Chief Risk Officer (CRO) o RISK MANAGER, cosa fa e perché è importante

Chief Risk Officer (CRO) o RISK MANAGER, cosa fa e perché è importante

di Sergio Viola

Negli ultimi anni, per molte aziende si è rivelato vitale l’utilizzo della tecnologia per migliorare i processi decisionali e operativi, ivi inclusi il monitoraggio delle performance interne e lo sviluppo di canali digitali per la vendita o per facilitare la relazione con i clienti. Da questo nasce la necessità di gestire in sicurezza i dati aziendali e quelli dei clienti; le aziende si sono evolute e il cambiamento le ha mantenute competitive ma le ha anche rese più complesse e più vulnerabili sia dal punto di vista operativo che strategico. 

Per questo è cresciuta l’importanza di figure come il Chief Risk Officer (CRO) o il Risk Manager, che sono diventate fondamentali e a volte imprescindibili per il corretto funzionamento di un’azienda. 

Il compito principale del Risk Manager è quello di analizzare e definire quali sono i principali rischi per l’azienda e di mantenerla conforme a tutte le normative vigenti.

Oltre alla compliance, i Risk Manager si occupano di una molteplicità di altre attività come ad esempio individuare le polizze assicurative necessarie, garantire la sicurezza dell’IT, prevenire le frodi, attivare gli audit interni ed esterni, si tratta di attività importanti e interconnesse, tutte collegate alla mitigazione dei rischi.

È altresì compito del Risk Manager, offrire una consulenza a 360 gradi riguardo la gestione del rischio. Ad esempio migliorare la cybersecurity dell’azienda oppure prevedere qualsiasi cambiamento economico, sociale, legislativo che potrebbe mettere a rischio l’operatività e il business dell’azienda.  

La figura del Risk Manager è quindi per sua natura molto elastica, le sue funzioni si dilatano e cambiano in modo eterogeneo, a seconda delle esigenze aziendali. Questa elasticità del ruolo permette al CRO di svolgere con successo le sue mansioni sia come dipendente che come consulente esterno – specialmente nei casi in cui l’impresa non abbia le risorse per un manager interno oppure la necessità di internalizzare e/o formare una figura di questo tipo, ma anche quando non ci sia il tempo per cercare un professionista da integrare nel team.

Va detto che nelle realtà più consolidate e strutturate è ormai normale la presenza di un vero e proprio team a supporto del CRO, per individuare e analizzare il rischio, per scegliere le metodologie e gli strumenti più idonei e per aiutare a diffondere nell’organizzazione la cultura del rischio. 

 

Chief Risk Officer (CRO): chi è e cosa fa il risk manager

Il Chief Risk Officer (CRO) o il Risk Manager deve innanzitutto raccogliere dati per poter individuare i rischi interni ed esterni all’azienda. La fase di documentazione è quindi propedeutica e fondamentale per poter definire il profilo di rischio dell’azienda e programmare al meglio le attività future.

A seguire è necessaria un’analisi dei principali indicatori di rischio (KRI), valutando le conseguenze di diversi possibili scenari (what-if analysis), come ad esempio una violazione di dati, una perdita sostanziale di profitto, danni all’inventario ed ogni attività che sia riconducibile ad un danno economico – ma anche ad esempio reputazionale – per l’azienda. 

Nelle fasi successive il CRO valuta le politiche e le procedure di mitigazione del rischio in essere in azienda, prevedendo l’implementazione di ulteriori procedure in caso di criticità o di carenza in alcune aree (in questo caso si parla di vulnerability assessment), aggiornando di conseguenza la risk policy aziendale.

Al termine di tutti i controlli il CRO opera i cambiamenti necessari che possono consistere sia nell’istituzione di nuovi protocolli operativi che nella stipulazione di nuove coperture assicurative.

È possibile che alcuni rischi non possano essere evitati: un esempio è sicuramente il rischio legato all’andamento dei mercati finanziari. In questo caso il ruolo del CRO sarà quello di stabilire il livello di rischio che un’azienda è disposta a sostenere (risk appetite). In questo modo una possibile fluttuazione, pur non sempre prevedibile ed in alcuni casi non completamente gestibile, causerà dei danni calcolati, non mettendo a repentaglio altre funzioni aziendali. 

 

I vantaggi per l’azienda che sceglie di inserire nell’organizzazione il CRO

Il CRO o il Risk Manager può incidere positivamente in molte aree, ad esempio prevedendo i seguenti rischi:

  1. Strategia: A livello strategico avere un risk management efficace può migliorare la competitività e il posizionamento dell’azienda sul mercato. Avere un risk assessment completo può far acquisire un vantaggio competitivo, in caso di imprevisti, rispetto alla concorrenza.
  2. Finanza: A livello di finanza un buon risk management si traduce, in caso di un costo imprevisto, nel continuare ad avere a disposizione la liquidità sufficiente per il corretto funzionamento dell’azienda.
  3. Globalizzazione: A livello globale un risk management efficace calcola,, a seconda dell’azienda e del settore, le variabili e gli accadimenti che potrebbero impattare il modello di business, spaziando da aspetti economici, a quelli politici, tecnologici, e perfino sociali delle varie nazioni e aree geografiche 
  4. Operatività: A livello operativo un buon risk management prevede i nodi operativi più importanti e ne stabilisce un’alternativa in caso di necessità. Questo permette il corretto funzionamento dell’azienda in caso di imprevisti, problemi logistici e di forniture e guasti sulle linee produttive. 

 

Gestione dei rischi nell’era digitale

Molte aziende si sono dovute attrezzare per gestire i dati dei clienti seguendo una normativa che negli ultimi anni ha attraversato diverse fasi di cambiamento, fino alla recente introduzione di aggiornamenti fondamentali per normativa sulla GDPR 2022, allo stesso tempo le aziende hanno anche automatizzato e digitalizzato molti processi che storicamente venivano gestiti in altro modo.

Sono via via emersi nuovi strumenti come il cloud, i big data, l’ intelligenza artificiale, l’IoT (Internet of Thing), il machine learning, tutte tecnologie complesse che devono essere integrate correttamente nei sistemi e nei processi aziendali e che poi vanno anche protetti dalle aziende che li sviluppano o che li utilizzano come elementi fondamentali per l’innovazione dei loro modelli di business e per lo svolgimento di funzioni nuove o di quelle tradizionali che si sono digitalizzate. 

A una tale velocità dell’adozione di nuove tecnologie spesso però non è stata accompagnata da un eguale sforzo in tema di sicurezza e di gestione del rischio.

Le piccole medie imprese sono il cuore pulsante dell’Italia, ma sono spesso proprio quelle che faticano di più nell’adozione di misure di prevenzione del rischio digitale.A causa della scarsità e inadeguatezza delle risorse organizzative ed economiche viene spesso tralasciata l’importanza del tema del rischio digitale, rendendo quindi vulnerabili le PMI e i loro stakeholder. 

Molte aziende spesso a carattere familiare vedono ancora la tutela del rischio come un costo e non come un’opportunità e il cambio culturale non è semplice. 

Ci sono alcuni fattori critici riscontrati in modo diffuso:

  • Difficoltà nella raccolta e mappatura dei dati;
  • Mancanza di sensibilizzazione sul rischio da parte dei dipendenti;
  • Mancanza di sponsorizzazione da parte del top management;
  • Difficoltà di comprensione della normativa;
  • Mancanza di Risk Manager competenti;
  • Inadeguatezza del budget. 
  • Inadeguatezza delle soluzioni tecnologiche di protezione 

Il mondo sta cambiando, diventando sempre più tecnologico e sempre più globale. Di conseguenza le aziende devono aggiornarsi sempre più velocemente alle nuove normative ed ai macro fattori esterni. 

L’inserimento nell’organizzazione di una figura come il CRO o il Risk Management aiuta a prevedere questi fattori e a ridurre l’esposizione ai rischi, agevolando il corretto funzionamento dell’organizzazione e contribuendo alla longevità dell’azienda. 

Come illustrato la soluzione migliore non è sempre quella di reclutare un CRO a tempo indeterminato ma per molte PMI è quella di inserire un Interim CRO esperto in grado di colmare le lacune dell’azienda e di implementare velocemente ed in maniera efficace una corretta politica di gestione dei rischi aziendali e di sviluppare i processi e gli strumenti adatti a tenerla sempre sotto controllo, lasciando poi la gestione corrente del rischio al management interno.

TIM M. mette a disposizione il suo network di partner e manager esperti per identificare i migliori CRO sul mercato. Grazie all’ esperienza maturata in oltre 30 anni e alla qualità dei nostri partner, siamo in grado di supportare efficacemente l’imprenditore e i suoi advisor nella ricerca di un Chief Risk Officer (CRO) o di un Risk Manager esperto del settore e di renderlo operativo in azienda in tempi brevissimi.

 

Condividi:

Altri contenuti

Non categorizzato

Generative AI per i CEO: tutto quello che c'è da sapere
di TIM Management

L’Intelligenza Artificiale Generativa sta evolvendo a velocità record, mentre i CEO stanno ancora imparando a...

Continua a leggere

Non categorizzato

Il ruolo del Sustainability Manager
di TIM Management

L’evoluzione vorticosa dello scenario economico e politico e le trasformazioni del tessuto socio-economico sempre...

Continua a leggere

Rivoluzione digitale

Come cambierà il futuro del venditore della digital revolution?
di Ettore Del Borrello

Abbiamo un problema: solo il 3% degli acquirenti si fida di noi Alcuni ipotizzano che uno dei primi lavori che verranno...

Continua a leggere

Parla con un Partner di TIM Management

Per qualsiasi esigenza i nostri consulenti sono a vostra disposizione per trovare insieme
la soluzione più adeguata per la vostra azienda.