Operational Risk Management: come gestire e ridurre i rischi

Operational Risk Management: ecco come funziona, Augustas Risk Services

Operational Risk Management: come gestire e ridurre i rischi

Il rischio operativo è quel rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Il rischio operativo riassume le incertezze e i rischi che un’azienda deve affrontare quando tenta di svolgere le sue attività quotidiane all’interno di un determinato settore.

I rischi possono derivare da colli di bottiglia lungo procedure interne, da errori commessi da persone o da avarie di sistemi, ma anche da problemi connaturati a forze esterne, come eventi politici o economici, disastri naturali oppure come fenomeni inerenti all’intero mercato o a specifici segmenti di mercato.

Il rischio operativo si concentra dunque sul modo in cui beni, servizi e processi prendono vita all’interno di una determinata organizzazione ed è per questo spesso associato a decisioni relative al funzionamento stesso dell’organizzazione e alle sue priorità strategiche in relazione all’evoluzione degli scenari. Sebbene non sia garantito che i rischi si traducano in effetti negativi per l’output dell’impresa, devono essere comunque conosciuti, valutati e presi in considerazione in ciascuna decisione di gestione interna.

IL RUOLO DEI CFO

I CFO svolgono un ruolo cruciale: all’interno di un efficace processo di Corporate Governance, devono infatti saper tracciare l’orizzonte dei rischi, attraverso la loro identificazione, classificazione e quantificazione, oltre a saperli comunicare con efficacia all’interno e all’esterno dell’impresa, accompagnando l’informazione con concrete proposte di azione di mitigazione.

Secondo la ricerca “La gestione dei Rischi Operativi nell’ambito della Corporate Governance” realizzata da Andaf insieme ad una società di consulenza:

  • Più di otto CFO su dieci (81,28%) sono coinvolti nelle attività di gestione dei rischi,
  • soprattutto nelle fasi “strategiche” quali la valutazione dei rischi (73,15%), l’identificazione dei rischi (66,44%), il monitoraggio dei rischi (48,99%) e l’analisi del contesto (46,98%).
  • In misura minore, ma comunque significativa, partecipano alle fasi più operative quali le attività di prevenzione e protezione (40,27%) e la scelta del trattamento dei rischi (38,93%).

 

GLI OBIETTIVI DELL’OPERATIONAL RISK MANAGEMENT

  • Identificare i «top risks» dell’azienda nonché eventuali «rischi anomali».
  • Valutare i programmi assicurativi in relazione alla completezza ed adeguatezza delle coperture a raffronto della mappatura dei rischi.
  • Rafforzare l’efficacia delle misure di mitigazione adottate dalla Società per la gestione dei rischi operativi.
  • Identificare eventuali gap, aree grigie, sovra-coperture, e formulare raccomandazioni per l’eventuale adeguamento e ottimizzazione del portafoglio assicurativo in termini di perimetro garantito, livelli di copertura, costi.

 

IL SISTEMA DEI CONTROLLI

La cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l’organizzazione aziendale, nello sviluppo e nell’applicazione di metodi, logici e sistematici, per identificare, misurare, comunicare, gestire i rischi.

L’Operational Risk Management è ormai un elemento essenziale per garantire che le funzioni di controllo operino correttamente all’interno di un’organizzazione. I rischi sono insiti nel modo in cui sono pianificati e gestiti i processi, e soprattutto nel modo in cui ciascun attore svolge le sue task. Per non parlare dell’impatto del fattore umano, ad ogni livello organizzativo, e di variabili esogene come la geopolitica.

Imparare a gestire il rischio in maniera dinamica significa quindi studiare accuratamente la fisionomia di ogni operazione, acquisendo e catalogando i dati provenienti da tutte le funzioni per costruire mappe dettagliate degli scenari plausibili. Mappe che del resto saranno in costante evoluzione, dato che variabili di sistema e framework di riferimento continueranno a loro volta a cambiare con frequenza.

MODULARE E GRADUALE: IL NOSTRO METODO PER UN OPERATIONAL RISK MANAGEMENT EFFICACE

Per un corretto Operational Risk Management, le aziende devono studiare accuratamente la fisionomia di ogni operazione e dare vita a cicliche fasi di valutazione per rivedere le priorità, se necessario, e ottimizzare i processi per ridurre il più possibile il divario fra i risultati ottenuti e quelli previsti, anche quando lo scenario che si realizza è quello peggiore.

Augustas Spa Risk Services propone ai propri clienti un approccio modulare, che può essere calibrato gradualmente in base alle vostre esigenze:

Modulo Set-up (1):

  • Mappatura dei rischi operativi (assicurabili) dell’organizzazione, inclusi quelli relativi a tutte le controllate e collegate.
  • Analisi (check-up) dei programmi assicurativi attualmente in essere, in relazione alla completezza ed adeguatezza delle coperture a raffronto della mappatura dei rischi.
  • Predisposizione di un action plan volto a definire il mix ottimale di coperture in relazione ai rischi mappati.

 

Modulo Risk Mitigation (2):

  • Analisi e mappatura delle misure di risk mitigation in essere per la gestione dei rischi assicurabili
  • Definizione del Rischio Residuo («Rischio netto») per i rischi identificati e ponderati nel modulo precedente, valutato in base alle misure di mitigazione in essere.
  • Predisposizione di un action plan volto a rafforzare le misure di mitigation e ridurre il rischio residuo.

 

Modulo Enterprise Risk Management (ERM)

  • Supporto all’attuazione di un processo di Enterprise Risk Management (ERM) e del Modello Organizzativo Gestionale dedicato al rispetto della normativa D.Lgs.231/01.
  • Estensione della mappatura a tutti i rischi strategici, di compliance, reputazionali e di Reporting.
  • Analisi comparativa tra rischi aziendali e loro trattamento.
  • Identificazione delle aree di miglioramento per le quali le misure di mitigazione risultino assenti o inadeguate e definizione dei relativi Action Plan.

 

Il processo di ORM, Augustas Risk Services

 

LA BASE FONDAMENTALE: LA MAPPATURA DEI RISCHI

La mappa del rischio aziendale è il primo strumento di Risk Management per un business, fondamentale per analizzare i fattori di rischio e attuare, di conseguenza, delle misure di prevenzione e mitigazione. Questa mappa è progettata per evidenziare i problemi operativi o finanziari dell’organizzazione, monitorare e seguire i processi chiave che possono essere a rischio, così come le esposizioni o le minacce per sviluppare strategie al fine di mitigare tali rischi.

Una mappa del rischio aziendale è un profilo che ha lo scopo di identificare e quantificare la probabilità di eventi e misurare l’impatto o il danno associato al verificarsi di questi ultimi. Per sviluppare una mappa del rischio aziendale si analizzano le informazioni che identificano e descrivono l’impatto e la probabilità di ciascun rischio, così come il suo verificarsi per valutare le misure di mitigazione. Questo strumento, che può essere rappresentato con grafici o dati, si basa su diversi tipi di informazioni come i rischi interni – relativi, ad esempio, alle strutture dell’azienda e alla loro relativa manutenzione – ed esterni, come il contesto del settore in cui opera l’azienda o le forniture.

Augustas segue una procedura per la mappatura dei rischi che è articolata nei seguenti passaggi:

  • Si effettua la valutazione quali-quantitativa di Severità e Frequenza di ciascun rischio identificato, utilizzando le metriche di frequenza e severità definite nella fase 1, sulla base della documentazione raccolta e delle interviste condotte con i Risk Owners.
  • A seguito della compilazione di un «Risk Register», ogni scenario identificato viene inserito nella «Heat Map» che consente di visualizzare il posizionamento di ciascun rischio in termini di Severità e Frequenza e la sua «accettabilità» per l’azienda in relazione al suo «Impatto» complessivo (Severità * Frequenza).
  • Vengono redatte «mappe parziali» per ciascuna delle classi di rischio identificate, nonché mappe per le principali tipologie di rischio. Infine viene redatta la mappa dei «Top Risks».

 

RISK MITIGATION, PER RIDURRE L’IMPATTO DEI RISCHI

Quando un’azienda comprende i problemi più probabili che potrebbero sorgere in diverse capacità operative, è possibile adottare misure per ridurre l’impatto di questi problemi su clienti, dipendenti, processi e profitti.

In base al metodo di Operational Risk Management di Augustas, è qui che subentra un’analisi sul gap tra rischi e coperture assicurative. Gli scenari vengono raggruppati sulla base di famiglie di rischi «affini» e vengono costituite delle «schede» per ciascuna copertura; per ciascuno scenario si verifica l’esistenza di una copertura assicurativa che lo garantisca e si mette a raffronto l’esposizione con il massimale disponibile in polizza. In questo modo per ciascuno scenario si può individuare la porzione coperta e quella eventualmente scoperta e dunque una «percentuale di scopertura». Questo viene sintetizzato in forma tabulare e in forma grafica.

ULTIMO PASSAGGIO, IL REPORT

Tutti i dettagli relativi all’attività di mappatura dei rischi ed alle relative risultanze saranno contenuti in un report che darà evidenza dei rischi più significativi, nonché di eventuali anomalie, con relative note esplicative.

  • Nel report sarà rappresentato il “ranking dei top risks” ai quali l’azienda è esposta.
  • Tutti i dettagli relativi all’attività di mappatura e gap analysis delle coperture assicurative e le relative risultanze saranno contenuti in un report ad hoc.
  • Infine, qualora sia effettuato il Modulo 2, tutti i dettagli relativi all’attività di Risk Mitigation e le relative risultanze saranno formalizzati in un apposito report.

 

Il valore aggiunto di questo modello per step graduali è la capacità dello stesso di creare una struttura capillare che sia in grado di identificare i rischi a tutti i livelli, gestirli nell’ambito della propria sfera di influenza, riportare agli organi di vertice tutte le informazioni necessarie per il miglioramento dei processi e attuare in modo altrettanto capillare le misure di trattamento e riduzione dei rischi.

Tutto ciò grazie alla nostra vision integrata, una strategia completa e un piano operativo capillare.

 

Per informazioni sul nostro Operational Risk Management e tutti gli altri servizi relativi alla gestione dei rischi, vi invitiamo a scaricare la brochure informativa e mettervi in contatto con noi: i nostri esperti sono a vostra disposizione.