Board of Directors

Il Board of Directors gioca il ruolo principale di monitorare, guidare e supervisionare la strategia d’impresa e possiede la responsabilità di governance che si esaurisce nell’indirizzo e nel supporto del management in termini di realizzazione della strategia e perseguimento degli obiettivi aziendali.

Il Board prende parte al processo di ERM : 158

- assicurando che la questione dei rischi sia costruita all’interno del processo di pianificazione strategia, considerando che cambiamenti nella strategia si riflettano in variazione del profilo di rischio dell’azienda;

Possiede responsabilità di

Risk Management? Ruolo principale ricoperto nella Risk Governance Board of Directors No Determina l’indirizzo, assegna l’autorità

e la supervisione del risk management al Senior Management

S e n i o r

Management Si Possiede la responsabilità primaria per ERM. Delega l’autorità del risk management e comunica i livelli di tolleranza ai risk owners. Comunica i risultati di performance e i piani di ERM al Board of Directors.

Risk Owners Si Assegna l’autorità di risk management specifica per business unit o funzioni aziendali ai manager e comunica i livelli di tolleranza ad altri decision-makers. Comunica i risultati di performance e i piani di ERM al Senior Management. Internal Audit No Garantisce oggettivamente l’efficacia

del risk management, del controllo e dei processi di governance nei confronti del Senior Management e del Board of Directors.

Cfr Sobel et al. (2004) e Fraser (2016)

- definendo, approvando e comunicando la Risk Management Policy, i risk criteria e la propensione al rischio al Senior Management, al fine di indirizzare le successive decisioni dei manager;

- definendo, assieme al Senior Management, i livelli di tolleranza sulla base della risk appetite così definita, assegnando l’autorità di gestire i rischi entro i specifici livelli delineati;

- supervisionando e monitorando l’implementazione del processo di risk management al fine di garantirne una funzione continua ed efficace nel perseguimento degli interessi degli stakeholder;

- assicurando che gli indicatori di performance del Management associati ai rischi chiave aziendali siano adeguatamente allineati alla strategia d’impresa e associati propriamente al valore creato per gli azionisti.

Occorre sottolineare che nel contesto di ERM, il Board non è direttamente responsabile del processo di risk management, dal momento che quest’ultimo è di competenza del Management. Nonostante ciò, le attività di governance esercitate dal Board contribuiscono significativamente ad un ERM efficace attraverso un attivo coinvolgimento nello stesso, il quale si esaurisce nello stabilire indirizzi, autorità e supervisione sul Management.

Piuttosto, il Board gioca un ruolo attivo nel processo di risk oversight , sebbene il modo 159

in cui il Board eserciti effettivamente questo ruolo, tanto in letteratura quanto nella realtà aziendale, è ancora oggi oggetto di forte dibattito. Infatti, esiste consenso unanime circa il fatto che il Board ha la piena responsabilità della supervisione dell’approccio impegnato dall’organizzazione nella gestione del rischio; tuttavia, come esattamente venga esercitata tale responsabilità può variare: “The important point is that risk-governance coverage by the board and/or committees must ensure that a material risk, whether financial or non-financial, does not get missed. How this is done is less important than that it gets done and nothing falls through the cracks” . 160

Nonostante alcune organizzazioni continuino a impegnare l’intero Board of Directors nella supervisione dell’ERM - riconoscendo l’attività di risk oversight come componente

Come affermato da Ittner et al. (2015), risk management e risk oversight sono due espressioni distinte che definiscono

159

due attività diverse tra loro tanto in termini sostanziali quanto in termini di responsabilità: ““Risk oversight” represents the

practices used by the Board to determine that the firm has in place a robust process for identifying, prioritizing, managing, and monitoring its critical risks. In contrast, “risk management” represents management’s role in planning, coordinating, executing, and handling the activities of the organization in order to minimize the impact of unwanted risk on desired outcomes”.

Fraser, J. R. (2016). The role of the board in risk management oversight. The Handbook of Board Governance: A

160

critica per l’azienda tanto da meritare sessioni di meeting ad hoc per la discussione -, alcuni degli approcci più utilizzati dalle organizzazioni consistono nella delegazione dell’Enterprise Risk Management oversight a un Comitato. Tale Comitato è incaricato della supervisione diretta della funzione di risk management e dovrebbe ricevere regolarmente reports sullo status del processo di ERM da quei componenti del Senior Management che si assumono il rischio e sono responsabili del risk management in sé. Allo stesso modo, il Comitato delegato dovrebbe regolarmente inviare reports al Board of Directors, tesi a garantire che il Board abbia una completa informazione del profilo di rischio dell’impresa da impegnare nella sua attività di governance . 161

Nella maggior parte dei casi, il Board delega primaria responsabilità per il risk oversight all’Audit Committee, incaricato, tra le altre attività, di: supervisionare linee guida e politiche di rischio implementate dal Management; discutere con il Management l’esposizione ai rischi principali dell’azienda; richiedere al Management continui e completi aggiornamenti sui processi di risk management e in particolare sulla valutazione dei rischi. Sebbene molte imprese si avvalgano dell’Audit Committee quale responsabile delegato della supervisione del processo di ERM, per altrettante organizzazioni lo scopo e la complessità di ERM richiedono la definizione di un Comitato di risk management ad hoc (ad esempio Risk Committee, ERM Committee) in modo tale sia garantita una maggiore attenzione del Board nei confronti del risk management e del risk oversight. Tale volontà muove dalla considerazione che l’Audit Committee può non dedicare tempo e risorse sufficienti per assicurare una supervisione efficiente ed efficace di ERM , oppure 162

l’approccio adottato per garantire la conformità alle regole e principi di financial reporting potrebbero non essere ottimali a comprendere la complessità dei rischi a cui l’organizzazione è esposta.