Governance Livello del - Il rischio reputazionale e le strategie di “trust-repair”. Un framewo

management

Unità di risk

management

Unità di assurance

2.1.2 Le componenti dell’Enterprise risk management54

L'ERM è un modello di riferimento per lo sviluppo dei progetti di risk management e, per poter essere correttamente strutturato, deve prevedere 8 diverse componenti: ambiente interno; definizione degli obiettivi; identificazione degli eventi; valutazione dei rischi; risposta al rischio; attività di controllo; informazioni e comunicazione; monitoring.

➢ Ambiente interno

L'ambiente interno è alla base del sistema di risk management di un'azienda, in quanto costituisce l’origine degli altri elementi perché fornisce regole e struttura. Questa componente definisce il contesto organizzativo all'interno del quale i progetti di risk management sono sviluppati. Quindi nelle aziende possiamo riscontrare ambienti interni favorevoli o sfavorevoli ad un'efficace gestione del rischio.

L'ambiente interno è influenzato da alcuni particolari elementi: 1. Risk appetite:

Rappresenta l'ammontare di rischio complessivo (livello di rischio) che l'organo di governo di un'azienda è disposta ad assumersi; non sarà quindi mai uguale a 0, perché qualsiasi compagnia, per poter raggiungere i traguardi prestabiliti, deve prendersi dei rischi. Nel momento in cui si definisce una strategia, il risk appetite è intrinseco alla definizione stessa, e questa compete a al CDA. L’ ammontare di rischio risulta dunque dalle decisioni del consiglio di amministrazione in merito a due aspetti fondamentali: quali rischi l'azienda è disposta ad assumersi nel perseguimento dei suoi obiettivi? per quale ammontare complessivo? Il Risk appetite in molte aziende non è esplicitato. Negli intermediari è la normativa che obbliga a farlo. Questo avviene con un

documento che si chiama risk appetite statements (redatto e approvato dal CDA). Definito il risk appetite si individuano dei limiti all'interno dei quali deve muoversi il manager nel gestire l'azienda. Una società avrà un sistema di risk management evoluto se vi è la definizione e la formalizzazione del livello di rischio e se procede periodicamente a controlli volti ad assicurarsi che questo rientri nella soglia desiderata. 2. Cultura di gestione del rischio:

In un'azienda tutti devono gestire il rischio, dal CDA all'operativo. Un sistema di risk management efficace si basa dunque su un orientamento al rischio del complesso dell’organizzazione; significa che ci vuole una vera e propria cultura del risk management, da considerarsi come un orientamento strategico. Tutti devono sentirsi responsabilizzati alla gestione del rischio. La cultura però non nasce da sola, ma va diffusa attraverso strumenti, corsi di formazione, comportamenti, in specie del vertice dell'azienda; è quindi l'insieme dei valori condivisi che caratterizzano l'atteggiamento di una compagnia, a tutti i suoi livelli organizzativi, nei confronti del rischio.

3. Etica e integrità dei valori:

L'etica permette di gestire i rischi di compliance e di reporting, ma anche reputazionali. Se è presente, quindi, si può evitare di mettere in piedi sistemi di gestione per esempio del rischio di corruzione, in quanto, non dovrebbe sussistere. L'elemento visibile, formalizzato, di questo elemento sono i codici etici, ma da soli non bastano per garantire che l'azienda si muova nella giusta direzione; importanti sono in questo senso i comportamenti di tutti i soggetti, ma soprattutto dei vertici aziendali, che devono, attraverso le loro azioni, rispettare il codice e quindi dare il buono esempio. Il presupposto di un efficace implementazione di un sistema di risk management è dunque la presenza di principi come onestà, correttezza, trasparenza e rispetto dei diritti.

4. Ruolo del vertice aziendale (CDA e AD):

È importante che il rispetto della legge e dei principi etici parta dal vertice aziendale, in particola modo dall'amministratore. Sono legati a quest'aspetto i rischi legati ai comportamenti dell'AD, come le frodi aziendali. Da alcuni casi aziendali del passato possiamo trarre alcuni insegnamenti utili al fine di ridurre eventuali atteggiamenti non etici da parte del vertice come: evitare e prevenire il manifestarsi di conflitti di interesse; bilanciare adeguatamente amministratori “indipendenti” ed esecutivi; separare i ruoli di presidente ed AD; limitare il cumulo degli incarichi.

5. Struttura organizzativa adeguata:

Adeguatezza quantitativa (numero delle persone coerente con l'entità delle operazioni da svolgere) e qualitativa (legata alle competenze dei soggetti, che devono essere in linea con i loro ruoli).

6. Competenze: Skills delle persone.

7. Poteri e responsabilità chiari e coerenti:

Vi deve essere chiarezza nei poteri assegnati e questo può avvenire tramite deleghe, con esplicita indicazione di attività e di limiti; organigrammi; funzionigrammi; job description. Inoltre vi deve essere coerenza tra poteri e responsabilità. Se queste ultime non sono chiare il rischio aumenta.

8. Gestione del personale corretta ed equa:

Politica di assunzione (guardando alle competenze ma anche al profilo del soggetto, come la sua stessa etica o la sua personalità); valutazione e gestione delle carriere (vi devono essere meccanismi formalizzati e

chiari delle promozioni, per essere eque e corrette); formazione del personale (per lo sviluppo delle competenze e di comportamenti in linea con i valori dell'azienda).

➢ Definizione degli obiettivi

Prima di andare ad identificare i rischi è necessario capire quali sono gli obiettivi che l'azienda si propone, obiettivi che riguardano i diversi livelli di una compagnia. Sarà inoltre necessario definire degli strumenti di misurazione e delle misure target legati ai diversi propositi (traguardi che devono essere misurati).

Ogni organizzazione deve fronteggiare una varietà di rischi derivanti da fonti interne ed esterne e la definizione degli obiettivi costituisce il presupposto per un’efficace identificazione degli eventi, valutazione del rischio e risposta al rischio. È importante, inoltre, che gli obiettivi siano allineati al rischio accettabile, fissato all’azienda, dal quale si determinano i livelli di tolleranza al rischio, e che siano tutti coerenti tra di loro.

La prima cosa da fare in questa seconda fase è quella di partire dalla mission aziendale. Compresa quest’ultima bisognerà definire gli obiettivi utili per raggiungerla. Quelli proposti dal modello dell'ERM sono di quattro tipi:

✓ Obiettivi strategici:

Propositi di fondo che si devono perseguire per raggiungere la mission. Per conseguirli bisognerà adottare delle strategie, da tradurre in azioni e quindi in obiettivi operativi.

✓ Obiettivi operativi:

Riguardano la gestione operativa e in particolare le cosiddette tre E: Efficienza (devo perseguire il mio obiettivo in modo efficiente, con un'allocazione delle risorse efficiente), Efficacia (svolgere delle attività che mi permettano di raggiungere il traguardo prefissato), Economicità.

✓ Obiettivi di reporting:

Fanno riferimento alla reportistica e quindi all'informazione; obiettivi, dunque, in termini di attendibilità, accuratezza e tempestività delle informazioni contenute nei bilanci e nei report di natura sia interna che esterna all'azienda.

✓ Obiettivi di compliance:

Rispettare quelle che sono le richieste di leggi, regolamenti, circolari, disposizioni [es. obiettivo di rispettare disposizioni in termini di igiene o sicurezza dell'ambiente di lavoro, o di qualità del prodotto]. Cambiano chiaramente da azienda ad azienda e da settore a settore.

➢ Identificazione degli eventi

Questa è una delle fasi più importanti e delicate dell’intero modello, in quanto se non identifichiamo tutti gli eventi non riconosciamo e quindi non gestiamo alcuni rischi che potrebbero avere un impatto negativo sull’azienda. L'obiettivo è quindi di acquisire la più ampia conoscenza possibile in merito agli eventi, il cui manifestarsi potrebbe compromettere i traguardi fissati durante la fase precedente; potrebbe in quanto dall’accadimento di questi avvenimenti possono discendere dei rischi dannosi per un’organizzazione, ma anche delle opportunità.

La prima caratteristica degli eventi è sicuramente la totale incertezza. Non si sa se si verificheranno o meno, non si sa quando, e non si conosce l'impatto nel caso in cui si manifestino. Possono essere causati da fattori interni od esterni all'azienda: tra i primi abbiamo per esempio le infrastrutture, i processi, il personale (infortuni sul lavoro) e così via; tra quelli esterni troviamo invece fattori quali l’economia (quindi una congiuntura economica sfavorevole), la competizione con gli altri attori, ambiente e clima (terremoti, alluvioni, ecc.), fattori di natura politica (nuove leggi o regolamenti che possono cambiare lo scenario), di natura sociale (cambiamenti demografici per esempio),

cambiamenti tecnologici (come la digitalizzazione, che può diventare un'opportunità, ma anche una minaccia).

Esistono diversi strumenti utili per identificare gli eventi. Vi sono alcune tecniche che guardano al passato (allo storico dell'azienda) e altre al futuro. Queste possono anche essere utilizzate congiuntamente, una non esclude l'altra. Ancora, fondamentale nel momento in cui si procede all'identificazione è l'interrelazione che può sussistere tra i diversi eventi. È molto importante, infatti, avere una visione complessiva poiché a volte l'accadere di un evento può farne scaturire un altro [es: ritardo nella ricezione delle merci. Il rischio correlato può essere un ritardo o un blocco della produzione e quindi un rallentamento nella consegna al cliente e quindi una perdita di immagine. Da un evento che si verifica discende un rischio che può portarne altri].

Una prima tecnica che aiuta le aziende nello svolgere questo compito è il

catalogo degli eventi, lista di categorie di eventi standard. Si potrà creare un

catalogo andando per esempio a guardare all'esterno, a quello che hanno fatto organizzazioni simili che operano nello stesso settore. È una delle tecniche maggiormente usate per la sua facile applicazione; un suo grande svantaggio riguarda però il fatto che è una lista preimpostata di eventi già riconosciuti e quindi può essere limitante e non coerente con le specifiche delle singole aziende. Molti preferiscono integrare l’utilizzo dei cataloghi con dei workshop, incontri in cui i partecipanti si riuniscono per identificare gli eventi e i rischi ad essi associati relativi ad una funzione, ad un processo o ad un progetto. È importante che questa procedura sia estremamente formalizzata; preparare quindi il materiale, definire l'ordine del giorno, specificare le responsabilità dei partecipanti al workshop, preparare la reportistica interna, ecc. Dovranno comunque partecipare un numero limitato di persone affinché l’incontro sia profittevole e, preferibilmente, soggetti con competenze diversificate, in modo da poter individuare il rischio secondo diverse prospettive e capire quindi l'impatto che questo può avere sulle diverse aree aziendali. Una delle tecniche utilizzate nell'ambito del workshop è il brainstorming, ovvero una discussione

di gruppo. L'obiettivo è quello di far emergere il maggior numero di rischi possibili; far sentire le persone coinvolte, libere di evidenziare secondo i loro punti di vista e le loro responsabilità quali sono le minacce. Il punto di forza di questa tecnica è che stimola la creatività e le idee reciproche. Quello di debolezza è che forse la stimola troppo, portando paradossalmente ad identificare dei rischi che in realtà non compromettono il raggiungimento degli obiettivi. Può infine accadere che all'interno di questi incontri vi siano una o più figure che, per il ruolo che ricoprono in azienda, possono influenzare gli altri soggetti coinvolti.

Un altro strumento molto utilizzato nella prassi è la check list, cioè un elenco di rischi, non di eventi, che possono impattare sugli obiettivi definiti. Questa lista è predisposta dal risk manager o da un gruppo di consulenti esterni che è chiamato ad implementare il processo di ERM. L'azienda dovrà solamente esprimere un giudizio di esistenza o meno [sì/no] dei rischi elencati. Il punto debole è che l'identificazione di questi ultimi dipende dalla soggettività di colui che predispone la lista; non stimola dunque la creatività e non tiene conto delle idee di più persone con ruoli diversi. Ancora abbiano i key risk indicators: indicatori di rischi chiave che hanno come finalità quella di monitorare l'esposizione ad eventuali minacce critiche per l'azienda. Possono essere visti come vere e proprie misure di gestione del rischio in quanto servono per seguire l'evoluzione di questo nel tempo.

La tabella delle vulnerabilità è invece uno strumento di risk management molto diffuso soprattutto nel campo assicurativo, perché permette di associare a degli asset materiali di un'azienda quelli che possono essere i fattori di rischio. Serve quindi ad identificare, per ogni asset, i potenziali eventi negativi che possono determinare una perdita di funzionalità.

Infine abbiamo la rilevazione degli eventi che generano delle perdite (loss

event tracking): strumento che misura le perdite associate a degli eventi. Anche

la gestione. Questo perché più che prevenire le perdite le rilevo e ne identifico anche la causa.

➢ La valutazione dei rischi

Una volta identificati, i rischi devono essere valutati, poiché non tutti sono gravi allo stesso modo e dunque, grazie alla valutazione, riesco ad operare una distinzione delle minacce in base alla loro pericolosità: ciò ci aiuta a definire le priorità di intervento. Questo è possibile perché grazie alla stima dei rischi posso esprimere questi ultimi in termini omogenei e comparabili.

Secondo la formula generale di valutazione:

▪ Esposizione al rischio = Probabilità che si verifichi un evento rischioso (valutata in un certo arco temporale) * Impatto che questo evento ha sull'azienda.

Il valore confrontabile è proprio l'esposizione e, tramite questo, posso definire una scala di priorità dei rischi.

Il manager con il supporto, se c'è, del risk manager, è il responsabile dell'effettuazione di queste valutazioni. A sua volta l'internal auditor (colui che svolge l'attività di assurance) deve controllare e assicurare la bontà dell’intero processo svolto durante tale fase.

Esistono numerose tecniche di calcolo del rischio e tutte possono essere fatte confluire in due grandi categorie: le tecniche quantitative e quelle qualitative. Per le prime si utilizzano strumenti statistico matematici per poter arrivare alla quantificazione dell'esposizione; probabilità e impatto non sono, quindi, il frutto del giudizio soggettivo dei manager. Per quanto riguarda le seconde, invece, probabilità e impatto risentono di giudizi soggettivi in quanto stimati in base ad opinioni espresse da uno o più manager.

Le tecniche di tipo quantitativo si distinguono in probabilistiche e non

al rischio attraverso l'utilizzo di modelli statistici basati sulla costruzione di intervalli di probabilità. In un'azienda, per poter applicarle, è necessario avere la disponibilità di dati sulla frequenza passata di alcuni rischi, poiché senza queste informazioni non si possono costruire le distribuzioni di probabilità. Pertanto diventano necessari dati storici ampi (che analizzano le perdite su degli intervalli temporali di più anni), profondi e robusti, al fine di stimare il rischio per il futuro.

Ma quali sono le minacce per le quali dispongo, in azienda, di dati storici sulle perdite del passato? Si fa riferimento ai rischi di natura finanziaria ed in particolare ai rischi di mercato (rischi di prezzo, di cambio e di tasso); inoltre, se disponibili i dati, possiamo applicare queste tecniche anche ai rischi di credito o a quelli operativi, grazie anche all'utilizzo di particolari metodologie di identificazione degli eventi come, per esempio, la loss event tracking. Tra gli strumenti probabilistici il più conosciuto è il VAR55 (Value at Risk) ed è una misura applicata dalle aziende per stimare il rischio di mercato nata intorno agli anni '90 per merito della J.P. Morgan. In particolare esprime la perdita massima potenziale che un'attività finanziaria (o un portafoglio di attività finanziarie) può subire in un dato orizzonte temporale e con una data probabilità (livello di confidenza). La misurazione si basa su alcune ipotesi: che i rendimenti di un titolo seguano una distribuzione normale; e che la media la varianza e la correlazione di una distribuzione siano costanti nel tempo.

Il VAR è funzione di due parametri: ✓ Il livello di confidenza:

Dipende dal livello di avversione al rischio e nella prassi non si va al di sotto del 95%; è fissato da chi deve definire il risk appetite, quindi il CDA;

55_{SULEYMAN BASAK, ALEXANDER SHAPIRO, Value at Risk Based Risk Management: Optimal Policies and}

✓ L'orizzonte temporale:

Questo dipende dalla liquidabilità dell'attività finanziaria (quanto tempo ci metto a smobilizzare l'investimento, a vendere l'azione) o dalla ricalibratura del portafoglio finanziario. Più è liquida l'attività finanziaria minore sarà l'orizzonte temporale che sceglierò.

Per quanto riguarda le tecniche di natura non probabilistica, queste vanno a misurare in particolare l'impatto che un certo evento può avere su un obiettivo dell’azienda, mentre in riferimento alla probabilità dovremmo ricorrere all'ausilio di metodologie differenti.

Le principali tecniche non probabilistiche sono: la sentitivity analysis: un'indagine di tipo “what if” (che cosa succede se). Con questa si vuole proprio rispondere alla domanda “che cosa succede alla nostra variabile obiettivo al variare di una dimensione presa a riferimento?”. Questo tipo di verifica può essere fatta sia su misure operative, ma anche essere, per esempio, sui titoli azionari attraverso il ; lo scenario analysis: in questo caso andiamo a valutare come più eventi possono modificare il nostro scenario; stress testing: è un test che si effettua su quegli eventi che potrebbero avere delle conseguenze estremamente gravi sul nostro obiettivo.

Alla base delle tecniche qualitative vi è la formula vista precedentemente; siamo in presenza di una valutazione soggettiva con l’utilizzo di una scala ordinaria. Partendo dalla probabilità (possibilità che un evento accada) la prima cosa da fare è definire un orizzonte temporale (la probabilità che accada nel corso della settimana, del mese, dell'anno). Ma come si definisce questo arco? Dipende innanzitutto dagli obiettivi a cui ci stiamo riferendo nel momento in cui facciamo la valutazione. Per esempio, se gli obiettivi su cui possono impattare gli eventi presi a riferimento sono di natura strategica l'orizzonte temporale sarà più lungo rispetto a quello relativo agli obiettivi operativi.

L'altra variabile fondamentale è l'impatto, sempre da riferire all'obiettivo di riferimento.

Ma come si valutano probabilità e impatto? Si potrebbero usare le stesse tecniche relative all'identificazione degli eventi, come il workshop, poiché siamo davanti a metodologie qualitative che si basano sui giudizi. E quali sono le fonti informative utili per svolgere le nostre analisi? Le fonti sono sia di natura interna che esterna: la principale fonte interna è rappresentata dallo storico dell'azienda; si vanno a vedere fatti che possono essere già accaduti e il loro impatto sugli obiettivi. Se si sono già verificati la probabilità che riaccadano (con lo stesso impatto) può essere maggiore rispetto ad eventi che non sono mai successi; per quanto riguarda le fonti esterne possiamo guardare ai nostri competitors per farci un'idea sulla probabilità e sull'impatto dei diversi eventi, e come loro si sono mossi. Un'analisi perfetta sarebbe quella che combina informazioni interne ed esterne.

➢ La risposta al rischio

Identificati e misurati i rischi il management aziendale deve trovare dei modi per gestire le minacce trovate. Stabilire la risk response significa dunque decidere la strategia da attuare per rispondere al rischio.

Quando l’esposizione ad un pericolo è bassa (sia la probabilità che l'impatto sono contenuti) una strategia di risposta può essere quella dell’accettazione. Ma per quale motivo accettare un rischio? Perché mi potrebbe comportare una perdita così trascurabile che gestirlo avrebbe un costo superiore al danno atteso stesso. Questa strategia deve essere frutto di una scelta ponderata consapevole ed esplicita dei soggetti responsabili, che dopo aver identificato e valutata una minaccia decidono di accettarla; va comunque monitorata, poiché l'esposizione potrebbe variare nel corso del tempo.

La situazione opposta riguarda i rischi molto probabili e che hanno un impatto elevato. In questo caso la scelta migliore da fare è quella di evitarlo (cercare di eliminarne la causa). Tra le possibili soluzioni abbiamo:

✓ Abbandonare una certa attività;

✓ Rinunciare ad intraprendere una certa attività;

✓ Ricorrere ad un contratto di factoring (pro-soluto, dove il rischio è trasferito tutto ad una società di factoring);

✓ Ricorrere a delle clausole contrattuali [es. contratti di trasporto che annullano e trasferiscono certi rischi, magari relativi al danneggiamento della merce].

Per determinati rischi posso invece decidere di ridurli (alta probabilità, basso impatto) o di condividerli (situazione inversa alla precedente). Le azioni che si possono mettere in atto per ridurre un rischio sono:

✓ Mitigare (facendo leva sulle attività di controllo);

✓ Frazionare [es. andando a ridurre le risorse immesse in una certa attività, frazionando gli investimenti];

✓ Diversificare (investendo in attività che hanno andamenti correlati negativamente, quindi opposti);

✓ Fondi rischi (prepararsi attraverso l'accantonamento). Infine, ciò che si può fare per condividere un rischio è:

✓ Ricorrere alle assicurazioni;

✓ Ricorrere al factoring (pro-solvendo, che non mi azzera il rischio di credito, ma mi permette di limitare, per un certo periodo, il rischio

Nel documento Il rischio reputazionale e le strategie di “trust-repair”. Un framework di analisi. (pagine 48-82)