Vai al contenuto principale Vai in fondo alla pagina

Archivio

17/03/2026 Gianluca Meloni, Daniele Astrella

Ripensare il risk assessment: un approccio sistemico alla misurazione del rischio

La crescente esposizione delle imprese a fattori di incertezza rende insufficiente una lettura del rischio limitata alla sola dimensione economico-finanziaria. Il contributo propone una lettura sistemica del rischio aziendale, inteso come dimensione trasversale dell’agire manageriale e strettamente connessa alla creazione di valore sostenibile. Dopo aver discusso le principali tipologie di rischio e i limiti degli approcci tradizionali, viene presentata una metodologia per la progettazione di sistemi di misurazione del rischio di processo, illustrata attraverso il caso applicativo di ELT Group. Il lavoro evidenzia come la misurazione del rischio costituisca non un fine, ma un supporto essenziale alle decisioni di governance e mitigazione.

La gestione dell’azienda, intesa come governo equilibrato della relazione tra rischio e rendimento, non è un tema nuovo, anche se nel tempo ha conosciuto un’importante evoluzione. Se in una prospettiva tradizionale tale relazione era prevalentemente letta in chiave economico-finanziaria, lo sviluppo dei modelli di governo aziendale ha progressivamente ampliato il concetto di rendimento, includendo la capacità dell’impresa di generare valore sostenibile per un insieme esteso di stakeholder. In questa direzione si collocano, ad esempio, i framework di integrated reporting e le più recenti declinazioni della performance ESG. Parallelamente, anche la sensibilità alla dimensione del rischio è enormemente cresciuta nel mondo delle imprese. La maggiore dinamicità del contesto economico-sociale e di quello competitivo, da un lato, e l’emergere di nuovi fattori di rischio, dall’altro (si pensi ad esempio al cyber risk) hanno progressivamente aumentato l’attenzione a tutti quegli eventi e scenari che possono mettere in discussione la continuità aziendale. Da qui la necessità di introdurre sistemi, processi, strumenti e meccanismi che possano aiutare l’azienda a prevedere, monitorare e gestire gli elementi in grado di generare una situazione di precarietà dell’agire aziendale. In questo contesto diventa fondamentale pensare al rischio come una dimensione ampia e trasversale.


Una lettura sistemica del rischio aziendale

Già nel 2012 Kaplan e Mikes proponevano una classificazione dei rischi aziendali coerente con un’interpretazione sistemica. È in questa logica che gli autori presentano la distinzione fra rischi prevenibili, strategici ed esterni. I primi si riferiscono a eventi di origine interna tendenzialmente legati a comportamenti individuali che, consapevolmente o inconsapevolmente, possono pregiudicare il buon funzionamento dell’azienda; essendo connessi ad aspetti interni vengono considerati di buona controllabilità. I secondi derivano dalle scelte qualificanti la strategia aziendale, che, in quanto interne, sono valutabili ex ante ma non necessariamente controllabili una volta che la scelta è stata fatta; il grado di controllabilità è funzione del livello di reversibilità della scelta strategica. I terzi, infine, si riferiscono a fattori esogeni, di fatto non controllabili, che con una probabilità più o meno alta possono manifestarsi e incidere anche pesantemente sulle possibilità di sopravvivenza dell’impresa. Gli ultimi anni caratterizzati da eventi eccezionali (la pandemia, la crisi energetica, la maggiore conflittualità geopolitica, solo per fare alcuni esempi) hanno enormemente acuito la sensibilità e la rilevanza di questa fattispecie.

Questa classificazione delle tipologie di rischio, pur con tutti i suoi limiti, è funzionale a far emergere la necessità di una strategia di intervento differenziata. Per i primi è possibile ipotizzare un sistema coordinato e consistente di interventi che comprenda la costruzione di una struttura di governance dell’impresa solida, il disegno di un sistema “normativo” interno, la definizione di regole e procedure fino ad arrivare a processi e sistemi di audit formalizzati. Per i secondi e i terzi, invece, gli interventi possibili riguardano l’introduzione di sistemi di simulazione/previsione, la costruzione di sistemi diagnostici che, partendo da segnali deboli, possano identificare potenziali rischi emergenti, la definizione di policy di mitigazione del rischio (da forme assicurative fino a piani di azione alternativi rispetto a un’opzione considerata particolarmente rischiosa), fino ad arrivare alla formulazione di piani emergenziali di gestione del rischio a fronte della sua manifestazione.

In realtà, se l’associazione tra tipologie di rischio e tipologie di intervento può essere utile dal punto di vista teorico, non sempre è limpida nella sua applicazione pratica. L’esperienza suggerisce che solo la combinazione di interventi di natura organizzativa, operativa e informativa può consentire una buona copertura dei rischi aziendali, indipendentemente dalla loro tipologia. In questa prospettiva la gestione equilibrata del fattore rischio è innanzitutto un tema culturale. È attraverso la diffusione di una cultura aziendale sensibile alla gestione dei rischi che diventa possibile superare alcune trappole ricorrenti, quali – secondo gli stessi autori sopra citati – i bias cognitivi individuali (che portano ad esempio a comportamenti basati su un eccesso di fiducia), l’eccessiva focalizzazione funzionale (che porta a segmentare i rischi perdendone di vista la dimensione complessiva) e le resistenze al cambiamento nel momento in cui una migliore gestione del rischio richiede una variazione di abitudini e prassi consolidate.

Poiché il profilo complessivo di rischio e di rendimento dell’impresa altro non è se non il risultato aggregato delle scelte assunte nei diversi ambiti decisionali, i sistemi di misurazione delle performance svolgono una funzione essenziale di allineamento dei processi decisionali e manageriali agli obiettivi di rischio–rendimento promessi agli stakeholder [1] (Damodaran, 2007). Tuttavia, nonostante l’ampia tradizione di metriche di rendimento nella reportistica aziendale, lo stesso non può dirsi con riferimento alle metriche di rischio. Raramente, infatti, i reporting package accolgono in modo esplicito misure derivanti da una valutazione sistematica e continua dei rischi aziendali.

L’anomalia risiede nel fatto che, mentre nelle decisioni squisitamente finanziarie – si pensi alle logiche di scelta di composizione dei portafogli titoli, che, paradossalmente, partono dalla profilazione del rischio per poi proporre gli investimenti ottimali dal punto di vista del rendimento – le due dimensioni sono contestualmente analizzate, nelle scelte di business (fatta eccezione per alcune scelte di investimento) la prospettiva del rischio pare mancante. Se questa mancanza non è particolarmente grave in periodi caratterizzati da forte stabilità e in situazioni di continuità strategico-organizzativa dell’azienda, lo stesso non può dirsi a fronte di condizioni di contesto fortemente discontinue o difficilmente prevedibili. In tali situazioni, focalizzare l’attenzione solo sul rendimento potrebbe portare a scelte subottimali, quando addirittura non disfunzionali. Sono quindi i contesti attuali, caratterizzati da forti elementi di discontinuità, a rendere necessario e non più procrastinabile costruire sistemi di monitoraggio del rischio. L’introduzione di questa nuova prospettiva di misurazione richiede tuttavia due scelte preliminari:

  • definire il perimetro di applicazione della misurazione dei rischi, nella consapevolezza che i costi del sistema di misurazione sono accettabili solo a fronte di ambiti di attività per i quali il rischio costituisce una dimensione materiale per l’azienda;
  • individuare le tipologie di rischio da sottoporre a monitoraggio e controllo, posto che il rischio è una dimensione ampia (e anche ambigua nella sua definizione) e, in quanto tale, richiede un’identificazione di dettaglio dei fattori che lo determinano e che lo possono condizionare.


Misurare i rischi: il perimetro di applicazione

I rischi aziendali nascono dalle scelte di organizzazione e conduzione dei processi operativi. In questo senso l’oggetto della misurazione del rischio non può che essere il processo. Tale approccio è confermato dal fatto che gran parte della letteratura in tema di scelte di compliance (Benedek e Bognár, 2024; Mustapha et al., 2020) e alimentante le logiche di auditing faccia riferimento al processo come elemento di analisi e controllo. Non è un caso che principi, regole e procedure sviluppate per ridurre i rischi connessi a un’errata organizzazione aziendale facciano riferimento ai vari processi operativi che alimentano l’agire d’impresa e alle procedure che ne dovrebbero disciplinare i comportamenti. Sono, in ultima analisi, i comportamenti che connotano i processi aziendali e/o gli eventi che ne possono condizionare il corretto funzionamento a definire i rischi di impresa.

Se il rischio associato a comportamenti incauti o disfunzionali può essere “calmierato” suggerendo o chiedendo il rispetto di prassi e regole (ed è a questo approccio che si ispirano i principi e gli strumenti di internal auditing), il rischio legato ad accadimenti che possono minare il buon funzionamento aziendale non è necessariamente coperto da regole di buon comportamento. Esso richiede, piuttosto, sistemi di misurazione che identifichino potenziali allerte – possibilmente secondo una logica di giusto anticipo – finalizzati alla definizione di politiche e azioni di mitigazione – quando è conveniente farlo – o semplicemente a dare consapevolezza dell’impatto combinato rischio-rendimento che un evento aziendale può comportare. Questa logica di misurazione è peraltro assolutamente coerente con l’altra grande sfida che oggi investe i sistemi di misurazione, vale a dire il monitoraggio delle performance ESG. La metodologia della doppia materialità riguarda, infatti, l’identificazione e la quantificazione degli eventi esterni, connessi ai temi materiali, che possono condizionare le performance aziendali di breve e medio-lungo termine (Nielsen, 2023).

D’altro canto, costruire un sistema metrico per tutti processi aziendali diventa particolarmente oneroso e forse anche poco efficace, soprattutto se l’obiettivo è diffondere una cultura del rischio, che per sua natura richiede tempo e una certa gradualità. Da qui la necessità di comprendere quali possano essere i processi maggiormente critici rispetto ai quali concentrare lo sforzo di monitoraggio. A supporto di questa scelta può essere opportuno fare riferimento alla vasta letteratura e alle diverse metodologie che si propongono di classificare i processi aziendali (Dossi, 2001).

Un valido criterio di riferimento può essere la classificazione dei processi in funzione della loro rilevanza economica e, al contempo, della loro significatività strategica. Con rilevanza economica si intende la quantità e il valore delle risorse utilizzate dal processo oggetto di monitoraggio. È evidente come dal punto di vista dei costi sia vitale partire dai processi maggiormente rilevanti in termini di risorse coinvolte direttamente (fattori produttivi impiegati) o indirettamente (fattori produttivi gestiti). Una prima dimensione del rischio riguarda infatti le risorse impiegate dall’azienda, rispetto alle quali è possibile incorrere in problemi di mancata disponibilità, inadeguatezza o eccesso di costo. Tale rischio risulta particolarmente significativo con riferimento a quelle aree di attività che richiedono l’utilizzo di diversi fattori produttivi, anche molto eterogenei per caratteristiche tecniche e fonti di reperimento, e in quantità elevate. Processi con pochi fattori di piccole quantità sono, salvo rare eccezioni, più facili da gestire dal punto di vista del contenimento del rischio.

La significatività strategica riguarda invece l’impatto che ciascun processo esercita sulla difendibilità del modello di business dell’azienda, e in particolare sulla difendibilità del proprio sistema d’offerta (o, in altre parole, del revenue model aziendale). Anche da questo punto di vista è preferibile focalizzare lo sforzo di monitoraggio sui processi che direttamente o indirettamente possono condizionare la capacità dell’impresa di generare – e difendere – il valore prodotto. Una seconda dimensione di rischio riguarda infatti la possibilità di dare continuità al proprio business model e, contestualmente, assicurarne la distintività nel breve e medio-lungo termine. Le aree di attività che, se minacciate da eventi esterni, possono rendere precaria la sostenibilità dell’azienda devono evidentemente assumere centralità nel sistema di misurazione. Al contrario, processi di supporto che non hanno impatto diretto e indiretto sulla presenza dell’azienda nei mercati di riferimento, per quanto possano essere rilevanti, sono meno materiali dal punto di vista strategico e, in quanto tali, possono essere oggetto di misurazione solo in seconda priorità.

In sintesi, un buon sistema di misurazione dovrebbe partire dai processi altamente rilevanti e significativi. Una gestione non adeguata di detti processi sotto il profilo del rischio potrebbe infatti condizionare simultaneamente la struttura di costo e quella di ricavo dell’azienda, o di sue specifiche aree di business. La focalizzazione del sistema di misurazione rispetto a queste aree di attività assicura anche una giusta focalizzazione dell’agire aziendale, evitando quell’effetto “rumore” (Kahneman et al., 2021) che spesso caratterizza i sistemi diagnostici, specie nei casi in cui vengano introdotte prospettive di misurazione nuove.


Misurare i rischi: la scelta delle tipologie di rischio

Definito il perimetro di applicazione, la costruzione di un modello di misurazione dei rischi aziendali richiede l’identificazione di due elementi di fondo: i fattori di rischio, da un lato, e le determinanti di rischio, dall’altro.

I primi fanno riferimento agli aspetti che qualificano il rischio di un processo aziendale. Il termine “rischio” è infatti di per sé generico, in quanto rappresenta una prospettiva di misurazione ma non definisce le declinazioni concrete dei “pericoli” che possono condizionare l’agire aziendale. Tali declinazioni sono invece necessarie per l’identificazione delle metriche attraverso le quali il rischio deve essere monitorato. A tal fine, può essere utile fare riferimento a ciò che in letteratura qualifica le performance di processo. Il rischio può infatti essere definito come l’insieme degli eventi potenzialmente in grado di incidere su dette performance. In quest’ottica, la definizione classica degli indicatori di prestazione di processo porta alla distinzione tra performance di costo, di tempo e di qualità. Un processo è adeguato quando garantisce condizioni di efficienza (costo), tempestività (tempo) ed efficacia (qualità) coerenti con le strategie aziendali (Dossi, 2001), quando non addirittura con i vincoli minimi di funzionamento dell’impresa. Il rischio di processo si sostanzia pertanto nella possibilità che l’azienda incorra in costi extra non adeguatamente pianificati e valutati, derivanti dal mancato rispetto delle tempistiche promesse o necessarie – con conseguenti ritardi del processo sulla più complessa execution aziendale –  e/o dal mancato rispetto degli standard qualitativi promessi o attesi dai clienti interni ed esterni, con potenziali malfunzionamenti o disservizi.

Le determinanti del rischio si riferiscono invece agli elementi qualificanti il processo il cui mancato o inadeguato presidio può incidere sulle performance di costo, tempo e qualità. Nello specifico ci si riferisce a caratteristiche di struttura e di funzionamento dei processi aziendali che, condizionando il “buon andamento” del processo, possono, se non correttamente previsti e gestiti, generare quell’impatto negativo sulle prestazioni di processo sinteticamente descritto nelle righe precedenti.

L’incrocio tra fattori di rischio e determinanti costituisce un buon riferimento per l’identificazione degli specifici eventi che generano il rischio di processo e, conseguentemente, il rischio aziendale. Per evento si intende una caratteristica o un accadimento potenzialmente in grado di incidere sull’operatività dell’impresa. Nello specifico si fa riferimento a eventi che non dipendono dall’azienda, rispetto ai quali i margini di controllo risultano limitati e che, pertanto, richiedono l’introduzione di strumenti di mitigazione. Rientrano ad esempio in tale categoria alcune caratteristiche strutturali dei fattori produttivi impiegati nell’execution aziendale, aspetti di volatilità connessi al reperimento o all’impiego di detti fattori, nonché specifiche condizioni del mercato di riferimento e la loro limitata prevedibilità. Si tratta di fattispecie che il sistema di misurazione dei rischi deve essere in grado di intercettare.

L’identificazione di tali eventi costituisce un passaggio cruciale per la costruzione di un sistema di misurazione dei rischi adeguato. In assenza di una chiara focalizzazione di detti fattori il sistema di risk measurement rischia infatti di essere caotico, inconsistente e incoerente. Si tratta tuttavia solo di un passaggio preliminare, a partire dal quale è possibile sviluppare un percorso di progettazione del sistema, che può essere articolato in quattro fasi distinte:

  1. Identificare metriche affidabili per ciascuna tipologia di evento/caratteristica. Si tratta della scelta chiave nella costruzione del sistema di misurazione, in quanto consiste nell’individuazione di parametri quantitativi oggettivamente rappresentativi della prospettiva che può aumentare il profilo di rischio associato allo specifico evento. Questa fase si scontra frequentemente con problemi di fattibilità e affidabilità dei dati: la relativa novità dei sistemi di misurazione orientati al rischio fa sì che, nella pratica, non sempre siano disponibili informazioni coerenti. In alcuni casi è possibile ricorrere a misure proxy; in altri, la misura può essere sostituita da giudizi “qualitativi” che, tuttavia, presentano evidenti limiti in termini di soggettività e non consentono lo sviluppo di un sistema di misurazione solido;
  2. Definire per ogni metrica un target in grado di identificare il livello di rischio accettabile. Anche questa scelta è una delle più critiche. La grossa consuetudine con le misure di rendimento rende relativamente semplice trovare un benchmark rispetto a questa prospettiva (peraltro l’azienda ha processi “solidi” nella definizione dei target di risultato, quali i processi di pianificazione, budgeting e forecasting). Non si ravvisa la stessa consuetudine nell’identificazione di profili di rischio ideale (si rimanda a quanto detto nella parte iniziale di questo contributo sul tema del bilanciamento rischio-rendimento). La raccolta di dati storici può essere un buon punto di partenza, ma la vera evoluzione si ha nel momento in cui la dimensione di rischio diventa una prospettiva chiave in tutti i processi di targeting e di natura previsionale;
  3. Tradurre il grado di lontananza e/o di vicinanza al target in una metrica di rischio. Si tratta di un aspetto tecnico, non particolarmente complesso dal punto di vista implementativo. La logica è relativamente semplice: dato un profilo di rischio ideale associato a ciascuna metrica, è infatti la distanza tra il valore osservato e il target a qualificare il livello di rischio rispetto allo specifico evento o caratteristica;
  4. Sintetizzare i rischi specifici in rischi generici in grado di monitorare fenomeni complessi. Al fine di evitare un’eccessiva quantità di metriche è opportuno che i diversi parametri possano essere sintetizzati in misure di rischio più aggregate. La costruzione di KPI di sintesi per ciascuna determinante di rischio – per logica assimilabili agli indicatori di sintesi utilizzati per le performance economico-finanziarie – accresce il ruolo diagnostico del sistema, garantendo focalizzazione nell’attenzione e un giusto orientamento dei comportamenti. Il “riepilogo” di più aspetti in una sola misura può avvenire per aggregazione, per medie o attraverso il calcolo di medie ponderate tra tutti gli elementi costituenti il rischio che si intende rappresentare.

Ciascuno dei passi sopra sinteticamente descritti ha una sua complessità attuativa e può sembrare di non semplice comprensione. È da leggersi in questa prospettiva la presentazione del caso ELT proposta nei successivi paragrafi. Il caso è, di fatto, un’applicazione concreta del sistema di misurazione dei rischi così come appena presentato. L’obiettivo è descrivere, da un lato, come definire il perimetro di applicazione del modello e, dall’altro, come svilupparlo concretamente, dalla definizione del framework di misurazione fino alla costruzione dei key risk indicator di sintesi. Il caso vuole anche evidenziare le difficoltà di realizzazione del sistema e gli errori da evitare, e fornire alcuni suggerimenti utili in sede di implementazione del modello [2].


Disegnare il sistema di misurazione dei rischi di processo: il caso ELT

Fondata a Roma nel 1951, ELT Group rappresenta oggi uno degli attori di riferimento a livello internazionale nel settore della difesa elettronica e della sicurezza. Con l’esperienza acquisita grazie alla partecipazione ai principali programmi della Difesa europea – tra cui Eurofighter TyphoonFREMM e NH90 – oggi ELT Group è presente in oltre trenta Paesi nel mondo, con più di 3.000 sistemi forniti, e partecipa inoltre al progetto di sesta generazione GCAP (Global Combat Air Programme) in qualità di azienda fondatrice del consorzio GCAP Electronic Evolution.

L’azienda ha una presenza in undici Paesi distribuiti su quattro continenti, attraverso una rete articolata di uffici commerciali (tra cui Egitto, India, Pakistan, Qatar, Germania e Belgio), branch operative (UAE, Singapore e KSA) e società di diritto estero (KSA, Germania e Stati Uniti). Grazie alla gestione innovativa dello spettro elettromagnetico, realizzata attraverso tecnologie proprietarie e integrate, oggi il brand ELT è un gruppo internazionale con un approccio multi-dominio, che copre anche gli ambiti Cyber, Spazio e Biodifesa.

Fanno parte del Gruppo le partecipate CY4GATE (specializzata in cybersecurity e intelligence) e E4LIFE (biodifesa) e le controllate ELT GmbH (società di diritto tedesco specializzata in attività di test e validation), e ELTHUB (Hub dedicato ai domini Spazio ed elettro-ottica), Solynx (società di procurement di diritto statunitense). La complessità delle competenze del Gruppo dimostra una strategia di diversificazione volta ad estendere la presenza aziendale ben oltre i confini della difesa tradizionale, per realizzare la sua mission di proteggere persone, dati e asset.

Negli ultimi anni, la necessità di soluzioni tecnologiche adatte a un approccio multi-dominio e il proliferare dei conflitti ibridi hanno reso l’azienda un punto di ferimento per tecnologie sovrane in grado di affrontare le sfide attuali. Tuttavia, le crescenti opportunità di crescita hanno imposto anche la necessità di una gestione sempre più articolata dei rischi, per affrontare nel modo più opportuno sia le sfide della competizione tecnologica sia quelle della supply chain, affinché quest’ultima risulti solida e resiliente nel tempo.


La scelta del processo di riferimento

Con riferimento alla scelta del processo di riferimento rispetto al quale dare priorità alla costruzione di un sistema di monitoraggio dei rischi, è importante comprendere il modello organizzativo dell’azienda. Questo è strutturato per programmi, intesi come unità operative costituite da impegni contrattuali verso il cliente e conclusi con la consegna del prodotto/soluzione. Ogni programma può includere uno o più prodotti, a seconda delle specifiche concordate. All’interno di tale modello, l’esecuzione dei programmi si fonda su una pluralità di processi core e di supporto, tra i quali rivestono un ruolo centrale quelli di natura ingegneristica – con particolare riferimento alla fase di progettazione –, affiancati da funzioni di carattere gestionale e operativo, come ad esempio la funzione Supply Chain o Customer Support.

In coerenza con i paradigmi di rilevanza economica e significatività strategica, e considerando il business model dell’azienda, la scelta del progetto di misurazione dei rischi si è concentrata sul processo di supply chain. Tale processo risulta critico, non solo per la rilevanza economica delle risorse direttamente impiegate, ma anche – e soprattutto – per quelle indirettamente gestite: esso presidia infatti l’insieme dei beni e dei servizi core dell’azienda, condizionando la possibilità di realizzare i programmi, mantenere la competitività e rispettare gli impegni contrattuali, inclusi i termini e le scadenze. Nella prospettiva della matrice rilevanza economica–significatività strategica, la supply chain si colloca pertanto tra i processi più rilevanti, incidendo sia sulla struttura dei costi (si pensi alle sanzioni derivanti da ritardi contrattuali in un settore così sensibile come quello della difesa nazionale) sia sulla difendibilità del modello di business.

È opportuno sottolineare che l’analisi non si è limitata alla supply chain in senso stretto, intesa come insieme di operazioni di acquisto, ma ha considerato il processo in un’accezione estesa: dal momento della contrattualizzazione fino alle fasi di post-consegna. Questo ampliamento si è reso necessario per intercettare le dinamiche che spesso danno origine alle principali rischiosità, rendendo visibile l’interdipendenza tra aree che, pur non direttamente connesse al procurement, ne condizionano in modo significativo gli esiti.


La costruzione del sistema di misurazione dei rischi di processo

Il progetto di costruzione del sistema di misurazione dei rischi per la supply chain di ELT si è sviluppato attraverso una sequenza di fasi distinte, ciascuna delle quali ha contribuito alla definizione progressiva del modello. In particolare, il percorso ha previsto l’alternarsi delle principali fasi illustrate nella parte introduttiva dell’articolo, integrando a questi momenti di riflessione resi necessari dall’applicazione pratica del framework disegnato. Queste fasi sono riassumibili nel seguente schema:

  • identificazione del perimetro di riferimento;
  • definizione delle determinanti e dei fattori di rischio;
  • individuazione degli item di rischio;
  • operazionalizzazione del framework (dall’individuazione delle misure alla razionalizzazione degli algoritmi di calcolo);
  • test e validazione del modello.


Il perimetro di applicazione

La prima riflessione si è concentrata sulla delimitazione del perimetro di applicazione del sistema, passaggio preliminare indispensabile per orientare le successive fasi del progetto nella direzione utile a rendere lo strumento il più efficace possibile per la funzione supply chain. La delimitazione del perimetro è stata effettuata considerando tre diversi livelli di analisi: le attività interessate, l’orizzonte temporale di rilevazione e gli attributi delle forniture da includere nel sistema.

Con riferimento alle attività rispetto alle quali intercettare l’insorgere dei rischi per il procurement, la scelta si è posta tra un approccio “ristretto” – limitato esclusivamente all’attività vera e propria di approvvigionamento e a tutte le fasi a monte – e un approccio “esteso”, in grado di ricomprendere anche fasi successive all’effettiva attività di approvvigionamento, ma comunque potenzialmente generatrici di rischi significativi. Si pensi, ad esempio, alla fase di post-consegna, nella quale, per motivazioni legate alla garanzia passiva verso il cliente, potrebbero sorgere rischi che è bene intercettare già in fase di approvvigionamento.

La scelta è ricaduta sull’adozione del perimetro esteso, includendo tra gli altri i rischi generati in fase di contrattazione e quelli emergenti nella fase di post-vendita. Tale decisione è stata presa nella consapevolezza che questo potesse generare maggiori sforzi di alimentazione e manutenzione del sistema, ma con l’obiettivo di intercettare tutte le possibili derivanti del rischio e blindare il più possibile il perimetro di misurazione dello stesso.

Analogamente a quanto fatto per le attività interessate, ci si è soffermati nel riflettere su quali dovessero essere i principali touch point di lettura dei rischi e in quali momenti del ciclo di vita del programma fosse più opportuno rilevarli. La definizione dei momenti di rilevazione ha quindi condotto il gruppo di lavoro a privilegiare una logica di monitoraggio continuativo, al fine di intercettare in modo sistematico gli elementi di rischio lungo l’intero processo di sviluppo del programma. Questo porterà la funzione ad avere una continua visione aggiornata dei rischi oggetto di analisi, anche in seguito alla conclusione del ciclo di vita del programma, con l’obiettivo di individuare e monitorare tutti gli item di rischio fino al momento ultimo di assistenza post-consegna.

Infine, l’ultima riflessione in ambito di perimetro di applicazione ha fatto riferimento agli attributi delle forniture. In particolare, si è valutata l’opportunità di escludere dal perimetro alcune categorie di forniture, quali quelle indirette o infragruppo, al fine di rendere l’analisi più efficiente e focalizzata sugli ambiti a maggiore rilevanza per la funzione. A seguito di un’analisi basata sul valore storico delle forniture e sulla loro natura, si è pertanto optato per l’esclusione di una parte dei fattori produttivi oggetto di acquisto, ritenuti caratterizzati da un profilo di rischio contenuto e da una maggiore complessità di rilevazione. Tale scelta ha consentito di evitare un eccessivo carico informativo e di concentrare l’attenzione sugli ambiti di effettiva materialità per il sistema di misurazione dei rischi.


Determinanti e fattori di rischio

Definito il perimetro di analisi, lo step seguente riguarda l’individuazione delle determinanti e dei fattori di rischio. Come illustrato nella parte introduttiva dell’articolo, le prime si riferiscono agli elementi strutturali e di funzionamento dei processi, che, se non correttamente presidiati, possono generare criticità; i secondi corrispondono invece alle diverse dimensioni sulle quali tali criticità producono i loro effetti. Si tratta di una fase cruciale, poiché le scelte operate in questo momento condizionano la configurazione complessiva del sistema di misurazione.

In merito ai fattori di rischio, la discussione ha portato il gruppo di lavoro a ricondurli alle tre principali categorie di fattori, osservabili anche nel caso specifico del processo di procurement, vale a dire:

  • tempo, con riferimento ai ritardi e alle tempistiche di approvvigionamento;
  • qualità, in relazione al livello prestazionale dei beni o servizi forniti;
  • costo, connesso ai maggiori oneri derivanti da inefficienze o perturbazioni del processo.

Infine, con riferimento alle determinanti del rischio, l’analisi ha rilevato i seguenti elementi:

  • il fornitore, quale controparte da cui dipende la disponibilità di beni e servizi. Le sue caratteristiche e condizioni influenzano direttamente la stabilità e la resilienza dell’intera catena di approvvigionamento;
  • la relazione di fornitura, in quanto elemento che qualifica il grado di dipendenza, la flessibilità contrattuale e la capacità di collaborazione. Una relazione fragile o squilibrata può aumentare la vulnerabilità del processo;
  • il materiale o servizio oggetto della fornitura, le cui caratteristiche (criticità, complessità, sostituibilità) incidono sulla possibilità di garantire continuità operativa in caso di perturbazioni;
  • il contratto, quale generatore di vincoli e impegni, con impatto diretto sulle scelte in termini di approvvigionamento.


L’individuazione degli item di rischio

L’incrocio tra determinanti e fattori ha consentito di identificare gli item di rischio, ossia gli specifici eventi che generano il rischio di processo e, conseguentemente, il rischio aziendale. Ciascun item corrisponde a una manifestazione concreta di criticità derivante da una determinante specifica e associata a un impatto su una delle tre dimensioni sopra indicate. L’individuazione di tali item costituisce un passaggio fondamentale, poiché consente di tradurre in modo concreto le varie situazioni di rischio a cui è sottoposta ogni giorno l’attività aziendale, garantendo la possibilità di misurare, monitorare e gestire situazioni tangibili.

Per evitare che l’attività di mappatura producesse un insieme eccessivo o poco coerente di item, si è reso necessario introdurre una serie di vincoli, di carattere logico e operativo, concepiti come veri e propri criteri guida per la selezione.

Dal punto di vista logico, il primo elemento introdotto è stata la causalità, ossia la necessità di concentrarsi sulle determinanti di situazioni “sistemiche” e non causate ad esempio da errori puntuali di carattere umano. A questa si è affiancata la governabilità, vale a dire il bisogno di focalizzarsi solo sugli eventi prevedibili, mitigabili e gestibili a livello aziendale (prescindendo dal fatto che la funzione supply chain possa direttamente intervenire su essi). Infine, l’ultimo vincolo logico definito è stato quello dell’oggettività, in modo tale da privilegiare quegli eventi che impediscono la triangolazione tra i fattori di rischio rispetto agli oggetti di rilevazione.

Dal punto di vista operativo invece, il lavoro è stato guidato da due criteri pratici. Il criterio della tempestività, che ha richiesto che gli indicatori legati agli eventi individuati fossero disponibili nei tempi coerenti con la possibilità di anticipare il rischio rispetto alla potenziale manifestazione, e il criterio della qualità dei dati, che è stato definito con l’intento di far sì che il sistema si fondasse su informazioni affidabili e consistenti, riducendo il rischio di alimentare decisioni strategiche con segnali distorti o incompleti.

Insieme, questi vincoli hanno svolto una funzione essenziale: mantenere il sistema snello, coerente e orientato allo scopo, evitando di costruire un modello composto da un numero illimitato di rischi e metriche, di conseguente difficile lettura e rilevazione (in Figura 1 vengono presentati alcuni esempi di item di rischio [3]).

 

Figura 1_02

 

L’operazionalizzazione del framework

Una volta definito l’insieme degli item di rischio prende avvio la fase più densa e critica dell’intero processo: la traduzione operativa del framework. In questo passaggio si stabiliscono in concreto le misure e gli algoritmi di calcolo necessari per individuare il rischio “analitico” di ciascun item e, successivamente, le logiche di aggregazione che consentono di stimare il rischio “sistemico” complessivo del processo di procurement.

La valutazione del rischio a livello di singolo item richiede innanzitutto di identificare la metrica più adeguata a misurarne la magnitudo, nonché la fonte informativa che consenta l’applicazione dell’algoritmo prescelto. Si tratta di un momento cruciale, poiché costituisce una vera e propria verifica di fattibilità teorica del dataset inizialmente delineato, assicurando che lo strumento finale sia al tempo stesso efficiente ed efficace. Le metriche di rischio possono derivare da una pluralità di fonti, distinguibili tra fonti interne – ad esempio dati già presenti nei database aziendali sulle caratteristiche anagrafiche dei fornitori o sugli oggetti di fornitura – piuttosto che da fonti esterne, come i rating forniti da società specializzate su rischi di natura territoriale o normativa (la Tabella 1 riporta alcune delle misure di rischio adottate [4]). L’obiettivo principale di questa fase è valorizzare ogni elemento di rischio individuato, mantenendo però alta l’attenzione sull’affidabilità della misurazione. È preferibile, infatti, disporre inizialmente di un set di metriche più ristretto, ma solido e rappresentativo del rischio effettivo, piuttosto che di un insieme ampio ma poco consistente. Questo approccio permette di costruire una base affidabile per la stima del rischio sia a livello di singolo item sia a livello sistemico.

Tabella 1 Le metriche di rischio: un estratto delle evidenze

N.

Item di rischio

Determinante

Fonte interna/ esterna

Metrica di rischio

1

Rischio idro-geologico / climatico

Fornitore

Esterna

Climate Risk Index

2

Rischio economico-finanziario

Fornitore

Esterna

CBI risk rating

3

Rischio geopolitico

Fornitore

Esterna

GP score

4

Rischio di competenza tecnica

Fornitore

Interna

Supplier competence risk index

5

Rischio sociopolitico

Fornitore

Esterna

Political risk index

6

Rischio di sovrasaturazione del fornitore

Fornitore (relazione)

Interna e Esterna

Supplier saturation index

7

Rischio di distanza territoriale

Fornitore (relazione)

Interna

Territorial distance index

8

Rischio di specifiche tecniche non esaustive

Materiale / Servizio

Interna

Indice specifiche tecniche

9

Rischio di obsolescenza del materiale / servizio

Materiale / Servizio

Interna

Indice di obsolescenza

10

Rischio di revoca autorizzazioni import / export

Contratto

Interna

Indice di revoca autorizzazioni

Una volta definito il calcolo del valore consuntivo della singola misura, diventa necessario uniformare i risultati ottenuti, così da poterli interpretare in una prospettiva sistemica. Le misure individuate, infatti, possono basarsi su algoritmi di calcolo differenti e utilizzare scale di misura eterogenee. Alcuni algoritmi, ad esempio, possono estrarre dati puntuali da report o database, restituendo valori in forma percentuale o punteggi numerici su scale discrete (ad esempio da zero a tre); altri invece possono produrre risultati espressi sotto forma di giudizi qualitativi su livelli ordinati (basso-medio-alto) o come variabili dicotomiche (sì/no). Diventa quindi indispensabile ricondurre le diverse scale a un’unica rappresentazione: un grado di rischio espresso su una scala percentuale da zero a cento, con un orientamento di lettura coerente (ossia stabilendo se i valori prossimi allo zero o quelli prossimi a cento indichino un livello di rischio elevato o, al contrario, nullo).

Una volta uniformata la rappresentazione dei diversi elementi di rischio, occorre definire le logiche di aggregazione delle misure associate agli oggetti di controllo. Questo passaggio è fondamentale per ottenere una visione concreta del rischio aggregato sulle dimensioni prescelte, che nel progetto in questione corrispondono agli oggetti “fornitore” e “materiale/servizio”. L’aggregazione può essere effettuata attraverso funzioni matematiche, come la media semplice o, preferibilmente, la media ponderata. Quest’ultima soluzione risulta particolarmente indicata perché consente di enfatizzare gli elementi di rischio la cui incidenza ha un impatto maggiore rispetto ai restanti elementi nella definizione del rischio complessivo dell’oggetto di riferimento.

Infine, dopo aver definito il calcolo del rischio analitico, si rende necessario stabilire le logiche di sintesi che consentono di derivare un rischio “sistemico”, realmente rappresentativo del livello di esposizione della funzione. Se infatti le scelte prese fino a questo momento hanno consentito di misurare in modo analitico il rischio per ciascun oggetto di controllo, l’ultima fase punta a costruire un rating complessivo di sistema. Per arrivare al rischio di sistema sono necessarie due attività principali. La prima è la ponderazione degli item di rischio, in modo da attribuire pesi diversi agli elementi in base alla loro importanza, come svolto in precedenza per aggregare gli elementi di rischio nei singoli oggetti di controllo. La seconda attività riguarda la definizione delle soglie di rischio (cut-off) e delle logiche di alert, dove le prime servono a distinguere i livelli di rischio considerati accettabili da quelli critici, mentre le seconde consentono di attivare, per una categoria circoscritta di rischi, specifici allarmi fondati su condizioni chiaramente definite. Questo meccanismo permette di porre l’attenzione su situazioni che, pur apparendo in prima lettura come a basso rischio, celano in realtà fattori che possono rivelarsi potenzialmente critici per il sistema. Il risultato è un indice sistemico di rischio, una misura sintetica e facilmente interpretabile che non solo fotografa lo stato della funzione, ma fornisce anche uno strumento di supporto alle decisioni strategiche e di governance.


Test e validazione del modello

Una volta costruito il modello di misurazione dei rischi, l’ultima fase – cruciale prima della sua validazione – è quella di test. Il suo obiettivo è verificare l’affidabilità del framework progettato, confrontando i risultati generati dal modello con la percezione e l’esperienza reale degli utenti. A tal fine, in collaborazione con il gruppo di lavoro di ELT, sono stati selezionati due programmi caratterizzati da un’elevata sensibilità rispetto ai rischi connessi agli oggetti che li compongono. Questa scelta ha permesso di valutare se le evidenze prodotte dal modello fossero effettivamente coerenti con la realtà osservata, fornendo così un riscontro concreto sulla solidità dello strumento.

Partendo dall’individuazione degli item di rischio e delle relative metriche, la fase di test ha evidenziato alcune criticità: in alcuni casi il reperimento della documentazione necessaria al calcolo della metrica si è rivelato particolarmente complesso e dispendioso; in altri, più metriche condividevano modalità di rilevazione simili, con algoritmi di calcolo che non restituivano un risultato sufficientemente affidabile e rappresentativo per l’elemento di rischio specifico. Questa attività ha quindi consentito di affiancare all’analisi teorica della fattibilità delle misure anche una valutazione di fattibilità effettiva. In particolare, ha portato a un processo di razionalizzazione: da un lato, l’accorpamento degli item misurati con metriche analoghe; dall’altro, l’esclusione di quelli per cui la documentazione necessaria non era disponibile in maniera sistematica o affidabile.

Durante l’esecuzione del test sui due programmi selezionati, è emersa inoltre la necessità di riflettere sul tema del perimetro esteso di rilevazione. È stato infatti evidenziato che, con riferimento all’oggetto “materiale/servizio”, lo stato dell’ordine – ad esempio in fase di ordinazione oppure già in fase di consegna – incide sull’attivazione di specifici indicatori di rischio. La loro attivazione dipende sia dal fabbisogno di rilevazione del rischio intrinseco al momento specifico della rilevazione, sia dalla disponibilità delle informazioni pertinenti in quella fase.

In sintesi, la fase di test si è rivelata propedeutica a mettere in luce alcuni limiti operativi del disegno teorico iniziale del sistema di misurazione dei rischi. Proprio grazie a tali evidenze è stato possibile validare un modello concreto, capace di restituire una rappresentazione più aderente alla realtà e realmente in grado di far emergere le potenziali aree di rischiosità per la funzione.


Misurare i rischi: una necessità “complessa”

Le premesse iniziali e la presentazione del caso aziendale hanno l’obiettivo di illustrare una possibile metodologia per lo sviluppo di un sistema di misurazione dei rischi, riconoscendone la reale necessità ai fini di un’adeguata gestione d’impresa. Al contempo, tali contributi evidenziano come la costruzione di un sistema di questo tipo non possa essere ricondotta a un esercizio puramente tecnico, ma implichi un percorso articolato di progettazione, affinamento metodologico, sperimentazione operativa e progressiva diffusione come elemento della cultura aziendale. Si tratta di un processo che richiede necessariamente tempo e che, a partire dalla costruzione dello strumento di misurazione, evolve fino a divenire un vero e proprio processo manageriale.

In quest’ottica la misurazione è solo il primo passo. Le metriche di rischio, con i loro segnali di pericolo e di allerta, devono alimentare scelte di mitigazione, passando da una simulazione strutturata degli impatti che ciascuna scelta ha inevitabilmente sulla struttura dei risultati aziendali, attuali e prospettici. La misura attiva soglie di attenzione, alimenta valutazione, conduce a decisioni e comportamenti consapevoli; da questo punto di vista misurare è solo uno delle fasi di un circuito di apprendimento molto più ampio e complesso.


Riferimenti bibliografici

  • Benedek, P., Bognár, F. (2024). “Compliance risk assessment: Results of a comprehensive literature review.” Acta Polytechnica Hungarica, 21(6).
  • COSO (2017). Enterprise risk management: Integrating with strategy and performance. Durham, NC: American Institute of Certified Public Accountants (AICPA).
  • Damodaran, A. (2007). Strategic risk taking: A framework for risk management. Wharton School Publishing.
  • Dossi, A. (2001). I processi aziendali: Profili di misurazione e controllo. Milano: Egea.
  • Kahneman, D., Sibony, O., Sunstein, C.R. (2021). Rumore: Un difetto del ragionamento umano. Milano: UTET.
  • Kaplan, R.S., Mikes, A. (2012). “Managing risks: A new framework.” Harvard Business Review.
  • Mustapha, A.M., et al. (2020). “A systematic literature review on compliance requirements management of business processes.” International Journal of System Assurance Engineering and Management, 11.
  • Nielsen, C. (2023). “ESG reporting and metrics: From double materiality to key performance indicators.” Sustainability, 15(24).

 

[1] Per una lettura integrata della prospettiva di rischio con la prospettiva della strategia aziendale e delle performance (economico-finanziarie) conseguenti si faccia riferimento a COSO (2017).

[2] Si ringrazia Luca Dessalvi (Vice President Sourcing and Supply Management di GRUPPO ELT) per il supporto dato allo sviluppo del caso.

[3] Si precisa che la figura ha solo ruolo esemplificativo. Per esigenze di privacy non è stato possibile fare piena disclosure degli item di rischio identificati.

[4] Si precisa che la tabella ha solo ruolo esemplificativo. Per esigenze di privacy non è stato possibile fare piena disclosure degli item di rischio identificati.


Foto iStock / Tanatpon Chaweewat

Highlights_iStock_Tanatpon Chaweewat
Vai all'archivio

Contenuti collegati

Per abbonati

Articolo

IL D.LGS. 231/01: finalità, modelli ...

IL D.LGS. 231/01: finalità, modelli ...

di Livatino Massimo

La spinta all’introduzione di sistemi di autovalutazione dei rischi, indotta dal D.lgs. 231/01, può persuadere le aziende a presidiare non solo la conformità alle normative, ma anche l’attendibilità ...

Per abbonati

Economia & Mercati

Sanzioni occidentali e resilienza della ...

Sanzioni occidentali e resilienza della ...

di Gianmarco Ottaviano

La consultazione dei libri è riservata esclusivamente agli abbonati Premium

  • Legenda:
  • Accedi
  • Per registrati
  • Per abbonati