Il processo

Si è più volte sottolineato come il sistema di risk management sia un processo che si compone delle attività di Identificazione, Valutazione, Trattamento e Reporting.

Il processo è la componente dinamica del sistema, che ha inizio formale con la fase di identificazione dei rischi.

Si può affermare però che il processo inizia sostanzialmente con la fase di Definizione del contesto, sia interno che esterno. Si tratterà di comprendere quindi se è presente o meno una cultura del rischio, il grado di risk appetite, se sono presenti codici o carte dei valori, mentre con focus all’esterno si cercherà di contestualizzare l’ambiente di riferimento con riguardo ai fornitori, clienti, competitor, mercati di sbocco e approvvigionamento, settore di appartenenza. In generale, sarà una raccolta di informazioni mirata alla costruzione di un sistema di risk management compatibile con quello che è il contesto, sia interno che esterno, del sistema economico considerato.

La fase di Identificazione dei rischi si compone di tutte quelle attività necessarie per individuare eventi rischiosi che nel futuro potrebbero generare un danno, e quindi portare a un peggioramento delle performance desiderata dall’impresa. È una fase critica e delicata perché un rischio non individuato potrebbe portare a un danno inaspettato, con conseguenze disastrose. Ovviamente, non ci si riferisce a singoli rischi inerenti a una singola funzione, ma a rischi che gravano su tutto il sistema aziendale.

Ci sono vari strumenti/tecniche da utilizzare in questa fase per identificare gli eventi che potrebbero avere conseguenze negative sui fattori critici di successo e sugli obiettivi prefissati. È bene tenere presente che gli eventi rischiosi non si generano da soli, ma deriveranno da fattori esterni con riferimento all’ambito economico, culturale, sociopolitico, tecnologico e fattori interni come le infrastrutture, il personale, i processi e la tecnologia.

I fattori da considerare sono molti, ogni azienda poi tenderà a concentrarsi sui fattori che presentano un alto grado di aleatorietà con riguardo al suo contesto di riferimento.

Le tecniche e gli strumenti utilizzati si basano sia su eventi passati che futuri. Con riguardo alle prime si guarda al passato, per stimare il futuro; per le seconde non è possibile servirsi dello storico aziendale perché gli eventi da individuare potrebbero essere frutto di nuove strategie.

31

Le tecniche più utilizzate sono i workshop, incontri che stimolano la creatività tra soggetti operanti in funzioni diverse all’interno della stessa azienda che attingono alla propria esperienza passata per stilare una lista di eventi rischiosi; le interviste, fatte sui dipendenti che vivono l’operatività aziendale e possono esprimere il loro punto di vista su eventi passati, attuali e potenziali; il catalogo degli eventi, ovvero una lista degli eventi comuni a un settore/funzione redatto dal personale in base a informazione variamente raccolte; i key risks indicators, indicatori critici predittivi da monitorare giornalmente, settimanalmente o mensilmente per il confronto con le soglie di risk limits per comprendere se l’azienda sta assumendo più rischi del previsto e evitare di incorrere in danni dal carattere economico finanziario; e ancora la lista aperta, dove ogni manager è chiamato liberamente ad individuare rischi che in futuro potrebbero verificarsi sull’obiettivo assegnato.58

Questi sono solo alcuni degli strumenti utilizzati per l’individuazione dei rischi, per ragioni di brevità non è stato possibile definirli tutti singolarmente.

Il management può decidere se usarli tutti, solo alcuni o uno singolarmente e ciò, dipende dalla filosofia di gestione ma soprattutto dal contesto di riferimento.

La fase successiva si sostanzia nella Valutazione dei rischi individuati. Sarà possibile una valutazione comune perché in questa fase tutti i rischi vengono portati a un valore confrontabile: la perdita attesa. L’abbiamo già incontrata precedentemente, la perdita attesa è data dal prodotto di probabilità di accadimento dell’evento per impatto sull’obiettivo.

Non sarà necessaria la considerazione di tutti i rischi possibili, il management non considera eventi con bassa probabilità di accadimento e piccolo impatto sull’obiettivo, mentre si concentrerà su eventi che presentano una media alta probabilità di verifica con un medio alto impatto sull’obiettivo. Esistono tantissime tecniche da utilizzare in questa fase, il management deve ragionare in base alla convenienza economica, constatando di volta in volta quando il beneficio dell’azione di risk management è maggiore del suo costo.

Esistono due tipi di tecniche:59

 Qualitative: sono utilizzate per rischi che non si prestano ad essere quantificati e per cui non sono disponibili archivi storici o per cui la ricerca delle informazioni sarebbe troppo

58 _{Rielaborazione da G. D’Onza, op. cit., 2008} 59 _{G. D’Onza, op. cit., 2008}

32

costosa. La differenza è fatta dall’esperienza, dalle conoscenze e abilità del management che fa la valutazione. L’impatto viene valutato su una scala da 1-trascurabile fino a 5- catastrofico, così come la probabilità valutata da 1-raro fino a 5-molto probabile. La scale sono completamente compatibili e coerenti tra di loro, in modo da ottenere come output finale matrici per l’analisi di probabilità-impatto. A ogni rischio verrà assegnato un punteggio in termini di probabilità e impatto, il punteggio verrà inserito all’interno della matrice dove si riconoscono varie classe che immediatamente permettono la classificazione del rischio in basso, medio e alto.

 Quantitative: si dividono in due classi, probabilistiche e non probabilistiche.

Le non probabilistiche si utilizzano per la quantificazione dell’impatto potenziale, ma non per la probabilità di verifica. La probabilità viene determinata separatamente. Le più conosciute sono la sensitivity analysis, scenario analysis e stress testing. La sensitivity analysis è utillizzata per la quantificazione dell’impatto di variazioni normali o di routine di eventi potenziali. La scenario analysis invece valuta l’effetto di uno o più eventi su uno stesso obiettivo, servendosi di diversi scenari, con ipotesi più o meno pessimiste. Infine, lo stress testing valuta l’impatto degli eventi che danno luogo a effetti gravi; questa è la peculiarità di questa tecnica: considerare l’impatto diretto della variabilità di un solo evento o attività in circostanze difficili o gravose.60

Le tecniche probabilistiche invece misurano probabilità e impatto di una serie di risultati, ipotizzando una certa distribuzione dei comportamenti degli eventi.61 _Si

applicano quando sono disponibili serie storiche di dati molto ampie, massicce e attendibili. Il più utilizzato è il value at risk che misura l’ammontare della perdita massima potenziale che un’attività finanziaria (o un portafoglio di attività finanziarie) può subire in un certo orizzonte temporale, dato un certo intervallo di confidenza. Tra le altre tecniche “at risk” si ricordano il cash flow at risk, l’earnings at risk e il market value at risk.62

La scelta di una metodologia di valutazione qualitativa, piuttosto che quantitativa, dipende da molti fattori.63 _{Per esempio, le tecniche quantitative probabilistiche possono essere applicate}

60 _{Associazione Italiana Internal Auditors, Price Waterhouse Coopers, La gestione del rischio aziendale. ERM- Enterprise Risk} Management: un modello di riferimento e alcune tecniche applicative, CoSo, 2006

61 _{Associazione Italiana Internal Auditors, Price Waterhouse Coopers, op. cit., 2006} 62 _{G. D’Onza, op. cit., 2008}

33

solamente in presenza di serie di dati storiche importanti e si utilizzano soprattutto per i rischi di carattere finanziario, raramente per quelli di tipo operativo. Altri fattori discriminanti della scelta sono l’ambiente in cui si trova ad operare l’azienda, il numero e le interrelazioni che esistono tra i vari rischi e il grado di precisione desiderato dal management.

I metodi qualitativi sono più intuitivi e soggettivi, risentono delle esperienze personali e del vissuto di chi le utilizza, forniscono una limitata differenziazione dei livelli di rischio; all’inverso le tecniche quantitative permettono un giudizio più oggettivo, considerano le interrelazioni tra i vari rischi aziendali e presentano un’ampia differenziazione dei vari livelli di rischio.

La terza fase del processo è il Trattamento del rischio e consiste nella definizione della terapia che l’azienda decide di intraprendere per fronteggiare i rischi.64 _{In questa fase verranno}

implementate le strategie e le azioni necessarie per modificare il profilo di rischio aziendale, che dovrà essere allineato con il risk appetite e rientrare all’interno delle soglie di risk limits. In seguito al trattamento si parlerà di rischio residuale, da distinguersi dal rischio inerente. Il rischio inerente è quello che un’azienda si assume quando non attiva nessuna azione di risk management che ne limitino la probabilità e l’impatto. Il rischio residuo è quello che rimane in seguito al trattamento.

Per quanto riguarda l’ultima fase, alcuni autori propendono o meno per l’inclusione all’interno del processo di gestione del rischio.65 _{La comunicazione può distinguersi in esterna, rivolta agli}

interlocutori esterni alla combinazione produttiva e interna, i cui beneficiari sono gli attori che operano all’interno del sistema aziendale.

Si vedrà immediatamente come uno dei framework più utilizzati come base per il risk management in azienda consideri la comunicazione interna una componente stessa del modello, trasversale a tutte le altre fasi.

La comunicazione esterna invece è collocata al termine delle classiche fasi di identificazione, valutazione e trattamento dei rischi ed è alimentata dal reporting interno. Come si è visto nella prima parte di questo elaborato la comunicazione sui rischi sta acquistando via via sempre più importanza, soprattutto grazie all’impulso fornito dalle specifiche normative e direttive.

64 _{G. D’Onza, op. cit., 2008} 65 _{G. D’Onza, op. cit., 2008}

34

4.1.1.

L’Enterprise Risk Management è stato proposto nel 2004 dal Co.S.O. of the Tradway Commission, con l’obiettivo fondamentale di “aiutare il management delle aziende e di altri enti a gestire meglio i rischi connessi al conseguimento degli obiettivi aziendali”, ed è definito più precisamente come segue:

“La gestione del rischio aziendale è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”.

È un modello di tipo olistico, significa che considera tutti i rischi del sistema azienda, in modo sistematico e integrato, non solo quelli di specifici funzioni.

La definizione è abbastanza chiara e non necessita di spiegazioni, l’ERM è un processo, quindi un insieme di attività, di natura continua e pervasiva, messe in atto da tutti i membri dell’organizzazione e che interessano ogni livello e unità aziendale (da qui il carattere olistico) utilizzato per formulare le strategie e per individuare potenziali eventi rischiosi.

Andando a sintetizzare il modello si riconoscono alcune componenti fondamentali:66

1. Caratteristiche dell’ambiente interno, si tratta di definire il contesto organizzativo all’interno del quale si sviluppano i progetti, più o meno favorevoli alla gestione del rischio. Si concretizza in alcuni elementi fondamentali che sono il risk appetite, la filosofia di gestione del rischio, l’integrità e i valori etici, il ruolo del consiglio di amministrazione e del collegio sindacale, la struttura organizzativa, le competenze degli attori con i relativi poteri e responsabilità, infine la gestione del personale.

2. Definizione degli obiettivi, i punti di partenza sono la Mission e la Vision. Gli obiettivi che verranno definiti devono essere traguardi misurabili, attraverso adeguate misure di performance o altri indicatori, come la soddisfazione della clientela o il numero degli

35

infortuni. La classificazione è quella vista sopra, ovvero obiettivi strategici, operativi, di reporting e di compliance.

3. Identificazione degli eventi, con un particolare occhio di riguardo agli eventi che influenzano in modo negativo il raggiungimento degli obiettivi, è forse la più importante del processo,67 _{carica di incertezza riguardo il se, quando e come si verificherà un}

evento. Se un evento non viene identificato, il relativo rischio non può essere gestito. Si utilizzano una pluralità di strumenti tra i quali si ricordano il catalogo degli eventi, i workshop, i brainstorming, le check list, le interviste, i diagrammi di flusso, i Key Risk Indicators, la Tabella della vulnerabilità degli asset materiali, la Rilevazione dei dati delle perdite e le Liste aperte.

4. Valutazione dei rischi, è un’altra fase importantissima del processo. Una volta identificati, i rischi possono essere più o meno gravi e in seguito a una valutazione possono essere espressi in termini omogenei, in modo da stabilire la priorità di intervento. Si andrà a stimare l’esposizione al rischio, data dal prodotto tra la probabilità (che si verifichi un evento rischioso, valutata in un certo arco temporale) e l’impatto (che l’evento rischioso ha sull’obiettivo).

5. Risk response, è la fase di risposta al rischio, quindi le azioni da porre in essere per rispondere al rischio, mitigarlo e riportarlo al di sotto della soglia ritenuta accettabile. Le strategie di risposta sono in genere quattro. Queste sono: l’accettazione, si accetta quando la probabilità è bassa e l’impatto contenuto, si decide consapevolmente di accettare il rischio, non è una strategia se il rischio in oggetto non viene identificato e quindi valutato.

Quando la probabilità e l’impatto aumentano la strategia migliore è sicuramente evitare il rischio, quindi cercare di eliminare la causa che risiede alla base del rischio. Quando i rischi non possono essere evitati, le ulteriori strategie sono quelle di riduzione e condivisione.

6. Attività di controllo, comprende tutte le politiche e le procedure che permettono agli attori di capire se la risposta ha ricondotto il livello di rischio a quello accettabile. Si identificano inoltre due componenti trasversali, che interessano tutte le altre componenti del processo:

36

1. Informazione/Comunicazione. Le informazioni sono necessarie per ogni decisione da prendere, possono avere natura interna o esterna e basarsi su dati storici e attuali. È necessario però che l’informazione sia tempestiva, aggiornata, accurata e disponibile. Ovviamente è necessario rendere disponibili le informazioni a tutti i livelli dell’organizzazione, in questo consiste la comunicazione che si serve sia di canali formali che informali, anzi spesso le informazioni più importanti passano proprio a livelli informali.

2. Monitoring. Consiste nell’attività di monitoraggio su tutto il processo, può essere continuo su tutte le attività o puntuale su specifici interventi.

Da questa breve descrizione si deduce subito come l’ERM sia un modello molto complesso, che abbraccia e cerca di individuare ogni tipo di rischio, non solo quelli legati all’ambito finanziario. Inoltre, è un modello che richiede integrazione e cooperazione in tutta l’organizzazione.

L’implementazione di un sistema integrato di risk management non è condizione sufficiente per il suo futuro successo infatti, gli errori nell’implementazione vanificano i benefici.

I benefici di un sistema di questo tipo sono:68

 Riduzione del costo del capitale a seguito di una minore rischiosità percepita. A proposito di questo, Standard & Poor’s ha introdotto la valutazione del livello di implementazionedell’ERM nel computo dei rating per alcune tipologie di imprese, una valutazione positiva per una corretta implementazione del modello, favorisce gli investimenti da parte degli azionisti.

 Una gestione più efficiente dei rischi. Il risparmio di costi è possibile grazie alla gestione accentrata, raggiungibile tramite la cooperazione di tutti i soggetti che a vario titolo operano in azienda e l’individuazione dei rapporti di interdipendenzache si ritrovano nei rischi aziendali.

 Il management utilizza un linguaggio comune comprensibile a tutta l’organizzazione. Uno dei fattori fondamentali per un’implementazione efficace è proprio la definizione di un modo di comunicare e operare che sia pienamente compreso all’interno.

 È uno strumento di supporto all’attività decisionale del management a seguito della costante ricerca di dati, necessaria al fine di controllare i rischi.

37

 Per il Consiglio di Amministrazione è un ottimo strumento per avere una piena visione dell’andamento dell’attività dell’azienda, utile anche al CFO e al CEO per il supporto nelle decisioni di ordine finanziario e strategico.

 Riduzione dei costi di agenzia in seguito a una migliore comunicazione tra manager e azionisti.

Come in ogni aspetto di ogni cosa che ci circonda, è necessaria la considerazione anche del risvolto della medaglia. Il limite più grande all’implementazione, e quindi successivo utilizzo del modello, è dato dalla mancanza di comprensione dei benefici futuri che derivano dal sistema. Seguono poi la resistenza al cambiamento, la mancanza di competenza da parte del management e le insufficienti risorse sia in termini di denaro che di tempo che un sistema di questo tipo richiede, ma anche la percezione che induca una forte burocrazia e un irrigidimento di tutta la struttura organizzativa69_.

4.1.2.

Lo standard ISO70 _{31000 fornisce principi guida e linee generali per la gestione del rischio, a}

partire dal 2009 infatti, nell’ambito della famiglia di standard ISO se ne sono aggiunti alcuni specifici sul risk management.

Assiame al 31000 altri standard ISO centrati sul risk management sono l’ISO 31010 che individua le tecniche di risk assestment e l’ISO guide 73, inteso come un vero e proprio vocabolario, con spiegazioni di concetti che si ritrovano nel 31000.

La definizione ufficiale data dallo standard 31000 enuncia che “il risk management è un processo con l’obiettivo di fornire una ragionevole sicurezza che gli obiettivi definiti in sede di pianificazione siano raggiunti garantendo che il rischio residuale è al di sotto della soglia di accettabilità”. Si nota la perfetta coincidenza con la definizione data dall’ERM.

Lo standard individua tre pilastri principali su cui basare tutto il sistema di gestione del rischio:

69 _{Beasley, Branson e Hancock, Integrated Enterprise Risk Management: From process to best practices, 2009}

70 _{Abbreviazione di International Organization for Standardization è la più grande agenzia a livello mondiale per la definizione}

38

1. Principi di gestione dei rischi, indicano i criteri guida che devono ispirare l’impostazione in azienda del sistema di risk management.

2. Framework per la gestione del rischio, è l’impostazione del modello e si compone a sua volta di varie parti. La prima è il Mandate and Commitment, un documento che individua una serie di principi che devono stabilire il ruolo del consiglio di amministrazione e del senior management all’interno di un sistema di risk management. Le altre quattro componenti fanno parte di un unico blocco e rappresentano la declinazione a livello di gestione dei rischi di quello che è un modello classico di gestione della qualità e sono:

- Plan, è la fase di pianificazione, disegno e progettazione del piano - Do, è la fase di attuazione del piano

- Check, è la fase di controllo del piano

- Act, è la fase riguardante le azioni correttive per poter migliorare la gestione del sistema.

3. Processo per la gestione dei rischi, è il terzo e ultimo pilastro che si lega particolarmente con la seconda fase del pilastro precedente, il Do. Il processo definito dallo standard 31000 presenta molte affinità con il modello ERM. Il primo step consiste nel Definire il contesto di riferimento, quindi analizzare l’ambiente interno e esterno; solo in seguito si procede con la Valutazione del rischio che si compone delle fasi di Identificazione del rischio, Analisi del rischio e Ponderazione del rischio. L’ultimo step consiste nel trattamento del rischio, fase che nel modello ERM si identifica con la risposta al rischio.

4.2. Gli Attori

La componente soggettiva di un sistema di risk management è composta dagli attori. I soggetti coinvolti nel processo di risk management variano a seconda dell’organizzazione considerata, che sia grande o piccola, quotata o meno, finanziaria o non finanziaria. Quindi, ci sono una molteplicità di fattori da considerare che, possono essere sia interni che esterni.

Si troveranno vere e proprie unità organizzative predisposte appositamente per lo svolgimento del processo nelle società di natura finanziaria e generalmente nelle società di grandi dimensioni, soprattutto se quotate.

Per le piccole medie imprese, invece, il processo di gestione dei rischi avrà una connotazione più informale e flessibile, non si troveranno funzioni di risk management e apposite

39

metodologie, ma ci si affiderà piuttosto alle percezioni, le intuizioni e le esperienze di coloro che guidano l’azienda day-by-day.

Prendendo come riferimento società di grandi dimensioni, quotate in Borsa e di carattere non finanziario, un suggerimento è costituito dai codici di corporate governance,71 _{in Italia il Codice}

di Autodisciplina di Borsa Italiana.

La prima versione del codice risale al 1999, fu redatto dal comitato per Corporate Governance, composto da rappresentanti di associazioni di categoria di intermediari ed emittenti e di società