Interconnessione di fabbriche e aziende: la gestione del rischio

22 Gennaio 2019

di Laura Magna ♦ Agli elementi tradizionali che possono incidere negativamente sullo svolgimento del business si aggiungono quelli legati al mondo virtuale: big data, blockchain e tutte le nuove tecnologie disruptive. La situazione italiana e le fondamentali necessità del risk management così come li vede Alessandro De Felice, presidente Anra, l’associazione di settore, e top manager Prysmian

L’Industria 4.0 ridefinisce il concetto di rischio strategico nelle aziende. Non più solo legato all’organizzazione fisica, ma anche al mondo virtuale: le tecnologie tipiche dell’interconnessione aumentano la complessità del contesto e con essa i punti di ingresso dei possibili fattori di rischio. Per questo il compito di chi si occupa di gestione dello stesso diventa sempre più centrale e specialistico, «a fronte dei grandi cambiamenti in atto – a livello economico, normativo, tecnologico, ambientale per citarne alcuni – e delle conseguenti incognite che impattano sui risultati e sulle prospettive di crescita», dice a Industria Italiana Alessandro De Felice, Chief Risk Officer di Prysmian, al suo secondo mandato come presidente di Anra, l’associazione costituita da Risk Officer, Risk Manager e Insurance Manager che operano quotidianamente nella professione, e che dal 1972 è il punto di riferimento in Italia per diffondere la cultura della gestione del rischio e delle assicurazioni in azienda.

alessandro de felice 2 — Alessandro De Felice, presidente Anra

Cos’è il rischio strategico e come si gestisce

Partiamo con il definire il perimetro: cosa si intende per rischi strategici? «I rischi strategici sono tutti quelli che attengono alla strategia che un’azienda adotta, a 360°. Quindi possono riguardare prodotto, mercati, tecnologia, sviluppo. E’ fondamentale conoscere quali sono i ritorni attesi sul capitale investito di ogni piano strategico, e per farlo bisogna attuare un processo che parte da un’analisi qualitativa delle tipologie di rischi e quantitativa dell’incidenza di ognuno di essi sulla strategia stessa», precisa De Felice. La stessa Anra classifica nell’area dei rischi strategici quelli legati a una perdita di reputazione, quelli che possono scaturire da operazioni di M&A, dal clima politico o di mercato e dal mutare delle condizioni legate ai macro fattori economici e sociali. Questi sono i punti fermi da monitorare costantemente per comprendere e misurare l’impatto dei rischi sulle aziende, per individuare il loro trattamento migliore, trasferimento o ritenzione, e per individuare il risk appetite, ovvero quella soglia di rischio che l’azienda è disposta e in grado di sopportare.

La minaccia cyber è uno dei nuovi fattori di rischio più temibili nell’ economia interconnessa

Elementi di rischio nell’industria 4.0

«Ciclicamente tutte le aziende cercano di allineare e mettere in relazione il piano industriale a tre anni o il piano di gestione annuale, area di business per area di business, con le variabili che incidono sulla sua esecuzione ottimale. Una visione di questo genere permette al management di agire in modo da ridurre la volatilità dei dati attesi. Questo vale a maggior ragione per le società quotate, che sono tenute a comunicare obiettivi di business a stakeholder e analisti: tanto più gli obiettivi sono rispettati, tanto più l’azienda è valutata come sana», dice De Felice.

Dunque che genere di analisi si fanno? «Se parliamo di un rischio strategico di mercato o di prodotto, si individuano le componenti di riferimento di una certa area di business o di un prodotto, i Key Performance Indicator. Quindi, partendo dalle assumption del modello di business e del prodotto si calcola come quel prodotto o quella strategia possano creare un valore aggiunto e si mettono in relazione questi elementi di base con tutte le variabili che possono influenzarli (i Key Risk Indicator), dai competitor, al rischio paese, al rischio normativo, all’andamento dell’economia. Un esempio pratico è quello di un’azienda la cui redditività dipende strettamente dal prezzo del petrolio o di altre materie prime, oppure dalla variazione del tasso di cambio tra valute. Questi sono tutti elementi che possono essere analizzati da un punto di vista matematico statistico e valutati per capire la loro incidenza rispetto al risultato atteso».

Proteggere la sostenibilità dalle minacce incombenti

Un altro tema rilevante nell’agenda dei Risk Manager attualmente è quello della sostenibilità e della non financial disclosure, che le aziende quotate devono emettere a corredo di quelli che sono i dati contabili di bilancio e di annual report. «Nell’ambito della dichiarazione non finanziaria, che chiamiamo bilancio di sostenibilità, si va a valutare quanto l’azienda nel suo insieme sia sostenibile rispetto ai suoi rapporti con stakeholder, fornitori, clienti, azionisti, dipendenti. Una delle componenti su cui viene giudicata la sostenibilità di una società è proprio il come attua la gestione del rischio. Un business deve essere valutato non solo sulla base della sostenibilità da un punto di vista economico-finanziario, ma anche per l’impatto che ha sulle risorse disponibili del territorio, per le attività che intraprende in relazione ai mutamenti climatici, per le ripercussioni sugli ambienti sociali con cui si relaziona», dice De felice avvertendo che questo tema spariglia le carte «perché si esprime in un orizzonte temporale non più a medio-breve termine ma lunghissimo. Gli effetti in queste aree si possono osservare in un range temporale di 50/100 anni, perciò richiedono al management la capacità di guardare oltre, di rispettare il futuro, a volte rinunciando a risultati immediatamente visibili».

I rischi della iperconnessione

A complicare ulteriormente il quadro c’è l’evoluzione tecnologica, che procede a un ritmo mai sperimentato prima e si pone come un elemento disruptive, chiedendo alle imprese di rinnovarsi continuamente. «Il mondo della tecnologia 4.0, dalla blockchain ai Big Data, è completamente nuovo e quindi non valutabile con la chiave di lettura dell’esperienza. Tradizionalmente in un processo di valutazione del rischio si utilizzano dati storici: si mette in relazione il piano strategico con determinati possibili scenari e si simulano le reazioni dello stesso sulla base di quanto avvenuto in situazioni simili in passato. Ma per la tecnologia 4.0 non esistono serie storiche: le predizioni sono impossibili. Allora, per non limitarsi ad analisi qualitative che rischiano di avere risultati prettamente teorici, si cerca di fare valutazioni di resilienza. Cioè si ipotizzano scenari dal punto di vista della possibilità, prescindendo dalla probabilità, che potrebbe essere fuorviante, e si va a vedere quanto ogni scenario impatti sull’azienda, e come quest’ultima reagisce nel contesto ipotizzato», afferma il presidente di Anra.

L’applicazione del Risk Management in un’impresa dipende da due elementi chiave, distintivi di ogni realtà: la tolleranza al rischio, ovvero l’ammontare di rischio che l’azienda può sostenere senza mettere in pericolo la propria sopravvivenza o la continuità delle attività, e l’appetito di rischio, ossia in che misura l’azienda, stabilita la soglia di tolleranza, decide di correre quei rischi. «Alla base dell’attività del risk manager non c’è la volontà di eliminare o evitare i rischi, ma quella di assumerli in maniera consapevole, perché possono nascondere enormi opportunità», spiega De Felice: «vale la regola economica di base per cui all’aumentare del rischio deve crescere la redditività. E in ogni caso, l’azienda deve dotarsi di una exit strategy, un piano B che consenta di salvare il salvabile quando i ponti si sbriciolano e non è più possibile tornare indietro. Il Risk based thinking è questo, ed è alla base della gestione del rischio in un’azienda contemporanea, 4.0».

L’Italia del risk management

A che punto è la consapevolezza dell’importanza del risk management in Italia? Lo rivela un’indagine, presentata nel corso del recente 19° Convegno Anra, realizzata sui soci dell’Associazione e integrata con i dati europei Ferma (Federation of European Risk Management Associations, Federazione delle associazioni dei risk manager europei). L’indagine mostra un’attenzione crescente al tema del risk management che in parte chiude il gap con l’Europa, ma resta la peculiarità domestica di un maggiore ricorso a consulenti esterni, che sono quasi un quinto del totale. La ragione sta nella predominanza nel nostro tessuto economico di imprese micro che non hanno la potenza di fuoco per dotarsi di una funzione interna dedicata.

Inoltre, siamo indietro nell’applicazione dell’Enterprise Risk Management, ovvero di un approccio olistico ai rischi all’interno dell’organizzazione. L’integrazione del risk management nelle strategie aziendali è presente solo nel 14% delle aziende italiane, contro il 74% europeo. Il rischio più temuto dalle aziende europee è il cyber (42%), seguito dalle incertezze sulla crescita economica (34%), dall’eccesso normativo (33%) e dalle incertezze geopolitiche (31%). L’indagine italiana invece ha scorporato le risposte per ogni categoria di rischio, rilevando che al primo posto dei rischi operativi c’è l’Asset e Business Continuity, con il 72%, mentre tra quelli finanziaria primeggia il rischio credito (con l’83%). Nel legal & compliance a preoccupare sono i rischi di compliance (79%), seguiti dalle responsabilità contrattuali (71%). Infine, tra i rischi strategici, che qui ci interessano di più, figurano nelle prime posizioni quelli legati al mercato (74%) e reputazionali (73%).

«In Italia la situazione è migliorata, ma restano le differenze a seconda delle dimensioni», dice ancora De Felice: «le aziende italiane quotate hanno una maturità rispetto al risk management in linea con i pari europei: questo è vero per le grandi aziende tecnologiche, dell’aerospazio, dell’aeronautica. Invece, le pmi hanno ancora difficoltà nel comprendere che il risk management è una componente chiave della redditività di impresa, indipendentemente dalle dimensioni. Tuttavia qualche segnale positivo in Anra lo vediamo, a partire dalle medie aziende: quelle che operano in settori innovativi, oppure che sono parte della filiera delle big corporate, stanno dimostrando un crescente interesse e una sensibilizzazione al tema della gestione del rischio.»

«Sono sempre più numerose le persone che, pur avendo in azienda un ruolo che non è strettamente quello del Risk Manager, contattano Anra per partecipare ai nostri corsi di formazione o per informarsi. Sta aumentando la sensibilità, sull’onda dell’allerta mediatica del cyber risk, il più temuto dalle aziende italiane di ogni dimensione. C’è in gioco l’affidabilità di un sistema: il maggior rischio insito nella digitalizzazione è che se non vengono misurati tutti i colli di bottiglia e i rischi di processo, si incappa facilmente in errori che fanno perdere redditività. Si corre il pericolo di fare investimenti enormi in sistemi che poi risultano non affidabili. Prima di applicare una digitalizzazione “spinta” bisogna essere certi di saper individuare e correggere gli errori presenti nelle procedure già in atto, se necessario ripensando alla base processi e dinamiche aziendali, in maniera scientifica, senza che nulla sia lasciato al caso».

Insomma, quella per garantire la business continuity è una sfida da giocare su due campi: fisico e virtuale. Nell’epoca dell’industria 4.0 la tecnologia cambia il modo di fare impresa e amplifica vecchi e nuovi rischi, creando uno scenario mutevole che le aziende devono decifrare, per comprendere le minacce e gestirle nella maniera migliore. E’ la sfida principale in un mondo interconnesso: non si tratta più solo di prendere le decisioni giuste, ma di creare un framework in cui anche la prevenzione e il controllo a monte siano automatici.

Cookie	Durata	Descrizione
cf_ob_info	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_ob_info fornisce informazioni su: il codice di stato HTTP restituito dal server web di origine, l'ID Ray della richiesta originale fallita e il centro dati che serve il traffico.
cf_use_ob	30 secondi	[Cloudflare] Utilizzato dal servizio Always Online di Cloudflare. Il cookie cf_use_ob informa Cloudflare di recuperare la risorsa richiesta dalla cache Always Online sulla porta designata.
cookielawinfo-checkbox-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Tecnici".
cookielawinfo-checkbox-non-necessary	1 anno	Questo cookie registra il consenso per i cookie nella categoria "Profilazione".
CookieLawInfoConsent	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie (viewed_cookie_policy) e i valori di cookielawinfo-checkbox-necessary e cookielawinfo-checkbox-non-necessary. In conformità con le regolamentazioni del CCPA.
PHPSESSID	sessione	Il cookie PHPSESSID è un cookie nativo di PHP e consente ai siti Web di memorizzare dati sullo stato della sessione.
pum-*	1 giorno	Questo cookie è utilizzato per gestire il popup che appare su questo sito web e serve soprattutto a definire se un popup è stato aperto, chiuso e se non deve più essere visualizzato. L’* è l’ID del popup.
viewed_cookie_policy	1 anno	Questo cookie registra il consenso dato sulla barra dei cookie.
wordpress_test_cookie	sessione	Prova se il cookie può essere impostato. WordPress imposta anche il cookie wordpress_test_cookie per controllare se i cookie sono abilitati sul browser per fornire un'esperienza utente appropriata agli utenti. Questo cookie viene utilizzato sul front-end, anche se non sei loggato.

Cookie	Durata	Descrizione
_ga	2 anni	[Google Analytics] Usato per distinguere gli utenti.
_ga_*	400 giorni	[Google Analytics] Utilizzato per accelerare il tasso di richiesta. L'* è l'ID della proprietà di GA4.
1P_JAR	30 giorni	[Google, Youtube] Usato per personalizzare gli ads sulle ricerche di Google.
audiensClientId*	sessione	[Audiens] Profilazione dell'utente al fine di erogare contenuti pubblicitari basati sugli interessi. L'* è l'id del client.
CONSENT	1 anno	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
DV	7 minuti	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
GPS	30 minuti	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
NID	6 mesi	[Google, Youtube] Questo cookie contiene un ID unico utilizzato per ricordare le tue preferenze e altre informazioni.
OGPC	24 ore	[Google] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
OTZ	1 mese	[Google, Youtube] Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google.
PREF	2 anni	[Youtube] Questo cookie serve per memorizzare informazioni quali la configurazione di pagina preferita e le preferenze di riproduzione dell'utente.
VISITOR_INFO1_LIVE	6 mesi	[Youtube] Questo cookie contiene un ID univoco che viene usato per memorizzare le tue preferenze e altre informazioni. Viene usato anche per rilevare e risolvere problemi con il servizio.
YSC	sessione	[Youtube] Questo cookie viene usato da YouTube per memorizzare l'input e associare le azioni dell'utente.