Enterprise Risk Management Framework: CoSo 2007

1.4 L’evoluzione del Risk Management

2.1.1 Enterprise Risk Management Framework: CoSo 2007

Nel 2004 il CoSo ha prodotto l’‘Enterprise Risk Management Framework’, la prima guida al mondo che tratta il tema della gestione integrata del rischio. Questo documento si è basato fortemente sui temi già affrontati dal CoSo stesso in termini di risk management nella pubblicazione ‘Internal Control - Integrated Framework’ del 1992, dove si definiva la gestione del rischio come ‘la parte centrale della strategia aziendale. È il processo attraverso cui le imprese collegano i rischi relativi a ciascuna attività con i corrispondenti obiettivi aziendali, in un’ottica allargata all’intero portafoglio di attivi- tà’.8 _{In seguito, nel 2007, il CoSo ha pubblicato un ‘upgrade’ del precedente documento,}

mantenendo invariate le basi, ma ampliando sia i principi guida, sia le materie trattate.

5_{Il decreto legislativo del 19 giugno 2001 introduce la responsabilità amministrativa e penale delle}

imprese per reati compiuti da amministratori, manager o dipendenti. Decreto legislativo 8 giugno 2001, n.231. 2001. url: http://www.camera.it/parlam/leggi/deleghe/01231dl.htm

6_{Il piano di continuità aziendale rappresenta il documento in cui sono riportate tutte le attività e i}

piani che l’impresa ha progettato al fine di perseguire l’economicità.

7_{Per ulteriori approfondimenti si rimanda al testo reperibile sul sito della borsa italiana Codice di}

Autodisciplina. 2006. url: http : / / www . borsaitaliana . it / borsaitaliana / ufficio - stampa / comunicati-stampa/2006/codiceautodisciplina_pdf.htm

Internal Control - Integrated Framework. 1992. url: http : / / www . snai . edu / cn / service / library/book/0-framework-final.pdf.

Nel nuovo documento l’enterprise risk management è individuato come un modello tridi- mensionale, applicabile a qualsiasi impresa e comprendente tutte le tipologie di rischio. Le tre dimensioni individuate, che devono essere strettamente collegate fra loro sono:

1. gli obiettivi aziendali, sia strategici sia operativi, il rispetto delle normative (com- pliance) e il sistema di reporting, i quali sono elementi necessari a fornire supporto ai fini di valutare la gestione del rischio;

2. le componenti del sistema di controllo interno, quali:

• la cultura manageriale d’impresa (internal environment), intesa come l’insie- me di standard, processi e strutture che pone le basi per il funzionamento del controllo interno, e comprende: i valori etici e di integrità sociale, le re- sponsabilità poste in mano al vertice, la distribuzione delle responsabilità e dell’autorità lungo la struttura organizzativa, l’individuazione e lo sviluppo di competenze individuali e il sistema delle ricompense adottato;

• la definizione degli obiettivi di controllo armonizzati con quelli strategici (objective setting);

• i processi d’identificazione e rilevazione di eventi impattanti (event identifi- cation);

• i processi di identificazione e misurazione dei rischi (risk assessment), che comprendono: l’individuazione degli obiettivi specifici, l’identificazione e analisi dei rischi, la stima dei potenziali impatti (positivi e/o negativi) e l’individuazione dei processi di controllo interno che permettano di intervenire su tali rischi;

• i processi di gestione del rischio (risk response);

• i controlli finalizzati alla valutazione della gestione dei rischi (control acti- vities), che comprendono: selezione e sviluppo di processi di controllo che permettano di mantenere il rischio all’interno di un limite accettabile, selezione e sviluppo di sistemi informatici di supporto e l’attuazione di processi di controllo così definiti;

• i processi per la comunicazione legata ai risultati di gestione dei rischi (in- formation and communication), comprendenti: la produzione di informazioni rilevanti per supportare il controllo interno, il processo di comunicazione in- terna degli obiettivi e delle responsabilità e la divulgazione delle informazioni rilevanti a terze parti (azionisti, obbligazionisti, ecc.);

• i processi di monitoraggio dei risultati ottenuti (monitoring), che comprendono: l’individuazione dei risultati globali e specifici di ciascuna componente

del sistema di controllo interno e la comunicazione dei mancati obiettivi ai responsabili, al fine di mettere in atto azioni correttive.

3. i diversi livelli organizzativi, partendo dal vertice e arrivando a quelli operativi. Per rappresentare tale modello è utilizzato il ‘cubo’ proposto dallo stesso CoSo9.

Figura 2.1: CoSo Framework.

Fonte: ‘Enterprise Risk Management Framework’ CoSo.

Dopo aver individuato, attraverso il cubo, le componenti necessarie all’implemen- tazione dei sistemi di ERM, il framework prodotto dal CoSo prosegue delineando il processo di attuazione della gestione integrata dei rischi, articolato in cinque fasi:

1. l’individuazione e classificazione dei rischi aziendali;

2. l’identificazione degli indicatori più adatti a individuare i possibili impatti generati dai rischi aziendali;

3. la valutazione dei possibili impatti e della probabilità di manifestazione del rischio, tenuto conto del livello di criticità dell’area in cui il rischio andrà a impattare; 4. la predisposizione e il monitoraggio delle azioni di risposta al rischio;

5. il controllo dell’efficacia dell’intero sistema.

Questo processo, il cui approfondimento sarà effettuato più avanti in questo capitolo, si prefigge il raggiungimento di tre principali categorie di obiettivi:

1. obiettivi operativi, in altre parole il raggiungimento di efficienza ed efficacia nello svolgimento delle operazioni aziendali, inclusi i risultati finanziari ed esecutivi, perseguendo la riduzione di possibili perdite;

2. obiettivi di reportistica, in altre parole il raggiungimento di un sistema di reportistica affidabile, includendo i report finanziari e non, interni ed esterni;

3. obiettivi normativi, in altre parole il raggiungimento di un’operatività che sia in linea con le norme e le regolamentazioni a cui l’impresa è sottoposta.

L’applicazione di questa gestione prevede inizialmente dei costi elevati da sostenere, poiché richiede una spinta armonica di tutta la struttura organizzativa verso il persegui- mento di obiettivi comuni, non sempre facilmente identificabili dai livelli organizzativi più operativi. La motivazione che dovrebbe spingere un’impresa ad attuare tale investi- mento è sicuramente l’ottenimento dei molteplici benefici, i quali si riflettono anche nei confronti di tutti gli stakeholders.

Per l’impresa, l’applicazione di tali linee guida permette di ampliare le attività di controllo interno, legandole alla funzione finanziaria, e rendendo l’operatività aziendale più flessibile, e di identificare i rischi aziendali, sviluppando dei sistemi di gestione che ri- spettino i livelli di accettabilità del rischio propri della società, riducendo di conseguenza i costi legati ad attività di controllo inefficienti, inefficaci e ripetitive e minimizzando l’esposizione ai rischi dell’impresa stessa.

Per gli stakeholders esterni (azionisti, obbligazionisti, fornitori, ecc.) i benefici sono identificabili in una maggior fiducia nella sorveglianza del consiglio di amministrazione nei confronti della funzione di controllo interno e nella capacità dell’impresa di rispon- dere tempestivamente ai rischi a cui è sottoposta, inoltre aumenta la comprensione dei criteri utilizzati per valutare l’operato del controllo interno. Questi aspetti vanno inoltre legati all’aumentata capacità per gli stakeholders di comprendere i benefici ottenuti in termini di riduzione dei costi legati all’attività di controllo e all’esposizione al rischio, e dell’impatto positivo che genera l’utilizzo di una struttura integrata implementata sulla base di standard internazionali.

Nel documento Enterprise Risk Management e struttura organizzativa: analisi dello scenario europeo. (pagine 39-42)