L’Enterprise Risk Management secondo il COSO Framework Il Committee of Sponsoring Organizations 82 (COSO) of the Treadway Commission,

l’organizzazione privata americana leader nello sviluppo di codici di autodisciplina di governo societario, nel 1992 ha pubblicato l’Internal Control – Integrated Framework con l’obiettivo di aiutare le aziende a valutare ed a migliorare i propri sistemi di controllo interno. Questa pubblicazione ha costituito, sin da allora, uno standard di riferimento completo ed appropriato per dirigenti, amministratori, legislatori, autorità di vigilanza, organizzazioni professionali ed altri operatori, ed è stato adottato da migliaia di imprese per migliorare il controllo sulle attività allo scopo di raggiungere gli obiettivi strategici prefissati83_.

Nell’ultimo ventennio la preoccupazione e l’attenzione alla gestione del rischio sono cresciute enormemente, ed è diventata sempre più necessaria l’elaborazione di un quadro normativo solido in grado di identificare in modo efficace, valutare e gestire il rischio aziendale. Nel 2001, COSO ha avviato un progetto con l’aiuto di Price Waterhouse

Coopers (PWC), per sviluppare un framework facilmente utilizzabile dal management

per valutare e migliorare la gestione aziendale dei rischi nelle proprie organizzazioni. Il periodo durante il quale il COSO Framework veniva sviluppato è stato caratterizzato da una serie di scandali finanziari e fallimenti bancari in cui investitori, lavoratori e altri

stakeholders hanno subito delle perdite ingenti. In seguito a questi eventi disastrosi, a

gran voce veniva richiesta l’emanazione di una serie di normative e regolamenti più stringenti in materia di Corporate Governance e Risk Management. Il Committee of Sponsoring Organizations è giunta quindi all’elaborazione dell’Enterprise Risk

Management – Integrated Framework, un quadro normativo che definisce le

componenti fondamentali, suggerisce un linguaggio comune e fornisce indicazioni chiare per l’implementazione di un progetto di Enterprise Risk Management, al fine di aiutare le aziende a gestire efficacemente il rischio d’impresa.

Il Committee of Sponsoring Organizations of the Threadway Commission definisce l’Enterprise Risk Management come “un processo, posto in essere dal consiglio di

amministrazione, dal management e da altri operatori della struttura aziendale;

82 _{Sito web del Committee of Sponsoring Organizations (COSO): http://www.coso.org}

83 _{Committee of Sponsoring Organizations of the Treadway Commission, “COSO ERM Executive Summary”,} 2004, (www.coso.org).

44

utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”84_.

Nella definizione appena fornita, il COSO esalta la funzionalità strategica che caratterizza l’Enterprise Risk Management e lo contraddistingue dal Risk Management Tradizionale. L’ERM costituisce uno strumento molto utile in sede di formulazione delle strategie poiché permette di identificare eventi potenziali che potrebbero influire sull’attività aziendale e per mantenere quindi il profilo di rischio complessivo entro dei limiti ritenuti accettabili. Tuttavia l’adozione dell’ERM non garantisce esiti positivi, in quanto non consiste in un insieme di rigide regole prestabilite, valide in ogni contesto, che se rispettate alla lettera portano al conseguimento certo di determinati obiettivi. L’ERM fornisce piuttosto una serie di indicazioni guida ragionevoli (best practices) ed utili alla gestione integrata del rischio che, diffuse capillarmente in tutta l’organizzazione, incrementano le possibilità per l’impresa di raggiungere i propri obiettivi di lungo periodo.

Il processo di Enterprise Risk Management, definito come COSO ERM Framework

Model, può essere rappresentato graficamente (figura 2.6) attraverso un cubo a 3

dimensioni (4 x 8 x 5) composto di:

84 _{Committee of Sponsoring Organizations of the Treadway Commission, Op. Cit.} Figura 2.6 - COSO Enterprise Risk Management Framework

Fonte: COSO ERM Executive Summary, 2004.

45

- quattro colonne verticali (parte superiore del cubo) che rappresentano gli obiettivi strategici della gestione del rischio;

- otto righe orizzontali che costituiscono le componenti di rischio;

- cinque livelli organizzativi in cui l’impresa risulta suddivisa, dalla singola business

unit all’impresa nel suo complesso (gruppo).

2.3.1 Gli obiettivi dell’Enterprise Risk Management

Nell’ambito della mission e della vision aziendale, il management definisce gli obiettivi strategici, sceglie la strategia e fissa degli obiettivi specifici in coerenza con essa, assegnandoli ai vari livelli della struttura organizzativa. Gli obiettivi aziendali che l’ERM si propone di classificare e conseguire possono essere classificati nelle seguenti quattro categorie85_:

• Obiettivi strategici (strategic objectives): sono gli obiettivi di natura generale e definiti ai livelli più elevati della struttura organizzativa (top management), allineati e a supporto della mission aziendale; essi evidenziano l’importanza di collegare l’assessment dei rischi alla struttura degli obiettivi strategici, estrapolandone direttamente l’identificazione dei fattori di rischio.

• Obiettivi operativi (Operations objectives): riguardano l’impiego efficace ed efficiente delle risorse aziendali; l’ERM suggerisce di identificare e valutare i fattori di rischio che possano compromettere il conseguimento degli obiettivi di un corretta conduzione delle operations aziendali.

• Obiettivi di reporting (Reporting objectives): riguardano l’affidabilità delle informazioni fornite dal reporting; evidenziano, inoltre, che l’importanza dei sistemi di reporting non riguarda solamente l’attendibilità dei dati di bilancio, ma anche la componente non economico-finanziaria del reporting. Ciò implica, in fase di identificazione e valutazione dei fattori di rischio, la considerazione anche di quei fattori che possono compromettere la qualità delle informazioni.

• Obiettivi di conformità (Compliance objectives): riguardano l’osservanza delle leggi e dei regolamenti emanati dalle autorità competenti, e spingono

85 _{Moeller R. R., “COSO Enterprise Risk Management”, Wiley, Seconda Edizione, 2011.}

46

all’attenzione infusa nell’identificazione dei fattori che possono mettere a repentaglio il rispetto delle norme in vigore.

Queste categorie di obiettivi distinte, ma connesse o sovrapponibili (un determinato obiettivo può rientrare in più di una categoria) riguardano esigenze diverse dell’azienda e possono essere di competenza diretta di uno o più manager86_{. La classificazione}

consente di distinguere quanto ci si può attendere da ciascuna categoria di obiettivi. Poiché gli obiettivi riguardanti l’affidabilità del reporting e la conformità alle leggi e ai regolamenti sono sotto il diretto controllo dell’azienda, l’ERM è in grado di fornire una ragionevole sicurezza per il conseguimento di questa tipologia di obiettivi. Il conseguimento degli obiettivi strategici e operativi è soggetto a eventi esterni che non sempre rientrano nella sfera di controllo dell’azienda; di conseguenza, la gestione del rischio può solo fornire una ragionevole sicurezza che il management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si stanno realizzando detti obiettivi.

2.3.2 Le componenti del rischio d’impresa

L’ERM è costituito da otto componenti interconnesse fra loro87_{, derivanti dal modo in}

cui il management gestisce l’azienda ed integrati con i processi operativi. Queste componenti sono:

1. Ambiente interno (Internal Environment): costituisce l’identità essenziale di