L’Enterprise Risk Management
2.5 L’ERM secondo il COSO framework del
In letteratura esistono molte definizioni di Enterprise Risk Management. Senza dubbio una delle più rilevanti e conosciute è quella elaborata dal Committee of Sponsoring Organizations of the Treadway Commission (COSO)44: “l’Enterprise Risk Management è un processo, posto in essere dal consiglio di amministrazione, dal
management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in
tutta l’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività
aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza
sul conseguimento degli obiettivi aziendali45”. Tale definizione è molto ampia, e racchiude tutti gli elementi
essenziali dell’ERM, il quale:
- è un processo continuo e persuasivo, riguardante tutta l’organizzazione; - posto in essere da soggetti di tutti i livelli organizzativi;
- implementato per la definizione di strategie in tutta l’organizzazione, sia a livello di singole attività sia nel suo complesso;
- elaborato per gestire il rischio entro i limiti tollerabili e rilevare i potenziali eventi che potrebbero influire sull’impresa;
- in grado di fornire al consiglio di amministrazione e al management solo una ragionevole sicurezza sul raggiungimento degli obiettivi, i quali possono essere sì distinti in diverse tipologie, ma che potrebbero in ogni caso sovrapporsi [Associazione Italiana Internal Auditors, 2006].
2.5.1 Processo continuo e pervasivo
L’ERM si caratterizza per essere un processo continuo e pervasivo, non isolato o statico, il quale prevede azioni che interagiscono simultaneamente l’una con l’altra in tutto il sistema, e che dipendono dalla modalità con cui il management gestisce l’azienda. La gestione del rischio non44 Il Committee of Sponsoring Organizations of the Treadway Commission è un’iniziativa congiunta di cinque
organizzazioni statunitensi del settore privato (Institute of Management Accountants, American Accounting Association,
American Institute of Certified Public Accountants, Institute of Internal Auditors e Financial Executives International), il
cui scopo è definire una leadership di pensiero attraverso lo sviluppo di linee guida e modelli riguardo tre elementi fra loro correlati, quali la gestione del rischio d’impresa, il controllo interno e la dissuasione delle frodi. Per quanto riguarda l’ERM, il COSO ha pubblicato nel 2004 il modello intitolato “Enterprise Risk Management - Integrated Framework”, aggiornato nel 2017 dall’Enterprise Risk Management – Integrating with Strategy and Performance”.
45 Cit. Associazione Italiana Internal Auditors, 2006, pag. 15. La definizione originale è la seguente: “ERM is a process,
effected by an entity’s boards of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”.
è da considerare solo come un ulteriore onere o attività aggiuntiva, ma è parte integrante dell’operatività quotidiana, anche se ovviamente la sua implementazione può comportare dei costi. L’ERM diventa uno strumento per raggiungere gli obiettivi aziendali quando tali meccanismi sono parte integrante della struttura e cultura dell’organizzazione.
2.5.2 Posto in essere da persone
L’ERM è un processo realizzato dai soggetti che operano in azienda, ossia dal consiglio di amministrazione, dal management e dagli altri dipendenti, che orientati alla realizzazione della mission e degli obiettivi aziendali, pongono in atto i meccanismi per l’attuazione del processo. Allo stesso tempo il risk management integrato influenza i comportamenti stessi delle persone, essendo un vero e proprio punto di riferimento. Devono essere quindi ben chiare e delineate le mansioni e responsabilità dei diversi soggetti, affinché il rischio sia gestito nel miglior modo possibile nel contesto aziendale.
2.5.3 Implementato per la definizione di strategie
Per realizzare le proprie finalità, l’azienda deve implementare una strategia che permetta di raggiungere gli obiettivi specifici di tutti i singoli livelli organizzativi. L’ERM è uno strumento utile per la formulazione delle strategie, poiché il management può considerare i rischi che minacciano le varie opzioni strategiche prese in considerazione, e scegliere così quella ottimale. È necessario infatti che gli obiettivi siano coerenti con la missione e visione aziendale posta alla base.2.5.4 Impiegato in tutta l’organizzazione
Il sistema integrato di gestione dei rischi è utilizzato in tutta l’organizzazione: a livello complessivo, per le attività di pianificazione strategica o allocazione delle risorse, a livello di singole unità organizzative, come il marketing, e a livello di processo operativo, come la produzione. Affinché sia determinato e considerato il rischio a livello globale, i responsabili di ogni unità o attività devono formulare una valutazione, qualitativa o quantitativa, del rischio a cui sono soggetti. Queste valutazioni saranno poi aggregate per avere un quadro complessivo di quale sia il rischio aziendale, e il suo allineamento con il livello di rischio accettabile. I manager inoltre devono determinare la correlazione a livello aziendale tra i singoli rischi, e fare in modo che il rischio complessivo sia in linea con il rischio accettabile. Può succedere infatti che il rischio della singola unità operativa sia adeguato alla soglia ritenuta accettabile per l’unità stessa, ma che la somma di tutti i singoli rischi ecceda il rischio accettabile complessivo. In altri
casi al contrario, il rischio considerato nelle singole unità potrebbe eccedere il limite accettabile, ma a livello complessivo potrebbero esserci delle compensazioni per cui il rischio aziendale è allineato con quello sopportabile. L’ERM può inoltre essere utilizzato per la realizzazione di progetti speciali o nuove iniziative per le quali non sono state ancora attribuite le relative responsabilità.
2.5.5 Rischio accettabile
Il processo di ERM deve essere definito entro delle soglie di rischio accettabile, delineate in base alla propensione al rischio (risk appetite) dell’impresa. Il risk appetite è la propensione al rischio di un’impresa, ossia quanto quest’ultima è disposta o meno ad assumersi dei rischi46. Ledeterminanti del livello di propensione al rischio devono essere in linea con la cultura organizzativa e con le strategie aziendali. Il rischio accettabile di conseguenza riflette la filosofia di gestione del rischio ed è strettamente legato alla strategia. La gestione integrata del rischio fornisce ai manager un valido strumento per scegliere la strategia in grado di realizzare gli obiettivi predeterminati, e che allo stesso tempo crea valore entro i limiti di rischio accettabile. Dopo che l’impresa ha determinato il livello di risk appetite tutte le decisioni successive verranno intraprese avendo come riferimento tale limite.
Il rischio accettabile inoltre può essere un ottimo strumento per guidare l’allocazione delle risorse: il management distribuisce le risorse tra le diverse unità operative considerando il rischio accettabile dell’impresa, con lo scopo da generare un certo profitto dalle risorse allocate. Anche la tolleranza al rischio, ossia lo scostamento massimo consentito rispetto il limite prefissato, deve essere allineata al rischio accettabile, considerando l’importanza degli obiettivi.
2.5.6 Fornire una ragionevole sicurezza
L’ERM non è un modello assoluto e perfetto: anche una sua corretta e ben congegnata implementazione non garantisce il successo dei risultati. Il concetto di ragionevole certezza infatti è legato al fatto che è impossibile prevedere il futuro con certezza, in quanto possono sempre accadere degli eventi inaspettati o errori. Allo stesso tempo non significa che l’ERM sia inaffidabile, solamente che esso comporta una ragionevole sicurezza nella realizzazione degli obiettivi, non una certezza assoluta.
46 “Risk appetite is the firm’s view on what risks it is willing or unwilling to take”, Girling P. (2013), Operational Risk
2.5.7 Conseguimento degli obiettivi aziendali
Infine, l’ERM ha lo scopo primario di aiutare l’impresa a gestire i rischi connessi al raggiungimento degli obiettivi aziendali. I manager devono infatti selezionare un’opportuna strategia e stabilire degli obiettivi coerenti ad essa da attribuire ai vari livelli organizzativi. Gli obiettivi devono essere definiti chiaramente, e nel modello di COSO sono divisi in quattro tipologie:
- obiettivi strategici: sono obiettivi generali, stabiliti ai livelli gerarchici più elevati, coerentemente alla missione aziendale;
- obiettivi operativi: riguardano l’efficienza ed efficacia dell’impiego di risorse;
- obiettivi di reporting: si riferiscono all’affidabilità, qualità e frequenza delle informazioni fornite dal sistema di reporting, di importanza fondamentale per i vari
stakeholder; - obiettivi di conformità: riguardano l’osservanza delle leggi e dei regolamenti aziendali, i quali stabiliscono degli standard di comportamento. Tali obiettivi devono essere identificati in modo corretto affinché anche i relativi rischi possano essere delineati in modo corretto, essendo il rischio “the possibility that an event will occur and adversely affect the achievement of objectives” [COSO, 2004]. Questa distinzione consente di evidenziare diversi aspetti dell’ERM, poiché tali categorie sono collegate a differenti esigenze di un’impresa. Un determinato obiettivo può inoltre ricadere all’interno di più categorie ed essere sotto la responsabilità di più manager.
L’ERM inoltre fornisce una ragionevole certezza solamente per gli obiettivi riguardanti il reporting e la conformità delle leggi, essendo sotto il diretto controllo dell’azienda. Infatti, queste due tipologie di obiettivi sono basate soprattutto da norme poste da soggetti esterni all’impresa, e il loro conseguimento dipende dal modo con cui si svolgono le attività aziendali, perfettamente controllabili dall’impresa. Il raggiungimento degli obiettivi strategici ed operativi dipende invece da influenze esterne e spesso non controllabili da parte dei manager. L’ERM tuttavia può aumentare la probabilità che quest’ultimi assumano le decisioni ottimali, informandoli in modo tempestivo riguardo la realizzazione degli obiettivi prefissati [Associazione Italiana Internal Auditors, 2006].