IL PRIMO MAGAZINE ITALIANO ESCLUSIVAMENTE DEDICATO AL PROJECT MANAGER - DICEMBRE 2010
Risk Management nelle PMI, un reale caso di successo. Con il presente lavoro vogliamo dimostrare che un buon processo di Risk Management non è prerogativa solo di aziende di grandi dimensioni infatti la nostra esperienza di lavoro in una Piccola Media Impresa (PMI) ci permette di sfatare questo preconcetto. Dimostreremo così come buoni processi di risk management non richiedono necessariamente sovrastrutture costose e complesse, infatti la bontà di un processo di risk management è soprattutto in funzione della sua adeguatezza rispetto alla dimensione aziendale e al business. Anche dall’analisi dell’interpretazione ufficiale nella versione 2009 degli standard IIA1 si deduce che un buon processo di risk management è requisito importante per garantire decisioni secondo una “sana e prudente gestione”, che i rischi significativi debbano essere identificati e valutati, che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità per l’azienda. Una realtà imprenditoriale di successo ci ha consentito di esporre la sua applicazione di una analisi dei rischi pur chieden1 2
do l’anonimato per evitare diffusione di notizie riservate a Concorrenti, Clienti, Fornitori. Già sensibile a tematiche di gestione dei rischi ha deciso pochi mesi fa di introdurre una specifica analisi per valutare i rischi connessi ai processi di emissione di una offerta e, in maniera speculare, di accettazione di un contratto propostole da terzi. Lo schema logico si articola nei seguenti punti cardine: 1. Identificare e Valutare i rischi derivanti dall’emissione dell’offerta/accettazione del contratto; 2. Attribuire una potenzialità/probabilità di rischio ed un peso/gravità ad ogni rischio individuato 3. Calcolare il rischio totale per ogni rischio individuato (moltiplicando il peso per la potenzialità); 4. Determinare la necessità o meno di intraprendere una azione2; 5. Svolgere una nuova analisi di rischio a valle delle azioni preventive attuate. Si è scelta una metodologia rigorosa, seppur semplice, a supporto dei processi decisionali rela-
The Institute of Internal Auditors (IIA) - www.theiia.org Le azioni possono essere principalmente correttive, preventive, curative. Si veda UNI EN ISO 9000:2005 Sistemi di gestione per la qualità - Fondamenti e vocabolario
Gli autori Gian Carlo Mocci Già Risk Manager, Quality Manager, Responsabile Commerciale in Bureau Veritas; Responsabile Clienti nel Gruppo Prudential Financial; segue attualmente Qualità Processi e Standard di Esercizio in NTV Nuovo Trasporto Viaggiatori. E Internal Auditor certificato CCSA ed Auditor SGA, SGQ, SGS.
Claudia Castellino Quality Manager, esperta in Analisi dei Processi e Sistemi di Gestione della Qualità ha all’attivo diverse esperienze di integrazione di tecniche di Risk Management in ambito Industriale.
tivi a tutte le aree aziendali che si articola secondo quanto sinteticamente indicato di seguito.
1) Valutare le aree di rischio ed i rischi potenziali derivanti dal riesame dell’offerta A seguito di una richiesta di offerta, prima della sua emissione ufficiale al richiedente, occorre eseguire un esame di fattibilità tecnica ed economica così come
1
già fatto sino ad oggi dal personale delle aree Tecniche e Commerciali. A valle di questo esame di fattibilità si attua la redazione dell’analisi dei rischi per la quale occorre identificare ed analizzare i possibili rischi derivanti dall’acquisizione del contratto. Nel modello standard sono stati identificati le seguenti aree di rischio base all’interno delle quali possono identificarsi uno, nessuno o più rischi3:
1. Risorse per inserimento nuovi prodotti 2. Esperienze prodotti similari 3. Tecnologie nuove 4. Esperienza personale 5. Complessità del Prodotto 6. Conoscenza materiali utilizzati 7. Fornitori qualificati 8. Personale qualificato 9. Referenze del cliente 10.Lingua utilizzata 11.Aspetti Politici, Geografici, Etici
2) Attribuire una potenzialità/probabilità ed un peso/gravità Per ciascun rischio identificato in ciascuna delle 12 aree, occorre effettuare una valutazione del livello di rischio in termini di probabilità (P) del verificarsi dell’evento e di gravità (G) delle sue conseguenze sugli obiettivi. Da notare che si è volutamente utilizzata una scala di valori “pari” da 1 a 4 per neutralizzare l’effetto di punteggi intermedi. Poteva pertanto anche scegliersi una scala da 1 a 6.
3) Calcolare il valore di rischio Dal punto di vista numerico il valore minimo per ciascun rischio R è 1 nel caso di rischi inesistenti (probabilità e gravità molto bassi), mentre il valore massimo possibile è 16 (probabilità e gravità alte). La classificazione viene fatta in base ai criteri della tabella 3:
La somma dei valori assunti da tutti i rischi costituisce il Rischio Totale (Rtot) . Il modello prevede a questo punto la classificazione del valore di Rischio Totale Rtot in base al rapporto tra la somma dei valori di tutti i rischi R (Rtot appunto) e il massimo valore possibile Rmax (qualora tutti gli R fossero con valore massimo pari a 16). Tale classificazione scaturisce in base ai criteri riportati nella Tabella 4.
3
12.Clausole contrattuali Abbiamo prima detto che questo è il modello standard, infatti al bisogno, il modello viene reso: - più completo inserendo oltre alle 12 aree di rischio già considerate di default altre nuove che di volta in volta possono essere individuate - più dettagliato considerando svariati rischi all’interno di ciascuna area.
Tabella 1 - Probabilità di Rischio (P) Probabilità di Rischio
molto basso = 1
Probabilità di Rischio
Basso = 2
Probabilità di Rischio
moderato = 3
Probabilità di Rischio
Alto = 4
Tabella 2 - Peso/Gravità di Rischio (G) Gravità di Rischio
molto bassa = 1
Gravità di Rischio
Bassa = 2
Gravità di Rischio
moderata = 3
Gravità di Rischio
Alta = 4
Tabella 3 - Criteri per classificare il Valore di Rischio (R) Punteggio
Rischio
R≤4
Rischio Molto Basso (MB)
4<R≤8
Rischio Basso (B)
8<R≤12
Rischio Moderato (M)
12<R≤16
Rischio Alto (A)
Tabella 4 - Criteri per classificare il Valore di Rischio Totale (Rtot) Punteggio
Rischio Totale
Rtot < 25% Rmax
Rischio Totale Molto Basso
25% Rmax ≤ Rtot < 50%Rmax
Rischio Totale Basso
50% Rmax ≤ Rtot < 75% Rmax
Rischio Totale Moderato
75% Rmax ≤ Rtot ≤100% Rmax
Rischio Totale Alto
Rischio: Insieme della possibilità di un evento delle sue conseguenze sugli obiettivi (UNI 11230 - Gestione del Rischio, Vocabolario). Istituto Internazionale di Ricerca Srl Via Forcella, 3 • Milano • www.iir-italy.it • corsi@iir-italy.it
2
4) Determinare la necessità o meno di intraprendere un’azione Il Rischio Totale appena determinato viene definito Rischio Intrinseco4 (detto anche iniziale o inerente) e il suo trattamento viene effettuato sulla base dei punteggi ottenuti e delle considerazioni qualitative, comunque possibili. La Direzione aziendale può optare schematicamente per una delle 4 seguenti alternative in base al valore assunto dal Rischio Totale: 1- Molto Basso: l’azienda accetta di assumersi il rischio e procede con l’emissione dell’offerta / accettazione del contratto propostole. Ovviamente ha facoltà di attuare le azioni che ritenesse opportune. 2- Basso: l’Azienda rileva la necessità, una volta confermato l’ordine da parte del cliente, di mettere in atto delle azioni per gestire i rischi comunque presenti ed evitare il sorgerne di nuovi. Sovente in questi casi i processi aziendali esistenti sono in grado di gestire tutto quanto relativo alla nuova commessa, le azioni messe
4
5
in atto mirano soprattutto a non far diminuire l’efficacia degli stessi ad esempio migliorando e rafforzando attività di controllo e monitoraggio. 3- Moderato: l’Azienda rileva la necessità, una volta confermato l’ordine da parte del cliente, di mettere in atto delle azioni che consentano una gestione dei rischi individuati agendo tramite tecniche multiple quali trasferimento, riduzione, etc .. ed in questi casi si devono spesso definire ed attuare specifiche azioni e processi che non sono preesistenti. Esempi tipici sono: - formazione mirata al personale - più livelli di autorizzazione - introduzione di specifici punti di controllo - aumento delle frequenze di controllo - azioni sui fornitori (contrattuali, formative, di
-
controllo, etc ..) coperture assicurative specialistiche (RCprofessionale, Credito, Key Man Protection, Danni, etc .. )
4- Alto: l’Azienda non intende proseguire con l’emissione dell’offerta / accettazione del contratto propostole, poiché considera impraticabili delle azioni (dal punto di vista economico, operativo, dei tempi etc.. ).
5) Svolgere una nuova analisi di rischio a valle delle azioni preventive attuate A valle delle azioni attuate si ottiene il Rischio Residuo5, per determinare il quale è necessaria una nuova analisi di rischio per valutare la situazione venutasi a creare a valle di tutti gli interventi programmati, ma ovviamente solo nei casi 2 e 3.
Rischio intrinseco: Rischio da sottoporre al trattamento del rischio (UNI 11230 - Gestione del Rischio, Vocabolario). Rischio Residuo: Rischio rimanente a seguito del trattamento del rischio. NOTA: Il rischio residuo comprende anche i rischi non identificati (UNI 11230 - Gestione del Rischio, Vocabolario).
Istituto Internazionale di Ricerca Srl Via Forcella, 3 • Milano • www.iir-italy.it • corsi@iir-italy.it
3
6) UN ESEMPIO APPLICATIVO Le 12 aree di rischio ovviamente possono cambiare in funzione delle esigenze e tipologie aziendali così come i rischi individuati, infatti le macro aree di rischio individuabili possono essere relative a Qualità, Sicurezza e Ambiente, capacità lavorativa, geografica politica e etica, finanziaria, soddisfazione del cliente, risorse umane, miglioramento delle attività, consegne puntuali, capacità produttiva, capacità progettuale ecc.
Proviamo ad immaginare un caso limite, quello cioè di ricevere una richiesta di offerta molto interessante da parte di un nostro cliente per una produzione di un nostro tipico particolare in quantità superiori alla nostra fattibilità esecutiva. E’ sensato che un’Azienda, prima di emettere un’offerta analizzi i rischi derivanti da una così profumata richiesta, e con una linea guida a disposizione si riescono a gestire meglio i rischi individuati e soprattutto a tenerli sotto controllo attuando eventualmente delle azioni di mitigazione.
Nel seguito si riporta l’esito dell’esempio sopra citato ove per semplicità è stato individuato un solo rischio R per ognuno dei dodici ambiti di rischio. Riteniamo pertanto che un approccio simile sia alla portata di qualunque azienda che intenda gestire in maniera adeguata il proprio business con i relativi rischi che questo comporta.
INTRINSECO
RESIDUO AZIONE
AREA DI RISCHIO
Rischi individuati
P
G
PxG SI
RISORSE PER INSERIMENTO NUOVI PRODOTTI
ridotti spazi per linee dedicate
4
4
ESPERIENZE PRODOTTI SIMILARI
ok già avuto prodotti simili
1
TECNOLOGIE NUOVE
lunghi tempi di lavorazione
3
ESPERIENZA PERSONALE
ok già svolto commessa simile
COMPLESSITA' DEL PRODOTTO CONOSCENZA MATERIALI UTILIZZATI FORNITORI QUALIFICATI
NO
NOTE
P
G
PxG
1
affitto capannoni adiacenti
1
1
1
MB
n° Az
16
A
1
1
MB
1
1
1
MB
4
12
M
X
2
layout 2 linee
1
2
2
MB
1
2
2
MB
X
3
formazione sul materiale
1
2
2
MB
diffettosità finale
4
4
16
A
X
4
quality assurance
2
4
8
M
materiale innovativo
4
4
16
A
X
5, 6
– test sul materiale – test su provini
2
2
4
B
un solo fornitore attuale
4
2
8
B
X
già noto altro fornitore
1
1
1
MB
X X
PERSONALE QUALIFICATO
ok presente
1
3
3
MB
X
1
3
3
MB
REFERENZE DEL CLIENTE
non richieste
1
1
1
MB
X
1
1
1
MB
inglese + francese
4
4
16
A
4
8
M
paesi G11
1
1
1
MB
penali, valuta, RCProfessionale
4
4
16
A
LINGUA UTILIZZATA POLITICO, GEOGRAFICO, ETICO CLAUSOLE CONTRATTUALI
108
Rtot intrinseco Rtot intrinseco MODERATO
56,25%
X
7
corso francese al PM
2 1
1
1
MB
8, 9
– rinegoziare clausole – migliore RCProfessionale
1
2
2
MB
X X
Rtot residuo Rtot finale MOLTO BASSO
34 17,71%
Istituto Internazionale di Ricerca Srl Via Forcella, 3 • Milano • Tel. 02.83847.1 www.iir-italy.it • corsi@iir-italy.it
4