CAPITOLO 2. I FRAMEWORK NEL SISTEMA DI CONTROLLO INTERNO E
2.2. I COMPONENTI DELL'ERM
L'ERM è costituito da otto componenti interconnessi ed integrati con i processi operativi, che derivano dal modo in cui il management gestisce l'azienda:
ambiente interno
definizione degli obiettivi identificazione degli eventi valutazione del rischio risposta al rischio attività di controllo
informazione e comunicazione monitoraggio
Il modello non si presenta come un procedimento strettamente sequenziale, dove un componente influisce solo sul successivo; viceversa, si identifica come processo dinamico, interattivo e multidirezionale in cui ogni componente può condizionare l'altro, indipendentemente dalla frequenza del processo stesso.
Il legame tra gli obiettivi aziendali ed i compenti
Esiste un rapporto diretto tra gli obiettivi, che l'azienda intende perseguire, e i componenti dell'ERM, necessari per conseguire tali obiettivi (Approfondimento 12).
Approfondimento 12 - Il cubo dell'ERM: le tre dimensioni di analisi
Fonte: CoSO, La gestione del rischio aziendale. ERM, Milano, Il Sole 24 Ore, 2006
COMPONENTI OBIETTIVI
52
Analizzando la matrice dimensionale a forma di cubo è possibile individuare:
o gli obiettivi aziendali, articolati in quattro categorie - obiettivi strategici, operativi, di reporting e di compliance 52- rappresentate nelle colonne verticali del cubo;
o gli otto componenti, riportati nelle righe orizzontali del cubo;
o le unità operative dell'organizzazione - azienda, divisione, unità di business, controllata - rappresentate dalla terza dimensione della matrice.
Lo schema evidenzia l'estrema flessibilità del modello.
Ciascun componente, infatti, copre e attraversa tutte e quattro le categorie di obiettivi, così come, se si considerano le categorie di obiettivi, tutti gli otto componenti si applicano a ciascuna di esse.
Il modello, inoltre, può essere applicato sia all'intero processo di gestione del rischio aziendale sia distintamente alle singole categorie di obiettivi, ai componenti, alle singole unità operative e alle singole sub unità di queste ultime.
I componenti come criteri di efficacia
La valutazione dell'efficacia del processo di gestione del rischio aziendale è un giudizio soggettivo, fondato sulla presenza delle componenti sopra elencate e sul loro corretto funzionamento.
Quando un processo è giudicato efficace per ciascuna delle quattro categorie di obiettivi, ciò significa che il consiglio di amministrazione ed il management hanno una ragionevole sicurezza di venire a conoscenza della misura in cui gli obiettivi strategici ed operativi si stanno conseguendo, che i report sono affidabili e che le leggi e i regolamenti in vigore sono osservati.
E' bene precisare che, fermo restante il fatto che ogni organizzazione deve disporre di tutti gli otto componenti per poter gestire efficacemente il rischio, la concreta applicazione dell'ERM, compresi i meccanismi e le tecniche adottate ed i ruoli e le responsabilità assegnate, spesso è molto diversa da un'azienda all'altra53.
Si procederà ora alla trattazione di ciascuna delle otto componenti.
52 L'analisi dettagliata delle quattro categorie di obiettivi sopra citate sarà ripresa nel proseguo dell'elaborato quando si parlerà della componente "Definizione degli obiettivi".
53 Cfr. CoSO, La gestione del rischio aziendale. ERM - Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, op. cit., pagg. 22-25.
53
2.2.1. L'ambiente interno
L'ambiente interno54, identità essenziale di un'organizzazione, costituisce le fondamenta di tutti gli altri componenti dell'ERM poiché disciplina e struttura le condizioni del contesto organizzativo all'interno del quale i progetti di risk management saranno implementati.
La componente, in particolare, è influenzata dai diversi fattori di seguito analizzati.
FILOSOFIA DI GESTIONE DEL RISCHIO
La filosofia di gestione del rischio si può definire come l'insieme dei valori e dei
comportamenti condivisi che caratterizzano l'atteggiamento dell'azienda, a tutti i suoi livelli organizzativi, nei confronti del rischio.
Questa filosofia è riflessa nelle politiche, nelle comunicazioni orali e scritte e nei processi decisionali, influenzando la cultura d'impresa e il suo profilo operativo: qualunque sia lo stile direzionale adottato dall'azienda, è di importanza fondamentale che il management realizzi tale filosofia dando il buon esempio nella sua attività quotidiana.
Al fine di conoscere il grado di integrazione della filosofia della gestione del rischio nella cultura aziendale, alcune società conducono periodicamente indagini sulla cultura del rischio in grado di rilevare la presenza e la forza degli attributi chiave che possono influenzarlo. I risultati costituiscono un ausilio per segnalare i punti che devono essere potenziati per assicurare un'efficace ambiente di controllo (Approfondimento 13).
Approfondimento 13 - Esempio di indagine mirata a rilevare il livello di cultura del rischio ATTRIBUTI MISURATI
LEADERSHIP E STRATEGIA - coerenza del comportamento con i principi etici e i valori - comunicazione della missione e degli obiettivi
PERSONALE E COMUNICAZIONE
- impegno per sviluppo delle competenze
- condivisione delle conoscenze e delle informazioni RESPONSABILITA' E
RAFFORZAMENTO
- struttura organizzativa
- misurazione e premiazione dei risultati conseguiti GESTIONE DEL RISCHIO E
INFRASTRUTTURE
- valutazione e misurazione del rischio - accesso ai sistemi e relativa sicurezza Fonte: CoSO, La gestione del rischio aziendale. ERM, Milano, Il Sole 24 Ore, 2006
54 Elaborazione sintetica dell'argomento. Cfr. CoSO, La gestione del rischio aziendale. ERM - Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, op. cit., pag. 29 e segg.
54 RISCHIO ACCETTABILE
Il rischio accettabile, meglio noto come Risk Appetite, rappresenta l'ammontare di
rischio complessivo che un'azienda è disposta ad assumersi nel perseguire l'obiettivo di creare valore.
La definizione del risk appetite spetta all'organo amministrativo e costituisce una delle decisioni fondamentali dell'attività di governo, condizionando il modello di business e le strategie da attuare. Per tali ragioni possiamo affermare che deliberare la strategia aziendale significa implicitamente definire il risk appetite dell'azienda, che costituisce, quindi, un elemento stesso della strategia aziendale. Un volta definito, il risk appetite individua dei limiti entro i quali il senior ed il middle management sono chiamati a muoversi in sede di attuazione del disegno strategico e di ricerca di nuove opportunità; viceversa, il Cda è responsabile sotto il profilo civile e penale nei confronti degli azionisti. In questa prospettiva, il risk appetite può considerarsi strumento per il controllo strategico. Ogni organizzazione ha un proprio risk appetite che può essere esplicitato o meno: nel caso in cui lo stesso sia formalizzato, il documento di riferimento, redatto ed approvato dal Cda, prende il nome di Risk Appetite Statement55. In questi casi, per favorirne l'implementazione, il concetto viene disaggregato nei cosiddetti Risk Limits, ossia articolazione degli obiettivi di rischio in limiti operativi, definiti per tipologie di rischio, unità e/o linee di business, linee di prodotto, ecc. . Il concetto di rischio accettabile non va confuso con altri termini che, nel linguaggio aziendale, sono talvolta usati come suoi sinonimi (Approfondimento 14).
Approfondimento 14 - I concetti di Risk Capacity, Risk Tolerance e Risk Profile TERMINI A CONFRONTO: LA RELAZIONE
RISK PROFILE < RISK APPETITE (+ RISK TOLLERANCE) < RISK CAPACITY Risk Profile = rischio effettivamente assunto, misurato in un determinato istante temporale; Risk Tolerance = devianza massima dal Risk Appetite consentita.
La soglia di tolleranza, secondo la normativa di vigilanza, deve essere fissata in modo da assicurare in ogni caso margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile;
Risk Capacity = livello massimo di rischio che un'azienda è tecnicamente in grado di assumersi senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall'autorità di vigilanza. Fonte: G. D'Onza, Rischio e sistema d'azienda, Pisa, 2016
55 INTEGRITA' E VALORI ETICI
L'efficacia dell'ERM non può essere posta al di sopra dell'integrità ed dei valori etici del management, che si traducono in un codice di condotta che deve andare al di là del semplice rispetto della legge, affinché la reputazione dell'azienda stessa sia preservata. I comportamenti etici, comunicati ed interiorizzati nella prassi operativa, sono sottoprodotti della cultura aziendale che, invece, determina ciò che realmente avviene, specificando quali regole vengono osservate e quali disattese o ignorate.
Studi tratti dalla criminologia sostengono come le persone possano commettere atti illeciti, disonesti o contrari alla morale semplicemente perché l’ambiente in cui lavorano li “sollecita” con stimoli e occasioni che li inducono in tentazione.
Nello specifico, i codici etici esprimono la carta dei valori aziendali e disciplinano una varietà di comportamenti quali conflitti di interesse, pagamenti illegittimi e invalidi, accordi contro la libera concorrenza, ecc. .
L'esistenza di codici scritti non ne assicura di per sé l'osservanza ma, allo stesso tempo, è importante che siano previste sanzioni in caso di violazione e meccanismi che incoraggino i dipendenti a segnalare infrazioni sospette. Sicuramente, un sistema di reporting ben controllato costituisce un valido deterrente alla falsificazione dei dati di performance, così come, rivestono particolare importanza i canali di comunicazione, dal basso verso l’alto, dove i dipendenti si sentono al loro agio nel segnalare informazioni pertinenti ai livelli superiori.
In ogni caso, il giusto "tone at the top" aiuta: il rispetto dei codici è garantito in modo più efficace dalle azioni e dal buon esempio dell'alta direzione, essendo i messaggi trasmessi attraverso il diretto comportamento del top management velocemente assorbiti dalla cultura aziendale.
CONSIGLIO DI AMMINISTRAZIONE
Un consiglio di amministrazione attivo e coinvolto deve possedere un adeguato grado di competenze manageriali, tecniche e di altro tipo abbinate con la necessaria statura
morale ed intellettuale, così da poter adeguatamente adempiere alle sue responsabilità
di supervisione.
Affinché l'ambiente interno possa ritenersi efficace, poiché il Cda deve indagare sulle attività svolte dal management e reagire con decisione di fronte a comportamenti non corretti, è indispensabile che l'organo sia composto in maggioranza da amministratori esterni indipendenti.
56 COMPETENZE
Le competenze del personale devono riflettere le conoscenze e le capacità, organizzative ed individuali, necessarie per svolgere le mansioni richieste a ogni singola posizione al fine di adempiere alle responsabilità assegnate.
Spetta al management decidere il livello qualitativo richiesto per tali mansioni, garantendo equilibrio tra competenza e costo del personale.
STRUTTURA ORGANIZZATIVA
La struttura organizzativa di un'azienda fornisce il quadro nel quale le attività sono pianificate, eseguite, controllate e monitorate.
E' necessario che sia adeguata, in termini sia quantitativi che qualitativi, alle proprie dimensioni e alla natura delle attività in essa svolte. Una valida struttura attribuisce autorità e responsabilità definendo chiare e coerenti linee gerarchiche e di reporting per favorire il raggiungimento degli obiettivi ed agevolare l’efficacia dell’ERM.
DELEGA DEI POTERI E DELLE RESPONSABILITA'
In un'azienda ben organizzata, con l'attribuzione dei poteri e delle responsabilità si determina il grado con cui le persone sono autorizzate e incoraggiare a prendere iniziative per affrontare e risolvere problemi, come anche i limiti imposti ai loro poteri.
L'aumento dei livelli di delega esige implicitamente un accrescimento delle responsabilità ed un aumento delle competenze.
RISPORSE UMANE
Le politiche di gestione delle risorse umane riguardano le assunzioni, la gestione delle carriere, la formazione, le remunerazioni, le promozioni, la valutazione delle performance e le azioni di miglioramento delle stesse.
Solitamente l'impiego di tali politiche risponde all'esigenza di comunicare al personale il livello di integrità, di comportamento etico e di competenza che l'azienda si aspetta al fine di garantire correttezza ed equità, favorendo lo sviluppo di una cultura del rischio.
In virtù di quanto suddetto, si rimarca l'importanza dell'ambiente interno e l'impatto, positivo o negativo, che può avere sugli altri componenti dell'ERM: gli effetti di un ambiente interno inadeguato potrebbero essere gravi e di vasta portata, con perdite economiche, danni all'immagine e dissesti.
57
2.2.2. La definizione degli obiettivi
Gli obiettivi devono essere fissati prima di procedere all'identificazione degli eventi che possono potenzialmente pregiudicare il loro conseguimento.
L'ERM assicura, quindi, che il management abbia attivato un adeguato processo di definizione degli obiettivi56 e che gli obiettivi scelti supportino e siano coerenti con la missione aziendale ed in linea con i livelli di rischio accettabile.
La classificazione proposta dal modello ERM distingue tra:
obiettivi strategici: obiettivi di fondo di natura generale che l'azienda intende perseguire. Definiti ai livelli più elevati della struttura organizzativa, sono allineati e posti a supporto della mission aziendale;
obiettivi operativi: riguardano l'impiego efficace ed efficiente delle risorse inerenti le attività operative aziendali per la realizzazione della strategia deliberata. Riflettono l'ambiente micro - economico nel quale opera l'azienda e variano in funzione delle scelte fatte dal management circa la struttura organizzativa e i livelli di performance che si desidera raggiungere;
obiettivi di reporting: riguardano l'affidabilità delle informazioni fornite dal reporting che devono essere accurate, complete e coerenti con i fini perseguiti. Il riferimento è ai report elaborati ai fini interni ed esterni che possono includere informazioni contabili e non contabili;
obiettivi di compliance: riguardano l'osservanza delle leggi e dei regolamenti in vigore, applicabili all'azienda. Sono determinati da fattori esterni e tendono ad essere simili, in alcuni casi, per qualsiasi tipo di azienda; in altri casi, differiscono a seconda del settore di appartenenza. Il modo in cui un'azienda è conforme alle leggi e ai regolamenti può incidere significativamente, in senso positivo o negativo, sulla reputazione che la stessa gode in seno alla comunità economica.
Gli obiettivi devono essere chiari e misurabili: tutto il personale deve avere una univoca
comprensione e conoscenza di ciò che si dovrà realizzare e disporre di adeguati strumenti di misurazione rispetto a ciò che si è realizzato.
56 Elaborazione sintetica dell'argomento. Cfr. CoSO, La gestione del rischio aziendale. ERM - Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, op. cit., pag. 39 e segg.
58
Il processo di definizione degli obiettivi, sia a livello aziendale sia a livello di singola attività, consente all'azienda di identificare i fattori critici di successo, elementi chiave della performance, necessari per conseguire gli obiettivi.
Partendo dalla mission, infatti, il management definisce gli obiettivi strategici, formula la strategia e determina i relativi obiettivi operativi, di conformità e di reporting.
Gli obiettivi definiti a livello aziendale, successivamente, sono collegati ed integrati con obiettivi ancora più specifici che fluiscono, a cascata, per tutta la struttura organizzativa, dando luogo a sotto - obiettivi definiti per le varie tipologie di attività.
Il management, infine, esaminando le varie alternative possibili per conseguire gli obiettivi strategici, identifica i rischi connessi alle differenti scelte strategiche e considera le loro implicazioni.
Mentre la mission e gli obiettivi strategici sono normalmente immutati, ovvero non soggetti a significative variazioni nel tempo, le strategie e molti degli obiettivi correlati sono più dinamici e sensibili a rettifiche al modificarsi delle condizioni interne ed esterne.
Conseguimento degli obiettivi
Un ERM efficace fornisce una ragionevole sicurezza che gli obiettivi di reporting e di conformità siano conseguiti.
Il raggiungimento di queste due categorie, basate in notevole misura su norme e regole imposte da terzi esterni, è costantemente sotto il controllo dell'azienda, poiché una volta fissati tali obiettivi, l'organizzazione è in grado di conseguirli avendo il pieno dominio delle attività aziendali sottostanti.
Diverso è il caso degli obiettivi strategici ed operativi, il cui conseguimento rientra solo in parte nella sfera del controllo dell'azienda data la presenza di eventi esterni difficilmente prevedibili o di giudizi e decisioni errate.
Per queste categorie, l'ERM può solo garantire una ragionevole sicurezza che il management e, nel suo ruolo di vigilanza, il consiglio di amministrazione siano tempestivamente informati della misura in cui si stanno conseguendo gli obiettivi.
Tuttavia l'implementazione del modello, nel suo complesso, rafforza la capacità dell'azienda di prendere decisioni migliori.
59
2.2.3. L'identificazione degli eventi
L'identificazione degli eventi57, fase più importante del processo di risk management, comporta l'esame di una varietà di fattori potenziali, di origine interna ed esterna, che possono dar luogo a rischi ed opportunità nel contesto globale dell'organizzazione. I rischi, che possono pregiudicare la capacità dell'azienda di realizzare la strategia e di conseguire gli obiettivi, richiedono una valutazione e una risposta da parte del management; viceversa, le opportunità comportano un riesame delle strategie definite in precedenza o dei processi di formulazione degli obiettivi in atto.
Il management, nell'identificare un evento, è sicuro solo della sua incertezza: non sa se l'evento accadrà e non conosce il suo preciso impatto nel caso in cui si verifichi.
Per tali ragioni, solo una volta individuati i principali fattori interni ed esterni all'azienda, all'origine di tali eventi, il management può valutarne la significatività, orientandosi esclusivamente su quelli in grado di pregiudicare il conseguimento degli obiettivi aziendali (Approfondimento 15).
Approfondimento 15 - I principali fattori, di origine interna ed esterna, alla base degli eventi CATEGORIE DI EVENTI
FATTORIESTERNI FATTORI INTERNI
ECONOMICI
Disponibilità di capitali, emissione di prestiti, liquidità, mercati finanziari, disoccupazione, concorrenza, fusioni e acquisizioni
AMBIENTALI
Inquinamento, rifiuti, energia, catastrofi naturali e sviluppo sostenibile
POLITICI
Cambiamenti nel contesto politico, legislazione, politiche pubbliche e regolamentazione
SOCIALI
Gusti dei consumatori, cambiamenti demografici, nazionalità delle aziende, privacy e terrorismo TECNOLOGICI
Commercio elettronico e tecnologia emergente
INFRASTRUTTURE
Disponibilità e potenzialità delle risorse materiali, accesso ai capitali e complessità
PERSONALE
Potenzialità delle risorse umane, frodi, salute e sicurezza
PROCESSO
Risorse, disegno, esecuzione, fornitori e potere contrattuale
TECNOLOGIA
Integrità e disponibilità dei dati, scelta del sistema, sviluppo, diffusione e manutenzione
Fonte: CoSO, La gestione del rischio aziendale. ERM, Milano, Il Sole 24 Ore, 2006
57 Elaborazione sintetica dell'argomento. Cfr. CoSO, La gestione del rischio aziendale. ERM - Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, op. cit., pag. 47 e segg.
60
Al fine di stilare un adeguato ordine di priorità, gli eventi devono essere identificati sia a livello aziendale che di singola attività.
Può risultare, infatti, conveniente raggruppare gli eventi potenziali simili in categorie: aggregandoli orizzontalmente, a livello aziendale, e verticalmente, a livello di unità operativa, il management può capire meglio le relazioni di interdipendenza che intercorrono tra gli eventi al fine di determinare dove è più conveniente dirigere gli sforzi per gestire il rischio.
Quanto detto costituisce un ausilio per indirizzare, successivamente, la fase di valutazione del rischio sulle principale unità operative o funzionali.
Tecniche applicative
In certi casi, è ragionevolmente facile identificare gli eventi potenziali ed i loro impatti, collegandoli a specifici obiettivi, alla tolleranza al rischio e alle unità di misura.
In altri casi, invece, il processo non è così immediato tanto da richiedere l'impiego di una cosiddetta metodologia, che può consistere in una combinazione di tecniche supportate da un'insieme di strumenti, per l'identificare degli eventi stessi.
Le tecniche considerano sia il passato sia il futuro e possono avere un livello di sofisticazione molto variegato: anche se numerose tecniche sono specifiche del settore economico di appartenenza dell'azienda, gran parte derivano da approcci di generale utilizzo. Per esempio, i settori dei servizi finanziari, dei servizi sanitari e della sicurezza utilizzano tecniche denominate loss event tracking, che a partire da un'analisi degli eventi storici più comuni, finiscono per alimentare, con dati rilevanti, un sofisticato modello di previsione. Le aziende, viceversa, dotate di un avanzato processo di gestione del rischio, impiegano normalmente un misto di tecniche, indagando sia gli eventi passati sia gli eventi futuri potenziali.
Tali tecniche possono, inoltre, differenziarsi in base all'area in cui sono impegnate: alcune prevedono un'analisi dettagliata dei dati per poi ordinare gli eventi individuati partendo dal basso verso l'alto della struttura organizzativa; altre procedono in maniera inversa, dall'alto verso il basso.
In sintesi, l'ampiezza dell'analisi, la tempistica ed i metodi per identificare gli eventi variano da un'azienda ad un'altra, adattandosi alla specifica filosofia di gestione del rischio posta in essere nell'organizzazione oggetto di indagine.
61
Tra le tecniche più comunemente utilizzate, che possono essere applicate congiuntamente e contemporaneamente, troviamo58:
o catalogo degli eventi, si tratta di un elenco dettagliato degli eventi potenziali comuni a tutte le aziende che operano in un settore specifico oppure ai processi o alle attività che riguardano più settori (risk framework).
Tecnica maggiormente adoperata dalle aziende, in quanto di facile applicazione e adattabile a vari contesti, può essere impiegata, per esempio, per specifici progetti o processi e può essere utile per acquisire una visione coerente delle attività similari all'interno dell'organizzazione. Gli eventi potenzialmente rischiosi sono organizzati, generalmente, in categorie secondo la loro natura interna o esterna o sulla base della distinzione degli obiettivi aziendali.
Il catalogo è elaborato dal personale dell'azienda o ricavato da informazioni generali