Risk management: il ruolo del Chief Financial Officer
Si inizia a parlare di risk management nei primi anni del ‘900, quando l’ingegnere francese Henry Fayol lo include fra le sei caratteristiche primarie della gestione di un’impresa. Negli anni ’50 inizia ad essere applicato negli USA per ridurre i costi assicurativi, ma è negli anni ’90 che arriva il grande cambiamento perché viene elaborata l’Enterprise Risk Management, una disciplina di gestione del rischio aziendale, che mantiene allineata l’organizzazione alle strategie per il perseguimento degli obiettivi dell’impresa.
Da qui in poi al rischio finanziario si aggiunge una visione globale: il rischio non è solo qualcosa da evitare, ma va studiato per poterlo utilizzare come generatore di opportunità e crescita imprenditoriale.
Il Risk Management o gestione del rischio è una condizione imprescindibile per una buona governance aziendale e consiste in un insieme di processi articolati attraverso cui le aziende identificano, analizzano e quantificano la possibilità che si verifichi una determinata situazione. Il processo di gestione del rischio ha lo scopo di salvaguardare le risorse dell’impresa e la sua solidità patrimoniale e finanziaria, cercando di arginare il più possibile il verificarsi del rischio.
Indipendentemente dalle dimensioni e dal settore di riferimento, sempre e comunque il risk management deve essere parte integrante di un’organizzazione e deve coinvolgere le varie funzioni aziendali.
Ma cosa si intende per rischio d’impresa? È il complesso delle scelte aziendali che possono risultare vincenti oppure, al contrario, perdenti.
Le aziende devono identificare una serie di persone chiave a cui assegnare responsabilità specifiche e ruoli appropriati e considerare, inoltre, varie tipologie di rischio:
- Rischio strategico sia da un punto di vista di mercato che da un punto di vista di prodotto, i rischi regolamentari, ossia di adeguamento e compliance alla normativa, e, in misura sempre più crescente, i rischi reputazionali.
- Rischio finanziario comprendono il credit risk, inteso come deterioramento delle posizioni creditorie, derivanti sia da attività commerciali sia da attività finanziarie, il rischio di liquidità e quello di tasso di interesse, legati ad andamenti imprevisti della dinamica finanziaria.
- Rischio operativo includono quelli associati alla strutturazione dei processi aziendali e quelli collegati alla condotta dei manager e dei dipendenti, tema questo molto sentito anche in relazione alla disciplina regolamentare sulla responsabilità delle persone giuridiche.
- Cyber Risk la cybersecurity ha assunto un ruolo sempre più strategico, grazie agli scambi di dati e ai flussi legati al patrimonio informativo, ed è per questo che un’organizzazione deve essere in grado di monitorare i processi digitali e capace di orchestrare gli strumenti, le procedure e gli asset che supportano il processo di dematerializzazione.
Quali sono le fasi del processo di risk management?
L’analisi del rischio aziendale può essere suddiviso in 4 fasi:
- Analisi del contesto – Per poter identificare il rischio è indispensabile analizzare il contesto aziendale avendo a disposizione i dati relativi all’attività, parlando con manager e dipendenti per capire
quali siano le criticità percepite dal personale, ma anche studiando i precedenti episodi di crisi vissuti
dall’impresa. - Valutazione dei rischi – In questa fase vengono individuati, descritti e analizzati i rischi. Il valore del rischio è dato dalla probabilità che si verifichi moltiplicato per il suo impatto: un rischio dall’impatto catastrofico ma dalla bassissima probabilità di verificarsi avrà un valore più basso di rischi più probabili ma dall’impatto meno distruttivo. La valutazione è lo strumento che permette all’azienda di riconoscere i rischi ed esserne consapevole.
- Gestione dei rischi. Una volta chiariti i rischi potenziali e il loro impatto vanno implementate delle strategie per gestirli. Vengono definite una serie di attività che potenzialmente si dovrebbero mettere in atto per contenere i rischi. Tutte le attività devono indicare l’efficacia prevista e le risorse da investire per poter essere completate. Alcuni rischi possono essere mitigati, prevenuti e ridotti: ovvero si può abbassare la probabilità che si verifichino o diminuire l’entità del loro impatt
- Mitigazione del rischio – È questo il momento in cui le aziende, una volta riconosciuti i rischi più pericolosi, sviluppano un piano per alleviarli, utilizzando specifici strumenti di controllo. Questi piani includono processi di mitigazione del rischio, tattiche di prevenzione del rischio e piani di emergenza nel caso in cui il rischio si concretizzi.
- Reporting e Monitoraggio – In questa fase viene redatto un report, da consegnare ai vertici dell’azienda, in cui sono presentati gli esiti delle attività di analisi e gestione svolte. Il dossier contiene i KPI che vengono monitorati e le strategie che l’azienda deve mettere in atto per proteggersi dai rischi. L’attività di monitoraggio è molto importante per controllare e tracciare costantemente i rischi, nuovi ed esistenti. Anche il processo globale di gestione dei rischi dovrebbe essere rivisto e aggiornato di conseguenza.
CFO significato e responsabilità
Il CFO, Chief Financial Officer, nasce come figura che si occupa della gestione economica e finanziaria aziendale, ma nel corso degli anni si è assistito ad un’evoluzione, assumendo funzioni sempre più disparate ma tutte strategicamente importanti per l’azienda. Infatti, le sue responsabilità non si limitano più alla sola gestione economica ma esercita anche una serie di funzioni di carattere strategico: a partire dall’analisi e dall’interpretazione dei dati finanziari, è in grado di determinare strategie di business, contribuendo attivamente alla definizione della strategia aziendale e della relativa operatività.
Soprattutto in questi ultimi tre anni, la funzione del CFO è stata chiamata ad assumere un ruolo più dinamico e inclusivo per supportare l’evoluzione dell’organizzazione e del business. Infatti uno degli obiettivi principali del direttore finanziario è riuscire a costruire un’organizzazione resiliente e integrata, capace di adattarsi rapidamente al cambiamento.
Questa figura è diventata anche il nuovo baluardo della sicurezza informatica. Effettivamente la sfida più grande che deve affrontare il CFO è quella di individuare gli strumenti corretti per convertire il rischio informatico in rischio finanziario agli occhi dei decisori non tecnici, con l’obiettivo di aiutarli ad apprezzare la priorità della sicurezza informatica nel garantire la business continuity.
Stiamo sperimentando collettivamente gli effetti collaterali di un conflitto geopolitico dirompente che sta influenzando il ciclo inflazionistico. Le economie mondiali continueranno a essere colpite dalle conseguenze della crisi, ma le aziende hanno ampie opportunità di reindirizzare e distribuire le proprie risorse, pur se limitate. Mai prima d’ora, quindi, la necessità di misurare, gestire e mitigare il rischio informatico in un contesto aziendale è stata un punto chiave nell’agenda del consiglio di amministrazione, e l’esperienza nella misurazione dei rischi finanziari rende i CFO preziosi stakeholder nel prendere decisioni informate sulla sicurezza informatica per accettare, mitigare e trasferire anche il cyber risk.
L’importanza della gestione strategica del rischio d’impresa
Ad Aprile 2022 è stata presentata la IX edizione dell’Osservatorio sulla diffusione del risk management nelle medie imprese italiane, realizzata da Cineas. Dalla ricerca è emerso che per il 26,5% delle imprese è diventato prioritario introdurre un sistema di gestione e controllo dei rischi. Inoltre si rileva che il 44% delle aziende presentano una mappatura dei rischi a livello di CdA, un numero ancora ridotto; tuttavia oltre il 50% delle aziende risponde che la responsabilità di supervisione dei rischi ricade sulle figure apicali dell’impresa (a seguire il direttore finanziario e solo per circa il 14% delle imprese sulla figura specialistica del risk manager).
Un dato interessante, evidenziato dalla ricerca, è che nell’edizione 2020 dell’Osservatorio, il 97% delle imprese dichiarava di non aver previsto la crisi pandemica. Nella nuova edizione, in cui la rilevazione è stata effettuata tra dicembre 2021 e febbraio 2022, il 44,6% delle aziende intervistate ha dichiarato molto probabile lo scenario di una guerra in considerazione dell’instabilità politica a livello globale, questo potrebbe essere un segnale del fatto che le imprese sono diventate più attente agli scenari di rischio in cui sono immerse.
I 10 rischi più temuti in azienda
All’interno della ricerca è stata stilata anche la lista dei rischi più temuti in azienda. Sul podio troviamo al primo posto la sicurezza sul posto di lavoro, al secondo il cyber risk e al terzo la difettosità del prodotto.
A seguire, nella classifica sono presenti catastrofi naturali, che hanno assunto una rilevanza crescente tra il 2020 e il 2022; rischi regolamentari; danni ambientali collegati all’attività d’impresa; rischi di perdere competenze professionali significative per l’attività d’impresa (con un fortissimo balzo di 15 punti su 100 rispetto al 2020); rischi finanziari; imitazione del prodotto; rischi geopolitici.
Investigatore aziendale a supporto del Chief Financial Officer
Nei paragrafi precedenti abbiamo sottolineato la crescente importanza che sta assumendo la gestione dei rischi all’interno delle aziende e abbiamo evidenziato la rilevanza del ruolo del Chief of Financial Officer.
Altra figura chiave per la gestione del rischio aziendale è quella del Security Manager, professionista che si occupa di prevenire e contrastare i rischi operativi (anche a livello informatico), finanziari e reputazionali delle aziende.
Esistono tre aree di competenza del Security Manager:
- Sicurezza sul lavoro e sicurezza sull’ambiente: si tratta dell’RSA ovvero del Security Manager che ha il compito di garantire la corretta vivibilità degli ambienti di lavoro, individuare le potenziali criticità e trovare soluzioni al fine di perseguire uno standard ottimale di sicurezza [v. la legge 81 (ex 626)].
- Sicurezza patrimoniale: si tratta del Security Manager che persegue strategie a tutela del patrimonio aziendale e che prende il nome di Loss Prevention & Security Manager. Studia, organizza e coordina tutte le attività di investigazione aziendale e vigilanza al fine di prevenire e gestire le perdite aziendali generate o legate a eventi criminosi quali rapine, furti, frodi e fughe di notizie.
- Cybersecurity: l’ICT Security Manager che deve garantire da un lato la sicurezza dei sistemi informatici aziendali, al fine di non subire attacchi da esterni, dall’altro deve vigilare affinché tutti i protocolli di sicurezza informatica siano correttamente applicati.
Salvatore Piccinni, Managing Director Head of Southern Europe di INSIDE Intelligence & Security Investigations sottolinea che per un’azienda avere all’interno la figura del Security Manager è un valore aggiunto ed è per questo che il Security Management è uno dei servizi forniti dalla nostra agenzia investigativa. Il Security Management comprende attività di gestione, individuazione, valorizzazione e analisi del rischio che possono causare danni patrimoniali e non (furti, frodi, fuga di informazioni) all’interno di un’azienda.