Attività di monitoraggio

Alla fine del processo di ERM si colloca la fase di monitoraggio e costruzione della reportistica. Monitorare significa verificare la qualità del sistema di gestione di rischi attuato dall’impresa, valutando in itinere il raggiungimento degli obiettivi individuati in fase di programmazione. I sistemi di ERM infatti devono essere continuamente modi- ficati, permettendo di adattarsi flessibilmente agli andamenti di mercato variabili e alle evoluzioni della struttura interna, quindi nel momento in cui si modificano gli obiettivi da perseguire, devono essere modificati di conseguenza gli strumenti con cui perseguirli.

I rischi residuali

Una prima importante fase del processo di monitoraggio è la stima dei rischi residua- li57. Questi sono i rischi per cui non è stata attivata nessuna procedura di trattamento, o il cui costo di copertura è troppo oneroso. In poche parole è il rischio a cui l’impresa rimane soggetta, anche dopo l’attuazione di procedure di copertura. Molto spesso tali rischi rimangono in essere perché presentano una dimensione d’impatto molto ridotta, i cui effetti possono anche non inficiare i risultati aziendali, perché non si producono perdite. A ogni modo sono rischi presenti, per i quali l’impresa deve attivare procedure di mappatura58 _{e monitoraggio, in modo da mantenerli all’interno di un intervallo pre-}

determinato, in cui gli effetti non si modifichino in modo rilevante. Inoltre, tali attività, nell’ipotesi in cui il rischio si modifichi e cambi l’effetto del suo manifestarsi, permettono di intervenire subitamente alla misurazione e conseguente trattamento dello stesso, al fine di mantenere inalterato il risultato di gestione del rischio attuato.

I rischi residuali, riprendendo le considerazioni iniziali di questo lavoro, sono i rischi na- turalmente presenti nell’impresa, i quali permettono di generare il rapporto rendimento- rischio. Infatti, se la gestione integrata dei rischi fosse un sistema perfetto, e potesse coprire interamente tutti i rischi aziendali, l’impresa alla fine di tale processo sarebbe priva di qualsiasi rischio, riducendo il rendimento a un valore tendente a zero. Pertanto, come già detto, lo scopo dell’ERM non è quello di eliminare il rischio dall’impresa, ma di gestirlo al fine di massimizzare il rapporto esistente tra rischio e rendimento.

Il processo di monitoraggio

Individuati i rischi residuali, l’impresa deve attuare il processo di monitoraggio del- l’intera gestione dei rischi. I due principali metodi individuati differiscono tra loro per la frequenza con cui sono compiuti i controlli:

Valutazione continua - La valutazione continua (ongoing monitoring activity), come lascia intendere la denominazione, è eseguita con continuità durante tutto il pro- cesso di ERM, in modo da permettere un’individuazione simultanea degli scosta- menti dei risultati dagli obiettivi individuati. Le attività tipiche del monitoraggio continuo sono:

• report e analisi volti a indagare le performance raggiunte da ogni attività aziendale;

57_{Alex Almici. Corporate governance, sistemi di controllo e valore aziendale. Milano: Franco Angeli,}

2010.

58_{Con mappatura s’intende il processo attraverso cui un rischio è individuato, misurato e collocato}

• analisi delle informazioni esterne all’impresa59_;

• incontri con analisti e auditor.

Infine, per attuare concretamente il monitoraggio continuo, devono essere coinvolti tutti gli operatori aziendali, i quali devono conoscere i propri compiti e quelli dei colleghi, in modo da valutare sia l’attività propria che quella dell’area a cui fanno riferimento.

Valutazione separata - La valutazione separata (separate evaluation), al contrario della precedente, non è continua, ma è svolta a intervalli prefissati, la cui frequen- za varia in base al grado di analisi desiderato dall’impresa. Questi controlli non offrono l’efficacia di monitoraggio dei precedenti, ma sono utilizzati in determinate situazioni, in cui la continuità risulterebbe troppo onerosa o quando l’area monito- rata risulti essere sufficientemente stabile. In particolare, l’eccessiva onerosità dei controlli nasce spesso dalla mancanza di una diffusa cultura aziendale di gestione dei rischi, da cui dipenderebbe la mancata cooperazione dei responsabili operativi in termini di analisi delle attività in atto. In questa condizione, i responsabili operativi percepiscono il monitoraggio come un’attività saltuaria che compete loro solo nel momento di stesura dei report d’attività. Un’altra situazione di eccessiva onerosità si presenta nel momento in cui l’attività svolta è estremamente com- plessa in termini economico-ingegneristici, per cui l’analisi continua richiederebbe valutazioni complesse che solo pochi operatori competenti possono svolgere. In queste situazioni si preferisce quindi procedere a monitoraggi svolti in intervalli temporali predeterminati.

Gli intervalli di monitoraggio sono determinati in base alla probabilità di mani- festazione dei rischi, e difatti rischi con maggior probabilità avranno controlli più frequenti, a esempio controlli settimanali, e rischi con bassa probabilità avranno controlli più dilatati nel tempo, a esempio mensili o trimestrali. I controlli seme- strali e annuali vanno utilizzati solo nei casi in cui il rischio abbia una probabilità quasi nulla. È difatti più difficile modificare l’attività in base al manifestarsi dei rischi se tale manifestazione è individuata con molto ritardo.

Questi due metodi di monitoraggio devono essere utilizzati insieme, in modo da con- trollare con continuità le aree maggiormente soggette a rischi, e ridurre la frequenza di controllo man mano che si riduce la probabilità di manifestazione di un rischio. Questo va fatto per due principali motivi: il primo è che il monitoraggio continuo richiede un coinvolgimento degli operatori maggiore e comporta costi gestionali più alti, in secondo

59_{Cogliere in che modo gli stakeholders valutano l’operato dell’impresa può permettere attività di}

luogo perché il monitoraggio è un’attività che produce informazioni, e un’analisi conti- nua anche di aree stabili potrebbe portare ad avere troppe informazioni, a volte inutili, che però aumentano i tempi di analisi e reazione60.

Un altro aspetto molto importante del monitoraggio è l’evidenziazione dei punti deboli individuati all’interno dei processi, in modo da segnalare tempestivamente ai responsa- bili tali deficit, permettendo loro di procedere all’attivazione di misure correttive, volte a riportare il processo verso il perseguimento degli obiettivi individuati.

Il monitoraggio è effettuato dal risk management insieme alla funzione di controllo in- terno. Questa collaborazione si rende necessaria perché l’internal audit possiede le com- petenze tecniche di analisi e misurazione dell’attività di monitoraggio, mentre il risk management ha le competenze inerenti alla valutazione dei rischi, ed è l’organo azienda- le preposto all’implementazione dell’ERM, e quindi ha il compito di attuare modifiche nel momento in cui se ne verifichi la necessità.

Nella gestione aziendale, l’attività di monitoraggio è spesso imputata ai responsabili del- l’internal audit, i quali possiedono le competenze necessarie ai fini di valutare i dati in itinere, evidenziando scostamenti dagli obiettivi inizialmente individuati, e data la loro posizione organizzativa, è la figura aziendale che meglio può comunicare i dati al vertice, il quale potrà valutare i risultati che gli sono stati sottoposti, e mettere in atto misure di correzione, al fine di riportare i processi al corretto perseguimento degli obiettivi. L’integrazione dei risultati, avviene però attraverso il coinvolgimento di altre figure organizzative, estranee al controllo interno61:

• l’impresa può avvalersi di esperti esterni, i quali hanno il compito di supportare la funzione di controllo interno, offrendo le loro competenze specifiche in termini di valutazione di processi aziendali. Gli esperti esterni inoltre, avendo una posizione indipendente rispetto all’impresa, superano, in taluni casi, i problemi che possono nascere tra livelli di responsabilità diversi, legati all’incentivazione sui risultati, la quale può spingere diverse aree di controllo a omettere alcuni dettagli negativi di performance, al fine di evitare richiami o sollecitazioni dal vertice.

Inoltre ci si può avvalere dell’aiuto di esperti esterni qualora l’impresa non abbia opportunamente sviluppato la funzione di controllo interno, o quando questa non risulta sufficientemente integrata a livello organizzativo;

• l’impresa può creare team operativi composti di un insieme eterogeneo di re-

60_{La continua raccolta di dati attraverso i sistemi informatici ha spesso comportato il cosiddetto}

‘overload informativo’, cioè la situazione in cui l’operatore che deve prendere decisioni è rallentato dall’individuazione dei dati utili all’interno delle troppe informazioni raccolte. Maria Bergamin Barbato. Programmazione e controllo in un’ottica strategica. Torino: UTET, 1991

61_{Giuseppe D’Onza. Il sistema di controllo interno nella ppettiva del risk management. Milano:}

sponsabili aziendali, i quali hanno il compito di monitorare le diverse aree, in collaborazione fra loro al fine di evidenziare possibili deficit non identificati prima. Questa cooperazione tra responsabili permette inoltre, di evidenziare possibili ri- sultati, diversi da quelli stimati, che prima non erano stati segnalati a causa di cosiddette ‘abitudini’ dell’area considerata. È infatti possibile che un responsabile di area sottovaluti un determinato risultato anomalo, perché segua dei comporta- menti abitudinari, che in passato hanno permesso la modifica di tali alterazioni. Questo però è un comportamento aziendale da evitare, perché in fase di monito- raggio devono essere raccolti tutti i dati utili ai fini gestionali, e non solo quelli considerati rilevanti dalle specifiche aree;

• l’impresa può avvalersi del benchmarking, come strumento per valutare in modo completo il contesto in cui si colloca. In fase di monitoraggio, infatti, paragonare i propri risultati con quelli raggiunti da altre imprese dello stesso settore può far emergere differenze rilevanti, che, mantenendo una visione interna, non sarebbe possibile individuare. Il benchmarking62 pone l’impresa nella condizione di valu- tare processi e attività che non vengono monitorati direttamente, e quindi offrono le basi per migliorare la struttura organizzativa, prendendo in considerazione tutte i livelli di responsabilità, anche quelli prettamente operativi. Questo strumento, da un lato offre, la possibilità di mantenere un continuo confronto tra l’impresa e i suoi competitor, dall’altro presenta il forte limite di non considerare in tutti gli aspetti quali siano le caratteristiche interne proprie, che differenziano un’impresa dall’altra, e quindi modificano le performance anche in medesime condizioni di at- tività. Rimane pertanto uno strumento di utilità elevata, ma che sconta una forte soggettività, riducibile solo dalla presenza di personale estremamente competente in termini di analisi di settore;

• infine un’impresa può decidere di esternalizzare tutte le operazioni di monito- raggio, affidandole a gruppi specializzati. La consulenza di internal audit viene scelta dalle imprese, perché presenta dei costi inferiori a quelli sostenuti nell’im- plementazione di tale funzione interna, ma l’assunzione di tale esternalizzazione genera due rischi, che spesso impattano in modo superiore al beneficio in termini di costi. Questo perché:

62_{Il benchmarking è definito come ‘un processo continuo e sistematico di misura; un processo di conti-}

nua misurazione e comparazione dei processi di business di una organizzazione con i processi di business leader ovunque nel mondo, allo scopo di ottenere quelle informazioni che aiuteranno l’organizzazione a predisporre azioni per migliorare le proprie prestazioni’. Giovanni Stelli. Il benchmarking. Roma: Armando Editore, 2005

1. l’impresa, nel momento in cui esternalizza l’intero processo di monitoraggio, riduce sensibilmente la responsabilità del personale in termini di controllo e misure di correzione, riducendo di conseguenza la sua capacità di intervenire in caso di risultati negativi, o di valutare i benefici in caso di risultati positivi; 2. l’impresa rischia di perdere le competenze necessarie al fine di gestire le

proprie attività, e quindi incorrere in risultati positivi sempre più ridotti.

L’esternalizzazione delle attività di controllo è quindi auspicabile solo per le attività accessorie dell’impresa, ma non per le attività ‘core’, le quali permettono realmente all’impresa di ottenere performance positive.

Come già sottolineato, risulta di fondamentale importanza individuare e segnalare le carenze dei processi monitorati, perché sono proprio le carenze a rappresentare i punti deboli dell’impresa e i fattori critici da controllare e gestire, al fine di evitare che si riduca la capacità di raggiungere gli obiettivi aziendali. Inoltre tali segnalazioni permettono di identificare le opportunità di migliorare l’efficacia dei processi aziendali. Per individuare le carenze è utile, oltre alla corretta implementazione della fase di monitoraggio, affi- darsi anche ad altre fonti, quali: clienti, fornitori e auditor esterni. Per ottenere questo, è opportuno costruire un canale di comunicazione diretto tra questi soggetti esterni e l’impresa, permettendo di individuare deficit che, per motivi strutturali, possono sfug- gire al controllo dell’azienda63_.

La comunicazione dei deficit, sia interni sia esterni, deve coinvolgere non solo il respon- sabile del processo coinvolto, il quale dovrà in seguito attuare misure correttive, ma è necessario che sia informato anche un manager (o responsabile di funzione), il quale dovrà offrire la sua supervisione in fase di modifica e correzione del processo, e inoltre potrà utilizzare i dati ottenuti dal processo ‘critico’ come input per analizzare altri pro- cessi posti sotto la sua area.

È evidente che molto spesso, soprattutto nelle imprese di grandi dimensioni, non sia semplice, per il responsabile di un singolo processo, individuare la figura manageriale con cui raffrontarsi. A questo fine è necessario che ciascun responsabile di funzione pro- duca un documento, che sarà sottoposto all’attenzione di tutti i dipendenti posti nella sua area, in cui indichi con precisione quali siano le modalità e le figure a cui comunicare determinati risultati anomali.