XIII principio: gli effetti positivi della “codificazione”
28 Marzo 2018
Salvo ripensamenti concludiamo questa carrellata di principi …
Riprendendo il precedente principio volevamo richiamare l’attenzione su un’ulteriore sfaccettatura del trasformare tutto in check list; tale attività consente infatti non solo la possibilità di valutare quantitativamente l’efficienza ed efficacia dei processi, ma parallelamente anche la loro “codificazione”. Con il termine codificazione ci riferiamo al fatto che attraverso questa attività (necessariamente progressiva) si giunge ad una sempre più dettagliata formalizzazione delle fasi dei processi aziendali e dei relativi controlli. La codificazione ha almeno tre ricadute positive: a) la possibilità di avere uno strumento per la standardizzazione (efficienza) e il miglioramento continuo (efficacia) e concreto dei processi non secondariamente grazie alla possibilità di individuazione e rimozione degli errori (lean, six sigma, ISO 9001, etc.) ; b) la facilitazione di eventuali passaggi di consegne; c) la già citata possibilità di realizzare processi quantitativi di reporting.
XII principio: mappare i processi aziendali e creare check list
21 Marzo 2018
Produrre dei resoconti prolissi delle proprie attività di controllo è una delle prassi più in voga probabilmente per dimostrare una grossa mole di lavoro. Questa prassi è sintomo di una debolezza di fondo relativa alle funzioni di controllo, che, in particolare nelle realtà dove la loro esistenza è imposta dalla regolamentazione, devono giustificare la loro presenza. Tale modo di procedere genera evidentemente un circolo vizioso dove fenomeni come quelli descritti prendono il sopravvento rispetto all’obiettivo principale delle funzioni di controllo che dovrebbe essere quello di fornire dati ed informazioni al management (strumenti) per prendere decisioni e prevenire i rischi.
Il nostro suggerimento è quello di trasformare ogni attività di controllo (di qualsiasi livello essa sia (1°, 2°, 3° livello)) in check list. Tali check list potranno essere utilizzate come strumento autonomo da parte delle funzioni di 2° e 3° livello mentre per le funzioni di 1° livello (funzioni operative) sarà opportuno l’associazione delle stesse ai processi aziendali. Tali check list (ho fatto X? si/no, ho fatto Y? si/no) diventeranno quindi degli strumenti per monitorare nel continuo lo stato di avanzamento delle varie pratiche/processi e sintetizzando al contempo le problematiche emerse nella loro lavorazione. Organizzare le attività aziendali in check list è anche un modo per sviluppare l’organizzazione in maniera veloce ed informale evitando fraintendimenti e prolissi documenti che di solito non legge nessuno/ leggono in pochi.
XI principio: gestione efficiente del tempo e del lavoro
15 Marzo 2018
Un consulente diverso per la ISO 9001, per la sicurezza, per l’ambiente, per la privacy, per il 231/01, per l’audit, per la compliance, per il risk management. Tutte le informazioni gestite a mano, su carta o su fogli excel, senza la possibilità di raccordo né di confronto. Quanto costano tutte queste attività all’azienda in termini di costi vivi (in particolare consulenti) tempo assorbito? Qual è l’efficacia e l’efficienza di queste attività se gestite in maniera non coordinata? Qual è la consapevolezza della situazione e dei rischi che possono essere evitati? Le risposte sono ovvie e quindi evitiamo di dilungarci.
Gli adempimenti sopra elencati hanno molte sovrapposizioni:
a) mappatura processi (e presidi),
b) mappatura rischi,
c) attività di verifica,
d) segnalazioni di non conformità/ criticità gestionali (chiamatele come volete).
Se ciascuno di questi attività sarà gestita in maniera indipendente e non coordinata da parte dei vari consulenti/ dipendenti coinvolti (leggasi senza l’ausilio di un software) vi saranno certamente delle sovrapposizioni, delle incoerenze (perlomeno nelle mappature dei rischi e i presidi) e quindi delle inefficienze. Gestire questi adempimenti in maniera non organizzata significa non solo sostenere dei costi inutili, ma anche perdere il patrimonio informativo (valore aggiunto) che gli stessi potrebbero portarvi: il controllo di gestione dei processi operativi.
Anche per questo serve Gorico: “zero waste audit activity”.
X principio: costruire delle dashboard (approfondimento 3° principio)
8 Marzo 2018
Per monitorare in modo immediato la propria attività e l’esposizione ai rischi, è utile un software che dia la possibilità d’identificare, in un’unica visione d’insieme, i vari rischi ai quali la società è esposta, con l’indicazione del relativo grado di esposizione. Questa immediata immagine consente di adottare le conseguenti azioni correttive volte a mitigare l’esposizione.
Le dashboard che GoRiCo offre evidenziano l’esposizione ai rischi distintamente in termini di probabilità e di impatto nonché l’esposizione complessiva ai rischi prima e dopo l’applicazione dei presidi individuati, le risk actions da adottare, l’esposizione media complessiva.
Di seguito un esempio di rappresentazione grafica tratta dal programma:
IX principio: valutazione per probabilità e impatto (approfondimento 3° principio)
28 Febbraio 2018
Normalmente le valutazioni dei rischi vengono fatte attribuendo ad ogni rischio una distinta valutazione in termini di probabilità di accadimento (verosimiglianza) e impatto in caso di accadimento (approfondimento punto 6 del principio 3).
Anche queste sono attività che vanno quantificate (la probabilità in termini percentuali e l’intensità in termini monetari) e poi transcodificate qualitativamente attraverso apposite griglie .
Ricordiamo, a costo di risultare banali, che l’attività di valutazione dei rischi comporta necessariamente oltre ad un certo grado di incertezza (altrimenti non si parlerebbe di probabilità) anche la definizione di un orizzonte temporale compatibile con i nostri scenari decisionali.
Una previsione che, al 50%, entro domani, pioverà (orizzonte temporale di un giorno) è una previsione interessante; una previsione che entro cent’anni pioverà evidentemente è una previsione corretta ma non ha alcuna utilità poiché appunto l’orizzonte temporale della previsione non è compatibile con i nostri scenari decisionali.
VIII principio: mappatura dei processi aziendali (approfondimento 3° principio)
22 Febbraio 2018
E’ scontato ma non banale che i rischi elencati nella mappatura siano associati alle fasi dei processi aziendali in cui i rischi stessi possono verificarsi.
La prassi normalmente seguita è quella di procedere alla mappatura dei processi procedendo successivamente all’individuazione dei rischi associati a ciascun processo: l’effetto di questo modo di procedere è che gli stessi rischi vengono contati più volte (essendo gli stessi rischi in comune tra più processi). Il nostro consiglio è quindi quello di individuare indipendentemente i rischi ai quali è sottoposta l’attività aziendale e successivamente procedere ad associarli ai processi.
Naturalmente il supporto di un software in questa attività è davvero utile; ecco alcuni esempi della necessità: a) contare i rischi associati ad ogni processo; b) contare lo stesso rischio a quanti processi è associato; c) valutare complessivamente l’esposizione ai rischi e l’efficacia dei presidi individuati; etc …
Avere tutte queste informazioni gestite tramite Dashboard serve davvero ad una gestione scientifica dei rischi ai quali la società è esposta.
Con Gorico si può.
VII principio: l’oggettività delle valutazioni (approfondimento principio 3.4)
14 Febbraio 2018
Molte mappature sono basate su criteri di valutazione indicati con aggettivi, come ad esempio “alto”, “medio”, “basso”. Procedendo nell’attività di mappatura intervistando i responsabili delle principali funzioni aziendali, tuttavia, si incontrano persone che possono avere percezioni differenti per ogni singolo aggettivo, e la mappatura diventa quindi tutt’altro che oggettiva.
Il nostro consiglio è quello di “monetizzare” le valutazioni di intensità e solo successivamente trasformarle in qualitative. Analogamente anche le valutazioni di probabilità dovranno essere espresse in valori numerici (ad esempio 100% un evento rischioso che accade una volta ogni anno, 50% ogni 2 anni, 20% ogni 5 …): anche queste poi potranno essere trasformate in valutazioni qualitative (probabilità alta, media, bassa).
La valutazione del rischio totale non sarà altro che la moltiplicazione di questi due fattori e anche questa dovrà poi essere trasformata da quantitativa in qualitativa.
VI principio: la verifica del sistema dei controlli (approfondimento del principio 3.3)
8 Febbraio 2018
La mappatura dei rischi così come descritta nei precedenti articoli rimane un esercizio accademico e soprattutto uno sforzo inutile se non viene costantemente monitorata nell’ambito della normale attività giornaliera di tutti gli operatori o perlomeno nell’ambito delle attività di verifica di 2° e 3° livello.
L’attività di monitoraggio si sostanzia nella costante verifica di efficacia dei presidi che abbiamo individuato nell’ambito della mappatura. Fondamentale che tale verifica di efficacia sia un “sotto-prodotto” automatico delle normali attività di verifica senza comportare oneri aggiuntivi per i controllori (di qualsiasi livello funzionale essi siano): per raggiungere questo risultato (impatto zero) è naturalmente necessario organizzare un’attività di controllo a rifiuti zero. Per saperne di più contattateci: con GoRiCo si può.
V principio: i riferimenti normativi (approfondimento del principio 3.2)
2 Febbraio 2018
Durante la mappatura dei rischi e dei relativi presidi è importante collegare il riferimento normativo che determina il rischio individuato.
Infatti, l’analisi dei rischi nella maggior parte dei casi, è connessa all’analisi della legislazione di riferimento dell’attività imprenditoriale, al fine di tenere sotto controllo il rischio legale.
Ad esempio il processo di mappatura dei rischi connesso al d.lgs 231/01 prende spunto proprio dai precetti normativi che devono essere osservati e applicati. La valutazione del danno non deve essere solamente pari alla sanzione (normalmente amministrativa) connessa all’eventuale reato/ illecito: un’eventuale condanna porterebbe evidentemente con sé anche un danno reputazionale. Su questo tema si richiama anche l’attenzione sull’art. 9, comma 1, lett. d) del D.Lgs. 231/01 che tra le sanzioni previste dal decreto prevede anche la “pubblicazione della sentenza” (proprio per il danno reputazionale connesso): si precisa peraltro che, indipendentemente dalla sanzione prevista dalla norma, un’eventuale condanna anche per reati esterni al d.lgs 231/01 determina comunque un danno reputazionale.
A questo punto, nell’ambito della “normale” attività di “mappatura dei rischi”, avrete automaticamente fatto anche un modello organizzativo ai fini del D.Lgs 231/01 (o anche un modello organizzativo ai fini di uno qualsiasi dei testi normativi che avrete individuato) potendo determinare quei rischi che sono stati collegati agli articoli normativi richiamati dal d.lgs. 231/01.
IV principio: i presidi (approfondimento principio 3.1)
29 Gennaio 2018
La mappatura rischi deve essere accompagnata anche da un’attività di mappatura dei presidi. Per presidi si intendono quei controlli, quelle procedure che consentono la riduzione della possibilità di accadimento dei rischi.
Sono presidi a titolo esemplificativo:
a) controlli informatici automatizzati (es. riconciliazioni automatiche);
b) procedure organizzative;
c) codici etici;
d) corsi di formazione;
e) controlli a tutti i livelli (primo secondo e terzo livello), etc.
E’ bene ricordare, ancorché banale, che non è possibile azzerare la possibilità di accadimento di ogni rischio pena la perdita di ogni guadagno. Un’azienda che teoricamente azzerasse i rischi per definizione non potrebbe guadagnare; un’attività diventa redditizia e con una prospettiva di lungo periodo se vengono assunti dei rischi che si possiede la professionalità di gestire in maniera adeguata. La capacità di gestire i rischi in maniera adeguata è la capacità di approntare presidi adeguati.