L’Enterprise Risk Management
2.6 I componenti dell’ERM
2.6.7 Informazioni e comunicazione
Questa penultima fase è fondamentale nel processo di ERM, in quanto le informazioni relative al rischio devono essere diffuse in maniera capillare in tutta l’organizzazione per identificare, valutare e gestire i rischi.
Nello specifico, le informazioni più rilevanti devono essere raccolte e comunicate nei modi e tempi adeguati a tutti i livelli della struttura organizzativa, affinché le persone siano consapevoli dei loro compiti e responsabilità. È fondamentale infatti che le informazioni circolino a tutti i livelli gerarchici, per identificare e valutare in modo tempestivo i rischi, fornire le giuste risposte e realizzare gli obiettivi preposti.
Le grandi quantità di dati, che provengono sia dall’interno che dall’esterno dell’impresa, e possono essere qualitativi o quantitativi, devono essere rielaborate dal management e trasformate in strumenti utili alle azioni strategiche. Ruolo del sistema informativo è di raccogliere, elaborare, e comunicare attraverso i report le informazioni rilevanti per supportare il processo decisionale. Dal momento che queste operazioni vengono registrate in tempo reale, il management disporrà di tali informazioni in tempo reale, e contestualmente potrà attivare le attività di controllo, secondo le prestabilite risposte al rischio. In questo modo il management può verificare se le attività si stanno svolgendo entro i limiti del rischio accettabile, e adottare gli opportuni provvedimenti in caso contrario. L’adeguatezza del sistema informativo deve essere valutata in relazione sia alla tempestività e al grado di dettaglio delle informazioni, sia alla qualità stessa di quest’ultime. La comunicazione è un’attività intrinseca dei sistemi informativi, ed è necessario che sia attuata sia dall’alto verso il basso, sia dal basso verso l’alto, poiché è il personale operativo che entra personalmente in contatto con le problematiche e può comunicare alla direzione i punti critici riscontrati. La comunicazione può essere rivolta verso l’interno dell’organizzazione, e in tal caso proviene direttamente dal management e ha lo scopo di far comprendere l’importanza di un efficace sistema di ERM, gli obiettivi già definiti, il livello di rischio accettabile e i diversi ruoli e responsabilità del personale. Solo grazie a un sistema di comunicazione efficace, l’organo amministrativo riuscirà a svolgere appieno il proprio ruolo di supervisore e guida per gli aspetti critici della gestione del rischio.
La comunicazione esterna invece è diventata sempre più rilevante dal momento in cui si è iniziata a considerare la responsabilità sociale verso tutti i portatori di interesse dell’impresa. È importante infatti costruire degli efficaci canali di comunicazione con clienti e fornitori, e avere così il vantaggio competitivo di conoscere l’andamento della domanda e dell’offerta, così
come le comunicazioni ai soci e agli analisti finanziari sono importanti per comprendere le potenziali minacce. Alcuni dei mezzi di comunicazione più utilizzati dal management sono i già citati report, attraverso i quali si può svolgere l’attività di gestione, monitorare la performance, determinare gli obiettivi, e porre in atto in maniera tempestiva eventuali azioni correttive [Anaclerio M. et al. (2011); Associazione Italiana Internal Auditors, 2006].
2.6.8 Monitoraggio
L’ERM è un processo continuo, ed è quindi necessario monitorarne costantemente l’efficacia, e nel caso in cui vengano riscontrate delle problematiche risalire alle attività di controllo. L’attività di monitoraggio ha lo scopo di garantire al management una ragionevole certezza sul funzionamento dei sistemi di controllo, nonostante l’evoluzione del contesto interno ed esterno.
Il monitoraggio può avvenire attraverso delle attività di verifica periodiche, oppure in modo continuo. In linea teorica, il monitoraggio dovrebbe essere sempre un processo continuo ed automatico, integrato nelle attività operative quotidiane, affinché l’impresa possa reagire in modo dinamico e tempestivo ai cambiamenti, rilevare gli eventuali problemi o opportunità. Inoltre, il monitoraggio continuo permette di effettuare un minor numero di verifiche periodiche ad hoc, e agendo in tempo reale permette di adottare contestualmente le eventuali risposte al rischio. Le verifiche periodiche infatti sono effettuate principalmente ex post, ed hanno minori probabilità di individuare le eventuali mancanze, in quanto vengono attuate dopo la manifestazione degli effetti negativi. Non è tuttavia da escludere che vengano applicate entrambe le modalità, infatti l’ERM è strutturato per automonitorarsi in modo continuo, fino al limite oltre il quale sono necessarie delle valutazioni separate. Infine, il monitoraggio include il confronto degli eventi rischiosi attuali con le precedenti stime di probabilità, frequenza e costi [Anaclerio M. et al. (2011); Associazione Italiana Internal Auditors, 2006; Olson e Dash Wu, 2008].
2.7 I ruoli nella gestione dell’ERM
L’ERM è un processo che coinvolge soggetti ad ogni livello organizzativo, come il consiglio di amministrazione, i manager, i direttori finanziari, gli internal auditors, i quali contribuiscono direttamente all’efficacia del risk management, ma sono interessati anche soggetti esterni all’impresa, ossia i revisori esterni, il legislatore, le parti terze che interagiscono con l’azienda egli analisti finanziari. La terza dimensione del modello (Figura 1.4) è proprio composta dai diversi livelli gerarchici.
Alcune organizzazioni hanno implementato un’apposita figura addetta al coordinamento delle varie attività dell’ERM, chiamato Chief Risk Officer o Risk Manager, che può essere sia un senior
officer incaricato di questa funzione, sia una risorsa specifica. Egli collabora con gli altri
manager e possiede le risorse necessarie per mettere in pratica i principi del modello nell’azienda, nelle società controllate, nelle divisioni e nelle singole attività. Il ruolo e le responsabilità del risk officer devono essere chiari e ben definiti per operare efficacemente con gli altri manager. In particolare, possono essere previsti funzioni come la definizione degli obiettivi, delle politiche e delle responsabilità dell’ERM; la promozione di competenze tecniche di gestione del rischio in tutta l’organizzazione, aiutando i manager ad allineare le risposte al rischio con il livello di rischio accettabile; l’integrazione dell’ERM con le altre attività di pianificazione e gestione; la definizione di una terminologia comune sul rischio, e di tecniche di misurazione uniformi; l’assistenza per il monitoraggio e redazione dei report e comunicazione al CEO dei progressi e problemi riscontrati, suggerendo gli opportuni interventi [Associazione Italiana Internal Auditors, 2006; Quon et al., 2012; Olson e Dash Wu, 2008]. Recenti studi empirici sostengono che la presenza di un Chief Risk Officer sia associata ad una fase evoluta di implementazione dell’ERM, suggerendo che la nomina di un dirigente influenza molto il modo in cui tale processo viene messo in pratica all’interno dell’organizzazione [Beasley et al., 2008].
2.8 Limiti
L’ERM non è un modello esente da limiti e critiche. Esso, anche se ben implementato nella struttura aziendale, fornisce al management solo una ragionevole certezza sul raggiungimento degli obiettivi, poiché possono sempre accadere degli eventi imprevisti e inaspettati, degli errori o dei report sbagliati, seppur le normali attività operative siano volte alla realizzazione delle proprie finalità.
Tali limitazioni possono essere dovute a:
- soggettività e fragilità del giudizio delle persone quando intraprendono le decisioni strategiche, e agli errori involontari che tuttavia possono provocare gravi conseguenze; - eventualità che più persone in accordo tra loro agiscano per eludere i controlli, ad
- equilibrio tra costi e benefici che le imprese devono necessariamente individuare, in quanto è impossibile proteggersi da tutti i rischi. Le risorse sono infatti limitate, e si deve tener conto del rapporto tra costi necessari per implementare i controlli e gli effettivi benefici, poiché talvolta può essere dispendioso e controproducente sviluppare sofisticati e precisi sistemi di identificazione e valutazione del rischio;
- violazione da parte del management delle politiche e procedure dell’ERM con scopi illegittimi, ad esempio per ottenere dei guadagni personali illeciti, far figurare dei risultati aziendali migliori per conseguire gli obiettivi di budget, o fornire informazioni erronee ai fornitori o banche.
Tali limiti devono essere tuttavia considerati assieme a tre concetti fondamentali, ossia:
1. il rischio riguarda un evento aleatorio futuro, impossibile da prevedere con assoluta certezza;
2. l’ERM pur essendo implementato correttamente e in modo efficace, opera su livelli diversi rispetto alle categorie di obiettivi, e non può garantire che verranno sicuramente realizzati;
3. infine, non vi è la sicurezza assoluta nella realizzazione di nessuna categoria di obiettivi: come già accennato, il modello fornisce una ragionevole certezza sul raggiungimento degli obiettivi di conformità e di reporting, essendo direttamente sotto il controllo dell’impresa, al contrario degli obiettivi strategici e operativi, fortemente influenzati da fattori esterni [Associazione Italiana Internal Auditors, 2006].