La gestione dei rischi è un processo che si articola nell’individuazione, nella valutazione e nella gestione in senso stretto dei rischi, attraverso le misure di gestione comunemente chiamate controlli; qualora vi sia spazio e modo di gestire i rischi in maniera più adeguata o più efficace, si attiva una fase rappresentativa di un classico ciclo di Deming.
Il ciclo di Deming è un ciclo di PDCA, acronimo dall’inglese Plan–Do–Check–Act, in italiano Pianificare – Fare – Verificare – Agire; è un classico metodo di gestione iterativo in quattro fasi utilizzato per il controllo e il miglioramento continuo dei processi.
Di rischi se ne parla poco anche nella normativa più generale.
Nell’articolo 2381 del codice civile, il principale compito del Consiglio di Amministrazione nei confronti degli organi delegati, il quale sulla base delle informazioni ricevute valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società, richiede un rilevante esercizio di dottrina e di stile nell’intravedere il processo di gestione dei rischi nella sintetica espressione dell’assetto organizzativo.
Similarmente, quando l’articolo 2428 del codice civile dice che la Relazione sulla Gestione deve includere una descrizione dei principali rischi e incertezze cui la società è esposta, ciò si traduce spesso in una sterile e sommaria descrizione copiata di anno in anno, non integrata nella gestione e certamente non corredata di alcuna misurazione previsionale, né a consuntivo.
Nel Codice della crisi di impresa, che in qualche modo rappresenta il momento più patologico del conclamarsi di un mediocre processo di gestione dei rischi, le parole rischio o rischi appaiono una sola volta: è nell’articolo 187, rubricato Contratto di assicurazione.
“Non sorprende che, nel concreto, nelle aziende non si sviluppi una vera e proprio cultura di gestione del rischio”.
È innanzi tutto necessario ammettere che, nella gran parte delle aziende, il processo di gestione dei rischi sia raramente integrato con il processo di pianificazione strategica e non sia comunemente integrato con il processo di pianificazione e controllo.
Con riferimento alla pianificazione strategica, ciò comporta che i rischi più rilevanti siano spesso implicitamente considerati, piuttosto che esplicitamente identificati, valutati e gestiti dal Consiglio di Amministrazione; ci si riferisce ai rischi cosiddetti strategici e a quelli relativi alla sostenibilità delle attività nel lungo periodo.
D’altra parte, è ancora più raro che il processo di pianificazione e controllo consideri i rischi di natura operativa, ancorandoli agli obiettivi; o meglio che gli obiettivi operativi siano in qualche modo soppesati per i rischi che implicitamente ne minacciano il raggiungimento; ne consegue che spesso i soggetti apicali non gestiscono formalmente i rischi, con una chiara assegnazione di responsabilità, bensì li gestiscono sostanzialmente, nel bene o nel male, si potrebbe dire.
Se si volesse riassumere, si potrebbe affermare che il processo di individuazione, valutazione e gestione dei rischi è parte dei più ampi processi di gestione strategia tipici del governo societario e di gestione operativa del management.
Molto spesso, tuttavia, non vi sono strumenti e metodi formalmente adottati per questo importante processo; dire, con un eufemismo, che è un processo integrato nei più ampi processi di gestione significa ammettere candidamente che al più si tratta di un momento descrittivo necessario soltanto ai fini di qualche obbligo di conformità.