Enterprise Risk Management (ERM)
Cos’è l’Enterprise Risk Management (ERM)?
La gestione del rischio aziendale (ERM) è una strategia aziendale basata su un piano che mira a identificare, valutare e prepararsi per qualsiasi pericolo, rischio e altri potenziali di disastro, sia fisici che figurativi, che potrebbero interferire con le operazioni e gli obiettivi di un’organizzazione.
La disciplina non richiede solo alle società di identificare tutti i rischi che devono affrontare e di decidere quali rischi gestire attivamente, ma prevede anche di mettere quel piano d’azione a disposizione di tutti gli stakeholder, azionisti e potenziali investitori, come parte delle loro relazioni annuali. Settori vari come aviazione, edilizia, sanità pubblica, sviluppo internazionale, energia, finanza e assicurazioni utilizzano tutti l’ERM.
Le aziende gestiscono il rischio da anni. Storicamente, lo hanno fatto acquistando assicurazioni: assicurazioni sulla proprietà per perdite letterali e dannose dovute a incendi, furti e disastri naturali; e l’assicurazione di responsabilità civile e di negligenza professionale per far fronte a cause legali e richieste di risarcimento per danni, perdite o lesioni. Ma un altro elemento chiave nell’ERM è il rischio aziendale, ovvero gli ostacoli associati alla tecnologia (in particolare i fallimenti tecnologici), le catene di approvvigionamento aziendali e l’espansione, nonché i costi e il finanziamento degli stessi.
Più di recente, le società hanno gestito tali rischi attraverso i mercati dei capitali con strumenti derivati che le aiutano a gestire gli alti e bassi dei movimenti momento per momento di valute, tassi di interesse, prezzi delle materie prime e azioni. Da un punto di vista matematico, tutti questi rischi o “esposizioni” sono stati ragionevolmente facili da misurare, con conseguenti profitti e perdite che andavano dritti alla linea di fondo.
Punti chiave
- La strategia aziendale di gestione del rischio aziendale identifica e prepara i pericoli con le operazioni e gli obiettivi di un’azienda.
- ERM è una disciplina di gestione nuova e in evoluzione che è cambiata insieme al panorama aziendale e normativo dell’ultimo decennio.
- Ciò che costituisce “buone pratiche” in ERM deve ancora essere definito.
- È possibile trovare aziende compatibili con gli ERM effettuando una ricerca nei siti Web ERM dedicati.
Comprendere la gestione del rischio aziendale
Le imprese moderne, tuttavia, devono affrontare una serie molto più diversificata di ostacoli e potenziali pericoli. Anche il modo in cui le aziende gestiscono i rischi che sfidano misurazioni facili o un framework per la gestione rientra nell’ombrello ERM. Questi potenziali di esposizione includono rischi cruciali come la reputazione, le procedure operative quotidiane, la gestione delle risorse umane e legali, finanziarie, il rischio di fallimento dei sistemi di controllo interni relativi al Sarbanes-Oxley Act del 2002 (SOX) e in generale governance.
I project manager e altri professionisti che lavorano con ERM si concentrano sulla valutazione dei rischi rilevanti per le loro aziende o settori, dando priorità a tali rischi e prendendo decisioni informate su come gestirli. I piani di gestione del rischio che creano stimano l’impatto di vari disastri e delineano le possibili risposte se uno di questi disastri si materializza. Ad esempio, l’ Environmental Protection Agency (EPA) richiede che le strutture che trattano sostanze estremamente pericolose sviluppino piani di gestione del rischio per affrontare ciò che stanno facendo per mitigare il pericolo e cosa faranno in caso di incidente.
Oltre ai piani e ai prodotti just-in-case, come un elenco di fornitori alternativi o una polizza assicurativa, le aziende che gestiscono con successo i propri rischi adottano anche pratiche di routine per gestire i potenziali pericoli che hanno identificato. In molti casi, vengono create nuove posizioni, come i gestori del rischio aziendale, o vengono sviluppati nuovi reparti per integrare la gestione del rischio nelle operazioni quotidiane, compresa la manutenzione delle apparecchiature e il controllo della qualità o i team di assicurazione.
Vantaggi di ERM
Nella creazione di iniziative ERM, le aziende dovrebbero concentrarsi non solo sul lato negativo del rischio, ma anche sul lato positivo. L’approccio tradizionale era quello di concentrarsi sugli aspetti negativi, ad esempio le perdite derivanti dalle negoziazioni di valute o tassi di interesse nei mercati finanziari o perdite finanziarie che potrebbero essere causate da un’interruzione della catena di approvvigionamento o da un attacco informatico che danneggia la tecnologia informatica di un’azienda.
Nel pensare al rialzo, le aziende dovrebbero ora considerare opportunità competitive e vantaggi strategici che potrebbero derivare da un’abile gestione del rischio. Alcune di queste “decisioni migliori” riguardano elementi come dove collocare uno stabilimento o un ufficio all’estero sulla base di un’analisi dei rischi che esaminerebbe l’ambiente politico in un paese.
Il “lato positivo” include anche concentrarsi su misure preventive che aiutano un’azienda a evitare potenziali disastri lungo la strada. Ad esempio, alcune di queste azioni possono includere determinare quando e come le risorse fisiche devono essere mantenute e sostituite.
In questo modo, l’azienda può evitare guasti imprevisti e costosi di impianti e apparecchiature che potrebbero causare arresti, esplosioni o altri eventi che mettono a rischio i dipendenti, le comunità e il profilo pubblico dell’azienda. Comprendendo che la loro risorsa più importante e preziosa è la loro immagine, alcune aziende lavorano in modo proattivo quando si tratta di disastri causati dall’uomo o naturali.
Poiché si tratta di una nuova disciplina di gestione, le “migliori pratiche” di ERM sono ancora in evoluzione.
ERM e investimenti
Studiare come le aziende gestiscono il numero incredibilmente diversificato di rischi che devono affrontare può svolgere un ruolo estremamente importante nel processo decisionale di investimento. La conoscenza dei “profili di rischio” aziendali individuali può portare gli investitori a identificare le società emergenti, investendo con la certezza di poter soddisfare gli obiettivi aziendali e le aspettative degli investitori (non solo in tempi buoni ma anche in quelli cattivi).
Può anche aiutare a capire meglio a quali aziende consentire l’accesso alla propria comunità attraverso un nuovo stabilimento o ufficio, convinti che farebbero tutto il possibile per evitare danni ambientali e per trattare bene i dipendenti.
Finora, in particolare negli Stati Uniti, la stragrande maggioranza delle società ha messo a disposizione degli stakeholder pochissime informazioni sui propri profili di rischio complessivi. Le aziende in molti altri paesi industrializzati, come il Canada, il Regno Unito e l’Australia, sono molto più disponibili riguardo al rischio e alle attività ERM.
Tuttavia, la situazione è destinata a cambiare man mano che le agenzie di rating iniziano a considerare la capacità di un’azienda di gestire l’ERM. Le parti interessate inizieranno a vedere a loro disposizione una pletora di nuovi dati e informazioni relativi al rischio. È probabile che questa storia di gestione del rischio si espanderà notevolmente nel prossimo decennio.
Una buona indicazione che un’azienda sta lavorando a un ERM efficace è la presenza di un chief risk officer (CRO) o di un manager designato per coordinare gli sforzi ERM.
Trovare aziende a misura di ERM
È un compito difficile per gli investitori scoprire quali aziende stanno lavorando per gestire il rischio da una prospettiva a livello aziendale e un lavoro ancora più difficile scoprire chi lo sta facendo in modo efficace. Molti membri del consiglio aziendale non capiscono ERM, credendo che sia semplicemente un altro atto normativo potenzialmente costoso e difficile da misurare da Washington.
Molti altri ritengono che sia possibile ottenere un ERM efficace semplicemente espandendo i propri sforzi di reporting e controllo relativi a SOX, il che non è il caso.
Attualmente, viene delineato settore per settore, ma poche, se non nessuna, società si propongono come “il meglio del meglio” nell’ERM o nella gestione del rischio. Allora come fai a sapere chi sta lavorando duramente in un ERM efficace? Un modo è controllare l’elenco dei dirigenti per un chief risk officer (CRO).
Mentre i CRO si trovano più spesso nei settori energetico, bancario e assicurativo, anche le aziende manifatturiere più aggressive si stanno muovendo in quella direzione. Un altro indizio si trova in un minuscolo gruppo di aziende che hanno manager specificamente incaricati di coordinare i loro sforzi ERM. Questi manager avranno le parole “rischio d’impresa” nei loro titoli. Ulteriori indagini approfondite da parte degli investitori possono offrire dividendi utili.
La semplice ricerca online di “gestione del rischio aziendale” consentirà agli investitori di accedere a numerosi programmi di conferenze recenti sull’argomento. Gli investitori dovrebbero quindi prendere nota di quali società hanno dirigenti che tengono lezioni su ERM. Controlla anche i siti web delle poche associazioni dedicate alla promozione dell’ERM, come la Risk & Insurance Management Society di New York o il Committee of Chief Risk Officer.
Il Conference Board di New York ha anche una pratica dedicata che esamina le società e i loro sforzi ERM, e la National Association of Corporate Directors ha redatto un rapporto Blue Ribbon un po ‘datato ma inestimabile su come i membri del consiglio aziendale pensano al rischio e su come questo deve cambiare.
considerazioni speciali
Come una parola di cautela, solo perché un’azienda ha un CRO – o si vanta di ciò che sta facendo in ERM – non significa che dovresti prenderlo in parola. Dovrai approfondire e porre domande dettagliate ai dirigenti delle relazioni con gli investitori.
Per anni, il settore bancario si è vantato di avere i migliori programmi di gestione del rischio e ERM in qualsiasi settore. Niente di tutto ciò, tuttavia, ha impedito la stretta creditizia del 2007 e il crollo dei mutui.
Esempio di Enterprise Risk Management
Una delle storie di gestione del rischio di reputazione più modello nella storia aziendale riguarda Johnson & Johnson. Il gigante farmaceutico trovò la sua reputazione e il prezzo delle azioni gravemente ferito nel 1982 per le rivelazioni che qualcuno aveva manomesso e avvelenato bottiglie del suo antidolorifico Tylenol, provocando diversi decessi.
L’azienda ha reagito rapidamente, rimuovendo e sostituendo i suoi prodotti nei punti vendita al dettaglio, collaborando pienamente con le autorità di contrasto e tenendo informati i media (e, quindi, il pubblico) per tutto il tempo. Le sue azioni decise e la comunicazione aperta e onesta durante la crisi hanno contribuito alla ripresa del valore delle azioni nel giro di pochi mesi.
Dal 2006 al 2008, la recente spinta per le aziende è quella di dimostrare che stanno ” diventando verdi “, sperando che una gestione aggressiva del rischio ambientale posizionerà i loro prodotti, impianti, catena di fornitura e altre operazioni positivamente con i clienti attuali e futuri.