di Laura Magna ♦ Dal terremoto alle incursioni di virus nel sistema informatico: per le imprese aumentano i pericoli. Alessandro De Felice, chief risk officer di Prysmian Group e presidente di Anra, l’associazione italiana dei risk manager, e lo head of Insurance di Tim, Paolo Rubini, spiegano che cosa bisognerebbe fare.
La perdita di una nave posa-cavi o le fluttuazioni del prezzo del greggio per un’azienda di oil service. La presenza di bug informatici nella rete per un’impresa telco. Un terremoto per una società di costruzioni. Ancora: la valutazione delle caratteristiche di un’azienda target per un gruppo che basa il suo progetto di crescita sulle linee esterne. Sono solo alcuni esempi di rischi nella vita di un’impresa. Rischi specifici, legati al business, ma anche di tipo macro o finanziario che impattano, potenzialmente, su qualsiasi attività industriale. E che vanno gestiti, preferibilmente in maniera integrata.
“Oggi lo si fa in vari modi: innanzitutto con strumenti che mitighino la probabilità di certi eventi, in particolare per i rischi operativi. Parliamo di azioni, investimenti, coperture assicurative e poi attraverso codici comportamentali”, commenta a Industria Italiana Alessandro De Felice, chief risk officer di Prysmian Group e presidente di Anra, l’associazione italiana dei risk manager. Un punto di vista privilegiato quello di De Felice, che opera in una delle poche grandi aziende italiane e che dal 2012 si è dotata di un modello di Enterprise Risk Management (Erm), adottando il regolamento in tema di corporate governance di Borsa Italiana. “Si tratta di un modello di risk management evoluto e integrato, che promuove la gestione proattiva del rischio usando strumenti strutturati e sistemici a supporto del processo di decision making”, spiega De Felice. “Il risk officer è responsabile della pronta identificazione, della valutazione e del monitoraggio nel tempo dei rischi che Prysmian dovrà affrontare”. Informazioni tanto importanti da essere inserite nel bilancio annuale, in quanto price sensitive per una società quotata.
Trappole nascoste
“Si va dai rischi macro, come i cambiamenti nel Pil e nei tassi di interesse, alle fluttuazioni dei prezzi delle materie prime e del consumo globale di energia che influenzano la domanda di energia e gli investimenti nel settore”, continua il manager. “Per far fronte a questo rischio il gruppo ha attuato una importante diversificazione geografica extra europea. Un altro rischio è quello legato alla eccessiva dipendenza da un unico cliente, come nel caso del business di cavi flessibili per l’estrazione del petrolio prodotti in Brasile per il colosso locale Petrobras: per cui è già iniziata una diversificazione del portafoglio clienti.
E, ancora, i rischi geopolitici, nella aree calde di attività di Prysmian, dall’Asia, all’America latina, al Medio Oriente”. Un elenco che potrebbe continuare. L’azienda attiva nel cablaggio assegna innanzitutto a ognuno di questi rischi un punteggio in termini di impatto, probabilità e livello di rischio e attua strategie atte a mitigarli e/o gestirli. Una best practice che ha pochi emuli in Italia.
In cerca di assicurazioni
Ma la colpa non è tutta degli imprenditori, almeno stavolta. “Vi è un’evidente incapacità da parte del mondo assicurativo e degli intermediari nel proporre soluzioni adatte alle diverse tipologie di aziende del nostro tessuto economico”, spiega De Felice. “Le assicurazioni e i broker cercano di proporre e vendere un prodotto, come se la gestione dei rischi fosse una commodity, e non un servizio a valore aggiunto, in cui manca offerta e capacità di capire bene i rischi dell’azienda”. La necessità di cambiamento riguarda allora tutti gli stakeholder coinvolti. “Gli imprenditori mostrano una certa sensibilità ai temi di gestione del rischio orientata a proteggere risultati, business continuity e liquidità dell’azienda. Ma manca una controparte che sappia offrire delle soluzioni. Quando le compagnie di assicurazione vendono un prodotto, quello vale il suo prezzo e quanto il cliente sia disposto a pagarlo. E non è una questione di costo che è l’ultimo parametro che anche le aziende medio piccole guardano, ma proprio di qualità dell’offerta”.
Consulente in disastri
Non è rilevante neppure il fatto, secondo il presidente di Anra, che molte Pmi non siano dotate di un risk manager: in certi casi la consulenza può essere una buona alternativa. “Un responsabile amministrativo che fornisca una reportistica nella gestione dei rischi, che sia formato a farlo, può essere sufficiente per una Pmi, magari con il supporto di un consulente esterno, una figura che si sta sviluppando sempre più in questo settore”. Mentre per la grande azienda la figura del risk manager è sempre più integrata: “la sfida è che venga incluso nell’ambito della governance, un chief risk officer che allinei tutti i rischi dell’azienda a quelli che sono i target attesi in termini di produzione e di margini”, aggiunge De Felice.
Disastri da evitare
Una figura che in effetti solo la big corporate può oggi vantare (e forse permettersi). Anche in Telecom, ora Tim, è presente un head of Insurance e risponde al nome di Paolo Rubini. “Per quanto riguarda i rischi assicurabili abbiamo in primo luogo una grandissima attenzione ai danni catastrofali legati a terremoto, alluvione, eventi sociopolitici e terrorismo e a queste si aggiungono coperture di responsabilità civile, sia generale di tipo extra-contrattuale, sia professionale e contrattuale per i servizi informatici e di telecomunicazione”, precisa Rubini, che in Anra è vicepresidente. “Tutta una branca di cyber-insurance che abbiamo attivato tra i primi in Italia e che sono uno dei pilastri del nostro pacchetto assicurativo”. Anche per Telecom vale il discorso dell’adeguamento al Codice di disciplina della società quotate e anche in questo caso i rischi sono voci a bilancio, fattori che possono condizionare le fluttuazioni del prezzo di Borsa e che sono gestiti in maniera integrata, attraverso un modello Erm. A bilancio sono elencati rischi macro, come “la crescita economica, la stabilità politica, la fiducia dei consumatori, la variazione del tasso di interesse e dei tassi di cambio nei mercati in cui è presente; ai rischi connessi alle dinamiche competitive in atto che potrebbe comportare una riduzione della quota nei mercati di operazione e anche dei prezzi e dei margini. O, ancora, rischi operativi, legati alla continuità di business con le infrastrutture che sono sensibili alle interruzioni dovute ai guasti delle tecnologie informative e comunicative, alla mancanza di elettricità, alle alluvioni, alle tempeste e agli errori umani. Problemi inaspettati alle strutture, guasti di sistema, guasti hardware e software, virus dei computer o attacchi hacker potrebbero influenzare la qualità dei servizi e causare interruzioni di servizio”. Sviluppo di reti fisse e mobili, possibili frodi, controversie e contenziosi, rischi finanziari. Anche in questo caso il pacchetto di rischi è ampio e diversificato e “Telecom Italia lo affronta innanzitutto avendo definito, a livello centralizzato, le linee guida alle quali deve essere ispirata la gestione operativa, l’individuazione degli strumenti finanziari più idonei a soddisfare gli obiettivi prefissati e il monitoraggio dei risultati conseguiti”.
Due casi di risk management, quelli di Prysmian e di Telecom che rappresentano delle best practice ma che sono replicabili?
Diffuso scetticismo
Secondo un sondaggio realizzato da Eumetra Monterosa per Anra mentre esiste un diffuso scetticismo tra gli italiani sul ricorso alle assicurazioni (solo il 52% le ritiene importanti) nelle imprese cresce la consapevolezza: due imprese su tre integrano la figura del risk manager e il 31% dichiara di fare un “uso massiccio” di assicurazioni in ottica di una stabilizzazione dei risultati attesi. Resta però un abbondante 30% che non lo fa. Ciò detto, ci sono altri dati abbastanza incoraggianti: a livello corporate l’84% degli intervistati ha pensato o progetta di instaurare politiche di risk management, soprattutto in ottica di eventuali danni materiali diretti ai beni (51%), rischi legati a responsabilità civile (43%) e per preservare la Continuità del Business (43%). L’indagine mostra però che esiste una certa confusione di fondo tra la gestione dei rischi e le attività di tipo assicurativo, come si vede dal fatto che la pratica internamente è delegata in molti casi all’ufficio legale (55%). In compenso due aziende su tre dedicano una persona al risk management e tra chi non la possiede emerge l’intenzione di inserirne una (62%).
Il terremoto spaventa
Infine, la percezione dei rischi più importanti per le aziende virtuose si è modificata dopo il terremoto di Amatrice: i danni materiali diretti ai beni al 51% a luglio, è diventato prioritario da gestire per il 76% degli imprenditori; mentre la responsabilità civile resta stabile (dal 43% al 41%) e la continuità del business è passata dal 43% al 60%. Solo il 7% però vede rischi nell’utilizzo di identità digitali, il che la dice lunga sulla visione del futuro e sulla programmazione a lungo termine (che è carente, come in molti altri aspetti del business).
