La necessità di ripensare la governance del rischio

L'approccio ai rischi aziendali è una preoccupazione crescente all'interno della corporate governance. L'eccessiva attenzione alla conformità e l'eccessiva attenzione al rischio finanziario sono di per sé un rischio. Esistono diverse categorie di rischi strategici, che possono far crollare o danneggiare gravemente le organizzazioni, sottolineando l'importanza di affrontare il tema del rischio in modo multidisciplinare e sistemico. L'attuale sforzo pandemico illustra come le organizzazioni umane, anche Stati, non sono ben preparati ad affrontare il rischio. Un approccio olistico sostenuto da principi di politica aziendale, garantisce una migliore identificazione e gestione dei potenziali rischi. Iniziare con la tassonomia del rischio aiuta a classificare diverse categorie rilevanti, aumentare la consapevolezza e la visibilità delle aree critiche, e contribuendo a indirizzare gli sforzi verso un approccio migliore ad essi.

Gli attuali approcci al governo societario suggeriscono che un approccio normativo, mentre necessario, non è sufficiente per un'efficace governance del rischio. Serve un approccio prudenziale e multidisciplinare. La questione del rischio sembra essere stata trascurata in molte situazioni, dalle occasioni mancate per innovare, di fronte al cambiamento tecnologico, alle grandi catastrofi derivanti da incidenti tecnici. I recenti incidenti aerei della Boeing o la fuoriuscita di BP Deep Water Horizon nel Golfo del Messico alcuni anni fa potrebbero suggerire spazi di miglioramento nell'avvicinarsi al rischio. I codici di governance riguardano la responsabilità degli amministratori, ma farlo da un punto di vista normativo, quando in realtà è necessario andare oltre il semplice adempimento, poiché la “realizzazione del futuro di un'azienda è una questione di iniziativa, non ottimizzazione” [1]. Oppure pensiamo al nuovo paradigma che la trasformazione digitale e le minacce informatiche comportano, in particolare una serie completamente nuova di rischi che non esistevano in passato.

Rischi informatici, ad esempio, con la sua maggiore complessità che “emerge” dagli effetti sistemici è un soggetto che non riconosce confini fisici, e dove la tecnologia, gli effetti sociali e geopolitici modellano un mondo completamente nuovo di rischi i cui impatti possono essere a malapena stimati. Un consiglio di amministrazione che non è consapevole di questi rischi probabilmente non sta adempiendo alle proprie responsabilità riguardo alla governance delle organizzazioni di cui è responsabile. Come qualcuno ha affermato:"Il lavoro dei leader è agire per ottenere una situazione futura per l'organizzazione, migliore di quella attuale in termini relativi”, che richiede un approccio olistico in materia di rischio [1]. I rischi finanziari hanno guadagnato un'enorme copertura e attenzione da parte dei media negli ultimi decenni e sono stati di conseguenza soggetti a maggiori sforzi normativi, un'azione positiva. Ci sono, tuttavia, molti altri tipi di rischi che richiedono un'attenzione simile per evitare "angoli ciechi" in ciò che riguarda le nostre organizzazioni. Per esempio, l'attuale pandemia ha colto impreparata la stragrande maggioranza delle imprese, sistemi sanitari mal preparati, o paesi con strategie economiche inefficaci, che sono stati esposti alle conseguenze della materializzazione del rischio.

Gli attuali approcci al rischio sono ulteriormente aggravati dai limiti cognitivi derivanti dalla nostra limitata capacità di stimare i risultati [2], come mostrato da alcuni esempi classici nella tabella seguente [3].

I limiti cognitivi citati danno luogo a stime errate sui potenziali esiti. Per esempio, l'invenzione della fotocamera digitale, che sembra non aver ricevuto abbastanza attenzione da parte del consiglio di amministrazione di Kodak qualche decennio fa, potrebbe essere un esempio di incapacità del consiglio di identificare un rischio tecnologico critico. I compiti che il consiglio di amministrazione dovrebbe affrontare sono essenzialmente quelli che determinano la prosperità e la sostenibilità dell'impresa, accettare un livello di rischio “adeguato”, e adottando un approccio multidisciplinare al processo decisionale. Il miglior processo decisionale al mondo non sarà abbastanza buono senza un'informazione adeguata, e indipendentemente da quanto sia bravo il team di gestione esecutiva, le informazioni che veicolano in board saranno sempre “filtrate”. Pertanto anche i consiglieri di amministrazione necessitano di adeguati canali informativi, sia interni che esterni all'azienda, ma anche formali e informali. Un approccio di politica aziendale richiamerà l'attenzione sulle sue quattro aree di governo:il business, la struttura di regia, i sistemi incentivanti e la configurazione istituzionale.

Conformità – una condizione necessaria, tuttavia non sufficiente

Un business comprende un compromesso tra profitto e rischio assunto. Tuttavia, correre troppi rischi a volte ha un alto potenziale di danneggiare o addirittura far fallire l'azienda. Alcuni autori suggeriscono che la crescente domanda e responsabilità degli amministratori non si limita alla questione dei rischi, ma al loro ruolo di responsabili della direzione organizzativa, con le potenziali conseguenze che molti amministratori potrebbero tendere ad allontanarsi da tali ruoli [4]. Le tendenze recenti nell'approccio ai rischi aziendali includono la crescente introduzione di un Chief Risk Officer, che sta diventando direttamente responsabile nei confronti del consiglio di amministrazione. Sebbene tale situazione possa essere in qualche modo scomoda per il CEO, questa figura può aiutare il consiglio di amministrazione verso un migliore approccio al governo del rischio.

I codici di governo societario suggeriscono generalmente l'implementazione di alcuni sistemi di gestione del rischio; quali prestazioni devono essere periodicamente valutate. Sono stati compiuti sforzi per una migliore comprensione e gestione dei rischi aziendali, dall'introduzione della norma ISO 31000 alla spesa di centinaia di milioni in qualsiasi valuta sui sistemi ERM (Enterprise Risk Management), spesso con risultati inferiori alle aspettative. sistemi ERM, cercando di coprire tutti i rischi identificabili in un'azienda, finiscono per generare una quantità enorme di dati, che finisce per distrarre i responsabili della governance del rischio. La maggior parte di questi sistemi tratta i rischi come indipendenti l'uno dall'altro, quando questo non è necessariamente vero, e può produrre effetti amplificati – emergenza dei sistemi – quando tali rischi si materializzano. Inoltre, per la loro semplice esistenza, I sistemi ERM introducono un “falso” senso di sicurezza, un rischio su se stesso.

È all'interno di questo equilibrio tra rischio e profitto che l'approccio al governo del rischio d'impresa comporta, che richiede maggiore coinvolgimento e responsabilità da parte dei responsabili, scartare vecchie tavole di moda, a volte indicato come tavole "timbro di gomma", molto in voga in passato. Un consiglio di amministrazione efficace si impegna in modo proattivo a supportare la gestione esecutiva dell'azienda, ed efficace governo del rischio. Tale attenzione deve andare oltre i canali di informazione del consiglio ed essere proattiva nella raccolta di informazioni, non solo attraverso canali informativi formali ma anche informali, e sia dall'interno che dall'esterno dell'organizzazione, visitando le strutture e le operazioni dell'organizzazione, porre alla direzione le domande appropriate, e mettendo in dubbio le loro risposte.

Un'eccessiva attenzione ai rischi di tipo finanziario

Nonostante l'attenzione ai rischi finanziari, esiste un'ampia gamma di rischi non finanziari che, oltre a quelli strategici, possono incidere gravemente sulle imprese. Partendo da una tassonomia dei rischi, raggruppandoli in categorie, porta visibilità su potenziali “angoli ciechi” [5].

È legittimo chiedersi se l'attenzione del consiglio di amministrazione debba concentrarsi principalmente sui rischi finanziari, a volte di natura a breve termine, o, invece, su tecnico, operativo, reputazionale, tra le altre tipologie di rischio, che sono rischi reali che possono dettare il destino delle organizzazioni. Il modo in cui la maggior parte delle organizzazioni affronta il rischio può suggerire una sottovalutazione, tenendo a malapena conto delle interrelazioni sistemiche di causa-effetto, dietro i problemi osservati. Mettere in discussione le aree sopra menzionate della politica aziendale può supportare un approccio più olistico alla governance del rischio, ponendo domande come:

• In che modo il rischio X influisce su questo business?
• Qual è il rapporto tra rischio X e struttura aziendale?
• Qual è il rapporto tra sistemi di incentivazione e rischio?
• I sistemi di incentivazione inducono comportamenti meno etici?
• In che modo la cultura organizzativa influisce sul rischio o ne è influenzata?
• Qual è il livello di iniziativa e innovazione in tutta l'azienda?

Attraverso un interrogatorio sistematico, un consiglio di amministrazione responsabile può generare ulteriore visibilità sui potenziali rischi aziendali, coprendo i punti di rilegatura, e valutare come i rischi influenzano e sono influenzati dalle quattro aree di governo di cui sopra [1]. I compiti che il consiglio di amministrazione dovrebbe affrontare sono essenzialmente quelli che determinano la prosperità e la sostenibilità dell'impresa in presenza di diverse tipologie di rischio. Un'eccessiva attenzione al rischio finanziario e un approccio eccessivamente normativo incentrato sulla conformità possono essere contrari alla sostenibilità dell'organizzazione. La conformità garantisce il raggiungimento degli standard minimi di conformità, ma è saggezza pratica, prudenza e buon senso decisionale che aspirano alla massima performance aziendale. I codici di buona governance sono una condizione necessaria, ma non abbastanza per prevenire il disastro, ed è necessario un approccio olistico affinché il business di domani sia migliore di quello di oggi.