Un’azienda meno rischiosa in un mondo più rischioso

Il mondo di oggi presenta sfide sempre più complesse. Pensiamo a quanto accaduto negli ultimi 3 anni: la pandemia mondiale e la guerra nel cuore dell’Europa dell’est hanno generato forti problemi per le supply chain internazionali e grande volatilità sui prezzi delle commodity. Allo stesso tempo abbiamo assistito alla nascita di incredibili evoluzioni tecnologiche, con l’improvvisa disponibilità di intelligenza generativa artificiale (Generative AI) su larga scala che ha generato grandi opportunità, ma anche rischi rilevanti. L’impatto del cambiamento climatico, inoltre, è sempre più forte, con siccità estese, inondazioni e incendi in molte parti del mondo che secondo le previsioni diventeranno più gravi con il passare del tempo.

Ora guardiamo alla capacità di gestione di questi e molti altri rischi da parte delle nostre aziende: pensiamo veramente di avere tutti gli strumenti necessari per affrontare il mondo di oggi e prepararci a quello ancora più difficile di domani? La risposta è affermativa solo in pochi e selezionati casi.

Sebbene la gestione dei rischi sia sempre stata una materia non semplice, la dimensione, la complessità e l’interconnessione dei rischi a cui assistiamo oggi (dal punto di vista economico, tecnologico, regolatorio, umano e climatico) presentano alle aziende delle sfide assolutamente inedite. Le imprese di tutto il mondo che devono necessariamente convivere con questa nuova realtà hanno bisogno di un nuovo modo di gestire i rischi.

Una nuova visione per il risk management

Un nuovo approccio alla gestione dei rischi aziendali non può che attivarsi attraverso una funzione dedicata, in grado di fornire un’adeguata trasparenza sui rischi rilevanti. Una funzione che deve essere coinvolta in modo olistico: dalla strategia alla gestione, fino al presidio dei rischi nei processi chiave.

È necessario rafforzare, da un lato, la capacità di quantificare e fornire una vista aggregata e manageriale dei rischi e, dall’altro, è fondamentale integrare il risk management nei processi decisionali del business. Come già avvenuto nel mondo delle istituzioni finanziarie, una funzione forte di risk management deve presidiare i rischi finanziari e non finanziari (come ad esempio i rischi legati alla supply-chain, ai sistemi tecnologici e altri rischi legati ai processi aziendali). Le competenze tecniche e analitiche tipiche dei risk manager dovrebbero essere usate per supportare le decisioni a tutti i livelli, contribuendo così a rendere più resilienti le operations e i processi aziendali.

L’obiettivo è, infatti, quello di creare una funzione di risk management che operi come una funzione di controllo, in grado di impedire che i singoli casi di rischio raggiungano livelli minacciosi e, allo stesso tempo, in grado di supportare le migliori decisioni in termini di rischio-opportunità per il business. La gestione del business sarà sempre più legata alla capacità di gestire i rischi ad esso connessi in modo proattivo, pesandone i potenziali costi collaterali. Questo approccio proattivo si basa su 3 pilastri.

Indirizzare le strategie dell’azienda. Oggi si rende necessaria una maggiore interconnessione tra pianificazione strategico-finanziaria e gestione dei rischi, per raggiungere il miglior trade-off tra profitti e rischi connessi che in molti casi possono azzerare qualunque business plan se non adeguatamente considerati.

Nel settore bancario, ad esempio, la gestione del rischio ha tradizionalmente costruito e mantenuto un set di modelli di bilancio e conto economico di “stress” a fini regolatori. Il risk management oggi supporta la pianificazione attraverso questi modelli, rappresentando scenari alternativi al piano di base, ma anche consentendo l’impiego ottimale delle risorse finanziarie come capitale, liquidità e funding.

In altri settori, l’uso di scenari multipli a supporto del processo di pianificazione è applicabile e diventerà sempre più importante. Le aziende possono creare un quadro di riferimento che permetta loro di esaminare, valutare e monitorare potenziali eventi avversi. Questo processo diventa ancora più rilevante quando l’organizzazione deve sviluppare un piano strategico ambizioso, intraprendere un profondo programma di trasformazione o, ancora, assumere delle decisioni cruciali in merito agli investimenti. In tutte queste decisioni, infatti, i rischi espliciti o non valutati e mitigati possono portare al fallimento del piano.

Un’azienda di moda, leader del settore Fashion&Luxury, ha recentemente utilizzato questo approccio per identificare più di 20 scenari prospettici tra diverse categorie di rischio (tra cui: supply-chain, immagine e reputazione, canali di servizio e interruzione del business). Gli scenari sono stati poi prioritizzati secondo l’impatto potenziale al variare dei livelli di fatturato e, per ognuno di questi scenari, il risk management e le unità di business hanno concordato una serie di KPI e di relative azioni di mitigazione in caso di superamento delle soglie identificate.

Supportare la gestione dell’azienda. Per sostenere la crescita aziendale, chi si occupa di gestione del rischio deve lavorare in modo sinergico con chi gestisce il business, così da fornire eventuale supporto decisionale in modo puntuale e tempestivo. Per farlo è necessario definire nuovi modelli di collaborazione che integrino maggiormente rischio e business pur mantenendo la necessaria indipendenza delle funzioni.

Le banche e i grandi operatori del settore energetico hanno introdotto alcuni esempi interessanti di piena integrazione del risk management nelle decisioni di business. Diverse banche stanno, infatti, implementando modelli analitici avanzati per fornire informazioni prospettiche sul portafoglio prestiti delle imprese clienti e conseguentemente analizzare il rischio-rendimento di specifiche opportunità commerciali. Queste banche, invece di guardare solo al passato (bilanci e comportamenti a fronte di finanziamenti), adottano dati transazionali (per esempio operazioni sul conto corrente) per definire in modo granulare rischi prospettici nuovi, ma anche opportunità di finanziamento. Grazie a queste analisi possono proiettare i possibili flussi di cassa futuri dei clienti e valutarne le interconnessioni per identificare i rischi legati alla supply chain o alla concentrazione del business. Oggi questi approcci consentono, per esempio, alle banche di identificare istantaneamente l’esposizione a un eventuale rischio Cina di una impresa cliente, definire la vera capacità di ripagare un prestito nei 12 mesi successivi o identificare necessità di linee di credito o prodotti di trade-finance.

Anche il settore dell’energia sta vivendo una profonda trasformazione dovuta alla necessità di passare a nuove tecnologie “green” la cui introduzione richiede oggi investimenti di grande scala, con una visione sui ritorni di lungo termine spesso limitata. Uno dei più grandi operatori globali nel settore ha implementato una metodologia dettagliata e ben definita di propensione al rischio, che prevede la definizione di scenari e relative metriche per monitorare il cambiamento delle condizioni esterne e una chiara governance, così da permettere una tempestiva escalation in caso di segnali di cambiamento dello scenario di base e agire sulle decisioni di investimento velocemente.

La gestione dei rischi di medio-lungo termine passerà sempre di più attraverso analisi di scenario strutturate e monitoraggio di indicatori, in modo da affrontare le incertezze più efficacemente e allocare le risorse in modo ottimale.

Proteggere l’azienda. Il livello di protezione richiesto dal contesto attuale implica un significativo aggiornamento della capacità di gestione del rischio delle aziende nel loro complesso. Pensiamo infatti ai molteplici rischi non finanziari a cui è oggi esposta un’azienda. Negli ultimi mesi il 32% delle organizzazioni (secondo il Ponemon Institute) ha subito la compromissione dei propri dati tramite attacchi cyber. Ci sono inoltre molteplici altri rischi che preoccupano le aziende oggi, per esempio legati a inflazione, volatilità, interruzione di attività o fornitura, ma anche rischi fisici legati ai cambiamenti climatici, solo per citarne alcuni.

L’azienda del futuro dovrà convivere con questi rischi. Per poterlo fare in modo ottimale servirà una struttura di controllo distribuita, una combinazione di processi “umani” di altissima qualità e forte automazione dove, come in un sistema immunitario estremamente efficace, i sistemi di monitoraggio possano anticipare e indirizzare immediatamente le azioni necessarie. Ciò richiede di conoscere in modo chiaro quali sono i 5-10 rischi più importanti a cui l’azienda è esposta, quantificarne l’esposizione per prioritizzare le azioni, e avere i dati e gli strumenti adeguati per rispondere.

Tornando agli esempi, oggi alcune aziende in diversi settori hanno già implementato sistemi quantitativi (basati su 20-30 scenari estremamente granulari) per identificare in modo chiaro quali asset tecnologici sono più esposti a rischi di attacchi cyber e conseguentemente implementare sistemi di controllo e protezione puntuali. Molte aziende, però, si affidano ancora oggi a vecchi modelli qualitativi di analisi dei rischi informatici, spesso basati su questionari di efficacia limitata.

Oltre ad anticipare e intervenire tempestivamente, l’impresa del futuro dovrà essere più resiliente, attraverso l’implementazione di modelli organizzativi e infrastrutture in grado di garantire continuità di servizio anche in situazioni di “disruption” estrema, con architetture modulari, ridondanti e con processi specifici in grado di intervenire in caso di necessità. Le aziende che navigheranno gli anni futuri in modo evoluto saranno quelle in grado di pesare adeguatamente i costi addizionali legati a questi sistemi, riducendo fortemente l’esposizione al rischio.

In questo scenario, le nuove applicazioni di intelligenza artificiale (GenAI inclusa) rappresentano certamente un capitolo nuovo, pur essendo già una realtà in molte aziende che stanno sperimentando modalità innovative di utilizzo dei dati per trasformare modelli operativi e processi. Bisogna però ricordare che queste tecnologie aggiungono anche una serie di rischi e di preoccupazioni, tra cui: bias eventuali nell’output dei modelli, errori legati agli input, problemi connessi alla gestione e protezione dei dati personali o alla cyber security. La pressione (anche di natura regolamentare) sulla capacità di controllare tali rischi raccogliendo al contempo i notevoli vantaggi generati dalle nuove tecnologie, sta alimentando lo sviluppo e l’integrazione di un approccio responsabile all’intelligenza artificiale: un approccio per disegnare e implementare sistemi di IA allineati al purpose e ai valori aziendali, che comunque generi un impatto trasformativo per il business, definendo linee guida e controlli adeguati su possibili rischi.

Un’azienda meno rischiosa

La notizia positiva è che tutti i CEO possono avviare già oggi una serie di azioni concrete per portare le loro aziende ad un livello superiore nella gestione dei rischi. Serviranno da un lato competenze forti di risk management, ma dall’altro un approccio integrato nella pianificazione strategico-finanziaria, nella costruzione di un sistema distribuito di processi e controlli di alta qualità, di meccanismi di governance e strumenti in grado di intercettare eventuali problemi.

Gli investimenti necessari a garantire trasparenza sui rischi più importanti e capacità di controllo e gestione nel business non garantiranno mai l’azzeramento dei rischi. Tuttavia contribuiranno sicuramente alla loro significativa riduzione consentendo ai CEO di poter indirizzare al meglio le strategie, gestire e proteggere l’azienda in un futuro inevitabilmente più rischioso. 

Matteo Coppola è Managing Director e Senior Partner BCG.