Ogni sistema di risk management ha tre componenti: una soggettiva, che sono gli attori; il processo, ovvero l'insieme di attività volte all' “identificazione, valutazione, trattamento” del rischio; e infine una oggettiva che è data dalle tecniche e dagli strumenti utilizzati per fare risk management. Gli attori dell’ERM possono essere innanzitutto sia interni che esterni. Tra i primi abbiamo il CDA, il direttore generale, il risk officer, ecc. Ma dobbiamo tenere in considerazione anche quelli esterni coinvolti nel processo (es: clienti, che possono chiedere all'azienda di dotarsi di un sistema di risk management; società di revisione, che possono fungere da consulenti; le autorità di vigilanza; ecc..). Gli attori coinvolti saranno chiaramente diversi da settore a settore; attori specifici se l'azienda è quotata oppure no, perché le aziende quotate dovranno rispondere a regole precise di reporting, di comunicazione. Esistono poi attori che svolgono l'attività di risk management in modo formalizzato e attori che la svolgono in modo informale.
In generale possiamo distinguere quattro livelli di attori:
1) Livello della governance: Consiglio di amministrazione; Amministratore delegato; Comitato di controllo e rischi; Collegio sindacale (che controlla l'operato del CDA);
2) Livello del management: Top e middle management;
43
3) Unità di risk management: variamente denominate nelle aziende come “Risk Management”, “Chief Risk Officer”, “Group Risk Officer”;
4) Unità di Assurance:
Unità che svolgono l'attività di assurance (assicurativa). Vegliano sul corretto funzionamento dell'attività di risk management. Abbiamo sia attori interni, come l'internal auditor, sia esterni, come la società di revisione.
Per quanto riguarda il primo livello il ruolo del CDA in ambito di risk management è definito all'interno del codice di autodisciplina, e consta di due punti essenziali:
1. Deve definire la natura e il livello di rischio compatibile con gli obiettivi strategici dell'emittente, includendo nelle proprie valutazioni tutti i rischi che possono assumere rilievo nell'ottica della sostenibilità nel medio-lungo periodo dell'attività dell'emittente. In altre parole il CDA deve definire il livello di risk appetite (la soglia di accettabilità del rischio);
2. Deve valutare l'adeguatezza dell'assetto organizzativo, amministrativo e contabile dell'emittente nonché delle controllate aventi rilevanza strategica, con particolare riferimento al sistema di controllo interno e di gestione dei rischi. Assicurare quindi a tutti gli azionisti e agli stakeholders che all'interno dell'azienda è implementato un efficace sistema di controllo interno ed un efficace sistema di risk management. Il CDA deve: definire le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, creando quindi un sistema formalizzato di gestione, ovvero un reporting interno. Va quindi ad esplicitare le componenti del sistema di risk management, impostare l'ERM, attivare un sistema formalizzato di gestione dei rischi, un reporting interno, determinare per ogni componente dell’ERM quali sono le linee guida, come deve essere implementato, descrivere le tecniche da utilizzare per la valutazione dei rischi, definire le politiche/azioni da porre in essere per la gestione del rischio, definire le figure coinvolte nel processo di risk management e le loro responsabilità (l'organigramma della gestione del rischio); valutare, con cadenza almeno
44
annuale, l'adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto e la sua efficacia. Per tutti questi compiti viene da sé l'importanza del reporting e della sua qualità. Il CDA avrà bisogno di un sistema di informazioni dettagliate e complete, per potere assolvere al meglio ai propri doveri, e sarà proprio il consiglio a dettare le linee guida di questo reporting, a dire al top management di quali informazioni abbisogna; approvare, con cadenza almeno annuale, il piano di lavoro dell'internal audit dopo aver sentito il collegio sindacale e l’amministratore incaricato del sistema di controllo interno e gestione dei rischi; infine il CDA deve riportare tutte queste informazioni relative al sistema di controllo interno e di gestione dei rischi all'interno della relazione sulla corporate governance, esprimendo la propria valutazione sull'adeguatezza dello stesso. Il Cda da un lato svolge il ruolo di controllo dei rischi ma dall'altro può essere esso stesso causa dei rischi (es. l'amministratore delegato potrebbe non riportare informazioni al Cda -> Parmalat).
Un altro attore chiave è il Comitato del controllo interno e dei rischi. È un organo composto da amministratori non esecutivi o indipendenti, e ha il compito di supportare, con un’adeguata istruttoria, le valutazioni e le decisioni del CDA; esercita un'attività di istruttoria sul processo di risk management facilitando il ruolo del CDA. Questo compito lo possiamo trovare anche in seno al collegio sindacale, come delineato nel codice di autodisciplina; questa sovrapposizione di ruoli deriva dal fatto che nel sistema tradizionale, costituito solo da CDA e collegio sindacale, l’attività istruttoria è svolta dal collegio non essendoci il comitato49. Il comitato costituisce comunque l'interfaccia del CDA con il risk manager, e organizza riunioni periodiche con quest'ultimo (per acquisire informazioni sui rischi) e con l'internal audit (per valutare il grado di adeguatezza del risk management).
49 Il codice nasce nella prospettiva delle best practices internazionali, ma negli altri paesi non esiste il
collegio sindacale, e quindi tutti i suoi compiti sono canalizzati all'interno del comitato controllo e rischi. Ciò può portare ad una confusione, duplicazione dei ruoli tra i due organi.
45
Al secondo livello abbiamo il top ed il middle management. Questi sono direttamente coinvolti in tutte le attività che costituiscono il processo di risk management. Nelle attività quindi di identificazione, valutazione e trattamento dei rischi. Affinché il top management sia in grado di esercitare il suo compito è importante che l'AD funga da collante tra le decisioni del CDA e il top management dell'azienda per comunicare a quest’ultimo tutte le informazioni per implementare un sistema di risk management che sia coerente con quello che è il profilo di rischio dell'azienda, con i suoi obiettivi strategici (processo top-down). Quindi l’AD può essere esso stesso causa di rischio se non comunica correttamente le informazioni al top management. Accanto ad un processo top down, possiamo trovarne anche uno bottom up dove il top management è coinvolto sia dall'alto che dal basso nell'implementazione del processo di RM: dall'alto riceve l'obiettivo strategico ed il risk appetite che gli permettono di implementare il sistema ed istituire il documento all'interno del quale è sintetizzato tutto il processo. Il reporting realizzato arriva al Cda per mezzo dell'amministratore delegato. Sulla base di quel documento vengono fatte tutte le valutazioni da parte del Cda, Collegio Sindacale, internal audit ecc.
Gli attori di terzo livello non sono sempre presenti in tutte le aziende. Tra questi abbiamo il Risk committee, che affianca il management di line per garantire il coordinamento delle azioni di risposta; il Chief risk Officer, project leader dell’ERM che ha la responsabilità di coordinamento di tutto il processo (se non c'è questa unità, come spesso accade, questo compito spetta all'internal auditor); l'unità di risk management, molto diffusa nel sistema bancario e che ha il compito di definire i modelli di rating interni per la gestione dei rischi tipici dell'intermediario bancario.
L'ultimo attore che possiamo analizzare è l'internal auditor. Il suo ruolo non è specifico nell'ERM, ma possiamo dire in generale che ha il compito di assurance, deve assicurarsi che il processo si svolga nel modo corretto, e deve riferire al CDA. Spesso però svolge ruoli che non sono di sua competenza. Possiamo comunque delineare le tante attività che deve svolgere o può svolgere l'internal
46
auditor; tra quelle che secondo il modello ERM questa figura deve sicuramente assolvere abbiamo:
- Validare il processo di risk management;
- Assicurare che i rischi siano correttamente valutati; - Valutare il processo di risk management;
- Valutare il reporting dei rischi chiave;
- Rivedere l’attività di management sui rischi chiave. Tra i ruoli che l'internal auditor può fare suoi abbiamo:
- Facilitare l'identificazione e la valutazione dei rischi (ruolo di consulenza, quando non ci sono il Risk officer o il committee);
- Coordinare le attività dell'ERM; - Sviluppare il framework ERM;
- In generale azioni di natura consulenziale.
Tra le attività che sicuramente l'internal auditor non deve svolgere abbiamo: - Settare il risk appetite;
- Identificare gli obiettivi o i rischi o l'evento;
- Valutare i rischi (perché gli spetta proprio di controllare la valutazione); - Prendere decisioni in merito al trattamento dei rischi;
- In generale tutte le funzioni del CDA o del Top management.