Il sistema di controllo interno rappresenta, come si è constatato, un momento e uno strumento gestionale necessario ai fini di una "corretta" amministrazione: momento, in quanto l'approntamento di presidi organizzativi adeguati rientra nei doveri degli amministratori; strumento, dato che solo mediante i flussi informativi provenienti dai diversi attori che lo compongono è possibile intervenire in modo mirato sulle disfunzioni dell'organizzazione315.
315 La qualificazione del sistema di controllo interno come momento e strumento gestionale è operata
da CHIAPPETTA, Il controllo interno tra compliance normativa e attività gestionale, in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 54, e ripresa da Pirelli nella spiegazione delle finalità del sistema: "Il sistema di controllo interno è, in primo luogo, strumento gestionale, in quanto utile e necessario per il Consiglio di Amministrazione, per gli Amministratori esecutivi e per i managers in generale per esercitare correttamente ed efficacemente i compiti assegnati".
108
Lo studio dei sistemi di controllo interno e gestione del rischio viene prevalentemente condotto mediante un'analisi di tematiche esclusivamente strutturali316. Le relazioni sull'evoluzione della corporate governance delle società quotate curate da Borsa Italiana, oltre a delineare linee di intervento per un miglioramento dell'attività di governo dell'impresa, illustrano infatti un insieme di percentuali che, pur offrendo una rappresentazione sintetica dell'effettiva compliance alle raccomandazioni fornite, non squarciano il velo sull'attività di governo del rischio realizzata all'interno delle società. Tale approccio meramente descrittivo risente della prassi, comune a quasi tutte le società quotate, di realizzare relazioni sul governo societario che spesso si affannano a certificare la conformità delle procedure interne rispetto alle best practices internazionali, senza tuttavia soffermarsi sulle modalità di funzionamento in concreto dei presidi organizzativi approntati317.
316 Tale è la critica avanzata da CHIAPPETTA, op. cit., 53, che, pur ribadendo l'utilità dei dati forniti
da Assonime-Emittenti Titoli, evidenzia come tali relazioni si fondino su una lettura della tematica dei sistemi di controllo interno come "argomento di struttura organizzativa piuttosto che attinente all'attività d'impresa nel suo insieme".
317 A dimostrazione di questo atteggiamento meramente assertivo, la Relazione sul governo societario
e gli assetti proprietari di Pirelli & C. S.p.A., 221, nel paragrafo dedicato al Sistema di Controllo
Interno e Gestione del rischio, si limita a certificare la compliance alle raccomandazioni dell'autodisciplina ("Il sistema di controllo interno e gestione dei rischi della Società è volto a contribuire, attraverso un processo di identificazione, gestione e monitoraggio dei principali rischi nell’ambito della Società, a una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati dal Consiglio di Amministrazione. Il sistema di controllo interno e gestione dei rischi consente l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi nonché l’attendibilità, l’accuratezza, l’affidabilità e la tempestività dell’informativa finanziaria. La responsabilità dell’adozione di un adeguato sistema di controllo interno e gestione dei rischi compete al Consiglio di Amministrazione che, avvalendosi del Comitato Controllo, Rischi, Sostenibilità e Corporate Governance, svolge i compiti allo stesso attribuiti dal Codice di Autodisciplina"). Non viene effettuata alcuna descrizione dell'effettivo funzionamento del sistema né tantomeno delle modalità con cui questo è stato costruito, ma si rinvia ad una "Relazione sulla gestione responsabile della catena
109
Per comprendere l'effettivo funzionamento del sistema è opportuno invece calarsi nella
componente dinamica delle previsioni formulate dall'autodisciplina. Si rende dunque
necessaria un'analisi del "farsi dell'azione imprenditoriale"318, ovvero dell'operatività in concreto dei vari attori che lo compongono all'interno dell'organizzazione dell'impresa. Il sistema di controllo interno e di gestione dei rischi permea l'intera attività d'impresa. Da questo punto di vista il Modello Pirelli di Enterprise Risk Management (ERM) offre un quadro esemplificativo319 del concreto svolgimento dell'attività di identificazione, misurazione, gestione e monitoraggio dei rischi320 a livello aziendale, ovvero dell'effettivo recepimento delle best practices del Codice di Autodisciplina quali
parametri di organizzazione interna dell'attività.
Le regole e le procedure interne attraverso le quali si sviluppa l'attività di governo dei rischi interessano l'impresa "dal momento iniziale dell'acquisto delle materie prime a quello finale della vendita del prodotto finito"321. La presenza di fattori di rischio di diversa natura nelle varie fasi che compongono l'attività rende necessaria l'implementazione di procedure capaci di improntare il business al rispetto di alcune regole cardine, ovvero:
- a) la separazione dei ruoli nello svolgimento delle principali attività inerenti ai singoli processi operativi;
- b) la tracciabilità e la costante visibilità delle scelte;
- c) la gestione dei processi decisionali in base a criteri oggettivi322.
318 L'espressione è di FERRO-LUZZI, I contratti associativi, Milano, Giuffrè, 1971.
319 In ragione del gran numero di informazioni fornite e della complessità strutturale del processo di
Enterprise Risk Management approntato da Pirelli & C. S.p.A.
320 Ovvero delle funzioni a cui sono chiamati gli attori del sistema di controllo interno e gestione dei
rischi ai sensi dell'art.7P1. del Codice di Autodisciplina.
321CHIAPPETTA, op. cit., 55.
110
Ogni processo realizzato nell'ambito dell'esercizio dell'attività deve essere improntato al rispetto di tali regole, che svolgono dunque un ruolo centrale nella costruzione di una struttura organizzativa adeguata323 (in termini di definizione delle responsabilità e dei poteri di rappresentanza).
L'opera di costruzione di un sistema di controllo interno adeguato si fonda su una valutazione dettagliata di tutti i rischi che possono in astratto interessare l'attività d'impresa324. Si conforma un modello di gestione integrata del rischio ispirato sl principio del "turn risk into a choice"325: gli eventi che potrebbero pregiudicare gli obiettivi del Gruppo vengono gestiti tramite interventi che mirano non soltanto a mitigare il fattore di rischio, ma anche a cogliere proattivamente le potenziali opportunità di business326. L’adozione di un sistema di controllo interno e gestione del rischio basato sul modello
Enterprise Risk Management (ERM) dunque sottende un obiettivo ambizioso: un governo
del rischio d'impresa improntato alla salvaguardia delle risorse aziendali ma al tempo stesso costantemente teso alla creazione di valore per tutti gli stakeholders327.
323 E così ad es. le operazioni di acquisto delle materie prime sono caratterizzate: a) dalla
formalizzazione della separazione dei ruoli tra l'ufficio chiamato a scegliere i fornitori e l'ufficio che riceve tale fornitura (alla luce del principio di separazione di ruoli, l'utente finale della fornitura non può anche scegliere il fornitore); b) dall'utilizzo di criteri di natura tecnico-economica nell'attività di selezione e di scelta dei fornitori; c) da una valutazione complessiva ex post sull'adeguatezza delle forniture.
324 Alla luce del modello di controllo interno teorizzato dall'Enterprise Risk Management-Integrated
Framework (ovvero il c.d. CoSO Report II), caratterizzato da un approccio risk-based per la
progettazione e la valutazione dei controlli interni.
325 Così PIRELLI, Governance. Enterprise risk management. Modello di gestione dei rischi. ERM
Pirelli: Philosophy & mission: Turn risk into a choice.
326 A ulteriore conferma del fatto che il rischio è un elemento fisiologico e non patologico dell'esercizio
di un'attività d'impresa.
327 ANACLERIO-MIGLIETTA-SALVI-SERVATO, Internal auditing, Milano, Ipsoa, 2011, 34,
segnalano come questo obiettivo possa essere perseguito solo mediante un ampliamento del raggio di azione del sistema di controllo interno. Tale ampliamento richiede una preventiva definizione di un profilo di rischio ottimale (e sostenibile) per l'impresa.
111
Il modello di governo dei rischi Pirelli presenta essenzialmente le seguenti caratteristiche: - a) è un modello "value-driven", in cui vengono individuati, sulla base dei flussi informativi tra i vari attori del sistema, i rischi significativi, in relazione alla loro effettiva capacità di andare a pregiudicare il perseguimento degli obiettivi strategici del Gruppo (individuati nel Piano Strategico) o di incidere sui key value driver, ovvero gli asset aziendali critici (tangibili e intangibili)328;
- b) è un modello "top-down", in cui il top management svolge un ruolo di direzione strategica, di indirizzo nell'identificazione delle aree di rischio prioritarie e degli eventi potenzialmente in grado di pregiudicare il business329;
- c) è un modello di tipo quantitativo, fondato su una misurazione prognostica dell'impatto degli elementi di rischio sul risultato economico e finanziario atteso. Gli elementi di rischio sono dunque misurati e valutati in base ai loro potenziali effetti su specifici indicatori economico-finanziari (quali ad es. l'andamento in borsa del titolo Pirelli)330; - d) è un modello integrato331 nell'assetto organizzativo, amministrativo e contabile della società, e in particolare nel processo di pianificazione strategica e operativa332.
La predisposizione di un modello integrato nella corporate governance del Gruppo Pirelli implica il coinvolgimento non solo di tutti gli organi sociali e del management, ma perfino dei dipendenti: un ruolo centrale spetta ovviamente al consiglio di amministrazione che, grazie all'opera istruttoria, consultiva e propositiva del Comitato Controllo, Rischi e
328 Così PIRELLI, Governance. Enterprise risk management. Modello di gestione dei rischi. Pillars. 329CHIAPPETTA, op. cit., 56.
330CHIAPPETTA, op. cit., 56.
331 Come già ricordato, MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in
Giur. It., 2013, 10, 2179, offre una definizione di sistema integrato quale "elemento della conduzione
dell'impresa coerente con gli obiettivi aziendali e come strumento di attuazione del principio di corretta gestione sotto il profilo della completezza informativa e procedurale".
112
Sostenibilità, "valida l'esposizione complessiva dell'impresa al rischio333, approva l'Annual Risk Management Plan (ovvero un piano annuale in cui sono esplicitate nel dettaglio le strategie di mitigazione dei singoli fattori di rischio) e ne monitora l'implementazione"334.
Il monitoraggio costante dei principali fattori di rischio viene effettuato da un risk officer sulla base delle metodologie di identificazione e misurazione dei rischi predefinite dai Comitati manageriali rischi335, chiamati anche alla definizione delle strategie di mitigazione dei rischi e ad elaborare una proposta per l'Annual Risk Management Plan. Il modello Enterprise Risk Management permea i tre momenti chiave del processo decisionale per il raggiungimento degli obiettivi strategici, ovvero la pianificazione
strategica di medio-lungo termine, la pianificazione operativa annuale e trimestrale e i nuovi progetti di investimento. Tuttavia il modello travalica il perimetro della
pianificazione e dell'analisi dei progetti d'investimento e dei rischi esterni, operando, attraverso un continuo monitoraggio dei rischi operativi, anche una valutazione di quei potenziali rischi reputazionali e di sostenibilità che possono, per loro natura, intaccare gli
asset strategici aziendali (tangibili e intangibili)336.
333PIRELLI, Governance. Enterprise risk management. Risk Governance, evidenzia come nell'ambito
della propria funzione di alta direzione e di indirizzo strategico, "il Consiglio valuta, monitora e approva l'attitudine al rischio (il c.d. risk appetite o soglia di tolleranza)".
334CHIAPPETTA, op. cit., 57.
335 Ovvero il Comitato Manageriale Rischi Strategici e il Comitato Manageriale Rischi Operativi. 336 Così PIRELLI, Governance. Enterprise risk management. Modello di gestione dei rischi. Risk
113
Operativamente, il "portafoglio rischi"337 Pirelli è stato suddiviso in tre aree, che influenzano profondamente gli obiettivi di risk management, la struttura organizzativa dei controlli interni e, in sostanza, il governo stesso dell'azienda338.
La prima area è quella dei rischi strategici, ovvero i rischi tipici del business in cui opera l'azienda e la cui corretta gestione "è fonte di vantaggio competitivo o, diversamente, causa di mancato raggiungimento del target di piano (triennale e annuale)"339. Nella macro-famiglia dei rischi operativi si individuano sei cluster340 di rischio341 (rischio di cambio, rischio di liquidità, rischio di tasso di interesse, rischio di prezzo associato ad attività finanziarie, rischio di credito, rischi connessi alle risorse umane)342, a ciascuno
337 L'espressione è di CHIAPPETTA, op. cit., 57, che individua due aree principali di rischio. Alla
luce delle informazioni di PIRELLI, Governance. Enterprise risk management. Risk governance, è possibile ricostruire l'evoluzione del modello integrato di gestione dei rischi, che ha visto l'introduzione, al fianco delle categorie dei "rischi strategici" e dei "rischi trasversali" (ad oggi denominati "rischi operativi"), della nuova "macro-famiglia" dei "rischi esterni", caratterizzata dall'interazione dei due Comitati Manageriali Rischi.
338 Si ha dunque la conferma di quanto afferma STELLA RICHTER JR., Il comitato controllo e rischi
già comitato per il controllo interno, in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 109, laddove ravvisa che "il rischio rappresenta il filo conduttore
del sistema dei controlli".
339 Così PIRELLI, Governance. Enterprise risk management. Risk Governance.
340 L'espressione cluster, che propriamente fa riferimento, secondo la definizione di PORTER, The
Competitive Advantage of Nations, New York, Free Press, 1990 ad "un’agglomerazione geografica di
imprese interconnesse, fornitori specializzati, imprese di servizi, imprese in settori collegati e organizzazioni associate che operano tutti in un particolare campo, e caratterizzata dalla contemporanea presenza di competizione e cooperazione tra imprese" (ovvero ad una modalità di organizzazione della produzione meglio nota come "distretto industriale"), viene adoperata in tale ambito con riferimento a categorie che raggruppano al loro interno fattori di rischio aventi
caratteristiche simili.
341 Alcuni dei quali "trasversali" rispetto alla macro-famiglia dei rischi operativi.
342 Tali cluster di rischio sono elencati in PIRELLI, Governance. Enterprise Risk Management. Fattori
114
dei quali corrispondono presidi organizzativi ad hoc. Rispetto a tali aree di rischio, l'obiettivo del risk management è ridurre la probabilità che i relativi fattori si manifestino o comunque minimizzarne l'impatto in un'ottica di rischio/rendimento343: gli interventi da approntare sono discussi negli incontri trimestrali del Comitato Manageriale Rischi Strategici sulla base delle analisi degli elementi di rischio-opportunità e delle misurazioni della soglia di risk appetite condotte dalle funzioni aziendali coinvolte344.
La seconda area è quella dei rischi operativi, ovvero i rischi generati dagli assetti organizzativi, dalle procedure interne e dai sistemi di controllo adottati dalla società. Si individuano in particolare otto cluster di rischio (rischi relativi all'impatto ambientale, rischi relativi alla salute e alla sicurezza dei lavoratori, rischi di difettosità dei prodotti commercializzati, rischi connessi a contenziosi legali di natura fiscale, commerciale o giuslavoristica, rischi connessi al malfunzionamento dei sistemi informativi o delle infrastrutture di rete, rischi di business interruption, rischi reputazionali345 e rischi di
modello di gestione dei rischi adottato da Pirelli (negli anni in cui era General Counsel di Pirelli & C. S.p.A.), l'area dei rischi operativi comprendesse anche "una famiglia di rischio esogena, legata alle evoluzioni del contesto esterno".
343 In particolare PIRELLI, Governance. Enterprise Risk Management. Modello di gestione dei rischi.
L'analisi dei rischi nella pianificazione strategica, sottolinea: "Il Consiglio di Amministrazione, in
fase di approvazione del piano, tiene conto della quantificazione dei rischi e delle opportunità e verifica che la volatilità dei risultati economico finanziari sia all'interno della soglia di tolleranza definita. I
target di piano triennale e le scelte strategiche in esso riflesse vengono altresì sottoposti a test di
robustezza (o stress test) per verificare le capacità economico, finanziarie e patrimoniali del Gruppo al verificarsi di fenomeni di incertezza che difficilmente riescono ad essere pesati con elementi probabilistici".
344 Individuate in PIRELLI, Governance. Enterprise Risk Management. Modello di gestione dei rischi.
L'analisi dei rischi nella pianificazione strategica.
345 È particolarmente approfondita la definizione di "rischio reputazionale" fornita da PIRELLI,
Governance. Enterprise Risk Management. Fattori di rischio e incertezza. Rischi operativi. "Per
rischio reputazionale si intende un rischio attuale o prospettico che possa provocare una perdita di utili e incidere sulla propensione all’acquisto derivante da una percezione negativa dell’Azienda da parte di uno o più stakeholder. Il rischio reputazionale, se da un lato è da intendersi come possibile
115
responsabilità socio-ambientale). Il Comitato Manageriale Rischi Operativi è chiamato ad eliminare o a ridurre significativamente tali aree di rischio, sulla base delle valutazioni dei rischi esistenti e delle proposte formulate dal Comitato per il controllo interno, rischi e sostenibilità.
La terza area è quella dei rischi esterni, ovvero i rischi legati al contesto esterno in cui l'azienda opera, "il cui accadimento è al di fuori della sfera di influenza aziendale"346. Vengono evidenziati quattro cluster di rischio (rischi connessi alle condizioni generali dell'economia e all'evoluzione della domanda nel medio-lungo periodo347, il c.d. country
risk348, i rischi legati al cambiamento climatico349 e i rischi legati all'incremento dei prezzi delle materie prime) che il management è chiamato ad affrontare al fine di ridurne l'impatto sull'attività: la complessità di tali profili di rischio ha indotto il Gruppo a prevedere l'interazione di entrambi i Comitati Manageriali e il supporto del Comitato per
conseguenza del verificarsi di un evento negativo legato a una delle tre macro-famiglie di rischi prima citati, d’altro canto va gestito come evento a sé stante proprio perché la sua ampiezza dipende dalle aspettative degli stakeholder di riferimento e dalla risonanza dell’evento negativo". Differentemente dai rischi esterni, dovuti a fattori esogeni, i rischi reputazionali sono strettamente connessi ad eventi
negativi interni alle dinamiche aziendali e suscettibili di generare un mutamento nelle aspettative degli stakeholder. A titolo esemplificativo l'adozione di una politica indiscriminata di licenziamenti
può dar luogo a un rischio reputazionale per la società, in quanto potrebbe modificare le scelte di acquisto dei clienti dell'azienda più sensibili alle questioni occupazionali.
346PIRELLI, Governance. Enterprise risk management. Risk Governance.
347 Ovvero rischi legati all'evoluzione di "elementi strutturali sia di natura politica (Brexit, stabilità
del governo italiano, politiche del nuovo governo brasiliano) nelle aree in cui il Gruppo opera, sia di
natura macroeconomica (su tutti l'incerto destino dell'area di libero scambio nord-americana, oltre
all'aumento della volatilità dei mercati finanziari)".
348 Per country risk o "rischio paese" si intende il rischio derivante dal fatto che il Gruppo operi in
alcuni paesi "nei quali il contesto politico economico generale e il regime fiscale potrebbero in futuro rivelarsi instabili" (si fa riferimento in particolare ad Argentina, Brasile, Messico, Russia, Cina, Turchia) oppure in cui sussistono condizioni di grave instabilità politica (su tutti il Brasile, così come ovviamente tutti i paesi dell'area medio-orientale).
349 Sono ricompresi in tale cluster i rischi legati all'incremento di fenomeni metereologici estremi in
116
il controllo interno, rischi e sostenibilità, chiamato a monitorare continuamente l'esposizione della società e del Gruppo ai principali rischi e a verificare "l'effettiva implementazione a livello delle singole funzioni aziendali e unità organizzative dei piani di mitigazione"350.
Nell'ambito di ciascuna di queste tre aree di rischio, i Comitati Manageriali identificano, sulla base dei flussi informativi provenienti dalle funzioni coinvolte nel modello ERM, gli eventi di rischio prioritari sulla base di tre metri di riferimento specifici351:
- a) parametri economico-finanziari in grado di misurare l'impatto di ciascun fattore di rischio (PBIT, cash-flow, oneri finanziari o fiscali);
- b) scale di probabilità;
- c) il livello di accuratezza dei presidi organizzativi di governo del rischio già approntati, ovvero l'esistenza o meno di processi di gestione del rischio, di forme di monitoring e di
reporting e di responsabilità specifiche.
Una volta individuati, sulla base di questi indicatori, gli eventi di rischio più rilevanti, emerge una rappresentazione sintetica dei rischi-opportunità che possono interessare la società e del loro potenziale impatto economico352. Grazie a queste informazioni i Comitati Manageriali possono sviluppare strategie di risposta al rischio calibrate
350PIRELLI, Governance. Enterprise risk management. Risk Governance. 351 Individuati da CHIAPPETTA, op. cit., 58.
352CHIAPPETTA, op. cit., 59, propone una rappresentazione sintetica delle aree di rischio sviluppata
su quattro istogrammi: nel primo viene riportato l'impatto nel "worst-case", ovvero laddove tutti gli eventi rilevanti si verifichino contemporaneamente e senza misure di mitigazione; nel secondo si mostra come un rapido approntamento di contromisure possa ridurre l'impatto economico-finanziario (sul PBIT) del verificarsi degli eventi di rischio; il terzo rappresenta invece le opportunities, ovvero i
vantaggi economici che "eventuali variazioni di segno inverso determinerebbero per il Gruppo"; il
quarto mostra come l'entità del rischio residuo sia compatibile con le previsioni di redditività considerate nel Piano Industriale del Gruppo.
117
sull'effettiva esposizione, complessiva e puntuale, alle diverse categorie di rischio e politiche finalizzate a garantire che il rischio sia ricondotto a livelli accettabili.
La ricognizione effettuata contribuisce a corroborare la definizione, operata dal Codice di Autodisciplina, di sistema di controllo interno e di gestione dei rischi quale strumento capace di "consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell'impresa sana, corretta