Abstract dell’elaborato della Dottoressa Fulvia Lucchi, studentessa della III edizione del Master in Risk Management, Internal Audit & Frodi – RIAF.
Modulo 3 – Advanced risk management
ABSTRACT
Da dove si inizia per costruire un ERM?
Se partiamo dall’assunto che nessuna organizzazione, sia essa appartenente al settore privato, pubblico o terzo settore, può raggiungere i propri obiettivi senza assumere rischi, allora vale la pena chiedersi da dove si inizia per costruire un ERM. La sfida è allettante, tanto più che il settore della sanità pubblica è poco avvezzo all’utilizzo di tali strumenti ed alla esplicitazione dei meccanismi sottostanti che muovono le scelte, che pur ci sono e vengono utilizzati, ma non sono chiaramente definiti e identificati consapevolmente con i termini delle best practises internazionali quali *Risk Universe, *Risk Capacity, *Risk Tolerance e *Risk Appetite.
Il tema della gestione del rischio rientra nella competenza della Governance aziendale essendo strettamente legato alla definizione della strategia e alla sua implementazione. L’assunzione del rischio non può essere considerata senza contemplare contestualmente anche i meccanismi di controllo; anzi, occorre guardare all’interazione tra rischio e controllo, come parte integrante della determinazione della propria propensione al rischio.
Il processo si articola in 4 fasi: 1. approvazione e supervisione dell’impostazione del Framework; 2. misurazione e valutazione della propensione al rischio per identificarne l’impatto sulla performance aziendale; 3. monitoraggio con cadenza regolare e identificazione delle violazioni o tensioni derivanti dal Risk Appetite; 4. apprendimento su cosa è andato bene e cosa è andato male, su cosa necessita di essere fatto diversamente e dove si può migliorare.
La seconda fase direi che è quella più impegnativa, innanzitutto perché la dimensione del Risk Appetite è complessa, non è un concetto singolo e prefissato nel tempo, deve essere misurata attraverso la definizione di parametri, richiede una certa maturità ed esperienza nel risk management, va integrata nella cultura aziendale del controllo ed, inoltre, occorre tenere in considerazione differenti livelli di definizione: strategico, tattico e operativo, in quanto la gestione del rischio deve attraversare tutta l’organizzazione affinché possa avere un senso pratico.
Pertanto, per definire il Risk Appetite occorre partire dalla domanda di cosa si intenda per performances di “successo” e come i drivers delle stesse possano essere impattati dal rischio. Poiché il premio dell’assunzione del rischio è il miglioramento della performance attesa, il sistema premiante deve, a sua volta, essere collegato alle performances di successo, che hanno in sé una corretta assunzione e gestione del rischio, rispettando i parametri indicati nel Risk Appetite.
La cultura aziendale del rischio definisce come affrontarlo e può permettere di assumere decisioni consapevoli nella rapidità di accadimento degli eventi. Alcuni possono rappresentare rischi emergenti difficilmente prevedibili e/o richiedere una tale velocità di analisi e scelta operativa che la stessa non può essere discussa e condivisa e quindi vanno gestiti nell’immediato in tempo reale. In tali scenari i meccanismi culturali fondati sulla definizione e condivisione dei criteri pratici di assunzione delle decisioni, possono sopperire alla mancanza di una preventiva valutazione associata (Risk Clockspeed – Keith Smith Risk Consultant Strategic Thought Group – IRM Forum Aprile 2010).
Le fasi del processo dell’ERM, di cui sopra, assomigliano alle fasi del Ciclo della Performance di cui al D.Lgs. n.150/2009 Ottimizzazione della produttività del lavoro pubblico, efficienza e trasparenza delle PA – c.d. decreto Brunetta, al cui interno manca solo l’esplicitazione della gestione del rischio e la definizione dei parametri e dei criteri della Risk Tolerance e del Risk Appetite.
In un’economia in rapida evoluzione tecnologica, climatica, e più in generale di tutte le tematiche ESG legate alla sostenibilità nel lungo periodo, è particolarmente importante per tutte le organizzazioni avere chiara non solo una strategia definita, ma anche il quadro articolato della propensione al rischio, in modo che siano in grado di reagire rapidamente alle sfide e alle opportunità presenti in tali momenti.
Ciò risulta ancor più importante, sia per gli stakeholders che per la collettività in generale, quando si tratta della Sanità Pubblica, in cui le sfide sono crescenti e continue a fronte di risorse insufficienti a coprire tutti i nuovi bisogni emersi, tra cui l’invecchiamento della popolazione, le malattie croniche, la pandemia, i cambiamenti climatici, la mancanza di medici.
Per cui se il finanziamento del SSN, come si sta discutendo attualmente, non sarà sufficiente a garantire l’attuale fornitura di servizi sanitari (LEA), come potrà e dovrà essere riorganizzata l’offerta per far fronte alla domanda crescente e alla scarsità di risorse disponibili? In termini di Risk Tolerance (in generale) e di Risk Appetite (con i numeri in termini di prestazioni e performances che si vogliono raggiungere ed i relativi rischi associati) come potrebbe essere affrontata tale questione?
È la sfida più importante che si sta prospettando al SSN pubblico, universale e mutualistico, egualitario ed equo che necessiterà di un ampio dibattito al riguardo, anche al fine di meglio delineare come la sanità privata possa porsi al fianco di quella pubblica, in una più equa ripartizione di profitti e perdite.
Perché i rischi ci sono anche se non vengono esplicitati e analizzati; anzi, senza una loro chiara individuazione non vengono trattati adeguatamente.
*Risk Appetite = È la quantità di rischio che un’organizzazione è disposta a ricercare o ad accettare nel perseguimento dei suoi obiettivi di lungo termine.
*Risk Tolerance = Rappresenta i confini per l’assunzione dei rischi, al di fuori dei quali, l’organizzazione non è disposta ad avventurarsi per il perseguimento dei suoi obiettivi di lungo termine.
*Risk Capacity = È il massimo livello di rischio in assoluto che, teoricamente e tecnicamente, un’organizzazione potrebbe assumere, che sia pur senza pregiudicare la propria sopravvivenza, ne metterebbe a dura prova gli assetts.
*Risk Universe = L’intera gamma dei rischi che potrebbero avere un impatto, sia positivo che negativo, sulla capacità dell’organizzazione di raggiungere i suoi obiettivi di lungo termine.
Vuoi approfondire ulteriormente?
Il Master in Risk Management, Internal Audit & Cybersecurity mira a formare figure professionali che siano in grado di interpretare e gestire le più recenti dinamiche normative e di mercato attinenti alla corporate governance. Grazie all’utilizzo di casi aziendali, verranno contestualizzati e analizzati i temi nelle diverse realtà: dalle aziende quotate alle banche, dalle grandi alle piccole/medie imprese.