intendono tutte quelle tecnologie, procedure e soluzioni che servono a garantire all impresa un livello minimo di operatività in caso di qualsiasi imprevisto.

4 Figura 1. Processi critici e processi tutelati dalle imprese rispondenti Si è voluto, cioè, confrontare i processi considerati critici con quelli che le imprese proteggono attraverso piani che ne assicurano la continuità. In circa il 20% dei casi un processo ritenuto critico non è tutelato da un piano di business continuity. Le altre misure maggiormente adottate per gestire i rischi sono l utilizzo di manuali di procedure (66%), lo sviluppo di piani di formazione (39%) e la concessione di elevati livelli di delega (37%). Il risk manager è una figura professionale ancora poco diffusa: solo il 18% dei rispondenti ha un ufficio dedicato. Fase 3 Le Piccole Sono stati organizzati una serie di workshop 5, al fine di comprendere: a) quali siano i rischi più importanti che caratterizzano tali imprese; b) se e come vengano identificati e gestiti i rischi; c) se e come gli imprenditori si tutelino dai rischi; d) quale ruolo può svolgere la banca e l influenza del consulente di fiducia. I 3 rischi maggiormente sentiti sono quelli correlati alla perdita dei collaboratori chiave, al passaggio generazionale e il rischio concorrenza. Nelle imprese intervistate non è inoltre presente un processo formalizzato di gestione del rischio. L imprenditore accentra presso di sé tutte le informazioni concernenti i rischi aziendali, di cui non sempre è consapevole (in quanto tende a percepire solo i rischi più legati alla propria formazione). La perdita dell imprenditore è, in realtà, la prima minaccia alla continuità aziendale. Conclusioni Le grandi imprese hanno implementato un processo di gestione dei rischi formalizzato e con risorse dedicate. Le ragioni di ciò risiedono sicuramente nella disponibilità di risorse e nella necessità di gestire in modo efficace un sistema complesso, com è la grande impresa. Inoltre hanno avuto una spinta vincolante dalle normative che sono state emanate su tale tematica. Eppure possono ancora 5 I 4 incontri hanno avuto luogo tra novembre e dicembre Hanno visto la partecipazione di imprenditori (in media 9), dei rappresentanti dell istituto bancario ospitante e di AICIB, oltre che dei ricercatori.

5 migliorare: non tutte hanno posto in essere un processo di Enterprise Risk Management, ossia un processo che consideri tutti i rischi aziendali, di qualsiasi tipologia, e che coinvolga l intera impresa. Le medie imprese attuano un processo di gestione dei rischi, ma tale processo è spesso frammentato e suddiviso fra più soggetti, mentre manca una figura di riferimento, il risk manager. Le attività di gestione dei rischi sono focalizzate sui rischi più tradizionali (es. rischi catastrofali e industriali) e le misure maggiormente adottate sono, conseguentemente, le misure preventive e le polizze assicurative. Vi sono però imprese più evolute che hanno introdotto alcune attività che concernono anche i rischi operativi e strategici, mentre i rischi finanziari rientrano sotto la gestione della direzione amministrazione, finanza e controllo. Le piccole imprese non adottano nessun processo formalizzato di gestione del rischio, ma le minacce vengono gestite direttamente e quasi esclusivamente dall imprenditore, basandosi sulle proprie capacità e sull esperienza. La misura maggiormente adottata è la sottoscrizione di polizze assicurative, ma non è frutto di un processo ragionato di identificazione e valutazione del rischio; ciò non permette l ottimizzazione degli sforzi posti in essere. È necessario che le piccole e medie imprese, partendo dai principi che guidano i processi di gestione del rischio nelle imprese di dimensioni maggiori, li adattino alla propria realtà per incrementare la tutela del proprio business. Milano, Gennaio 2008