Il Risk Management nella Supply Chain: uno strumento verso l’efficienza dei processi?
Cos'è il risk management
Ogni realtà aziendale, produttiva o di servizi, opera in un determinato contesto economico, politico e sociale; nel proprio contesto si trova inevitabilmente esposta a determinati rischi e per poterli fronteggiare adeguatamente, ogni azienda si avvale di uno strumento denominato risk management, le cui finalità sono da un lato la salvaguardia dell'azienda (e del suo patrimonio) e dall'altro la garanzia della continuità dei processi aziendali (quindi della creazione di valore aggiunto).
I 7 passaggi del risk management
Il processo di risk management si articola attraverso i seguenti sette passaggi – si veda figura 1:
- analisi del contesto aziendale in modo da avere una prima idea delle categorie/tipologie di rischio a cui l'azienda è esposta;
- identificazione e mappatura precisa dei rischi: i rischi possono essere individuati solo dopo aver compreso come i processi aziendali funzionano in dettaglio, individuando quindi «chi fa cosa»; strumenti imprescindibili per questo step sono le mappe di processo;
- valutazione di ogni rischio (attraverso la stima della probabilità che un rischio si concretizzi e delle sue eventuali conseguenze operative);
- definizione di un piano di risk management: come l'azienda gestirà ogni rischio potenziale?
- attuazione del piano di risk management;
- monitoraggio dello status quo (dopo l'attuazione del piano di risk management); come affrontiamo i rischi già inidividuati? Il piano predisposto è sufficiente a mitigarli? Vi sono rischi nuovi?
- nuovo ciclo (dallo step 1 allo step 6) per mantenere il piano aggiornato con la naturale evoluzione dell'azienda.
Figura 1. Il processo di risk management.
Supply Chain risk management
Negli ultimi anni il concetto di risk management si è sovrapposto/affiancato a quello di Supply Chain management e si è giunti a parlare di Supply Chain risk management: l'applicazione dei processi e delle tecniche di gestione del rischio alla Supply chain, al fine quindi di garantire il corretto funzionamento della catena di creazione di valore. Sembra naturale che un processo volto a minimizzare i rischi insiti nel processo di creazione di valore si focalizzi sulla catena di fornitura, evidenziando e mitigando i rischi di processi e sotto-processi che vanno dalla acquisizione di materie prime alla consegna del prodotto finito, coinvolgendo attori, interni ed esterni, nella filiera: la naturalezza di questa applicazione risiede nel fatto che il supply chain management è per sua natura sottoposto a vulnerabilità tipiche di un sistema di relazioni in essere tra diversi portatori di interessi (Fonte Golinelli G.M. 2002 ), in quanto sintetizza da un lato le grandi opportunità di crescita raggiungibili tramite sinergie aziendali, dall'altro i rischi legati a possibili conflitti tra i numerosi attori coinvolti.
L'applicazione del processo di risk management alla supply chain è non solo naturale/fondamentale, ma negli ultimi anni sta acquisendo sempre più criticità ed importanza per due ordini di motivi.
Innanzitutto, la tendenza inarrestabile delle reti è quella di muoversi verso una loro crescente integrazione, rappresentabile da diversi punti di vista: integrazione di processo (processi sempre più integrati, con eliminazione delle barriere tra attori delle filiera), integrazione tra attori (team di diverse aziende che cooperano tra loro), prospettiva di obiettivi integrati (KPI comuni tra attori) e di circolazione dei dati/informazioni sempre più spinte. Al crescere del livello di integrazione della catena, la gestione dei rischi risulta sempre più critica.
In secondo luogo, il mercato richiede una velocità di processo sempre più spinta ed un orizzonte sempre più "allargato"; si pensi allo sviluppo dell'e-commerce: clienti in tutto il mondo, possono ordinare on line 24 ore su 24; la catena deve strutturarsi ad operare con tempi di risposta sempre più rapidi. Da un punto di vista di gestione dei rischi questo comporta necessariamente un impegno crescente: agire più velocemente, con più soggetti coinvolti comporta inevitabilmente una crescita delle vulnerabilità (da un punto di vista di probabilità del rischio, così come di dimensione dei danni potenziali).
Internal Control Report
Chiarito quindi il concetto di risk management ed evidenziata la sua naturale applicazione alla supply chain, è necessario ora integrare il quadro generale con un richiamo normativo, le cui radici sono identificabili negli scandali finanziari che hanno coinvolto colossi dell'economia come Enron, Worldcom ad inizio anni 2000: la dimensione di questi e la loro risonanza mondiale ha contribuito alla creazione del "clima" che ha portato gli Stati Uniti ad approvare nel 2002, il Sarbanes Oxley Act (Sox), recepito in Italia dal Decreto Legislativo 231; queste normative sanciscono l'obbligo dell'azienda di produrre annualmente un internal control report avente lo scopo di:
-
- riconoscere la responsabilità del management aziendale per la creazione e il mantenimento di un adeguato sistema di controllo interno;
- riportare una dichiarazione sull'efficacia del sistema di controllo interno;
- identificare lo schema di controllo interno utilizzato dal management per eseguire la sopra citata dichiarazione sull'efficacia del sistema di controllo.
Il sistema di controllo interno deve essere costruito attraverso i passaggi rappresentati in figura 1: identificati quindi i rischi (step 1 e 2) il punto cruciale per poter esprimere un giudizio sul controllo è l'identificazione di chi potenzialmente ha occasione di «uscire dal tracciato» per trarre un illecito vantaggio economico e poter di conseguenza prevedere una attività di controllo che mitighi il rischio; a questo punto si presentano tre possibilità:
- costruire una attività di controllo completamente automatica (preventive control)
- distribuire attività e autorizzazioni a diversi soggetti nell'organigramma aziendale in modo tale che diversi soggetti si controllino a vicenda;
- prevedere un'attività di controllo manuale, volta a scovare i possibili errori (detective control).
Si riporta ora un esempio per ognuno di queste tre possibilità, applicabile al processo di gestione delle scorte:
- Un tipico preventive control è identificabile nel prelievo merce tramite lettore di codice a barre: essendo un prelievo completamente automatico, si previene l'errore/frode dell'operatore che preleva la tipologia o la quantità di merce errata;
- La prevenzione del rischio di accordo fraudolento tra fornitore e ufficio acquisti può essere garantita separando l'autorizzazione di registrazione fatture da quella del carico merce e da quella dell'inserimento ordine di acquisto (distribuzione di attività ed autorizzazioni tra attori);
- Un controllo manuale che incrocia le quantità riportate su di documento di trasporto relativo all'acquisto di una materia prima con le quantità registrate nel gestionale aziendale è invece un esempio di detective control volto a identificare errori/frodi nel carico materie prime.
Riassumendo quanto detto finora (si veda figura 2) il rischio viene analizzato e affrontato da due prospettive: una più ampia prospettiva di risk management (continuità dei processi e salvaguardia dell'azienda) ed una, figlia degli interventi normatici, focalizzata sull'anti-frode.
Figura 2. Approcci al rischio della supply chain.
Investimenti necessari
Per governare quindi la propria supply chain ogni azienda deve necessariamente investire nel processo rappresentato in figura 1, sia da una prospettiva gestionale che legale, ma come indirizzare gli investimenti?
Studi condotti negli anni scorsi dall' MIT center for transportation & Logistics mostrano come il 65% dei supply chain risk manager preferisca destinare il proprio budget ad azioni volte a prevenire i rischi nella supply chain mentre solo il 35% bilancia il proprio budget con spese volte a identificare le più efficaci azioni di risposta a situazioni critiche nella catena di fornitura.
Il seguente esempio è molto rappresentativo: ad inizio anni 2000 un impianto di fabbricazione di semiconduttori della Philips Electronics fu chiuso per diverse settimane per un incendio causato dalla caduta di un fulmine. Questa fabbrica rappresentava l'unica fonte di approvvigionamento per Nokia ed Ericsson: la supply chain delle due aziende fu interrotta e la produzione bloccata. La Nokia rispose però con l'attivazione di un programma per la gestione del rischio che portò, attraverso la selezione di fornitori alternativi, ad una rapida ripresa della produzione con conseguenti perdite molto ridotte.
Al contrario la reazione della Ericsson fu lenta e inadeguata causando perdite per circa 400 milioni di dollari. Quanto evidenziato dall'MIT center, ed esemplificato dal caso Nokia- Ericsson, è la prova che delle due prospettive evidenziate in figura 2, quella legale è ancora preponderante nell'indirizzo degli investimenti.
La possibile chiave di volta per analizzare il problema da un differente punto di vista consiste nell'affiancare (creando con le altre due un circolo virtuoso) una terza prospettiva al concetto di rischio: la ricerca dell'efficienza (si veda figura 3). Molte delle tecniche utilizzate nel processo di risk management possono infatti costituire un terreno comune alla identificazione di miglioramenti di processo verso l'efficienza; si pensi alle mappe di processo, come strumento chiave per comprendere il funzionamento e le responsabilità di ogni attore nel processo: il medesimo strumento è utilizzato nelle azioni di miglioramento/ottimizzazione dei processi, ma raramente chi si occupa di ottimizzazione dei processi lavora/scambia informazioni con i risk manager.
Analogo discorso potrebbe essere fatto per il panel di kpi utilizzato sia per il monitoraggio dei rischi che per le misurazioni di efficienza.
Conclusioni
In conclusione, le prospettive di risk management e di efficienza dei processi hanno potenzialmente un terreno comune che, se adeguatamente sfruttato, potrebbe agevolare gli interventi verso l'efficienza, garantendo il necessario controllo dei rischi.
Figura 3. Le tre prospettive nella gestione dei rischi della supply chain.