ECONOMIA ITALIANA & TREND

L’evoluzione del ruolo del risk manager, tra pandemia, cybersecurity e…

di Laura Magna ♦︎ Banche dati e modelli predittivi con Ai: sono questi i nuovi strumenti per la gestione degli imprevisti. Incertezza sulla crescita economica, iper regolamentazione e velocità dei cambiamenti tecnologici le minacce più temute. La distinzione tra Insurance manager e Enterprise Risk Manager, il climate change e la sostenibilità. Ne abbiamo parlato con Carlo Cosimi, nuovo presidente Anra che succede ad Alessandro De Felice

10 Giugno 2021

Pandemia, climate change, rivoluzione tecnologica e cybersecurity. Il 2020 ha fatto esplodere la gamma dei rischi che ogni impresa si trova a dover affrontare nel corso del suo ciclo di vita e posto al centro della scena il ruolo del risk manager. Un ruolo più che mai chiave e di supporto al ceo in un contesto sempre più mutevole. E che sempre meno può risolversi nell’acquisto di polizze assicurative – in un mercato con coperture sempre più limitate e tassi elevati – che sono solo un possibile strumento all’interno di una strategia complessa. Ne abbiamo parlato con Carlo Cosimi, neo eletto presidente Anra, l’associazione italiana dei risk manager. Cosimi è anche responsabile del Corporate Insurance and Risk Financing Saipem.

«Il ruolo del Risk Manager è in rapida evoluzione come è in profondo cambiamento il contesto», dice a Industria Italiana Cosimi, «la pandemia ha messo in luce come si tratti sempre più di un professionista che lavora a cavallo tra scienza ed arte, spinto da una curiosità innata e dalla volontà di integrare la gestione dei rischi tra le diverse funzioni aziendali. Sarà proprio il mix tra scienza, utilizzo di banche dati e modelli predittivi con I.A., e arte, le capacità di visione, comunicazione e di creatività, a fornire quel valore distintivo alle aziende. Se i risk manager entrassero anche nelle Pubblica Amministrazione, il Paese ne otterrebbe un importante vantaggio».

Anra, i prossimi passi per affermare la professione del risk manager in Italia

Anra è l’associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali italiani. «Divento presidente – dice Cosimi – dopo essere stato consigliere e vice presidente, quindi partecipe di questa crescita che ha vista passare l’associazione da 200 a 800 iscritti. L’Anra che eredito e che porterò avanti sarà in continuità con l’azione svolta in questi sei anni. L’azione sarà di continuità e consolidamento, perché quando le crescite sono così rapide e poderose si lascia indietro qualcosa, come i processi interni che devono essere ricalibrati in funzione della nostra nuova dimensione. Ci sarà grande attenzione sulla governance, a partire da un consiglio direttivo che è di alto profilo, con rappresentanti delle principali aziende italiane e una grande presenza di genere femminile».

L’obiettivo è dunque rendere «una professione che è ancora appannaggio delle grandi aziende, patrimonio anche delle medie fino alle PMI, che potranno ottenere servizi analoghi da professionisti della consulenza e risk manager. Sicuramente crescerà il numero dei professionisti del rischio. Ci sono tantissimi settori che sono ancora carenti di risk management, basti pensare alla PA, che è totalmente mancante di questo approccio risk based da cui potrebbe derivare un grande vantaggio di cui il paese avrebbe un gran bisogno. L’allargamento ulteriore della base di partecipazione in Anra sarà una conseguenza di questo aumento di professionisti». Anra continuerà inoltre a lavorare sulla formazione, attraverso la collaborazione con l’università. «Siamo l’unica associazione in Italia che offre un percorso formativo per avere la certificazione Rimap del Ferma», ricorda Cosimi.

I risk manager italiana: un identikit

L’Italia nel frattempo sta recuperando il gap con l’Europa in termini di diffusione del risk management all’interno delle aziende, misurato nel report biennale dell’associazione europea dei risk manager, Ferma, in collaborazione con PwC. Il report contiene una prima fondamentale distinzione tra Insurance manager e Enterprise Risk Manager (ERM): mentre il primo si occupa della definizione dell’insurance management governance e della gestione dei sinistri sviluppando azioni di loss prevention, il secondo, con un perimetro di azione più ampio si occupa di business continuity management, emergency management, crisis management, incidente response e definizione della compliance; le tre principali direttrici dell’ERM sono lo sviluppo delle Risk Maps (identificazione, analisi, valutazione, mitigazione e reporting), lo sviluppo, implementazione e diffusione della risk culture aziendale e il disegno e sviluppo di misure di risk control e prevention.

Il report contiene una prima fondamentale distinzione tra Insurance manager e Enterprise Risk Manager (ERM): mentre il primo si occupa della definizione dell’insurance management governance e della gestione dei sinistri sviluppando azioni di loss prevention, il secondo, con un perimetro di azione più ampio si occupa di business continuity management, emergency management, crisis management, incidente response e definizione della compliance; le tre principali direttrici dell’ERM sono lo sviluppo delle Risk Maps (identificazione, analisi, valutazione, mitigazione e reporting), lo sviluppo, implementazione e diffusione della risk culture aziendale e il disegno e sviluppo di misure di risk control e prevention. Fonte Ferma, in collaborazione con PwC

I rischi ignorati o sottovalutati (su cui la pandemia ha squarciato il velo)

Tutto questo in un contesto in cui si è squarciato il velo su rischi sottovalutati, a partire proprio dalla pandemia. «Il Global risk report del Wef che segnalava questo rischio dal 2006 è diventato all’improvviso argomento di studio, analisi e considerazione seria nelle sale dei bottoni aziendali». La pandemia avrà effetti sulle imprese e sul rischio di impresa ancora tutti da sperimentare.

«Per esempio se le compagnie assicurative che fanno RcAuto hanno guadagnato perché a parità di volumi premi hanno pagato meno sinistri perché con il lockdown il traffico veicolare si è ridotto dell’80%. Mentre nelle assicurazioni corporate non si è verificato lo stesso fenomeno: ad esempio una delle linee più sinistrose in questo periodo è stata la copertura degli organi di amministrazione e controllo (D&O), per coprire i costi e risarcimenti di eventuali cause legali. Un tema che emergerà sarà quello delle cause per licenziamento, oggi schermate in Italia dal blocco, ma che in altre parti d’Europa e in Usa hanno avuto costi tali da impattare pesantemente sui bilanci. Tante aziende inoltre sono state chiuse e rimettono in marcia gli impianti e ci può essere il rischio che vogliano fare economia sui costi delle sulle manutenzioni: questo potrebbe aumentare gli incidenti. Il bilancio definitivo degli effetti della pandemia emergerà con più chiarezza tra un paio di anni».

L’ambito delle attività dei gestori del rischio di IM è ben definito. Tuttavia, l’indagine evidenzia un ruolo crescente nel increasing definizione di compliance (32% nel 2018 contro il 40% di oggi). Il 40% dei gestori del rischio IM è coinvolto nella gestione delle crisi e la pianificazione della continuità operativa, a dimostrazione dell’importante ruolo svolto dalle assicurazioni nelle strategie di mitigazione di organizzazioni. Fonte Ferma con Pwc

Il climate change (un rischio ma anche un’opportunità)

Non solo la pandemia, ma anche il climate change rientra in questo ambito di rischi secolari ignorati o sottovalutati. «È impossibile oggi non avere una strategia che contempli il climate change nei piani strategici». L’Europa è la più avanti nella transizione energetica, grazie a sempre maggiori investimenti da dirottare verso le energie rinnovabili: «allora anche le opportunità che si possano presentare da un’economia circolare entrano nelle strategie delle aziende». Non solo le grandi aziende, che si sono tutte rapidamente allineate rispetto a questi grandi temi.

«Le Pmi italiane sono chiamate a un grande sforzo trasformativo. Perché hanno due caratteristiche: sono padronali, ma evolute. Quando entrano nella filiera B2B e diventano fornitori della grande azienda devono adeguarsi. Non è pensabile che la piccola azienda che lavora nella catena di fornitura della grande non faccia propri temi di sostenibilità e non includa i rischi sistemici. Le Pmi che insieme formano i distretti, che sono filiera delle grandi aziende, saranno trainate verso questi nuovi trend. Mentre le piccole aziende artigianali che sono un B2C resteranno più indietro, con una dimensione piccola e clienti retails difficilmente riusciranno a cogliere questa necessità». E non basta. «A tutti i rischi elencati si devono e aggiungere una serie di altri rischi socio-economici che però assumono caratteristiche diverse da paese a paese e sono probabilmente di ancora più difficile gestione, come le ineguaglianze sociali, razziali, di genere».

Nei prossimi dieci anni invece la top three e quasi identica a quella europea, con al primo posto il cambiamento nelle abitudini dei consumatori (16%), al secondo eventi meteo estremi (14%) e al terzo cambiamenti climatici e danni ambientali (11%). Fonte Ferma con Pwc

Il tema della sostenibilità

All’interno dell’azienda, il Risk Manager ricopre un ruolo specifico sulle tematiche ESG e gestione dei rischi correlati nel 46% dei casi in Italia contro il 60% dell’Europa, ma in entrambi i contesti c’è un 13% che considera di attivare una politica di sostenibilità nel prossimo futuro. L’Ue è scesa in campo con una serie di regole: dai principi Tcfd (Task Force on Climate-related Financial Disclosures), agli Ifrs (International Financial Reporting Standard) alla Gri (Global Reporting Initiative). è un vantaggio per le aziende o rischia solo di creare confusione?

«Le Direttive europee nascono per le aziende quotate multinazionali, già strutturate per approcciarle. Sono un aiuto per i risk manager perché lo stimolano a soffermarsi sulle analisi non strettamente finanziarie. Alcune di queste mirano a migliorare qualità e contenuti della reportistica non finanziaria, saranno di grande aiuto nel comprendere la dinamica dell’azienda, dando una visione a tutto tondo e di tutti aspetti qualitativi intangibili che sfuggono alla lettura di un mero bilancio. Permetterà alle aziende di rappresentarsi in maniera corretta. Anche sui principi della sostenibilità contenuti nella reportistica non finanziaria emergeranno le aziende veramente sostenibili da quelle che fanno un mero greenwashing».

La seconda missione del Pnrr, “Rivoluzione Verde e Transizione Ecologica”, stanzia complessivamente 68,6 miliardi – di cui 59,3 miliardi dal Dispositivo per la Ripresa e la Resilienza e 9,3 miliardi dal Fondo. I suoi obiettivi sono migliorare la sostenibilità e la resilienza del sistema economico e assicurare una transizione ambientale equa e inclusiva.

Rischi a breve a lungo termine, quali sono i più temuti

Per concludere e sintetizzare la mappa dei nuovi rischi disegnata dalla pandemia, essa ha in parte cambiato la classifica di quelli maggiormente percepiti a livello globale, come misura ancora Ferma. Ma nel 2018 come nel 2020 i maggiori sono minacce cyber e incertezze sulla crescita economica, mentre sono salite al terzo e al quarto posto la disponibilità dei talenti e frode o furto di dati (superando la over-regulation). Esiste poi una certa differenza se si guarda al futuro nel breve o nel lungo termine. A tre anni le minacce più preoccupanti nel contesto europeo sono quelle cyber e la velocità dei cambiamenti tecnologici, seguite dalle incertezze relative alla crescita economica. A dieci anni fanno più paura il climate change e il cambiamento delle abitudini dei consumatori.

Per quanto riguarda l’Italia, invece, nei prossimi tre anni nella top 3 figurano incertezze sulla crescita economica (26%); Iper regolamentazione (23%); velocità dei cambiamenti tecnologici (21%). In Italia fa più paura, come al solito, la burocrazia di qualsiasi mega trend. Nei prossimi dieci anni invece la top three e quasi identica a quella europea, con al primo posto il cambiamento nelle abitudini dei consumatori (16%), al secondo eventi meteo estremi (14%) e al terzo cambiamenti climatici e danni ambientali (11%).

I maggiori sono minacce cyber e incertezze sulla crescita economica, mentre sono salite al terzo e al quarto posto la disponibilità dei talenti e frode o furto di dati (superando la over-regulation). Fonte Ferma con Pwc

Il risk manager: da buyer di assicurazioni a gestore del rischio/opportunità

Per i risk manager questa pandemia è stata una grande lesson learned, «era uno dei rischi più sottostimati rischi perché in Europa e in tutto l’occidente non era percepito come prossimo (anche se i segnali c’erano stati con le precedenti epidemie di Sars che erano rimaste però confinate al sud est asiatico). Le aziende e i risk manager non erano preparati con misure mitigatorie né con processi di trattamento e gestione dei rischi sanitari, nessuna azienda aveva disponibilità di mascherine e di altri dispositivi o procedure interne. Abbiamo imparato ancora una volta che certi eventi anche se non sono mai avvenuti prima possono sempre accadere».

E la pandemia ha accelerato il percorso di cambiamento che il risk manager stava già compiendo. «Il risk manager 25 anni fa era quello che comprava le assicurazioni, l’insurance manager, faceva le coperture obbligatorie ma non faceva un’analisi vera e propria del rischio. Oggi è una figura estremamente importante, un professionista vero e proprio manager che affianca i vertici decisionali». La scalata della figura del risk manager è avvenuta negli ultimi venti anni: oggi il risk manager è la persona che accompagna le aziende nel percorso che le porta a strutturare strategie che puntino a gestire meglio i rischi e le opportunità. «Il che riduce i costi, i danni, le inefficienze e consente di cogliere le opportunità che sono l’altra faccia del rischio. Il risk manager dunque non solo mette in guardia dai pericoli ma sa leggere attraverso il futuro anche le possibili nuove occasioni di business. Ed è per questo che è diventato importante nella stanza dei bottoni, perché aiuta i Ceo a leggere qualunque investimento e strategia con una lente di rischio/ opportunità».

I risk manager con un profilo IM riguardano limiti e esclusioni di rischi emergenti/specifici in ambito assicurativo contratti (90%) e variazione delle condizioni di mercato (88%) as le loro principali preoccupazioni sul mercato assicurativo. Il mercato si stava già indurendo prima della pandemia. I premi erano aumentati mentre le coperture erano contraenti, con l’epidemia di Covid-19 che ne aggiunge ancora di più pressione. Gli assicuratori dovrebbero aggiungere ulteriori restrizioni ed esclusioni nell’assicurazione di proprietà e infortuni politiche. Alcuni dei principali rischi discussi in questo rapporto sono suscettibili di essere colpiti da queste condizioni più difficili. Inoltre, recenti fusioni e acquisizioni tra assicuratori e broker riguardano il rischio del profilo IM manager circa la concentrazione del mercato e scelta potenzialmente ridotta. Fonte Ferma con Pwc

Il ruolo delle coperture assicurative

Si badi bene: questo non vuol dire che le aziende dovranno smettere di assicurarsi e in un contesto, come quello italiano, dove l’assicurazione del rischio è ancora indietro rispetto al resto d’Europa sarebbe un grave errore. Ma significa avere ben chiaro che le assicurazioni, per quanto fondamentali, «permettono di coprire solo una piccola parte del rischio, il rischio residuale». Anche perché nel 2020, secondo una recente indagine condotta dalla stessa Anra, è emerso un preoccupante inasprimento dei in termini e delle condizioni delle coperture assicurative, in particolare sulle coperture, Responsabilità Amministratori D&O e Rischio Credito. Le condizioni più critiche si riscontrano sulle coperture D&O, settore dominato dalle grandi compagnie assicurative internazionali. Il 90% dei Risk Manager segnala una netta riduzione della capacità di sottoscrizione disponibile, rigidità delle condizioni offerte e costi di assicurazione decisamente in rialzo che in molti casi superano il raddoppio. Circa il 30% si è trovato a dover accettare condizioni di assicurazione meno ampie, con limiti di polizza inferiori ed aumento del livello di ritenzione con franchigie e scoperti.

Per quanto riguarda, invece, la linea Property Damage & Business Interruption, gli effetti del mercato sono prevalentemente nell’aumento dei premi, mentre rimangono sostanzialmente stabili le condizioni di assicurazione e la capacità di sottoscrizione offerta salvo per i limiti da catastrofi naturali. In conseguenza alla polarizzazione del mercato sulla linea Crediti fra i tre grandi assicuratori internazionali, i Risk Manager lamentano un aumento generalizzato dei costi di trasferimento del rischio ed una diffusa diminuzione dei fidi assicurati. In misura minore, ma pur sempre rilevante, il 35% dei rispondenti ha segnalato, inoltre, aumenti di costo nelle linee Responsabilità Civile e Trasporti, mentre appaiono stabili le linee Malattia ed Infortuni. Come presumibile, l’emergenza sanitaria ha fatto sentire il suo impatto: alla luce delle complicanze riscontrate dalle aziende nell’ultimo anno, le quali hanno visto salire i costi delle polizze per i rischi legati alla propria attività, circa la metà dei Risk Manager si è vista richiedere l’inserimento di una clausola di esclusione rischio pandemia nelle polizze Property, RC, Trasporti e D&O, e circa la metà di essi ha dovuto accettarla in fase di rinnovo. «Anche volendo ricorrere a coperture assicurative in questo contesto, ci si deve confrontare con un mercato hard, dunque con tassi alti e coperture più limitate. Allora è importante lavorare a monte piuttosto che a valle, dove si trova l’assicurazione».

Nonostante l’alto livello di minacce informatiche e frodi sui dati e furto tra i primi 5 rischi per i prossimi 12 mesi, il 35% di gli intervistati non hanno acquistato alcuna copertura informatica autonoma e le polizze autonome sui rischi informatici avevano la copertura minima per limiti superiori a 50 milioni di euro. Per D&O oltre la metà (56%) limiti di acquisto di 50€ milioni o più. Fonte Ferma con Pwc

I rischi mortali delle aziende (il punto da cui iniziare una strategia Erm)

Quali sono i rischi mortali per un’azienda? «È questa la prima domanda che deve il Risk Manager, il ceo o l’imprenditore di un’azienda. La risposta dipende molto dal settore di attività in cui si opera, perché ovviamente cambia il profilo di rischio dell’impresa. Quando si intervista l’imprenditore di una piccola azienda per stilare la mappatura del rischio la prima domanda sarà “quali sono i rischi per i quali non dormi la notte?” Magari per una Pmi è il rischio di non avere affidamenti bancari, oppure per una azienda monocliente che questo diventi insolvente. Il profilo di rischio va modellato in base anche alla dimensione. Queste sono le domande da cui si parte e che ingaggiano l’imprenditore a raccontarsi e a raccontare».

Cookie	Durata	Descrizione
cf_ob_info	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_ob_info fornisce informazioni su: il codice di stato HTTP restituito dal server web di origine, l'ID Ray della richiesta originale fallita e il centro dati che serve il traffico.
cf_use_ob	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_use_ob informa Cloudflare di recuperare la risorsa richiesta dalla cache Always Online sulla porta designata.
cookielawinfo-checkbox-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Tecnici".
cookielawinfo-checkbox-non-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Profilazione".
CookieLawInfoConsent	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie (viewed_cookie_policy) e i valori di cookielawinfo-checkbox-necessary e cookielawinfo-checkbox-non-necessary. In conformità con le regolamentazioni del CCPA.
PHPSESSID	sessione	Il cookie PHPSESSID è un cookie nativo di PHP e consente ai siti Web di memorizzare dati sullo stato della sessione.
pum-*	1 giorno	Questo cookie è utilizzato per gestire il popup che appare su questo sito web e serve soprattutto a definire se un popup è stato aperto, chiuso e se non deve più essere visualizzato. L’* è l’ID del popup.
viewed_cookie_policy	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie.
wordpress_test_cookie	sessione	Prova se il cookie può essere impostato. WordPress imposta anche il cookie wordpress_test_cookie per controllare se i cookie sono abilitati sul browser per fornire un'esperienza utente appropriata agli utenti. Questo cookie viene utilizzato sul front-end, anche se non sei loggato.

Cookie	Durata	Descrizione
_ga	2 anni	[Google Analytics] Usato per distinguere gli utenti.
_ga_*	400 giorni	[Google Analytics] Utilizzato per accelerare il tasso di richiesta. L'* è l'ID della proprietà di GA4.
1P_JAR	30 giorni	[Google, Youtube] Usato per personalizzare gli ads sulle ricerche di Google.
audiensClientId*	sessione	[Audiens] Profilazione dell'utente al fine di erogare contenuti pubblicitari basati sugli interessi. L'* è l'id del client.
CONSENT	1 anno	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
DV	7 minuti	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
GPS	30 minuti	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
NID	6 mesi	[Google, Youtube] Questo cookie contiene un ID unico utilizzato per ricordare le tue preferenze e altre informazioni.
OGPC	24 ore	[Google] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
OTZ	1 mese	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
PREF	2 anni	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
VISITOR_INFO1_LIVE	6 mesi	[Youtube] Questo cookie contiene un ID univoco che viene usato per memorizzare le tue preferenze e altre informazioni. Viene usato anche per rilevare e risolvere problemi con il servizio.
YSC	sessione	[Youtube] Questo cookie viene usato da YouTube per memorizzare l'input e associare le azioni dell'utente.

L’evoluzione del ruolo del risk manager, tra pandemia, cybersecurity e…