Assetto organizzativo

Il progetto CRSA ha interessato l’intero Gruppo Telecom Italia. Alla prima fase di implementazione hanno infatti partecipato le Funzioni Corporate, le Business Unit (Mobile, Wireline, Media, Information Technology Mercato, Olivetti e Telecom Italia Latam) e le Attività Operative (TI Lab, IT Telecom). Nell’ambito di ciascuna struttura oltre al Responsabile, sono stati coinvolti i primi, ed in alcuni casi, anche i secondi riporti.

È stata creata un apposita struttura di progetto (Project Office) guidata da uno Steering

Commitee.

Allo Steering Commitee sono stati attribuiti compiti di indirizzo e governo complessivo del progetto. Esso era composto dal Chief Internal Auditor, dall’assistente all’Amministratore Delegato, dal Responsabile della Security, dal Risk Manager (Insurance), dal Responsabile Pianificazione e Controllo e dal Responsabile del Project Office.

La scelta di adottare un approccio partecipativo all’implementazione del CRSA ha attribuito al management un ruolo centrale nella conduzione dell’iniziativa. Al management, in particolare, sono state attribuite responsabilità di identificazione e valutazione dei rischi, di rilevazione dei controlli in essere e di definizione ed implementazione dei piani di azione. Nella gestione delle iniziative di CRSA grande attenzione deve essere posta sugli aspetti di processo, ovvero su quelle scelte che attengono il ruolo, il grado e la modalità di coinvolgimento dei vari attori e la gestione delle dinamiche relazionali.

Alcune delle scelte operate all’interno dell’esperienza del Gruppo Telecom Italia. Un primo insieme di scelte attiene i criteri di selezione dei partecipanti al progetto.

Tipicamente, nell’assumere tale decisione, due esigenze potenzialmente conflittuali si confrontano, (Beretta, 2004). Da una parte, quella di assicurare diffusione e pervasività dell’iniziativa, al fine di radicare nella più ampia platea di manager le logiche e le metodologie proprie del CRSA. Dall’altra parte, quella di mettere al centro del progetto le risorse maggiormente qualificate, che possono dare il più elevato contributo in termini di supporto politico e/o di conoscenza specifica. La prima esigenza indurrebbe a un’estensione della partecipazione a una vasta popolazione di manager, variamente interessati ai temi oggetto di analisi e discussione. La seconda esigenza suggerirebbe una partecipazione ristretta ai responsabili delle unità operative interessate, coadiuvati da un limitato numero di specialisti.

Nel caso del Gruppo Telecom Italia, l’obiettivo di fare del CRSA uno strumento di lavoro del management ha determinato una scelta a favore di un ampio coinvolgimento, ciò implica, oltre che una maggiore complessità organizzativa (e connessi maggiori costi espliciti e impliciti), una più difficoltosa conduzione dei processi decisionali che si ripropongono per ciascuna fase del progetto, senza che ciò assicuri una migliore qualità della diagnosi prodotta. L’ampiezza del progetto, innestandosi sulla scelta di ampia partecipazione del management, ha richiesto un rilevante sforzo organizzativo per il Gruppo nel suo complesso, e per il project office in particolare. Al progetto sono state dedicate in sede di prima implementazione (esercizio 2003) oltre 8000 ore/uomo, impegnando oltre 500 quadri direttivi.

Un secondo insieme di scelte attiene il metodo di rilevazione.

La soluzione adottata all’interno del Gruppo Telecom Italia ha privilegiato l’opzione della massima partecipazione attiva del management. Al fine di cogliere appieno il contributo conoscitivo ed esperienziale che risiede nel livelli manageriali più direttamente a contatto con le problematiche operative, sono stati promossi dibattiti e rilevazioni locali, senza ingabbiare in griglie e questionari preconfezionati tali riflessioni. La soluzione adottata ha fatto degli incontri all’inizio, per dare un chiaro segnale dell’importanza attribuita dal vertice aziendale e per indicare il percorso e il metodo e al termine della rilevazione, per dibattere le evidenze emerse e cercare una soluzione ai punti di dubbio.

Si è sempre cercato comunque di privilegiare soluzione organizzative volte a far emergere il contributo cognitivo originale del management.

6.6.3 I benefici

Il CRSA dimostra di possedere doti di grande efficacia nell’avvicinare il management alla cultura del controllo e della gestione consapevole del rischio.

Ai responsabili delle unità di business e ai vertici del Gruppo, il CRSA fornisce indicazioni sulla sensibilità del management al governo dei rischi e riscontri puntuali sull’esistenza e l’efficienza dei controlli in essere.

Infatti, il CRSA, (Beretta, 2004):

Soprattutto nelle prime applicazioni ha offerto una misura realistica del grado di diffusione della cultura del controllo e una chiara visione dell’ambiente del controllo, consentendo l’espressione di un fondato giudizio sull’adeguatezza dei controlli in essere rispetto alla problematicità di conseguimento degli obiettivi strategici;

Promuove la diffusione presso il management di una maggiore sensibilità alla responsabilità manageriale sulle attività di controllo e facilita l’identificazione di interdipendenze strategiche tra le varie unità e/o tra le diverse funzioni, rilevanti ai fini della configurazione del profilo di rischio aziendale;

Ha avviato la produzione di una documentazione di supporto ai rapporti indirizzati dal management al Consiglio di Amministrazione in tema di controllo e gestione dei rischi.

In aggiunta, l’attività di identificazione dei rischi, fatta partendo dagli obiettivi strategici di Gruppo e di business unit, contribuisce a promuovere una ricerca di sempre maggiore chiarezza sul legame fra obiettivi strategici di Gruppo, obiettivi a breve perseguiti dall’unità locale e risorse necessarie.

6.6.4 La metodologia

La metodologia del Risk Assessment sviluppata nel Gruppo Telecom Italia esprime il forte commitment del top management a fare del CRSA uno strumento di gestione connotato da un intenso coinvolgimento del management.

Il progetto si sviluppa sostanzialmente in due macrofasi: quella che potremmo definire del

CRSA strictu sensu, che và dall’avvio dell’iniziativa al workshop conclusivo, in cui si

approfondiscono e dibattono i rischi identificati e si tracciano le linee guida degli interventi suggeriti dagli esiti dell’analisi; la macrofase di adozione delle metodologie in termini di

continuità che vede l’integrazione del progetto CRSA con i sistemi di pianificazione e

controllo

La prima macrofase, nell’esperienza del Gruppo Telecom si è articolata in 7 fasi, (Beretta, 2004): kick off meeting, identificazione dei rischi, consolidamento dei rischi, valutazione dei rischi, screening dei rischi significativi, analisi dei controlli, workshop conclusivo.

Kick off meeting.

L’avvio del progetto (periodo 2003) è coinciso con una serie di incontri fra alcuni rappresentanti dello Steering Committee, i componenti del Project Office e i responsabili di ciascuna BU ovvero di ciascuna Funzione di Corporate. Tali incontri avevano l’obiettivo di presentare il progetto di illustrarne la filosofia e la collocazione all’interno delle scelte di corporate governance del Gruppo Telecom Italia, nonché di illustrare la metodologia, segnalandone gli snodi critici, le risorse coinvolte, i tempi e le modalità di svolgimento del progetto. In questa fase si è cercato di generare commitment nel management, chiarendo che il CRSA è, e deve essere uno dei processi di direzione di cui il management ha ownership e dando forte risalto alla funzione stessa come strumento del management per il conseguimento degli obiettivi assunti nei confronti degli stakeholder. Alla luce di ciò, il management è stato sensibilizzato sulla necessità di mettere a fuoco il sistema di obiettivi da cui avrebbe poi preso avvio l’attività di pianificazione dei rischi.

Identificazione dei rischi.

L’attività di identificazione dei rischi si sviluppa attraverso la riflessione condotta dal management sulle relazioni che legano obiettivi, risorse e rischi all’interno di ciascuna unità interessata. Tale riflessione ha spinto le prime linee guida di ciascuna business unit a declinare gli obiettivi strategici dell’unità in termini specifici e misurabili (sub-obiettivi),onde apprezzarne la raggiungibilità in tempi coerenti con gli orizzonti di piano, anche alla luce delle risorse disponibili. Inoltre, il management procede all’identificazione e all’analisi dei fattori critici di successo e dei processi operativi connessi a ciascun sub-obiettivo e, conseguentemente, delle risorse critiche connesse a ciascun processo operativo.

Agli inizi del progetto, come metodologia di base, si è scelto di non distribuire liste predefinite di rischi, né si è imposta una terminologia stringente per la qualificazione dei rischi. Si intendeva infatti lasciare al management massima libertà di espressione, al fine di poterne raccogliere di prima mano il patrimonio di conoscenze e di idee, evitando di ingabbiarne le riflessioni in schemi preconfezionati.

Al fine di orientare pro-attivamente la ricerca di soluzioni di miglioramento, è stato suggerito di associare al riconoscimento dei rischi uno sforzo di identificazione dei fattori causanti. In particolare, al fine di ottenere una descrizione di rischio omogenea, è stato consigliato, come metodo pratico di definizione dei rischi, l’applicazione a ciascun rischio individuato della formula semantica «Esiste il rischio che…a causa di…». In tal modo è stato possibile attribuire a ciascun rischio segnalato un’esplicita causa scatenante.

Consolidamento dei rischi

La spinta a considerare a fondo e in modo articolato i rischi gravanti sulla propria unità ha condotto ciascuna unità operativa a proporre ricche elencazioni di rischi ed inoltre la scelta di lasciare libertà di espressione al management ha richiesto uno sforzo significativo per l’omogeneizzazione della terminologia impiegata nei vari contesti operativi.

Operando in stretto contatto con le risorse designate da ciascuna unità operativa, il project office ha potuto quindi procedere all’eliminazione delle ridondanze terminologiche e al consolidamento dei rischi all’interno di classi omogenee.

Con il passare degli anni, il progetto CRSA è stato sempre più compreso dal management, instaurando in loro un “buon senso” nell’identificazione dei rischi.

Al fine di dare una visione di sintesi delle informazioni raccolte sulla rischiosità valutata, senza perderne l’articolazione di dettaglio i rischi raccolti vengono ricondotti all’interno di

schemi di classificazione per tipologia di evento rischioso e per causa. Per quanto attiene la classificazione dell’evento, sono state individuate tre macroclassi di appartenenza: rischi esterni, rischi di processo, rischi relativi all’assunzione delle informazioni ai fini decisionali.

Ai primi si riconducono i rischi legati a eventi esterni, come le dinamiche concorrenziali, le evoluzioni di natura normativa o regolamentare, l’andamento dei mercati finanziari di riferimento; ai secondi, tutti gli eventi che impattano l’operatività di business, dalla gestione dei sistemi informativi, al portafoglio prodotti, ai rapporti con clienti/fornitori ecc.; ai terzi, eventi rischiosi inerenti alle modalità di messa a disposizione del management delle informazioni necessarie a fini decisionali (sistemi di consuntivazione e di reporting).

BU alfa

Obiettivo aziendale Sub-obiettivo aziendale Descrizione dei rischi Innovazione tecnologica Limitazione risorse per

investimenti Sviluppo competenze chiave Non adeguata politica di

formazione risorse Presidio know-how

Salvaguardia informazioni aziendali

Non adeguata politica di protezione delle informazioni

Presidio dell’infrastruttura … …

Fig. 3 – CRSA Telecom: scheda identificazione rischi

Elaborazione su documenti interni Telecom Italia – Esemplificazione Fonte: Valutazione dei rischi e controllo interno, (Beretta, 2004)

Per quanto attiene alla classificazione delle cause, invece, risultano, tra le altre, cause relative agli aspetti organizzativi e del personale, alla disponibilità di risorse economiche-finanziarie, a inefficienze di processi operativi, ad aspetti strategici.

Valutazione dei rischi

Viene richiesta una quantificazione dell’impatto del rischio sulle risorse aziendali e una stima della relativa probabilità di accadimento della minaccia.

Valore Rischio

valore ≥12 Alto

8 ≥ valore < 12 Medio

valore < 8 Basso

Probabilità Improbabile Probabile Altamente Probabile

Impatto (1) (2) (3) (4) (5) Estremo (5) A B C C C Superiore (4) A B C C C Medio (3) A A B C C Minore (2) A A A B B Marginale (1) A A A A A

Tab. 1 - Griglia impiegata dal project office per la valutazione impatto/probabilità

Elaborazione su documenti interni Telecom Italia

Fonte: Valutazione dei rischi e controllo interno, (Beretta, 2004).

I valori per la valutazione di probabilità/impatto sono stati determinati su una scala da 1 (valore minimo) a 5 (valore massimo). Sono state inoltre definite categorie di rischio associate a intervalli di valutazione: rischi A (a bassa criticità – valutazione media inferiore a 8), rischi B (a media criticità – valutazione media compresa tra 8 e 11) e rischi C (ad alta criticità – valutazione media superiore a 11).

Fig. 4 - CRSA: scheda identificazione rischi

Elaborazione su documenti interni Telecom Italia – Esemplificazione Fonte: Valutazione dei rischi e controllo interno, (Beretta, 2004)

BU alfa

Obiettivo aziendale Sub-obiettivo aziendale Descrizione dei

rischi

Impatto (1-5) Probabilità (1-5)

Innovazione tecnologica Limitazione risorse per investimenti 2 4 Sviluppo competenze chiave Non adeguata politica di formazione risorse 3 3 Presidio know-how Salvaguardia informazioni aziendali Non adeguata politica di protezione delle informazioni 5 2 Presidio dell’infrastruttura … …

Screening dei rischi significativi

Le schede di valutazione sono oggetto di elaborazione con il fine di comporre una matrice dei rischi per ciascuna unità interessata. La matrice organizzata in quadranti, all’interno dei quali trovano collocazione i rischi identificati in funzione dell’impatto atteso e della probabilità.

Alta

Monitoring Workshop CRSA

Probabilità

Basso

Monitoring Crisis Management

Basso Impatto Alto