La capacità di gestire i rischi è una fonte di vantaggio competitivo e un modo per aumentare il valore per gli azionisti. La crisi finanziaria degli ultimi anni ha messo in luce la necessità di migliorare le imprese a livello di procedure di gestione del rischio. Al fine di affrontare le principali carenze evidenziate da l'attuale crisi finanziaria, le istituzioni finanziarie dovrebbero ripensare al piano di compensazione. Allo stesso tempo, l'evoluzione dei mercati finanziari globali impone un potenziamento dell'attuale regolamentazione e sistemi di regolamento al fine di rispondere ai nuovi rischi sistemici, per assicurare la stabilità finanziaria e contribuire alla governance finanziaria globale.
La crisi del credito ha provocato perdite di oltre 400 miliardi di dollari nelle svalutazioni di attività nel settore dei servizi finanziari, perciò i programmi e le componenti di gestione del rischio d'impresa (ERM) sono oggi più che mai richiesti per aiutare gli enti a aggregare il rischio e trattalo in modo olistico. L’ERM permette ai membri del consiglio di amministrazione di conoscere il potenziale di eventi avversi ed essere sufficientemente consapevoli delle fonti di rischio nell'area di business in cui operano, per avere l'opportunità di intraprendere azioni preventive.
Il concetto di Enterprise Risk Management è sorto circa negli anni ‘90, non è possibile fornire una data esatta perché si è sviluppato come effetto dell’evoluzione dei diversi approcci del risk management, ma si può affermare che ha cominciato a suscitare maggiore attenzione in tutti i settori, proprio dopo la crisi del 2008, perché si è capito la necessità di un approccio all’avanguardia. In generale, ERM propone un metodo esauriente su come viene creato e gestito un portafoglio di rischi aziendali, il suo obiettivo è gestire e mitigare il maggior numero di rischi possibili.
L’ERM è anche preventivo in quanto i rischi sono gestiti in modo proattivo, infatti i rischi sono previsti e gestiti prima che si verifichino piuttosto che reagire una volta che i problemi si siano già verificati. La mancata attuazione di una tale politica olistica di gestione del rischio può portare a una drammatica sottovalutazione della reale posizione di rischio. Ciò è stato evidente nell'attuale crisi dei mercati finanziari. Per una corretta gestione del rischio, è essenziale identificare i rischi sistematici per i quali la diversificazione del portafoglio non funziona.
L’ERM nasce dal riconoscimento dei limiti di un approccio standard che significava una gestione del rischio a livello di ciascuna business unit, con una evidente separazione dei compiti, non tenendo in considerazione le interrelazioni esistenti tra i diversi rischi, caratteristico di un approccio integrato. L’ERM invece mira a introdurre processi di gestione integrata dei rischi, a livello di organizzazione, per fornire loro una visione perfezionata della gamma di rischi che affrontano. L'obiettivo è avere un reporting coerente delle informazioni in tutta l'azienda, magari all'interno dell'organizzazione sulla base di informazioni standardizzate. Un simile approccio può essere realizzato attraverso una valutazione top-down seguita da una valutazione bottom-up. La valutazione dall'alto verso il basso del rischio implica parlare con il vertice aziendale e passare attraverso la catena di comando per determinare quanto ogni unità dell'azienda sia parte integrante del buon funzionamento dell'azienda. Non tutte le unità aziendali sono uguali per quanto riguarda il loro possibile impatto su un'azienda; pertanto, questo esercizio determinerà quali dipartimenti sono essenziali per il funzionamento dell'azienda. La valutazione bottom-up è al centro della valutazione del rischio ERM di un'azienda. In questo processo, i dirigenti di tutti i livelli dell'azienda dovrebbero essere intervistati, iniziando dal livello più basso e procedendo verso l'alto.
Esistono molte varianti della definizione di ERM, tra cui le seguenti:
“ERM emerges as a framework or structured approach combining strategies, resources,
technology, and knowledge to assess and manage the uncertainties that various enterprises face as value is being generated”79;
“The purpose of enterprise risk management (ERM) programs, is to enable management to understand the organization’s risk environment and make decisions to optimize performance within that environment” 80; “The process by which companies identify, measure, manage and disclose all key risks to increase value to stakeholders” 81; “ERM seeks to strategically consider the interactive effects of various risk events with the goal of balancing an enterprise’s portfolio of risks to be within the stakeholders’ appetite for risk. The ultimate objective is to increase the likelihood that strategic objectives are realized and value is preserved and enhanced”82; “The goal of ERM is to ensure that structures, processes, and communications are in place to promote the achievement of the following three critical elements of ERM: Risk governance oversight and leadership; risk identification assessment, mitigation and monitoring; and risk quantification and reporting”83;
“L’ERM è un approccio rigoroso nella valutazione e nella determinazione del rischio, di qualsiasi natura, che minaccia il raggiungimento degli obiettivi strategici di un’azienda. Allo stesso tempo l’ERM identifica quei rischi che possono rappresentare opportunità da sfruttare per ottenere un vantaggio competitivo” 84; 79 Hoffman in Fadun, O. S. (2013), Promoting ‘Enterprise Risk Management’ adoption in business enterprises: Implications and challenges, International Journal of Business and Management Invention, 2(1), 69-78. 80 Kimmel B. B., Anderson G. E., 2010, ERM Myths & Truths, Financial Exec- utive, Vol. 1 Dicembre, pp.48-50. 81 Segal S., 2011, Corporate value of Enterprise Risk Management: the next step in business management, Wiley. 82 Beasley, M. S., Frigo, M. L., Fraser, J., & Simkins, B. J., ERM and its role in strategic planning and strategy execution, 2010 In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 31-50. 83 Fraser, J., & Simkins, B. J., Enterprise Risk Management: Current Initiatives and Issue, 2010. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 479-503.
“Enterprise risk management is a process, effected by an entity's board of directors,
management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”85.
L’ERM significa ancora diverse cose per persone diverse, ma possiamo tenere in considerazione la definizione data nel 2004 dal COSO (Committee of Sponsoring Organizations of the Treadway Commission) come punto di riferimento dell’analisi ERM, perché lo ha chiaramente identificato come uno strumento caratterizzato da fasi, attori e modalità definiti di interazione. Dunque si tratta di un:
• Processo à ERM non è di un evento isolato nel tempo o qualcosa di immutabile bensì è un insieme continua di azioni necessaria per tutta l’organizzazione, applicabile anche da enti non profit e pubblici;
• Posto in essere dalle persone à in generale da persone che operano all’interno della struttura organizzativa occupando diverse posizioni e livelli. In particolare, L’ERM viene usato dal consiglio di amministrazione, dal management per l’attività di supervisione, indirizzo e approvazione delle strategie, operazioni e politiche; • Utilizzato per la formulazione delle strategie à la definizione delle strategie di
ogni azienda deve essere in coerenza con le sue missione ed obiettivi. Si parte dagli obiettivi strategici, si arriva a definire quelli operativi specifici delle varie divisioni, unità operative e processi aziendali, in ciascuna di questi passaggi l'ERM è da supporto ai decisori per l’attività di identificazione e valutazione dei rischi relativi alle varie alternative possibili;
• Utilizzato da persone à in tutta l'organizzazione e per tutte le attività, dalle singole operazioni, come l’approvvigionamento, a quelle svolte a livello di unità operativa, come l’attività di marketing, o a livello di processo, ad esempio la produzione. Dunque si tratta di un processo multi-direzionale ed interattivo;
• Progettato per individuare eventi potenziali di rilievo à l’ERM serve a decifrare i rischi e le opportunità, derivanti da fattori interni ed esterni, attraverso le metodologie, le tecniche e gli strumenti messe a disposizione per migliorare e rendere efficace l'identificazione e la valutazione degli eventi;
• Per gestire il rischio entro limiti accettabili àsiccome i rischi non sono del tutto eliminabili bisogna trovare questo range per collocare i residui che permangono dopo le azioni di risk management. Il rischio accettabile o la propensione al rischio consiste nella quantità di rischio che un'azienda è disposta ad accettare nel perseguire i suoi obiettivi strategici. Come abbiamo già discusso in precedenza questo è fondamentale per avviare il processo di gestione di rischio di un’azienda perché influenza profondamente le sue decisioni strategiche ed operative: una notevole propensione al rischio si traduce nella disponibilità ad investire ingenti risorse anche in attività ad alto rischio (i nuovi mercati emergenti); mentre se un soggetto ha bassa propensione al rischio decide spesso di scegliere investimenti in mercati maturi e stabili per limitare il rischio legato alle perdite;
• Fornisce una ragionevole sicurezza sul conseguimento degli obiettivi aziendali à essendo il rischio e l’incertezza fenomeni che riguardano il futuro, e non sono nemmeno del tutto controllabile e calcolabili, anche se l’ERM è ben concepito e ben funzionante, non può dare l’assoluta sicurezza circa il conseguimento degli obiettivi aziendali. Ci sarà sempre da tenere in considerazione un adeguato margine di errore o incertezza.
Dunque, ciò che caratterizza fondamentalmente questo approccio di gestione dei rischi aziendali è proprio la visione olistica dell’intera organizzazione aziendale, inglobando l’ecosistema circostante in cui opera l’azienda. L’ERM pone particolare attenzione sulle strategie di business, tenendo in considerazione il posizionamento sul mercato e l’intero sistema azienda. Nel fare ciò l’organizzazione deve adottare un sistema di analisi trasversale e interdipendente o interfunzionale, quindi un efficace modello di ERM necessita il coinvolgimento dei vari livelli. Esso richiede anche la diffusione della cultura del rischio all’interno dell’organizzazione accompagnata da una buona comunicazione con lo esterno.