La governance aziendale non e' a prova di cigno nero
La mancanza di una cultura del rischio nelle aziende quotate non rappresenta da tempo un problema. Vi è però un divario fra questa acuita sensibilità e le pratiche effettivamente adottate. "Una cosa è il risk management, un'altra la risk governance", spiega Sergio Beretta, professore di Programmazione e controllo in Bocconi. "Il risk management si esercita in una serie di interventi puntuali che servono a fronteggiare i rischi. A monte deve esservi però una strategia per il governo dei rischi che si traduca nella predisposizione di competenze, risorse e sistemi all'interno dell'organizzazione. Gli studi più recenti condotti su imprese di grandi dimensioni evidenziano il divario fra la sensibilità al tema e la fatica da parte di chi governa l'azienda nel mettere in piedi un sistema integrato di gestione dei rischi". Secondo Beretta, le sezioni dedicate al risk management degli attuali codici di corporate governance sono generiche e iper semplificate.
Sono due in particolare le aree problematiche.
"Manca anzitutto una definizione esaustiva dei contesti di esposizione al rischio. Nel predisporre le risorse di un'organizzazione occorre tenere presenti tre diversi contesti: quelli in cui c'è una ragionevole conoscenza sia della probabilità di manifestazione, sia dell'impatto atteso da rischi conosciuti; quelli in cui conosciamo l'esistenza di rischi, ma non le loro manifestazioni; quelli in cui non abbiamo ancora consapevolezza dell'esposizione a rischi. All'interno di questi ultimi possono nascondersi i cosiddetti cigni neri, eventi a bassissima probabilità di manifestazione, ma potenzialmente letali. Nelle linee guida non c'è evidenza di questa differenziazione, né di cosa debbano fare gli organi di governo per affrontare i diversi contesti". La seconda area problematica riguarda il risk appetite, vale a dire la quantificazione dell'ammontare di rischi che un'impresa è disposta ad assumersi. Nel tentativo di facilitare la diffusione del concetto di risk appetite, se ne è data una definizione talmente generica da essere di scarsissimo aiuto nel promuoverne una traduzione sul piano operativo. "È necessario un ripensamento dei contenuti delle guidance in materia di risk governance", conclude Beretta. "Oggi non sono adeguati a fronteggiare l'intensità dei rischi a cui sono sottoposte le aziende".
Per approfondire
Capire il rischio in azienda e nelle nostre vite
I guai veri cominciano quando pensiamo di essere in grado di calcolare ogni cosa
Di fronte all'ambiguità il policy maker reagisce come facciamo tutti noi, esseri umani
Un ponte grazie al quale la teoria delle decisioni incontra l'analisi del rischio
Nessun sistema economico è al sicuro, perché gli shock viaggiano velocemente e, molto spesso, in direzioni inattese
Quando il commercio internazionale aumenta la possibilità di conflitto
Come ti rendo innocui i non performing loan
Con le simulazioni Monte Carlo, arriva una rivoluzione epocale nella valutazione probabilistica del rischio nei business plan
Ridurre le infezioni ospedalieri con nuovi metodi di pulizia