Con il presente lavoro vogliamo dimostrare che un buon processo di Risk Management non è prerogativa solo di aziende di grandi dimensioni infatti la nostra esperienza di lavoro in una Piccola Media Impresa (PMI) ci permette di sfatare questo preconcetto.
isk R Management nelle PMI, un reale caso di successo
D Gian Carlo Mocci Già Risk Manager, Quality Manager, e Responsabile Commerciale in un prestigioso Ente di Certificazione e Ispezione Internazionale, è Responsabile Clienti in Pramerica – Gruppo Prudential Financial, Inc. (USA). E’ Internal Auditor certificato CCSA ed Auditor SGA, SGQ, SGS.
Claudia Castellino Quality Manager, esperta in Analisi dei Processi e Sistemi di Gestione della Qualità ha all’attivo diverse esperienze di integrazione di tecniche di Risk Management in ambito Industriale.
42
MAGGIO 2010
imostreremo così come buoni processi di risk management non richiedono necessariamente sovrastrutture costose e complesse, infatti la bontà di un processo di risk management è soprattutto in funzione della sua adeguatezza rispetto alla dimensione aziendale e al business. Anche dall’analisi dell’interpretazione ufficiale nella versione 2009 degli standard IIA si deduce che un buon processo di risk management è requisito importante per garantire decisioni secondo una “sana e prudente gestione”, che i rischi significativi debbano essere identificati e valutati, che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità per l’azienda. Una realtà imprenditoriale di successo ci ha consentito di esporre la sua applicazione di una analisi dei rischi pur chiedendo l’anonimato per evitare diffusione di notizie riservate a Concorrenti, Clienti, Fornitori. Già sensibile a tematiche di gestione dei rischi ha deciso pochi mesi fa di introdurre una specifica analisi per valutare i rischi connessi ai pro-
1 The Institute of Internal Auditors (IIA) – www.theiia.org 2 Le azioni possono essere principalmente correttive, preventive, curative. Si veda UNI EN ISO 9000:2005 Sistemi di gestione per la qualità - Fondamenti e vocabolario 3 Rischio: Insieme della possibilità di un evento e delle sue conseguenze sugli obiettivi (UNI 11230 – Gestione del Rischio, Vocabolario).
DE QUALITATE
cessi di emissione di una offerta e, in maniera speculare, di accettazione di un contratto propostole da terzi. Lo schema logico si articola nei seguenti punti cardine: 1. Identificare e Valutare i rischi derivanti dall’emissione dell’offerta/accettazione del contratto; 2. Attribuire una potenzialità/probabilità di rischio ed un peso/gravità ad ogni rischio individuato 3. Calcolare il rischio totale per ogni rischio individuato (moltiplicando il peso per la potenzialità); 4. Determinare la necessità o meno di intraprendere una azione1; 5. Svolgere una nuova analisi di rischio a valle delle azioni preventive attuate. Si è scelta una metodologia rigorosa, seppur semplice, a supporto dei processi decisionali relativi a tutte le aree aziendali che si articola secondo quanto sinteticamente indicato di seguito.
1- Valutare le aree di rischio ed i rischi potenziali derivanti dal riesame dell’offerta; A seguito di una richiesta di offerta, prima della sua emissione ufficiale al richiedente, occorre eseguire un esame di fattibilità tecnica ed economica così come già fatto sino ad oggi dal personale delle aree Tecniche e Commerciali. A valle di questo esame di fattibilità si attua la redazione dell’analisi dei rischi per la quale occorre identificare ed analizzare i possibili rischi derivanti dall’acquisizione del contratto. Nel modello standard sono stati identificati le seguenti aree di rischio base all’interno delle quali possono identificarsi uno, nessuno o più rischi2: 1. Risorse per inserimento nuovi prodotti 2. Esperienze prodotti similari 3. Tecnologie nuove 4. Esperienza personale 5. Complessità del Prodotto 6. Conoscenza materiali utilizzati 7. Fornitori qualificati 8. Personale qualificato 9. Referenze del cliente 10. Lingua utilizzata 11. Aspetti Politici, Geografici, Etici 12. Clausole contrattuali Abbiamo prima detto che questo è il modello standard, infatti al bisogno, il modello viene reso: 1- più completo inserendo oltre alle 12 aree di rischio già considerate di default altre nuove che di volta in volta possono essere individuate 2- più dettagliato considerando svariati rischi all’interno di ciascuna area.
2- Attribuire una potenzialità/probabilità ed un peso/gravità Per ciascun rischio identificato in ciascuna delle 12 aree , occorre effettuare una valutazione del livello di rischio in termini di probabilità (P) del verificarsi dell’evento e di gravità (G) delle sue conseguenze sugli obiettivi.
Tabella 1 –Probabilità di Rischio (P)
Tabella 2 –Peso/Gravità di Rischio (G)
MAGGIO 2010
43
DE QUALITATE
Da notare che si è volutamente utilizzata una scala di valori “pari” da 1 a 4 per neutralizzare l’effetto di punteggi intermedi. Poteva pertanto anche scegliersi una scala da 1 a 6.
3- Calcolare il valore di rischio Dal punto di vista numerico il valore minimo per ciascun rischio R è 1 nel caso di rischi inesistenti (probabilità e gravità molto bassi), mentre il valore massimo possibile è 16 (probabilità e gravità alte). La classificazione viene fatta in base ai criteri della tabella 3:
La somma dei valori assunti da tutti i rischi costituisce il Rischio Totale (Rtot). Il modello prevede a questo punto la classificazione del valore di Rischio Totale Rtot in base al rapporto tra la somma dei valori di tutti i rischi R (Rtot appunto) e il massimo valore possibile Rmax (qualora tutti gli R fossero con valore massimo pari a 16). Tale classificazione scaturisce in base ai criteri riportati nella Tabella 4.
4- Determinare la necessità o meno di intraprendere un’ azione Il Rischio Totale appena determinato viene definito Rischio Intrinseco3 (detto anche iniziale o inerente) e il suo trattamento viene effettuato sulla base dei punteggi ottenuti e delle considerazioni qualitative, comunque possibili.
44
MAGGIO 2010
La Direzione aziendale può optare schematicamente per una delle 4 seguenti alternative in base al valore assunto dal Rischio Totale: 1- Molto Basso: l’azienda accetta di assumersi il rischio e procede con l’emissione dell’offerta / accettazione del contratto propostole. Ovviamente ha facoltà di attuare le azioni che ritenesse opportune. 2- Basso: l’Azienda rileva la necessità, una volta confermato l’ordine da parte del cliente, di mettere in atto delle azioni per gestire i rischi comunque presenti ed evitare il sorgerne di nuovi. Sovente in questi casi i processi aziendali esistenti sono in grado di gestire tutto quanto relativo alla nuova commessa, le azioni messe in atto mirano soprattutto a non far diminuire l’efficacia degli stessi ad esempio migliorando e rafforzando attività di controllo e monitoraggio. 3- Moderato: l’Azienda rileva la necessità, una volta confermato l’ordine da parte del cliente, di mettere in atto delle azioni che consentano una gestione dei rischi individuati agendo tramite tecniche multiple quali trasferimento, riduzione, etc .. ed in questi casi si devono spesso definire ed attuare specifiche azioni e processi che non sono preesistenti. Esempi tipici sono: - formazione mirata al personale - più livelli di autorizzazione - introduzione di specifici punti di controllo - aumento delle frequenze di controllo - azioni sui fornitori (contrattuali, formative, di controllo, etc ..) - coperture assicurative specialistiche (RC professionale, Credito, Key Man Protection, Danni, etc ..) 4- Alto: l’Azienda non intende proseguire con l’emissione dell’offerta / accettazione del contratto propostole, poiché considera impraticabili delle azioni (dal punto di vista economico, operativo, dei tempi etc..).
5- Svolgere una nuova analisi di rischio a valle delle azioni preventive attuate A valle delle azioni attuate si ottiene il Rischio Residuo4, per determinare il quale è necessaria una nuova analisi di rischio per valutare la situazione venutasi a creare a valle di tutti gli interventi programmati, ma ovviamente solo nei casi 2 e 3.
DE QUALITATE
6- Un esempio applicativo Le 12 aree di rischio ovviamente possono cambiare in funzione delle esigenze e tipologie aziendali così come i rischi individuati, infatti le macro aree di rischio individuabili possono essere relative a Qualità, Sicurezza e Ambiente, capacità lavorativa, geografica politica e etica, finanziaria, soddisfazione del cliente, risorse umane, miglioramento delle attività, consegne puntuali, capacità produttiva, capacità progettuale ecc. Proviamo ad immaginare un caso limite, quello cioè di ricevere una richiesta di offerta molto interessante da parte di un nostro cliente per una produzione di un nostro tipico particolare in
quantità superiori alla nostra fattibilità esecutiva. E’ sensato che un’Azienda, prima di emettere un’offerta analizzi i rischi derivanti da una così profumata richiesta, e con una linea guida a disposizione si riescono a gestire meglio i rischi individuati e soprattutto a tenerli sotto controllo attuando eventualmente delle azioni di mitigazione. Nel seguito si riporta l’esito dell’esempio sopra citato ove per semplicità è stato individuato un solo rischio R per ognuno dei dodici ambiti di rischio. Riteniamo pertanto che un approccio simile sia alla portata di qualunque azienda che intenda gestire in maniera adeguata il proprio business con i relativi rischi che questo comporta. ◆
4 Rischio intrinseco: Rischio da sottoporre al trattamento del rischio (UNI 11230 – Gestione del Rischio, Vocabolario). 5 Rischio Residuo: Rischio rimanente a seguito del trattamento del rischio. NOTA: Il rischio residuo comprende anche i rischi non identificati (UNI 11230 – Gestione del Rischio, Vocabolario).
MAGGIO 2010
45