Il governo della performance dei processi di business: dai Key ...

Management Control 2, 2013

Il governo della performance dei processi di business: dai Key Performance Indicator

ai Key Risk Indicator

Sergio Beretta*, Saverio Bozzolan**

Ricevuto il 21 Febbraio 2012 Accettato il 20 Febbraio 2013

Abstract Process based performance measurement: a framework to integrate Key Per-formance Indicators and Key Risk Indicators A recent article on Key Risk Indicators (KRI) issued by COSO (Beasley et al., 2010) is the starting point of this paper. Our aim is to discuss the relevance of business processes in the design and implementation of KRIs. We analyse the rea-sons of the systematic underestimation of business processes in the COSO ERM framework and debate the implications that the explicit consideration of business processes has on the design of Key Performance Indicators and, consequently, of KRIs. We propose a framework for the design of a system of KRIs based on a dis-tinction between risk factors and risk drivers. Then, we illustrate the framework through a simplified but realistic case study. At the end of the paper, we present guidelines to integrate our framework within the COSO KRIs’ guidance, in the light of both its contributions and its limitations. Keywords: Key Performance Indicator (KPI); Key Risk Indicator (KRI); ERM; business process; COSO 1. Introduzione

Nel dicembre 2010 il Committee of Sponsoring Organizations of the Tre-adway Commission (CoSO) pubblicava un documento dal titolo “Developing Key Risk Indicators to Strengthen Enterprise Risk Management” (Beasley et

* Dipartimento di Accounting, Università Bocconi, [email protected]. ** Dipartimento di Scienze Economiche e Aziendali, Università di Padova, save-

[email protected].

Il governo della performance dei processi di business

10

al., 2010) avente il dichiarato obiettivo di “aiutare il management nello svi-luppo di un efficace sistema di indicatori di rischio adeguato a promuovere l’efficacia dei sistemi Enterprise Risk Management (ERM) e più in generale della esecuzione1 della strategia aziendale”. Il documento affronta la proble-matica dichiarata nella prospettiva del vertice aziendale (board e senior management), una prospettiva di sicuro rilievo, ma nel contempo parziale e forse insufficiente a garantire efficacia al sistema di indicatori di cui si pro-pone lo sviluppo e l’adozione all’interno delle imprese.

La prospettiva accolta nel documento è di sicuro rilievo giacché l’efficace adozione e propagazione dei sistemi di risk management nelle imprese passa inevitabilmente dal committment e dalla capacità di guida dei vertici azienda-li. Il punto è esplicitamente riconosciuto dalle best practice di corporate go-vernance: ad esempio il Codice di Autodisciplina delle Società Quotate, nella versione di recente pubblicazione (Borsa Italiana, 2011), pone in modo anco-ra più esplicito di quanto fosse previsto nella precedente versione la respon-sabilità del governo dei rischi in capo ai massimi organi di governo azienda-le, e richiede a costoro una adeguata valutazione della coerenza esistente tra sistema degli obiettivi strategici individuati e sistema dei rischi assunti (Art. 7 -Sistema di controllo interno e di gestione dei rischi).

In coerenza con tale prospettiva, la metodologia proposta dal documento CoSO per la definizione degli indicatori di rischio prende le mosse dalla individuazione delle principali iniziative strategiche che il senior management ha posto in atto (o intende porre in atto) a fini di creazione di valore per gli azionisti.

Fig. 1 – La connessione Strategie – Rischi – Indicatori di Rischio

Fonte : Beasley et al., 2010.

1 Si è tradotto con “esecuzione” il termine anglosassone “execution”.

Sergio Beretta, Saverio Bozzolan

11

Lo schema logico presentato in Figura 1 illustra chiaramente l’approccio seguito, il cui esito non può che essere la costruzione di una serie di indica-tori finalizzati a monitorare quei fattori di rischio, prevalentemente di gene-si esogena, che possono compromettere l’efficacia delle iniziative strategi-che attraverso cui il senior management implementa la strategia aziendale.

Seppur rilevante tale prospettiva è parziale e, a nostro avviso, insufficiente a promuovere un processo di risk management che, come lo stesso CoSO raccomanda nel suo ERM Framework (CoSO, 2004), deve coinvolgere non soltanto i vertici aziendali, ma tutto il management e il personale che, a vario titolo, assume decisioni o ricopre ruoli rilevanti nel governo dei rischi che, ai diversi livelli, possono compromettere il perseguimento degli obiettivi azien-dali. Se, infatti, recenti survey documentano l’accresciuta sensibilità dei ver-tici aziendali nei confronti della tematica del governo dei rischi (AON, 2010; Accenture, 2011), gli stessi identificano tra i passaggi critici sulla via di una efficace implementazione dei sistemi di risk management, la diffusione della conoscenza e della pratica degli stessi all’interno delle organizzazioni, dove, ancora spesso, il risk management viene considerato materia specialistica più che competenza manageriale di base2.

Occorre dunque assicurare che la visione strategica della fenomenologia dei rischi aziendali, necessaria a indirizzare l’azione organizzativa, sia ac-compagnata dallo sviluppo di sistemi di guida e controllo idonei ad assicura-re un governo sistematico e diffuso dei fattori che possono compromettere il conseguimento degli obiettivi aziendali ai diversi livelli di responsabilità. In tal senso è opportuno che il sistema di indicatori “strategici” di rischio pro-pugnato dal documento CoSO trovi declinazione in un sistema di indicatori operativi, assicurando inoltre l’adeguata integrazione dei due sistemi.

Obiettivo del presente lavoro, è sviluppare una proposta metodologica per la definizione di un sistema di indicatori operativi di rischio che pertan-to si pone in una prospettiva complementare rispetto al documento “Deve-loping Key Risk Indicators …” (Beasley et al., 2010). Il nostro lavoro af-fronta inizialmente il tema della individuazione delle dimensioni critiche per l’individuazione degli indicatori di rischio. In seguito si esamina il tema della integrazione fra indicatori di performance e indicatori di rischio. Infi-ne si propone una modalità per il raccordo fra indicatori di rischio strategici ed indicatori di rischio operativi. Dopo aver inquadrato il tema e illustrato

2 “While many organizations have been fairly successful in engaging senior manage-

ment in the ERM process, but the same organizations report less success in engaging middle management effectively. Instituting clear accountabilities for risk is important in changing or creating a risk culture.” AON, 2010, p.6.


12

la proposta metodologica, il presente contributo presenta una realistica, per quanto semplificata, applicazione ad un caso di specie. 2. Assetti di governo aziendale e governo dei rischi: la centralità della

dimensione di Business Process

Proseguendo lungo il sentiero tracciato dal precedente Internal Control Integrated Framework (CoSO, 1992), che declinava la complessa struttura del sistema di controllo interno lungo le tre dimensioni del tipo di obiettivi, della varietà delle componenti e dell’articolazione degli oggetti di osserva-zione, il COSO Enterprise Risk Management (ERM) Framework (CoSO, 2004)3 ripropone le tre dimensioni articolandole in modo coerente con la nuova prospettiva di indagine. Ne emerge uno schema di progettazione e di analisi del sistema ERM che considera quattro tipi di obiettivi (strategic, operations, reporting, compliance); otto componenti (internal environment, objective setting, event identification, risk assessment, risk response, control activities, information and communication, monitoring); quattro tipi di oggetti di osservazione, concettualmente articolati per livello di osserva-zione (entity-level; division, business unit, subsidiary). Soffermandoci sull’ultima dimensione richiamata, si ha modo di osservare come gli oggetti esplicitamente considerati fra le chiavi di articolazione degli obiettivi e di declinazione delle componenti del sistema ERM sottendano diverse e com-plementari dimensioni di governo dei rischi: la dimensione aziendale (en-tity-level); la dimensione strategica (business unit); la dimensione organiz-zativa (division); la dimensione societaria (subsidiary).

La dimensione aziendale (e di gruppo) costituisce il naturale punto di partenza del processo di individuazione dei rischi e di valutazione dei con-trolli. Da un lato, gli orientamenti e i messaggi inviati dal vertice aziendale all’interno dell’organizzazione influenzano l’efficacia del sistema di gover-no dei rischi. Dall’altro lato, la mancanza o inadeguatezza di appropriati controlli a livello aziendale indebolisce l’efficacia dei controlli attuati nei singoli ambiti operativi.

La dimensione strategica costituisce una direzione cruciale di indagine per l’individuazione dei rischi aziendali poiché la maggior parte di questi derivano dal contesto ambientale e competitivo. Cambiamenti nei bisogni dei clienti, ingressi di nuovi potenziali competitori, dinamiche tecnologi-

3 Di seguito viene offerta una sintetica illustrazione del CoSO ERM Framework. Per gli

utili approfondimenti si rinvia alla fonte originale (CoSO, 2004).


13

che, evoluzioni nelle normative, per citarne solo alcune, sono fonti di po-tenziali fattori di rischio il cui apprezzamento presuppone un’analisi del quadro strategico.

La dimensione organizzativa offre al processo di risk management un le-game con il sistema delle risorse e quello delle responsabilità organizzative, senza i quali le valutazioni di rischio e le decisioni di intervento non trove-rebbero adeguato supporto e trascinamento in fase di implementazione.

La dimensione societaria consente l’apprezzamento e il governo dei fatto-ri di rischio connaturati ai contesti geografici in cui le diverse unità aziendali si trovano ad operare (tra gli altri, rischi politici, rischi valutari, rischi di tasso di interesse, rischi associati alle normative vigenti nei singoli paesi).

Per quanto condivisibili e necessarie, le dimensioni considerate dal Co-SO ERM Framework non sono sufficienti per un efficace governo dei rischi Tali dimensioni dovrebbero essere integrate da una ulteriore, cruciale nella implementazione delle strategie aziendali ai fini del conseguimento degli obiettivi strategici (Lorino, 1995): la dimensione dei processi di business4. I processi di business sono la modalità di organizzazione delle risorse e delle attività tramite cui l’azienda opera concretamente per realizzare la propria strategia e conseguire i propri obiettivi. Nel concepire le aziende come combinazioni di processi caratterizzate da unitarietà si promuove dunque l’esplicitazione delle modalità di creazione di valore (Donna, 1992)5 Ogni processo definisce infatti il modo in cui le diverse attività sono svolte e i legami che fra le stesse vengono instaurati: esistono, potenzialmente, diffe-renti modalità di allocazione delle risorse e di organizzazione delle attività utili ad implementare la strategia prescelta. È proprio in questa diversità di scelte allocative e organizzative che trovano fondamento alcuni dei diffe-renziali competitivi che qualificano i diversi modelli di business che in ogni arena competitiva coesistono, pur con differente successo competitivo e

4 Un attento esame del CoSO ERM (2004) consente in realtà di trovare citazioni dei bu-

siness process fra gli oggetti rilevanti nel processo di risk management. In particolare, i bu-siness process sono richiamati nella identificazione degli eventi rischiosi (pag. 22), nel risk assessment (pag. 44), nelle attività di informazione e comunicazione (CoSO 2004, pag 74), nel monitoring (pag. 88). Inoltre all’interno della Application Guidance (Vol. III) diverse esemplificazioni di pratiche di risk management sono riferite a processi di business. Nono-stante ciò, a tale dimensione non è riconosciuto lo status di chiave primaria di articolazione del disegno e dell’analisi dei sistemi ERM, alla stregua delle altre dimensioni componenti il framework.

5 La dimensione di processo, mettendo l’accento sulle operazioni aziendali e sulla loro coordinazione e integrazione, si inscrive pienamente nella tradizione degli studi economico-aziendali italiani. Si veda, tra gli altri: Amaduzzi (1956), Ferraris Franceschi (1984), Bertini (1988), Marchi et al. (1988), Marelli (1997), Mucelli (2000), Dossi (2001), Cerbioni (2006).


14

reddituale (Beretta, 2001). Si pensi a come le attività necessarie per evadere un ordine di acquisto proveniente da un cliente siano sostanzialmente sem-pre le stesse: raccolta e ricezione dell’ordine, decisione delle priorità da as-segnare all’ordine nella sua evasione, modalità di preparazione dell’ordine, modalità di effettuazione della consegna, modalità di fatturazione e di in-casso, eccetera. Il differenziale che crea (oppure distrugge) valore per il cli-ente sta nelle diverse modalità di svolgimento di ciascuna attività (ad esem-pio: gli ordini possono essere raccolti direttamente dal venditore; mediante call center; via Web, con immissione diretta dell’ordine da parte di clienti autenticati) e nelle modalità di connessione delle diverse attività fra loro (ad esempio: gli ordini raccolti dal venditore possono essere registrati su carta e successivamente trascritti e immessi nei sistemi informativi dell’azienda; oppure il venditore può operare mediante terminali remoti direttamente connessi con gli archivi ed i sistemi informativi aziendali). È di tutta evi-denza come le diverse modalità di organizzazione delle attività all’interno dei processi di business determinano le condizioni di efficienza e di effica-cia delle operazioni e, in ultima analisi, configurano di fatto le modalità di creazione di valore per il cliente.

Un processo di business esprime la visione del management sulle attività che si ritiene opportuno svolgere per ottenere l’output desiderato. In tal senso i processi di business sono astrazioni: per quanto esistano nella mente del management non hanno necessariamente valenza di governo delle risorse (sono modalità di svolgimento delle attività e di coordinamento delle stesse, più che presidi organizzativi). Essi acquistano valore per l’organizzazione solo nel momento in cui il management li rende espliciti, allocando risorse alle diverse attività e costruendo legami fra le stesse secondo il disegno con-cepito (Beretta, 2004). Tale manifestazione può avere diverso grado di for-malizzazione: in alcune realtà aziendali i processi di business sono documen-tati da dettagliate procedure e comunicati con ordini di servizio mentre in al-tre sono pratica, non formalizzata, consolidata dall’uso quotidiano.

Si può quindi ragionevolmente sostenere che dal disegno dei processi, dal tipo di risorse ad essi assegnate e dai modelli di gestione delle relazioni fra attività, discendono rilevanti implicazioni in termini di esposizione ai rischi di business. Se facciamo ancora riferimento all’esempio del processo di evasione degli ordini, la scelta di raccogliere ordini da parte di un vendi-tore dotato di un terminale remoto riduce, fra gli altri, i rischi di (i) ritardi ed errori nelle trascrizioni ed immissioni dei dati; (ii) errori nella applica-zione di promozioni e sconti temporanei; (iii) ignoranza dei livelli di espo-sizione creditoria nei confronti dei clienti, etc.

I processi di business costituiscono dunque una dimensione centrale nel


15

governo dei rischi, sia in fase di ridisegno dei processi (dovendosi apprez-zare il grado di rischio insito in ciascun processo prima di avviarne l’implementazione); sia in fase di gestione degli stessi (dovendosi monito-rare con continuità l’evoluzione dei rischi ad essi associati).

L’adozione della prospettiva dei processi di business supporta in modo effi-cace l’individuazione, la valutazione ed il governo delle diverse tipologie di rischi. Non solo dei rischi che insistono sulle condizioni di efficacia ed effi-cienza delle attività operative ma anche dei rischi di mancata compliance con la normativa e dei rischi di inaffidabilità della comunicazione economico-finanziaria. Per quanto attiene la dimensione della compliance, i processi defi-niscono i comportamenti (e i controlli) dovuti a fini di rispetto dei disposti normativi e da una loro analisi scaturisce l’identificazione dei comportamenti a rischio di infrazione della norma. Per quanto attiene la dimensione della comu-nicazione economico-finanziaria, la qualità dell’informativa prodotta è profon-damente condizionata dalle condizioni operative (di processo) in cui si svolgo-no le attività di rilevazione degli eventi rilevanti sotto il profilo amministrativo. Una approfondita conoscenza dei processi di business costituisce dunque una solida base cui ancorare il sistema di ERM nelle sue diverse declinazioni (effi-cienza ed efficacia delle operations; affidabilità della comunicazione economi-co-finanziaria; compliance con le normative rilevanti). 3. La esplicitazione della dimensione di Business Process: aspetti critici

Per quanto non esplicitamente considerata nel framework ERM CoSO fra le dimensioni chiave di articolazione dell’analisi, la dimensione di busi-ness process é cruciale ai fini della implementazione di un efficace sistema di risk management6. La sua esplicita considerazione porta con sé l’esigenza di dare soluzione a due problemi metodologicamente complessi, il cui esito è di estrema criticità per il successo dell’attività di risk management. Da una parte, occorre esplicitare il sistema di relazioni che

6 Una delle ragioni che possono spiegare la decisione del CoSO di non includere esplici-tamente la dimensione di business process fra quelle elencate nel framework è riconducibile alla consapevolezza che tale dimensione ancora fatica a raccogliere riconoscimento formale all’interno di organizzazioni progettate secondo i principi della gerarchia e della specializza-zione funzionale. L’eventuale esplicitazione di tale dimensione all’interno del framework avrebbe prodotto conseguenze negative nella valutazione della qualità del sistema di gestio-ne dei rischi di quelle aziende che non attribuiscono valenza organizzativa esplicita alla di-mensione di business process. Per una disamina delle problematiche sottostanti la formaliz-zazione organizzativa della dimensione di business process si può far riferimento, tra gli altri a Miolo Vitali (2000) e Beretta (2001).


16

avvincono i diversi processi di business nella creazione di valore per il cli-ente. Dall’altra parte, è necessario assicurare efficaci collegamenti fra gli obiettivi dei processi di business e gli obiettivi delle unità organizzative che contribuiscono al loro svolgimento.

Per quanto attiene la prima area di problematicità, la creazione di valore non si esaurisce all’interno dei singoli processi di business individualmente considerati. La creazione di valore presuppone non solo il disegno e l’implementazione dei singoli processi di business, ma anche la progettazione del sistema delle relazioni di funzionalità che legano tra loro i processi. Tali relazioni devono trovare espressione nel linguaggio degli obiettivi assegnati ai processi che cedono funzionalità (processi fornitori), obiettivi definiti nella prospettiva delle esigenze dei processi che tali funzionalità ricevono (proces-si clienti). Si rende dunque necessaria la definizione di una architettura dei processi di business (Business Process Architecture, BPA) (Ould, 1997). Mentre per alcuni processi (processi di interfaccia) è relativamente agevole apprezzare il contributo che essi forniscono alla creazione di valore per il cli-ente (ad esempio il processo di evasione dell’ordine) o al conseguimento di condizioni di efficienza (ad esempio il processo di produzione, il processo di acquisto di fattori produttivi), altri processi (processi di supporto) contribui-scono solo in via indiretta alla creazione di valore, erogando funzionalità utili al buon funzionamento del modello di business (ad esempio il processo di selezione e sviluppo delle risorse umane, il processo di programmazione del-la produzione, il processo di pianificazione e budgeting).

L’identificazione, valutazione e gestione dei fattori di rischio dovrà dunque considerare non solo i singoli processi di business, ma anche le re-lazioni di funzionalità che tra gli stessi si instaurano. La definizione della BPA, con l’esplicitazione delle relazioni di funzionalità fra processi, indi-rizza sia la definizione degli obiettivi di performance che agli stessi saranno assegnati (e conseguentemente degli indicatori che saranno utilizzati per misurare la performance), sia l’identificazione dei fattori di rischio che su di essi insistono.

La seconda area di problematicità attiene la progettazione di efficaci collega-menti fra gli obiettivi dei processi di business e gli obiettivi delle unità organizza-tive che contribuiscono al loro svolgimento (Bernardi e Biazzo, 1995; Mucelli, 2000). È innanzitutto opportuno riconoscere il contributo offerto dalle misure process based all’efficacia dei sistemi di misurazione della performance. I tradi-zionali sistemi di misurazione della performance, pensati per governare le di-mensioni gerarchico-funzionali dell’organizzazione, manifestano palesi limiti di efficacia nel supportare l’implementazione di strategie multidimensionali, laddo-ve a elevati livelli di qualità e servizio al cliente sono associate significative ri-


17

chieste di personalizzazione e di flessibilità (Gallinaro, 1990). In tali ambiti la frammentazione degli obiettivi (prodotta dal congiunto intervento della specia-lizzazione funzionale e della divisione gerarchica) ostacola l’efficace composi-zione, nella prospettiva della creazione di valore per il cliente, degli obiettivi di efficienza, qualità e flessibilità assegnati alle diverse unità organizzative (Oriani e Monti, 1996; Cerbioni, 2006). Una naturale chiave di ricomposizione in tale di-rezione é offerta dall’architettura dei processi di business, tramite cui il modello di business trova, nel contempo, esplicitazione e radicamento nell’organizzazione. Sono le modalità di disegno e di gestione dei processi di bu-siness a determinare le performance da cui discende la creazione di valore. La soddisfazione del cliente dipende dall’efficacia del sistema dei processi di identi-ficazione dei bisogni, di formulazione della offerta, di evasione dell’ordine, di gestione amministrativa dei rapporti contrattuali e finanziari. In tale quadro le u-nità organizzative contribuiscono alla creazione di valore per il cliente non già in via diretta, bensì fornendo risorse specialistiche (funzionali) alle attività che, op-portunamente combinate in processi di business, produrranno, in condizioni di efficienza, prodotti e servizi allineati alle aspettative del cliente. Affinché le mi-sure abbiano presa sull’organizzazione, è opportuno che gli indicatori di perfor-mance di ciascun processo trovino declinazione in misure di prestazione esigibili dalle unità organizzative che ad esso contribuiscono svolgendone alcune attività mediante l’impiego delle risorse poste sotto la loro responsabilità organizzativa. La responsabilizzazione delle unità organizzative conserva dunque un ruolo cru-ciale ma deve essere asservita al perseguimento degli obiettivi dei processi chia-ve da cui discende il successo aziendale. Osservata nella prospettiva dei processi di business, la responsabilizzazione delle singole unità organizzative discende dagli obiettivi di processo, non ne è alternativa. Si pone dunque l’esigenza di as-sicurare adeguata integrazione fra le misure di performance centrate sulle unità organizzative e quelle orientate a cogliere la prospettiva di business process.

Fra le diverse proposte metodologiche avanzate nel tempo in tema di si-stemi integrati di misurazione della performance7, merita particolare cita-zione un contributo che si distingue dagli altri proprio per lo sforzo di inte-grare misure di sintesi (economico-finanziarie e di mercato), misure espres-sive della performance dei business process, e misure di performance decli-nate a livello di unità organizzativa (Lynch e Cross, 1991)8. Una schemati-ca rappresentazione dello schema di misurazione è proposta nella Figura 2.

7 Per una articolata disamina delle numerose proposte metodologiche si rinvia alle accu-rate analisi di Baraldi (2000) e ai numerosi contributi contenuti in Amigoni, Miolo Vitali (2003).

8 Benché altri schemi di misurazione multidimensionale esplicitamente includano la di-mensione di business process fra quelle considerate (fra gli altri, Kaplan e Norton, 1992;


18

Fig. 2 – Il sistema degli indicatori di performance nella prospettiva dei business process

Fonte: Lynch & Cross, 1991. In estrema sintesi, rinviando per gli utili approfondimenti al lavoro ori-

ginale : − a livello di business, gli obiettivi di performance di sintesi devono

esprimere la mission assegnata al business. Performance economico-finanziarie e performance di mercato devono trovare un punto di e-quilibrio che sia espressivo delle priorità strategiche in relazione al momento storico attraversato dal business;

− gli obiettivi di performance di sintesi hanno le proprie determinanti nelle performance dei processi di business. In linea di principio, la performance di un business process merita di essere apprezzata lungo tre dimensioni di misurazione: customer satisfaction – i business process sono i mezzi primari

per la soddisfazione del cliente e l’efficienza ed efficacia del loro svolgimento (performance) è uno degli ineludibili presupposti per il successo di mercato;

produttività – i business process, in quanto locus logico di indi-rizzamento e modalità operativa di integrazione degli sforzi delle

Kaplan e Norton, 1996; Hronec, 1995; Silvi, 1995; Rummler e Brache, 1996), il modello preso in esame all’interno di questo lavoro si differenzia per lo sforzo di integrazione opera-to fra obiettivi strategici e obiettivi di business process e fra obiettivi di business process e obiettivi di unità organizzativa.


19

unità operative verso l’efficienza, sono mezzi primari per il con-seguimento degli obiettivi di produttività;

flessibilità – i business process offrono una prospettiva di osserva-zione che consente all’organizzazione di coniugare attenzione alle esigenze del cliente e bisogno di efficienza operativa. La prospettiva funzionale tipica delle unità organizzative induce invece il management ad adottare soluzioni mono-dimensionali sbilanciate verso una delle due dimensioni della performance, esponendo l’organizzazione a rischi sul fronte della generale performance di business. Qualora il governo aziendale si pone l’obiettivo talmente ristretto da puntare in via esclusiva alternativamente alla massima soddisfazione del cliente ovvero alla massima produttività, la strate-gia realizzata conseguente rischierebbe di risolversi in una iper-selezione della clientela (ed in particolare di quella i cui bisogni l’azienda meglio si sente capace di soddisfare) che finirebbe con il compromettere il conseguimento dei complementari obiettivi di cre-scita necessari al raggiungimento di dimensioni economiche, sia sul versante della vendita (quota di mercato), sia sul versante della pro-duzione (saturazione della capacità produttiva installata)9;

− le unità organizzative contribuiscono con le proprie risorse al buon funzionamento dei processi di business, giacché è sufficiente anche una sola manchevolezza in una delle attività svolte da una unità ope-rativa per rischiare di compromettere il buon esito del processo10. In linea di massima11, la performance di una unità operativa può essere apprezzata lungo le seguenti dimensioni : qualità - conformità del prodotto o servizio alla “promessa” fatta

al cliente; precisione di consegna - rispetto degli impegni assunti con il cli-

9 Costituiscono in tal senso eccezioni le cosiddette strategie di nicchia (Abell, 1980). 10 Basti pensare a come i rischi di malfunzionamento di un processo, quale ad esempio

l’evasione dell’ordine, si annidano all’interno di ciascuna delle attività componenti il pro-cesso: errori o ritardi in fase di ricezione dell’ordine, in fase di produzione dei componenti su specifica, in fase di predisposizione della spedizione, in fase di consegna, in fase di fattu-razione etc. La responsabilità dello svolgimento di ciascuna di queste attività fa capo ad una specifica unità organizzativa, la cui performance determina la performance complessiva del processo all’interno del quale si colloca l’attività in esame.

11 La peculiarità delle funzionalità erogate da ciascun processo impedirebbe, di fatto, di proporre categorie di misure di performance universalmente valide per tutte le unità orga-nizzative, dovendosi per ciascuna di esse progettare misure coerenti con le attività svolte e con le caratteristiche dei processi all’interno dei quali essi si collocano. La classificazione proposta ha dunque valore prevalentemente esemplificativo.


20

ente aventi riguardo al tempo ed al luogo di consegna dei prodotti e/o di erogazione dei servizi;

tempo di ciclo – tempo intercorrente fra l’inizio di un attività e l’inizio della successiva; rilevante in quanto la lunghezza del tempo di svolgimento di un’attività condiziona sia la flessibilità, sia la produttività del processo di business;

efficienza - contenimento degli sprechi di risorse e saturazione della capacità produttiva disponibile.

La scelta della icona della piramide per la rappresentazione del sistema di misurazione segnala come le performance definite a ciascun livello siano nel contempo un fine da raggiungere ed un mezzo per il conseguimento delle performance di livello superiore. In tal senso la rappresentazione gra-fica dà evidenza al ruolo che le performance svolte dalle unità operative hanno nel conseguimento degli obiettivi assegnati ai processi di business tramite i quali trova esecuzione la strategia di business.

Gli indicatori di misurazione della performance centrati sulla dimensione di processo guidano dunque il management nella realizzazione delle strategie di business: ne orientano l’azione, segnalano aree critiche, guidano l’indagine ap-profondita delle determinanti operative della performance, offrendo misure del grado di realizzazione della strategia a diversi gradi di dettaglio.

Se la loro vicinanza all’operatività quotidiana educa il management alla esecuzione della strategia, vi è però il rischio concreto di una proliferazione incontrollata di indicatori che finirebbe con il generare una perdita di rile-vanza degli stessi agli occhi del management, privandolo di un fuoco di at-tenzione (Simons, 2000; Kaplan e Norton, 2006). Si rende dunque opportu-no identificare un limitato numero di indicatori espressivi delle dimensioni di performance di un processo critiche ai fini della complessiva performan-ce del business (Key Performance Indicator, KPI). Una volta identificati, è di fondamentale importanza che gli indicatori prescelti siano definiti con chiarezza nelle modalità di calcolo e che ne siano chiaramente definiti fre-quenza e responsabilità di predisposizione. 4. Dai Key Performance Indicator (KPI) ai Key Risk Indicator (KRI)

Secondo le prescrizioni del CoSO ERM (CoSO 2004), l’individuazione dei fattori di rischio12 si fonda sul sistema di obiettivi e deve trovare espres-

12 Per una disamina delle metodologie impiegabili per l’individuazione dei fattori di rischio si

rinvia a Beretta e Pecchiari (2007). A fini di chiarezza espositiva si ritiene però necessario intro-


21

sione nelle diverse dimensioni di articolazione della performance: entità, business unit, business process, unità operativa13.

Coerentemente con la visione del CoSO ERM, che promuove uno stretto collegamento fra obiettivi e rischi, un efficace sistema di indicatori di rischio dovrebbe segnalare tempestivamente condizioni o eventi dal cui manifestarsi discendano rischi rilevanti al conseguimento delle performance obiettivo, con particolare attenzione a quelle particolarmente critiche per il successo del busi-ness14. La precedente proposizione trova declinazione nei sistemi di misura-zione aziendale attraverso i concetti di indicatori chiave delle performance (KPI) e indicatori chiave di rischio (KRI), due concetti di ampia diffusione, fra di loro interrelati ma che è opportuno non confondere. Per KPI si intende un indicatore volto a monitorare un fattore critico per il conseguimento della per-formance15. Per Key Risk Indicator (KRI) si intende una variabile capace di segnalare condizioni o eventi dal cui manifestarsi discendono rischi rilevanti per il conseguimento degli obiettivi di business.

durre la distinzione fra eventi rischiosi e fattori di rischio. I primi fanno riferimento agli eventi che possono determinare variazioni in alcuni dei fattori determinanti la performance, tali da com-prometterla. Si consideri il caso di un’azienda di filatura che produce filati nobili (lana cachemi-re). L’eventualità di un’epidemia che riduca drasticamente la popolazione animale da cui si ottie-ne la pregiata lana costituisce un evento rischioso. Tale evento determinerebbe un calo dei volumi acquistabili ed un aumento dei prezzi della materia prima: volumi e prezzi-costo sono i fattori di rischio interessati. Un cambiamento significativo nei volumi e nei prezzi-costo potenzialmente determina un impatto sulle performance commerciali e finanziarie dell’azienda.

13 Si reputa utile ribadire la complementarità delle diverse dimensioni di articolazione del si-stema ERM, ciascuna delle quali offre una utile prospettiva di governo dei rischi di business.

14 Secondo le indicazioni metodologiche offerte dal CoSO ERM, una volta individuati gli eventi rischiosi occorre valutarne la magnitudine del rischio ad essi associato. Come è noto ciò dipende dalla probabilità di manifestazione dell’evento e dalla dimensione dell’impatto che esso può determinare sul conseguimento degli obiettivi. Il posizionamento degli eventi rischiosi in una matrice probabilità-impatto e la definizione delle soglie di am-missibilità degli eventi per ciascuna delle due dimensioni, circoscriverà l’attenzione del management agli eventi di maggiore criticità. Per una introduzione al tema della valutazione del rischio di business, si veda Bozzolan, 2004.

15 La nozione di KPI ha trovato grande diffusione nella letteratura, sia professionale, sia accademica. La sua genesi è strettamente correlata a quella di Critical Success Factor (CSF), cioè di fattore critico per il successo del business, sviluppata a partire dal 1960 (Daniels, 1961; Rockart, 1979) e poi ripresa ampiamente dal filone letterario della Balanced Score-card (Kaplan, Norton, 1992). Definiti i CSF come quelle variabili di business nelle quali è imperativo acquisire e mantenere livelli di eccellenza per conseguire gli obiettivi aziendali, diviene necessario un sistematico monitoraggio per il tramite di opportuni indicatori misura-bili con continuità: i KPI (Johnson e Kaplan, 1987). Per una analisi delle relazioni fra FCS e KPI si rinvia a Culasso (2009). Per una disamina della declinazione della nozione di KPI nella prospettiva dei processi di business si rinvia a Dixon et al. (1990) e a Vinella (2004).


22

In tal senso, nella sostanza, si esprime anche il documento CoSO (Bea-sley et al., 2010) 16 che offre però solo una visione strategica del tema17. Pertanto è opportuno che il sistema di indicatori strategici di rischio pro-pugnato dal documento CoSO trovi declinazione in un sistema di indicatori operativi (i KPI) centrati sulla dimensione di business process, assicurando adeguata integrazione fra i due sistemi.

Dagli eventi maggiormente rischiosi per gravità di impatto potenziale, si possono derivare i fattori di rischio che più direttamente insistono sulla per-formance del business process. Tali fattori devono essere monitorati con op-portuni KRI di processo. L’ampia varietà delle modalità di disegno dei processi di business è responsabile di una estrema varietà di fattori di rischio, difficil-mente esauribile attraverso semplici classificazioni. A mero fine di illustrazio-ne metodologica, pur con qualche semplificazione (necessaria), è possibile proporre alcune fondamentali e ricorrenti tipi di fattori di rischio18:

− fattori legati alle risorse umane - l’eventuale inadeguatezza quantita-tiva e/o qualitativa delle risorse umane impegnate nel processo costi-tuisce una delle possibili cause del fallimento nel conseguimento de-gli obiettivi di performance;

− fattori legati a processi e procedure - la conoscenza dei processi e la formalizzazione delle procedure offrono utili punti di riferimento agli operatori nello svolgimento delle attività previste all’interno dei pro-cessi di business. Costituiscono pertanto fattori di rischio gli elemen-ti di ignoranza e di incertezza delle logiche di disegno e delle modali-tà operative di svolgimento dei business process. Non vanno peraltro trascurati i rischi associati alle dinamiche degli schemi organizzativi

16 “Both management and boards regularly review summary data that include selected

KPIs designed to provide a high-level overview of the performance of the organization and its major operating units.” (Beasley et al., 2010, pag. 1); “Key risk indicators are metrics used by organizations to provide an early signal of increasing risk exposures in various areas of the enterprise (Beasley et al., 2010, pag. 1).

17 “Increasingly, boards and senior executives are looking to develop metrics or indica-tors to help to better monitor potential future shifts in risk conditions or new emerging risks so that management and boards are able to more proactively identify potential impacts on the organization’s portfolio of risks. […..] This latter type of metric or indicator is frequent-ly referred to as a key risk indicator (KRI) (Beasley et al., 2010, p iii).

18 La classificazione è ripresa, seppure con significative variazioni, dall’interessante contributo di Scandizzo (2005). Nell’ampia varietà di proposte classificatorie esistenti in letteratura in tema di rischi e fattori di rischio (tra gli altri: Proske, 2004; Deloitte, 2012, KPMG, 2012), la classificazione in esame è stata prescelta per la chiara visione di business process ad essa sottostante.


23

di processo19, la cui inadeguata comunicazione e/o comprensione da parte degli operatori potrebbe portare a comportamenti e a risposte non coerenti con le logiche organizzative;

− fattori legati a tecnologie e sistemi - il disegno e la gestione dei pro-cessi di business sono fortemente condizionati dalle soluzioni tecno-logiche adottate e dai flussi informativi a supporto. Malfunzionamen-ti nelle tecnologie e nei sistemi informativi possono compromettere la performance dei processi di business. Un efficace sistema di moni-toraggio dei rischi deve pertanto prevedere la predisposizione di in-dicatori idonei a valutare tali rischi di malfunzionamento.

Il monitoraggio tramite indicatori dei fattori di rischio che in modo di-retto impattano negativamente sulla performance dei processi di business, se da un lato avvicina l’ERM alle problematiche di esecuzione della strate-gia, dall’altro rischia di indurre una sorta di miopia nella visione dei rischi da parte del management, concentrandone l’attenzione sulle determinanti che più immediatamente possono determinare il fallimento degli obiettivi di performance dei processi. Tale prospettiva di osservazione non tiene in a-deguata considerazione la dinamica dei fattori di rischio nel tempo né con-sidera esplicitamente le determinanti ultime dell’accadimento degli eventi rischiosi. Alcuni cambiamenti nell’ambiente interno aziendale o nel conte-sto macro-economico e/o competitivo possono scompaginare il quadro dia-gnostico sul cui fondamento il sistema degli indicatori di rischio è stato co-struito20. È pertanto opportuno integrare i KRI di business process con altri che forniscano segnali tempestivi di variazioni nell’esposizione al rischio21, sia monitorando l’evoluzione della gravità dei fattori di rischio già posti sotto osservazione, sia assicurando la tempestiva individuazione di nuovi fattori di rischio emergenti.

Tali fattori possono essere riconducibili tanto a dinamiche esterne quan-to a dinamiche interne all’azienda.

Con riferimento al primo caso (fattori di genesi esterna o Risk Driver Esogeni), si tratta di fattori associati alle dinamiche macro-economiche, po-

19 Si fa riferimento a modifiche nella distribuzione di risorse e responsabilità assegnate allo svolgimento delle attività in cui il processo di business si articola.

20 Ritornando all’esempio dell’azienda di filatura di lana di cachemire, cambiamenti nel-le politiche governative di sviluppo della pastorizia (ad esempio, l’introduzione di incentivi all’incremento delle dimensioni medie delle greggi) potrebbero determinare condizioni fa-vorevoli a più veloci e massive diffusioni di infezioni che rapidamente possono trasformarsi in epidemie. È quello che è successo negli ultimi anni in Cina, mercato principe per la pro-duzione di lana di cachemire.

21 Si tratta del cosiddetto early signalling nella cui prospettiva si colloca il contributo di Beasley et al. (2010).


24

litiche, sociali, tecnologiche, normative22. Con riferimento al secondo caso (fattori di genesi interna o Risk Driver Endogeni), è opportuno distinguere fra rischi derivanti da iniziative strategiche decise dall’impresa (Beasley et al., 2010) e rischi derivanti da pressioni cui il management è sottoposto (Simons, 2000). Nel primo caso, ad esempio, l’ingresso in nuovi mercati, il lancio di nuovi prodotti, l’avvio di nuove linee di produzione, sono iniziati-ve strategiche che possono determinare l’emergere di nuovi fattori di ri-schio o una variazione nella criticità dei rischi esistenti. Nel secondo caso, le condizioni interne aziendali in cui il management si trova ad operare possono esercitare sul medesimo pressioni di varia natura (pressioni deri-vanti dai livelli di performance perseguiti; pressioni determinate dalla cul-tura aziendale; pressioni legate a criticità nella gestione delle informazioni) che possono influenzare la percezione del rischio da parte del management ovvero la sua propensione all’accettazione del rischio. Secondo la classifi-cazione proposta da Simons (2000), le pressioni cui il management può es-sere sottoposto sono riconducibili a tre categorie :

− pressioni derivanti dai livelli di performance perseguiti – si tratta di pressioni determinate da obiettivi eccessivamente impegnativi e/o da sistemi di incentivazione molto aggressivi, ovvero da contesti di cre-scita rapida non facilmente assecondabili con un parallelo sviluppo quanti-qualitativo delle risorse (umane e tecnologiche), o ancora dal-la inesperienza del personale (dovuta spesso a elevati turnover o a assunzioni massive);

− pressioni determinate dalla cultura aziendale – si tratta di pressioni di va-ria natura che la cultura aziendale esercita sul management, riconducibili vuoi a livelli patologici di competizione interna, vuoi alla scarsa conside-razione che i vertici aziendali manifestano nei confronti dei sistemi di con-trollo dei rischi, vuoi al clima di timore che può bloccare la comunicazio-ne ai livelli gerarchici superiori di sintomi di problemi gravi23;

− pressioni legate a criticità nella gestione delle informazioni - più che di pressioni vere e proprie, si tratta di variegate e molteplici determi-nanti di errori di valutazione e misurazione riconducibili a lacune nel sistema diagnostico (mancanze o carenze nei KRI) ovvero a patolo-gie nei processi di decentramento decisionale (ad esempio inadegua-tezza dei limiti autorizzativi definiti; mancanze nel processo di con-

22 In uno dei più noti cataloghi dei rischi (Arthur Andersen), i fattori in esame sono pre-

sentati all’interno della categoria environmental risks (DeLoach, 2000). 23 “Shooting the Messenger Syndrome” (Simons, 2000).


25

solidamento dei rischi) che influenzano il comportamento decisiona-le del management.

Una schematica rappresentazione del sistema proposto per il monitorag-gio sistematico dei fattori di rischio è presentato nella Figura 3.

Fig. 3 – Le determinanti dei rischi nella prospettiva dei business process: lo schema di riferimento 5. Verso un sistema integrato di indicatori di rischio: il quadro di ri-

ferimento

La proposta metodologica sopra avanzata si pone in una prospettiva complementare rispetto a quanto contenuto nel documento CoSO (Beasley et al., 2010) integrando la prospettiva strategica con una visione operativa declinata lungo la dimensione dei business process. Poiché l’efficacia di un sistema ERM presuppone il bilanciamento delle due prospettive all’interno del sistema di monitoraggio sistematico dei fattori di rischio, è opportuno promuovere l’integrazione delle due proposte.

La chiave di integrazione suggerita è il processo di pianificazione, program-mazione e controllo, poiché è all’interno di questo che trovano genesi gli obietti-vi, strategici ed operativi, che costituiscono l’ancoraggio logico al processo di individuazione e misurazione dei fattori di rischio. Secondo un noto contributo metodologico (Lorange 1980), il processo di pianificazione e programmazione può utilmente organizzarsi intorno a tre fasi, ciascuna delle quali possiede carat-teristiche diverse, idonee a soddisfare differenti esigenze organizzative: fase della definizione degli obiettivi strategici (strategic objective

setting) – ha lo scopo primario di identificare le alternative strategi-


26

che e di definire la direzione di marcia. È la fase nella quale, attra-verso l’individuazione delle minacce e delle opportunità offerte dall’ambiente circostante, l’azienda esplora le opportunità di svilup-po, dandosi degli obiettivi strategici24. È la fase in cui l’azienda sod-disfa le proprie esigenze di differenziazione;

fase della elaborazione dei programmi strategici (strategic program-ming) - è la fase nella quale si definiscono i programmi attraverso i quali le alternative strategiche prescelte troveranno implementazione. Nella pratica aziendale, tali programmi hanno veste di iniziative stra-tegiche25 (ad esempio, piani di sviluppo di nuovi prodotti, di ingresso in nuovi mercati, di ampliamento della capacità produttiva, …) cui sono associati i piani di investimento. È la fase in cui l’azienda sod-disfa le proprie esigenze di integrazione;

fase della elaborazione dei programmi operativi (budgeting) – è la fase nella quale si definiscono gli obiettivi operativi, si allocano le risorse al-le unità organizzative, si definiscono gli obiettivi di performance a breve termine. È la fase in cui l’azienda soddisfa le proprie esigenze di genera-zione nel management di committment all’esecuzione della strategia26.

Un processo integrato di pianificazione, programmazione e budget pro-muove la opportuna integrazione fra le prospettive strategica ed operativa di identificazione dei fattori di rischio.

Alle fasi di pianificazione programmazione e budgeting, segue la fase del monitoraggio di obiettivi e programmi (monitoring) avente il fine di verificare l’adeguatezza nel tempo degli obiettivi strategici, il grado di consistenza con gli stessi e di realizzazione dei programmi strategici, il raggiungimento degli obietti-

24 Dalla definizione degli obiettivi strategici prende avvio l’identificazione dei fattori di rischio (CoSO, 2004).

25 Agevole è il collegamento con lo schema di riferimento proposto da Beasley “Map-ping key risks to core strategic initiatives puts management in a position to begin identifying the most critical metrics that can serve as leading key risk indicators to help them oversee the execution of core strategic initiatives” (Beasley et al., 2010).

26 Benché la struttura logica di riferimento per la allocazione delle risorse e la definizio-ne degli obiettivi sia rappresentata dalle unità organizzative, la visione dell’organizzazione per processi di business deve trovare concretizzazione anche all’interno del processo di bu-dget. Accogliendo la prospettiva promossa dall’Activity Based Budgeting (Brimson e Antos, 1999), le risorse vanno allocate ai programmi (e pertanto alle attività) prima ancora che alle unità organizzative. Queste ultime dovrebbero ricevere risorse solo in quanto responsabili della realizzazione delle attività programmate facenti loro capo. Tale prospettiva si integra con la visione per processi dato che le attività generano valore in funzione della loro collo-cazione all’interno dei processi di business, le cui perfomance sono responsabili ultime della creazione di valore per il cliente. In tal senso il processo di definizione degli obiettivi di bu-dget accoglie in modo esplicito la prospettiva dei business process.


27

vi di budget. All’interno di tale attività il monitoring dei fattori di rischio assume integrazione fra la prospettiva strategica e la visione per processi. In tal senso, la distinzione in precedenza operata fra KRI e Risk Driver (Esogeni – Endogeni) assicura la necessaria molteplicità di prospettive. In particolare, KRI e Risk Dri-ver Endogeni si prestano a monitorare i fattori e le determinanti di rischio che in-sistono sui programmi operativi, per il tramite dei processi di business attraverso i quali tali programmi trovano realizzazione concreta. I Risk Driver Esogeni sono invece più naturalmente orientati a monitorare quei fattori di rischio (tipicamente legati alle dinamiche del contesto ambientale) che possono compromettere l’adeguatezza nel tempo degli obiettivi strategici e/o la validità e la realizzazione delle iniziative strategiche. Una rappresentazione grafica dello schema integrato di monitoraggio dei rischi è presentata nella Figura 4. Fig. 4 – L’integrazione dei KRI di business process nel processo di programma-zione e controllo 6. Una esemplificazione del sistema integrato di indicatori di rischio

Allo scopo di offrire alcuni punti di ancoraggio alla realtà concreta si presenta una schematica esemplificazione di un sistema di KRI osservato nella prospettiva dei business process. Per quanto la trattazione della realtà aziendale presentata sia ridotta e semplificata è utile nel chiarire alcuni de-gli snodi critici della proposta metodologica27.

Il caso proposto riguarda una concessionaria appartenente alla rete di vendita di un produttore di veicoli industriali. La concessionaria vende vei-

27 Per le medesime ragioni alla esemplificazione proposta non si intende attribuire va-

lenze di generalizzazione delle conclusioni raggiunte.


28

coli industriali nuovi, anche con permuta di veicoli usati ed eventualmente con finanziamento proprio, e svolge servizi di assistenza post vendita. Il modello di business prevede la gestione integrata di diversi processi, fra i quali (i) la vendita di veicoli nuovi, (ii) il ritiro in permuta di veicoli usati, (iii) il ricondizionamento di veicoli usati, (iv) la vendita di veicoli usati, (v) la concessione di finanziamenti su acquisti di veicoli nuovi ed usati, (vi) l’assistenza su veicoli venduti nuovi ed usati.

Il processo di identificazione dei fattori di rischio prende avvio dalla i-dentificazione di un limitato numero di indicatori espressivi delle dimen-sioni critiche di performance dei processi chiave ai fini delle complessive performance del business (KPI). Facendo riferimento al caso di specie, si consideri, a titolo di esempio, il processo di Assistenza Tecnica in Garanzi-a. Tale processo si articola in due sub-processi: la gestione amministrativa della garanzia e la riparazione del veicolo.

Il primo sub-processo prevede fra le principali attività: a) prima dell’intervento: − la ricezione della richiesta di intervento in garanzia da parte

dell’accettatore a valle della attività di diagnostica del vizio segnala-to dal cliente;

− la verifica della sussistenza delle condizioni per l’effettuazione di in-tervento in garanzia; la richiesta di eventuali autorizzazioni alla Casa Costruttrice per interventi di importo eccedenti soglie pre-definite e per veicoli immatricolati all’estero (l’autorizzazione è richiesta me-diante Hot Line telefonica e ricevuta dal Concessionario sul sistema informatico dedicato alla gestione delle garanzie);

− la risposta al cliente in merito alla accettabilità della richiesta e, in caso affermativo, la comunicazione all’accettatore per la program-mazione dell’intervento;

b) al termine dell’intervento: la trasmissione alla Casa Costruttrice della documentazione relativa all’intervento effettuato e la contestuale ri-chiesta di pagamento; l’archiviazione di tutta la documentazione.

Il secondo sub-processo riguarda la vera e propria attività di riparazione dei veicoli.

Per ragioni di spazio, l’esemplificazione si concentrerà sul secondo sub-processo, “riparazione del veicolo”. La performance complessiva del pro-cesso è misurata, fra l’altro, dal numero totale di errori di riparazione (in valore assoluto e in percentuale sul numero di interventi complessivi effet-tuati in garanzia) e dal costo complessivo delle rilavorazioni (in valore as-soluto e in percentuale del costo complessivo degli interventi effettuati in garanzia).


29

In questo modo si può distinguere il numero di errori intercettati prima della consegna del veicolo al cliente dal numero di difetti segnalati dai clienti (esprimendo gli indicatori sia in valore assoluto, sia in percentuale rispetto al numero totale degli interventi in garanzia effettuati). La perfor-mance complessiva del processo potrà pertanto essere declinata nelle di-mensioni della soddisfazione del cliente, della produttività e della flessibili-tà. Una (parziale) elencazione di indicatori è proposta nella Tabella 1.

Tab. 1 – KPI : Processo Riparazioni in Garanzia – Alcuni esempi

Dai KPI di processo muove l’individuazione dei più rilevanti eventi rischio-

si. Sempre con riferimento al sub-processo “riparazione del veicolo”, è consi-derato come evento rischioso la presenza, al termine della riparazione, di difetti dovuti ad errori commessi nel corso dell’intervento. Tali errori, a seconda delle modalità di manifestazione e di intercettazione, possono variamente avere ma-nifestazioni negative sul conseguimento degli obiettivi di produttività, di fles-sibilità, di soddisfazione del cliente. Nell’identificazione dei fattori che posso-no determinare il verificarsi di errori di riparazione è possibile avvalersi della

Area Business : Asssistenza tecnica Processo : Riparazioni in Garanzia

Modalità di calcolo Frequenza ResponsabilitàObiettivi KPI

OVERALL PERFORMANCE n. errori riparazione N.riparazioni difettose (da report rilavorazioni) Settimanale Qualità % errori riparazione N. riparazioni difettose/n. tot riparazioni effettuate Mensile Qualità % reclami/errori n. difettosità segnalate da clienti / n. riparazioni difettose Mensile Qualità costo rilavorazioni costo complessivo rilavorazioni Mensile Contabilità Industrialen. riparazioni in garanzia non N.riparazioni NR (da report Riparazioni in Garanzia) Trimestrale Qualità riconosciute (NR) dalla Casavalore riparazioni in garanzia non costo riparazioni NR (da report Riparazioni in Garanzia) Trimestrale Contabilità Industrialericonosciute (NR) dalla Casa

CUSTOMER SATISFACTION n. reclami n. difettosità segnalate da clienti Settimanale Accettazione% reclami n. difettosità segnalate da clienti / n.totale di interventi Settimanale Accettazione% ritardi consegna n. consegne in ritardo / n. totale consegne Settimanale AccettazioneCSI index survey soddisfazione clienti officina Trimestrale Qualitàn. rivalse attivate n. rivalse attivate verso clienti Trimestrale Accettazione

PRODUTTIVITA' incidenza costo rilavorazioni costo rilavorazioni /totale costo lavorazioni Mensile Contabilità Industrialetasso saturazione MOD ore Lavorate/ore retribuite Settimanale Contabilità Industrialeefficienza operativa tempi std a volumi effettivi/tempi lavorati effettivi Mensile Contabilità Industrialecosto riparaz. in garanzia NR/ costo riparaz. in garanzia NR/ costo tot. riparaz. In granzia Trimestrale Contabilità Industrialecosto totale riparaz. in garanzia

FLESSIBILITA' tasso accettazione richieste n.richieste intervento accettate/ n.richieste intervento ricevute Settimanale Accettazionetempi rilavorazione n.ore rilavorazioni / n.tot ore lavorate Mensile Contabilità Industrialemodifica piani di lavoro n.piani di lavoro modificati / n. interventi effettuati Settimanale Accettazione

Process Performance


30

classificazione in precedenza proposta: fattori legati alle risorse umane; fattori legati a processi e procedure; fattori legati a tecnologie e sistemi. Una parziale, sintetica, esemplificazione di tali fattori è proposta nella Tabella 2.

Con riguardo alla prima categoria di fattori di rischio (risorse umane), er-rori nel dimensionamento, quantitativo e/o qualitativo, delle risorse di perso-nale impiegate potrebbero essere causa di interventi di riparazione di inade-guata qualità: si pensi a condizioni di lavoro contraddistinte da insufficiente manodopera ovvero all’utilizzo di personale non sufficientemente qualificato per lo svolgimento di alcune attività (ad esempio di diagnostica).

Con riguardo alla seconda categoria (processi e procedure), la varietà delle casistiche di intervento (per tipologia di guasto, per area di funziona-mento interessata, per modello del veicolo) potrebbe non essere adeguata-mente documentata all’interno del sistema delle procedure di intervento che gli operatori sono tenuti a seguire (per esempio a causa di tardivi aggior-namenti), esponendo gli operatori in fase di diagnostica e/o di intervento a riferimenti operativi non aggiornati o inesistenti. Peraltro, pur in presenza di un sistema di procedure completo ed aggiornato, potrebbe riscontrarsi una insufficiente conoscenza delle stesse da parte di alcuni operatori a cau-sa di una inadeguata attività di formazione.

Con riguardo alla terza categoria (tecnologie e sistemi), un inadeguato di-mensionamento, quantitativo e/o qualitativo, delle strutture e dei macchinari (spazi limitati o impianti insufficienti che costringono a frequenti spostamenti dei veicoli in lavorazione), ovvero dei sistemi (sistemi non aggiornati di dia-gnostica elettronica dei guasti) possono essere causa di errori di riparazione. Così come la rottura di macchinari o sistemi che possono costringere all’adozione di soluzioni di ripiego nel tentativo di non ritardare la consegna dei veicoli in riparazione ovvero di evitare pause di inattività degli operatori.

Per ciascuno dei fattori di rischio individuati è opportuno predisporre uno o più indicatori idonei al suo monitoraggio. Con riferimento ai fattori di rischio relativi alla categoria “risorse umane” diversi sono gli indicatori possibili. Il rapporto fra ore lavoro a condizioni standard pianificate per un definito periodo ed ore lavoro standard richieste dai contratti di assistenza in essere per il medesimo periodo è un possibile indicatore segnaletico del rischio di inadeguatezza quantitativa del personale. La quota di personale di officina specializzato sul totale generale del personale di officina è segnale-tica del rischio di inadeguatezza delle competenze disponibili. Il trend delle infrazioni alle procedure di intervento previste dal sistema di qualità è rive-latore del rischio di mancato rispetto delle procedure da parte degli operato-ri. Il monitoraggio di tali indicatori offre al management elementi utili ad individuare per tempo criticità all’interno dello spettro dei fattori di rischio


31

evidenziati dalle analisi di processo. Ulteriori esemplificazioni sono propo-ste nella Tabella 2 ed altre se ne potrebbero aggiungere.

Tab.2 – Risk Factor: Errori Riparazioni in Garanzia – Alcuni esempi Area Business : Asssistenza tecnica - Processo : Riparazioni in Garanzia - Evento Rischioso : Errori Riparazione

Risk EventObiettivi KPI Tipo KRI (1 livello)

OVERALL PERFORMANCE n. errori riparazione Errori Riparazione RISORSE UMANE% errori riparazione - dimensionamento fabb. ore da piano/ore contrattuali% reclami/errori - competenze % specializzati/organico totalecosto rilavorazioni

- integrità trend n. infrazioni proceduraliCUSTOMER SATISFACTION n. reclami

% reclami% ritardi consegna PROCESSI e PROCEDURECSI index - copertura fattispecie n.interventi non regolamentati

- adeguatezza procedure trend errori /proceduraPRODUTTIVITA' incidenza costo rilavorazioni - conoscenza procedure indicatori test su personale

tasso saturazione MODefficienza operativa

TECNOLOGIE e SISTEMIFLESSIBILITA' tasso accettazione richieste - adeguatezza quantitativa % saturaz. cap. produttiva

tempi rilavorazione - adeguatezza qualitativa indicatori valutaz. Espertimodifica piani di lavoro - rottura impianti % tempi rottura/tempi lav.

Process Performance Risk Factor

È quindi necessario predisporre indicatori che consentano il monitorag-

gio delle determinanti dei principali eventi rischiosi. Con riferimento al ri-schio di errori effettuati nel corso di riparazioni in garanzia, fra i fattori di genesi esterna (Risk Driver Esogeni), il monitoraggio dei tassi di crescita del mercato dell’assistenza tecnica (in ore lavoro), messo a raffronto con l’andamento dei tassi di occupazione del personale tecnico disponibile sul mercato, offre utili elementi di stima del rischio associato alla decisione di non sviluppare specifiche professionalità tecniche all’interno, contando sul-la loro disponibilità, alla bisogna, sul mercato. Osservando poi l’area dei processi e delle procedure, alla radice del rischio di inadeguata copertura procedurale delle fattispecie di intervento frequentemente vi è la rapida e-voluzione della gamma dei veicoli presenti sul mercato ovvero l’effettuazione da parte del costruttore di frequenti modifiche in alcune par-ti del veicolo: tali cambiamenti, monitorabili attraverso opportuni indicato-


32

ri, aumentano infatti la probabilità che presso l’officina non siano presenti competenze di personale adeguate e/o procedure di intervento aggiornate, con conseguenti implicazioni sul numero di errori.

Oltre a fattori di genesi esterna, altri fattori di ampia portata debbono es-sere considerati, che trovano origine all’interno dell’impresa (Risk Driver Endogeni). Fra questi devono trovare adeguata considerazione sia indicatori espressivi di eccessive pressioni cui gli operatori sono sottoposti (e che possono influire sulla tipologia e qualità di errori commessi), sia i rischi de-rivanti da iniziative strategiche decise dall’impresa. Soffermandoci su que-sta seconda, la decisione della concessionaria di aprire o rilocare punti di assistenza (officine) in prossimità di grandi arterie di traffico internazionale determinerà il sorgere di rischi analoghi a quelli appena sopra citati a causa della varietà di casistiche di intervento cui il personale sarà esposto. La de-cisione di assicurare servizi di assistenza stradale 24 ore su 24, 7 giorni su 7, impatterà sulla probabilità di manifestazione e sulla rilevanza dei fattori di rischio associati alla disponibilità di risorse umane adeguate per dimen-sione e competenze. Alla stessa stregua, modifiche nei programmi di vendi-ta dei contratti di manutenzione potranno determinare un mutamento nella composizione della clientela dei servizi di assistenza tecnica e nel profilo di rischio associato. Ulteriori esemplificazioni sono proposte nella Tabella 3.

7. Considerazioni conclusive

Il riconoscimento della dimensione dei processi di business offre al go-verno dei rischi un supporto concettualmente solido che, opportunamente integrato con le altre dimensioni previste dal CoSO ERM framework, può utilmente guidare la costruzione di un efficace sistema di indicatori per il monitoraggio dei rischi. L’esplicitazione della dimensione di business pro-cess, oltre a favorire una focalizzazione del management sui fattori critici della performance, agevola infatti l’esplicitazione del collegamento fra o-biettivi di performance e rischi che su questi insistono, calando l’analisi nella specificità dei diversi contesti operativi, a tutto beneficio della concre-tezza del processo di costruzione degli indicatori di rischio. Non vanno pe-raltro sottaciuti alcuni dei limiti insiti in tale approccio.

Innanzitutto è opportuno ricordare quanto si è affermato in merito alla convivenza fra la logica di progettazione organizzativa gerarchico-funzionale e la dimensione gestionale dei processi di business.


33

Tab.3 – Risk Driver: Errori Riparazioni in Garanzia – Alcuni esempi

Area Business : Asssistenza tecnica - Processo : Riparazioni in Garanzia - Evento Rischioso : Errori Riparazione

Risk EventObiettivi KPI Tipo KRI (1 livello) Tipo KRI (2 livello)

OVERALL PERFORMANCE n. errori riparazione Errori Riparazione RISORSE UMANE% errori riparazione - dimensionamento fabb. ore da piano/ore contrattuali andamento domanda FE CAGR domanda ore officina% reclami/errori - competenze % specializzati/organico totale offerta di mercato FE trend tassi di occupazione costo rilavorazioni - integrità trend n. infrazioni procedurali sistemi di incentivi e sanzioni FI evoluzione sistemi (piano)

CUSTOMER SATISFACTION n. reclami% reclami% ritardi consegna PROCESSI e PROCEDURECSI index - copertura fattispecie n.interventi non regolamentati evoluzione gamma FE n. nuovi veicoli lanciati

- adeguatezza procedure trend errori /procedura evoluzione tecnologie FE n. modifiche meccanicaPRODUTTIVITA' incidenza costo rilavorazioni - conoscenza procedure indicatori test su personale attività di training FI n.ore annue training/addetto

tasso saturazione MODefficienza operativa

TECNOLOGIE e SISTEMIFLESSIBILITA' tasso accettazione richieste - adeguatezza quantitativa % saturaz. cap. produttiva andamento domanda FE CAGR domanda ore officina

tempi rilavorazione - adeguatezza qualitativa indicatori valutaz. Esperti investimenti FI quota rinnovo impiantimodifica piani di lavoro - rottura impianti % tempi rottura/tempi lav. attività di manutenzione FI ore manutenzione/ore lavorate

selezione fornitori FI trend vendor ratingdomanda non contrattuale FE CAGR ore vendute non contratt.domanda contratti manutenzione FI CAGR ore vendute da contratti

Legenda : FE = Fattori esterniFI = Fattori Interni

Risk FactorProcess Performance Risk Driver


34

Per quanto l’esplicitazione di questa seconda dimensione inevitabilmen-te introduca all’interno del sistema di gestione la complessità che si accom-pagna a ogni forma di dualismo delle linee di governo, va però detto che il suo mancato riconoscimento indebolisce le capacità dell’organizzazione di conseguire obiettivi di performance che trascendano gli spazi agibili dalle singole unità organizzative, spazi sempre più ristretti a causa del diffondersi di strategie multifocali.

La dialettica introdotta dalla dimensione di business process è ineludi-bilmente connessa alla complessità dei contesti competitivi moderni: per quanto faticoso possa essere, non potendo essere rigettata, richiede l’essere gestita.

In secondo luogo è bene avere consapevolezza della naturale prolifera-zione di indicatori associata all’esplicitazione della dimensione di business process. Tale dimensione assume rilievo con la sua declinazione all’interno delle specificità di ciascun contesto operativo, impedendo le comode, ma spesso inefficaci, semplificazioni offerte dai modelli tradizionali di misura-zione delle performance. Poiché l’introduzione di un sistema di indicatori di monitoraggio dei rischi di business process tende ad acuire il conflitto cognitivo analisi-sintesi, diviene critica l’individuazione di pochi KPI, cen-trati sulle esigenze chiave della performance, quale punto di avvio per la definizione dei KRI da monitorare con sistematicità.

Da ultimo, non meno importante, va segnalato un problema di metodo che trascende i confini della presente trattazione, la cui soluzione appare peraltro presupposto per l’implementazione di efficaci sistemi di monito-raggio dei rischi. La capacità segnaletica di un indicatore dipende dalla possibilità di definire una banda di oscillazione all’interno della quale i va-lori assunti dall’indicatore possono considerarsi fisiologici: è l’escursione al di fuori di tale range ad innescare il cosiddetto controllo per eccezioni. In assenza di tale definizione, l’attenzione del management sarebbe dispersa e la capacità di governo sostanzialmente compromessa. Ciò vale anche, e so-prattutto, per i KRI. Per ciascuno dovrebbe essere definito un ambito di tol-leranza all’interno del quale il rischio sopportato è ritenuto accettabile e all’esterno del quale si debbono attivare interventi di contenimento. Questa criticità deriva dall’esigenza di assicurare congruenza fra la tolleranza nel raggiungimento degli obiettivi definita a livello di singolo business process e la complessiva tolleranza ammessa nel raggiungimento degli obiettivi a-ziendali: concettualmente la prima non può essere definita se non in dipen-denza della seconda. Questo richiedere l’implementazione di un sistema complesso di definizione a cascata sui processi chiave di business della tol-leranza ammessa livello aziendale per ciascuna tipologia di obiettivo (obiet-


35

tivi di economicità; obiettivi di affidabilità del reporting economico finan-ziario; obiettivi di compliance). Due sono le implicazioni problematiche del procedimento logico sopra esposto. In primo luogo, la definizione della tol-leranza ammessa a livello aziendale presuppone la definizione del cosiddet-to risk appetite, attività complessa e difficile ancora poco praticata dalla maggior parte degli organi di governo aziendale28. In secondo luogo, la de-clinazione della tolleranza sui singoli processi di business può in taluni casi presentare difficoltà di misurazione: si pensi agli obiettivi di compliance con la normativa vigente, laddove la frequente dichiarazione semplificatrice di tolleranza zero nei confronti dei rischi di commissione di infrazioni deve confrontarsi con l’esigenza pratica di distinguere fra infrazioni aventi diver-so contenuto e diversa gravità. Pur riconoscendo le difficoltà sopra esposte, l’esigenza di definire ambiti di tolleranza impone di adottare soluzioni par-ziali e locali per i principali indicatori di rischio. Pur trattandosi di una so-luzione non completamente soddisfacente sotto il profilo concettuale, al momento pare l’unica idonea a consentire l’implementazione di un efficace sistema di indicatori di rischio.

Bibliografia Abell D.F. (1980), Defining the business: the starting point of strategic planning, Prentice

Hall, Englewood Cliffs, 1980. Accenture (2011), Report on the Accenture 2011 Global Risk Management Study,

www.accenture.com. Amaduzzi A. (1956), Il sistema d’impresa, Signorelli, Roma. Amigoni F. e Miolo Vitali P. (2003), Misure multiple di performance, EGEA, Milano. AON (2010), Global Enterprise Risk Management Survey 2010, www.aon.com . Ashby S. e Diacon S. (2010), «Risk Appetite in Theory and Practice», working paper, Uni-

versity of Plymouth. Baraldi S. (2000), Le performance manageriali. Sistemi di misurazione e valutazione,

McGraw Hill, Milano. Beasley M.S, Branson B.C., Hancock B.V. (2010), Developing Key Risk Indicators to

Strengthen Enterprise Risk Management, Committee of Sponsoring Organizations of the Treadway Commission.

Beretta S. (2001) «Struttura, processi e meccanismi di governo», in Favotto F. (a cura di), Economia aziendale. Modelli, misure, casi, McGraw Hill, Milano.

Beretta S. (2004) «Enabling Integration in Complex Contexts: The Role of Process Based Performance Measurement Systems», Managerial Finance, 30(8), pp. 69-91.

Beretta S. (2004), Valutazione dei rischi e controllo interno, Università Bocconi Editore, Milano.

28 Il tema è affrontato fra gli altri da Ashby e Diacon (2010); PWC (2010) e Carey

(2010).


36

Beretta S. e Pecchiari N. (2007), Analisi e valutazione del sistema di Controllo Interno, Il Sole 24Ore, Milano.

Bernardi G, e Biazzo S. (1995), Reengineering e orientamento ai processi, Sviluppo & Or-ganizzazione, n 150.

Bertini U. (1988), Il sistema d’azienda. Schema d’analisi, SEU, Pisa. Bozzolan S. (2004), Il Risk Assessment, in Beretta S. (2004), Valutazione dei rischi e con-

trollo interno, Università Bocconi Editore, Milano. Brimson J. e Antos J. (1999), Activity Based Budgeting: una guida alla creazione di valore,

EGEA, Milano. Bruns W.J. e McKinnon S.M. (1992), Performance Evaluation and Managers’ Description

of Tasks and Activities in Bruns W.J., Performance Measurement, Evaluation and In-centives, Harvard Business School Press, Cambridge MA.

Carey M (2010), Determining Risk Appetite, www.kingswell.net. Cerbioni F. (2006), Il controllo di gestione nella prospettiva dei processi aziendali, in Favot-

to F, Le nuove frontiere del controllo di gestione, McGraw Hill, Milano. Collier, P.M., Berry, A.J. e Burke, G.T. (2006), Risk and management accounting: best

practice guidelines for enterprise-wide internal control procedures, CIMA Research Ex-ecutive Summary Series, vol. 2(11).

COSO (1992), Internal Control-integrated framework, Committee of Sponsoring Organiza-tions of the Treadway Commission.

COSO (2004), Enterprise risk management –integrated framework, Committee of Sponsor-ing Organizations of the Treadway Commission.

Culasso F. (2009), Gestione del rischio e controllo strategico. Un’ottica sistemica azienda-le, Giappichelli,Torino.

Daniel D.R. (1961), Management Information Crisis, Harvard Business Review, 39 (5), pp. 111-121.

DeLoach J.W. (2000), Enterprise-wide Risk Management, Financial Times – Prentice Hall, Londra.

Deloitte (2012), Risk Catalogue, www.deloitte.com. Dixon J.R., Nanni A.J., Vollmann T.E. (1990), The New Performance Challenge. Measur-

ing Operations for World Class Competition, Business One Irwin, Boston. Donna G. (1992), L’impresa competitiva. Un approccio sistemico, Giuffrè, Milano. Dossi A. (2001), I processi aziendali : profili di misurazione e controllo, EGEA, Milano. Ferraris Franceschi R. (1984), Finalità dell’azienda e condizioni di funzionamento., SEU,

Pisa. Gallinaro S. (1990), Teorie del controllo, FrancoAngeli, Milano. Gordon, L.A., Loeb, M.P. e Tseng, C. (2009), Enterprise risk management and firm perfor-

mance: a contingency perspective, Journal of Accounting and Public Policy, 28, pp. 301-327.

Hronec S.M. (1995), Segni vitali: come utilizzare gli indicatori di prestazioni di qualità, tempo e costo per tracciare il futuro della vostra azienda, Franco Angeli, Milano.

Johnson T.H. e Kaplan R.S. (1987), Relevance Lost. The Rise and Fall of Management Ac-counting. Harvard Business School Press, Boston.

Kaplan R.S. e Norton DP. (1992), The Balanced Scorecard. Measures That Drive Perfor-mance, Harvard Business Review, Vol. 70 Issue 1, pp. 71-79.

Kaplan R.S. e Norton D.P. (1996), The Balanced Scorecard: Translating Strategy into Ac-tion. Harvard Business School Press, Boston, Kaplan R.S. e Norton D.P. (2006), Align-ment: Using the Balanced Scorecard to Create Corporate Synergies. Harvard Business School Press, Boston.


37

Ittner C.D. e Larcker D.F. (1998), Are Non Financial Measures Leading Indicators of Finan-cial Performance? An Analysis of Customer Satisfaction, Journal of Accounting Re-search, 36, pp. 1-35.

Ittner, C.D. e Larcker, D.F. (2001), Assessing empirical research in management account-ing: a value-based perspective, Journal of Accounting and Economics, 32, pp. 349-410.

Lorange P. (1980), Corporate Planning. An Executive Viewpoint, Prentice Hall, NY Lorino P. (1995), Le deployment de la valeur par le processus, Revue Francaise de Gestion,

3(3), pp. 232-247. Lynch R.L. e Cross K.F. (1991), Measure Up! Yardsticks for Continuous Improvement,

Blackwell, London. Marchi L. e Marasca S. (1988), Il sistema delle operazioni e la dinamica dei processi, Mar-

chi L. Introduzione all’Economia Aziendale, Giappichelli, Torino. Marelli A. (1997), I rinnovati obiettivi nell’informativa interna: integrazione e multidimen-

sionalità delle variabili critiche di processo, Budget, 12, pp. 47-67. Miolo Vitali P. (2000), Attività e processi. La logica del modello, in Miolo Vitali P. Corso

di Economia Aziendale. Vol I - Modelli interpretativi aziendali, Giappichelli, Torino Mucelli A. (2000), I sistemi informativi integrati per il controllo dei processi aziendali,

Giappichelli, Torino. Oriani G. e Monti R. (1996), La reingegnerizzazione dei processi aziendali, in Costa G. e

Nacamulli R.C.D., Manuale di Organizzazione Aziendale, Vol 5, UTET, Torino. Ould M. (1997), Designing a re-engineering proof process architecture, Business Process

Management Journal, 3(3), pp. 232-247. Proske U. (2008), Catalogue of Risks. Natural, Technical, Social and Health Risks, Spring-

er, Dresden. PWC (2010), Risk appetite. How hungry are you?, www.pwc.com . Rockart J.F. (1979), Chief executives define Their Own Data Needs, Harvard Business Re-

view, 57 (2), pp. 81-93. Rummler G. A. e Brache A.P. (1996), Migliorare la performance aziendale, Franco Angeli,

Milano. Scandizzo S. (2005), Risk Mapping and Key Risk Indicators in Operational Risk Manage-

ment, Economic Notes, 34: pp. 231–256. Silvi R. (1995), La progettazione del sistema di misurazione della performance aziendale,

Giappichelli,Torino. Simons, R. (2000), Performance Measurement and Control Systems for Implementing Strat-

egy, Prentice Hall, NY. Vinella, P. (2004), A Foundation for KPI and KRI, in Davis E. (ed), Operational Risk:

Practical approaches to implementation.

Il governo della performance dei processi di business: dai Key ...

Documents

Transcript of Il governo della performance dei processi di business: dai Key ...