Che cos'è l’Enterprise Risk Management (ERM)? Come viene gestito il rischio dalle piccole e medie aziende, familiari e non? In questa serie di 5 articoli di Deloitte Private sulla cultura della gestione del rischio, si pone una particolare attenzione all'identificazione delle capacità organizzative dell’azienda che ambisce a diventare sempre più intelligente sulla gestione dei rischi. Vengono esplorati alcuni punti chiave di ERM per varie aree aziendali, dalla sicurezza informatica ai controlli interni e alle operations. Di seguito gli articoli della serie.
Molte realtà imprenditoriali gestiscono ancora i rischi a livello di singola unità aziendale, con una scarsa integrazione all’interno dell'azienda o un ridotto coordinamento spesso richiesto dai leader per adempiere efficacemente alle proprie responsabilità di supervisione. In base alle previsioni relative a questioni legate al tema ESG e alle disruption tecnologiche, manager ed executive, investitori e partner strategici si aspettano che le aziende modernizzino i propri approcci di gestione dei rischi. Una serie di benefici può essere ottenuta integrando la risk intelligence nella strategia, nella pianificazione del business e nella gestione delle performance. In questo primo articolo forniamo alcune indicazioni generali che possono contribuire ad aprire la strada per lo sviluppo di progetti di successo in ambito ERM.
Il secondo articolo esplora il tema dei controlli interni, di tipo preventivo e investigativo, indicando il perché i sistemi di controllo interno svolgono un ruolo fondamentale nell'ERM delle aziende del mid market. Un'idea sbagliata comune è che i controlli interni compromettano l'agilità, mentre in molti casi è vero l'esatto contrario. Controlli interni efficaci favoriscono infatti un migliore processo decisionale, in quanto impediscono ai manager aziendali di basarsi su informazioni imprecise o incomplete. Quasi tutte le decisioni importanti prese dai leader dipendono dalla qualità delle informazioni a loro disposizione. Quando i sistemi di controllo interno garantiscono la solidità delle informazioni, i manager sono in grado di prendere decisioni con maggiore rapidità e sicurezza.
L'importanza della cybersecurity è cresciuta man mano che il nostro mondo e i nostri luoghi di lavoro sono diventati digitali. I team di cybersecurity delle piccole e medie aziende possono non avere le risorse necessarie per implementare un programma di cybersecurity efficace, per questo è importante che i membri del personale di tutta l'organizzazione imparino a proteggere i sistemi e le informazioni dal crescente elenco di minacce, rispondendo in tempo reale. Secondo le previsioni di Deloitte Private, i costi della criminalità informatica saliranno a 10,5 trilioni di dollari entro il 2025, il che sottolinea la necessità di misure di sicurezza più robuste. Senza contare che i tempi tradizionali di rilevamento delle violazioni possono ritardare di mesi. Implementando le strategie ERM, si potrebbe adottare un approccio più proattivo alla salvaguardia dei dati e dei sistemi.
Le aziende devono costantemente affrontare rischi operativi, che possono provenire da fattori interni o esterni come la cattiva condotta dei dipendenti o azioni di terze parti. Questi pericoli possono svilupparsi lentamente nel tempo, portando a fallimenti incrementali che minacciano l'intero sistema aziendale, di conseguenza un monitoraggio costante dei rischi diventa cruciale. Inoltre, tecnologie emergenti come la Gen AI presentano nuove sfide, tra cui la sicurezza dei dati e la gestione della proprietà intellettuale. Per garantire una gestione efficace dei rischi e un'attitudine al rischio bilanciata, diventa essenziale creare una cultura aziendale reattiva che comprenda misure di protezione e comportamenti appropriati a tutti i livelli operativi. Definire l'attitudine al rischio, prestare attenzione all'esperienza dell'utente e non trascurare i dettagli sono passaggi cruciali per garantire la giusta attenzione ai rischi e operare con successo.
L'Enterprise Risk Management è un approccio sempre più adottato dalle aziende per gestire i rischi in modo proattivo e non solo difensivo. Ogni azienda deve adattare la propria strategia di resilienza al contesto specifico, considerando le minacce e le opportunità che si presentano. I programmi ERM possono aiutare a individuare quattro posizioni di resilienza: Offensiva, Difensiva, Operativa e Organizzativa. È essenziale che le aziende si pongano due domande fondamentali per pianificare la propria strategia di resilienza: quali sono i rischi che potrebbero interessarci e qual è la nostra capacità di risposta? Lavorando anticipatamente su come ripristinare le principali funzionalità, le risorse e i flussi di cassa, le aziende possono sviluppare un piano di resilienza pronto per essere attivato in caso di interruzione della operatività. La resilienza non è solo un processo, ma una mentalità integrata che può diventare parte fondamentale della cultura aziendale fornendo fiducia nella capacità di affrontare l'evoluzione dei rischi.
Scarica gli articoli della serie per saperne di più.