Il Risk Management o gestione del rischio è l’insieme delle attività , metodologie e risorse per guidare e tenere sotto controllo i rischi di una organizzazione.
Secondo il documento previsionale per il 2020 redatto dagli istituti di analisi di otto nazioni europee. Belgio, Francia, Germania, Italia, Olanda, Spagna, Svezia e Regno Unito.
I tre principali elementi di rischio previsti per l’anno sono:
- Cybersecurity e sicurezza dei dati,
- eccessivo peso dei regolamenti,
- digitalizzazione e conseguente radicale modifica dei modelli di business.
Puoi scaricare il Report Risk in Focus 2020 – Indispensabile per il risk management aziendale – qui.
Questo report è il barometro annuale sulle priorità di rischio percepite dai Responsabili degli Audit (Chief Audit Executive – CAE). E sulle maggiori preoccupazioni in fase di preparazione dei piani di Audit rappresenta quindi un punto di riferimento vitale per la professione di Internal Audit.
L’analisi dei rischi non è l’unico oggetto dell’attività ma è certamente utile per aiutare CAE e Internal Auditor a realizzare piani Audit completi e documentati.
Il report RiF20 può rappresentare anche un importante strumento di consultazione e benchmarking per un ampio gruppo di stakeholder. Tra questi i Board, gli Audit Committee, i risk manager e gli altri assurance provider.
RISK MANAGEMENT ED AUDIT – CONFERMATI I RISCHI PRINCIPALI
Come evidenziato nella tabella qui sopra, dal 2018 al 2020, si può constatare che al vertice delle preoccupazioni sono rimasti i medesimi elementi.
Cyber e data privacy si confermano anche per il 2020 come il principale rischio per i CAE. In particolare va evidenziata l’evoluzione.
La cybersecurity, agli inizi, era vissuta come una problematica reputazionale e finanziaria con possibili effetti sulla continuità aziendale. Oggi ha assunto nel tempo anche una caratteristica più propriamente di compliance, dal momento che le imprese proseguono i loro sforzi per adeguarsi al GDPR.
Non a caso, ancora una volta, gli adempimenti relativi agli adeguamenti normativi richiesti si piazzano tra le maggiori preoccupazioni degli auditor. Che sottolineano con forza la necessità di mantenere la compliance con le norme e le sanzioni antitrust, anticorruzione e antiriciclaggio.
Vista anche la malcelata volontà delle autorità in varie giurisdizioni, inclusa l’Unione Europea, di infliggere ammende record come deterrente principale.
Resta alta la preoccupazione per gli effetti della digitalizzazione che affianca alle indubbie opportunità di business le sue innegabili fonti di rischio. Cresce il livello della competizione a cui le imprese sono costantemente sottoposte e la rapidità con cui molti settori stanno evolvendo. Non è sbagliato interrogarsi sul senso e sulla portata della digitalizzazione per il futuro dei modello di business delle organizzazioni.
Lo scenario di guerra economica e diplomatica della politica commerciale mondiale domina il panorama internazionale come mai successo in precedenza.
Questo porta con sé un più generale senso di incertezza politica che appare in aumento rispetto ai risultati dello scorso anno. In questo senso, politica ed economia possono essere osservate entrambe e ciascuna come possibili portatrici di forti impatti l’una sull’altra.
CAMBIAMENTI CLIMATICI
Apparentemente in linea con l’interesse dell’opinione pubblica, questioni ambientali e cambiamenti climatici crescono di importanza e collocazione nell’agenda dell’Internal Audit e del risk management.
In questo momento in cui i grandi gruppi globali iniziano a considerare seriamente i cambiamenti climatici e il loro impatto sull’ambiente, l’Internal Audit diventa un prezioso alleato del Board e del management nella valutazione e nella gestione di rischi e opportunità riguardo ad un argomento di portata epocale.
GAP RISCHI – TEMPO DI AUDITING
Dal report non emergono solo quelli che risultano essere i primi cinque rischi che gli esperti di audit affrontano nelle loro aziende. Ma anche quali sono le principali aree di rischio su cui l’internal audit impiega il maggior tempo di lavoro e focus di attenzione.
Si evidenzia che, in genere, l’Audit dedica maggior tempo e sforzo nel contrastare i rischi prioritari. Esistono tuttavia alcune eccezioni.
Se guardiamo ad esempio ai “controlli finanziari” scopriamo che sono ritenuti tra i cinque rischi prioritari solo dal 15% dei responsabili degli audit. Tuttavia il 51% di loro afferma che questa è una delle prime cinque aree a cui l’Internal Audit dedica maggior tempo e risorse.
Corporate Governance e reporting sono tra i cinque rischi maggiori per il 26%, ma il 53% afferma che è l’area di maggior lavoro.
Ciò indica che viene speso troppo tempo in aree di Audit “tradizionali” rispetto al loro livello di priorità.
Al contrario, un buon 29% di CAE cita l’incertezza politica e macroeconomica come rischio prioritario per la propria azienda. Tutatvia solo il 4% afferma che è l’area dove viene spesa la maggior parte delle risorse di controllo. Con ogni probabilità in ragione della percezione della natura esterna di questo tipo di rischio.
Infatti, nello stesso rapporto, viene spiegato che l’economia e la politica non sono rischi aziendali interni, ma condizioni esterne che hanno un effetto a catena su altri rischi, siano essi finanziari, operativi, strategici o di altro genere.
RISK MANAGEMENT – DIGITALIZZAZIONE
Ancora una volta, si nota che il 58% dei Responsabili di Audit riconduce la “Digitalizzazione, la tecnologia dirompente e le altre innovazioni” tra i primi cinque rischi, ma soltanto poco più della metà di loro afferma che è tra le prime cinque aree di rischio maggiormente auditate.
A differenza delle problematiche economiche e politiche, la digitalizzazione è un processo molto interno alle aziende. Questo indica che l’internal audit e il risk management dovrebbero dedicare maggior tempo al controllo di rischi e opportunità associati alle aziende che diventano digitali. Soprattutto alla loro capacità di innovare in maniera dirompente e guidare i settori di riferimento.
Risorse permettendo, i Chief Audit Executive dovrebbero analizzare tali lacune e discuterle con i Board.