L’evoluzione del Risk Management e l’origine dell’ERM 26

E’   difficile   dare   una   definizione   univoca   di   Risk   Management   dato   che   in   letteratura   sono   presenti   oltre   sessanta   framework   di   Risk   Management.   Nel   prosieguo   il   nostro   obiettivo   sarà   quello   di   presentare   una   breve   disamina   dei   principali   approcci   di   Risk  

Management,   mettendo   in   evidenza   quella   che   è   stata   l’evoluzione   delle   tecniche   e   dei  

metodi  utilizzati  in  azienda.  Lo  scopo  sarà  quello  di  presentare  un  percorso  logico  che  ci   permetta  di  capire  come  sia  nato  e  si  sia  affermato  l’Enterprise  Risk  Management  (ERM),   oggetto  principale  di  studio  del  nostro  lavoro.  L’approccio  integrato  alla  gestione  dei  rischi   nasce,   infatti,   come   conseguenza   dell’evoluzione   degli   approcci   che   verranno   esaminati.   Proprio  per  il  motivo  appena  esposto,  non  possiamo  individuare  una  data  precisa  a  cui  si   può   far   risalire   la   nascita   dell’ERM.   Possiamo   però   dire   che   esso   trae   spunto   dalle   pubblicazioni   avviate   negli   Stati   Uniti   sul   finire   degli   anni   ’80   e   inizio   anni   ’90   in   conseguenza   ai   grandi   scandali   finanziari   ed   economici   di   quegli   anni.   In   quel   periodo   nasce  la  volontà  da  parte  del  settore  privato  e  da  parte  del  settore  assicurativo  di  creare   una  commissione  di  studio,  cioè  il  Committe  of  Sponsoring  Organizations  of  the  Treadway  

Commission27  _{(COSO),  che  abbia  l’obiettivo  di  creare  un  sistema  di  controllo  innovativo  per}  

le   aziende.   Il   risultato   è   la   pubblicazione   nel   1992   del   libro   Internal  Control  –  Integrated  

Framework.   E’   su   quell’impulso   che   possiamo   inserire   la   nascita   dell’interesse   verso   la  

gestione  integrata  del  rischio.  

Sebbene   sarà   trattato   nel   prosieguo   del   lavoro,   è   opportuno   da   subito   dare   un   primo   inquadramento   della   gestione   integrata   dei   rischi.   L’Enterprise   Risk   Management   è   un   approccio  che  guarda  ai  rischi  “dall’alto”  in  un’ottica  sistemica  andando  a  considerare  le   interrelazioni   esistenti   tra   i   vari   rischi.   Si   esce   dalla   logica   tipica   della   valutazione   e   gestione  dei  rischi  a  livello  di  singola  unità  organizzativa  per  abbracciare  una  logica  che   investe  tutta  l’azienda,  dando  vita  ad  una  cultura  d’impresa  che  coinvolge  tutti  i  dipendenti   nell’approccio  al  rischio.  Non  si  parla  più  di  una  funzione  aziendale  che  si  occupa  di  gestire   i  rischi,  ma  di  una  mentalità  che  investe  l’impresa  che  va  a  interessare  tutte  le  funzioni  e  le   aree  dell’azienda.  

Gli  approcci  al  Risk  Management  che  verranno  esaminati  sono  cinque:     1. il  Traditional  Risk  Management;  

2. il  Financial  Risk  Management;   3. il  Project  Risk  Management;   4. il  Control  Risk  Management;     5. il  Risk  Management  Standard28_.  

Il   Traditional   Risk   Management   (TRM)   è   da   molti   considerato   l’antenato   più   vicino   dell’ERM.  Questa  affermazione  deriva  dal  fatto  che  le  fasi  che  caratterizzano  il  TRM  sono   più  o  meno  le  stesse  fasi  che  caraterizzano  l’ERM.  Gli  steps  nell’approccio  al  richio  previsti   nel  TRM  sono  quattro.  

• La  prima  fase  è  quella  dell’identificazione  dei  potenziali  rischi  in  grado  di  generare  

dei  danni  all’impresa.  Questo  processo  punta  a  gestire  l’insieme  delle  informazioni  

27  _{Il Committe of Sponsoring Organizations of the Treadway Commission (COSO) è una commissione di studio che}

nacque negli Stati Uniti d’America nel 1985 successivamente ai grandi scandali finanziari e alle frodi di quel periodo storico. Nacque con l’obiettivo di fornire delle direttive alle imprese e alle autorità di vigilanza in merito alla riduzione delle frodi, all’implementazione dei sistemi di contollo aziendali e solo successivamente in merito all’implementazione dell’ERM nella realtà aziendale. Per maggiori approfondimenti si veda il sito del COSO: www.coso.org.

28  _{Gli approcci di Risk Management qui presentati non rappresentano un’elencazione esaustiva, ma solo quelli che}

di  tutta  l’attività  di  gestione  dei  rischi  organizzando  un  sistema  informativo  che  sia   in  grado  di  descrivere  in  maniera  esaustiva  e  chiara  il  profilo  di  rischio  al  quale  è   esposta  l’impresa  oggetto  di  studio.  E’  una  fase  critica  dato  che  costituisce  il  punto   di   partenza   per   le   fasi   succesive   e   quindi   va   posta   notevole   attenzione   in   questa   fase   perché   un   suo   cattivo   svolgimento   può   inficiare   in   maniera   irreversibile   la   qualità  dei  risultati  successivi.  

• La   seconda   fase   consiste   nel   processo   di   valutazione   dei   rischi   a   cui   è   esposta  

l’impresa.   Questa   fase   si   concretizza   nella   conduzione   di   analisi   di   convenienza   e  

quindi  nella  selezione  del  piano  di  gestione  ottimale  per  gestire  i  rischi.    

• La   terza   fase   è   la   fase   della   vera   e   propria   gestione   dei   rischi.   Essa   consiste   nell’applicazione   delle   misure   di   prevenzione   e   trasferimento   a   terzi   individuate   nella  fase  precedente.    

• L’ultima  fase  è  quella  del  control  risk.  Si   tratta   di   un   processo   continuo   di   verifica   dei   risultati   raggiunti   nel   prevenire,   eliminare   e   gestire   i   rischi   aziendali,   nonchè   identificazione  e  monitoraggio  dell’eventuale  presenza  di  nuovi  pericoli.  

Il  Financial  Risk  Management  (FRM)  è  un  ulteriore  approccio  alla  gestione  dei  rischi  che   va  a  specializzarsi  su  di  una  specifica  area  aziendale,  cioè  la  gestione  dei  rischi  finanziari,   che  possono  riguardare  tanto  l’area  operativa  (cambiamenti  metereologici,  variazione  dei   prezzi   delle   materie   prime   e   così   via)   quanto   l’area   finanziaria   (variazione   dei   tassi   di   interesse,  di  cambio,  eccetera)  (Prandi,  2010).    

Il   FRM   si   caratterizza   per   essere   una   funzione   aziendale   che   si   pone   lo   scopo   di   assicurare   l’allocazione   ottimale   del   capitale   aziendale,   garantendone   la   remunerazione   nel  tempo  sotto  opportune  condizioni  di  rischio  accettate,  che  consentano  all’impresa  di   soppravvivvere   nel   tempo.   Affinchè   questo   approccio   possa   dare   i   risultati   sperati   c’è   l’esigenza  di  mettere  in  luce  quali  sono  gli  obbiettivi  finanziari  che  si  vogliono  perseguire  e   utilizzare  le  tecniche  di  Capital  Management29  _{e  di  Asset  &  Liability  Management  (A&LM}30₎  

29  _{Il Capital Management è una modalità di gestione d’impresa che si sforza di mantere livelli equi di attivà correnti,}

passività correnti e di capitale circolante in modo da assccurare all’impresa la possibilità di far fronte ai propri obblighi di spesa.

30  _{L’Asset & Liability Management (A&LM) è uno strumento gestionale al cui interno possono essere collocate tutte}

in  modo  da  incrementare  il  valore  dell’impresa  ed,  infine,  delineare  la  struttura  dei  rischi   ai  quali  l’impresa  sarà  esposta  (Del  Pozzo,  2009).  

Le   fasi   che   il   management   dovrà   porre   in   essere   sono   numerose,   qui   presentiamo   le   principali:  

• individuare   i   vari   possibili   scenari   di   manifestazione   e   definire   l’orizzonte   temporale  di  riferimento;  

• determinare  i  flussi  di  cassa  dell’attivo  e  del  passivo  per  tipologia  e  scadenza  in   modo  da  ottenere  il  matching  tra  attivo  e  passivo;  

• riuscire   a   determinare   l’andamento   futuro   di   tassi   di   interesse   e   dei   flussi   di   cassa  avvalendosi  di  tecniche  statistico-­‐finanziarie  la  cui  analisi  e  valutazione  è   resa   attendibile   dalla   possibilità   di   disporre   di   serie   storiche   consolidate   (Del   Pozzo,  2009;  Prandi,  2010).  

Dal   punto   di   vista   operativo,   analizzando   le   fasi   che   caratterizzano   il   FRM,   possiamo   dire   che   anche   qui   ci   sono   delle   analogie   con   la   gestione   integrata   dei   rischi,   anche   se,   come   abbiamo   da   subito   messo   in   evidenza,   l’ottica   è   qui   focalizzata   su   di   un’unica   area   aziendale,  ossia  quella  finanziaria.  

Il  Project  Risk  Management  (PRM)  nasce  per  gestire  i  rischi  associati  alla  realizzazione   di   grandi   opere   che   si   caraterizzano   per   un   progetto   delineato   di   grandi   dimensioni.   Parlando   di   grandi   opere,   ci   riferiamo   alla   costruzione   di   grattacieli,   dighe,   ponti,   grandi   navi,  impianti  industriali  e  più  in  generale  a  qualsiasi  grande  opera  rientrante  nel  settore   delle   infrastruttere   o   della   meccanica.   L’approccio   al   rischio   previsto   nel   PRM   risente   dell’orientamento  tecnico,  tecnologico  e  ingegneristico  che  caraterizza  le  grandi  opere  per   cui   potremmo   parlare   di   approccio   qualitativo   o   semiquantitativo   piuttosto   che   di   un   approccio  quantitativo  nel  vero  senso  della  parola.    

L’obiettivo   principale   quando   si   adotta   questa   modalità   di   gestione   dei   rischi   non   è   tanto  risparmiare  i  costi  che  si  potrebbero  generare  durante  la  realizzazione  del  progetto   quanto  piuttosto  giungere  alla  conclusione  e  alla  realizzazione  dell’opera.  L’atteggiamento   verso   i   rischi   che   possono   scaturire   nel   progetto   è   marcatamente   “difensivo”   in   quanto   l’attività   di   PRM   si   concretizza   nell’identificare,   valutare   ed   eliminare/gestire   qualsiasi   possibile  pericolo  in  grado  di  rallentare  la  realizzazione  del  progetto  o  i  rischi  che  più  in  

generale  possono  causare  delle  difformità  di  tipo  qualitativo  o  tecnico  nella  realizzazione   rispetto  a  quanto  era  previsto  nelle  specifiche  del  progetto  (Prandi,  2010).  

Un’altra  modalità  di  approcciarsi  al  rischio  che  si  è  sviluppata  negli  ultimi  decenni  del   secolo   scorso   è   il   Control  Risk  Management  (CRM).     Tale   approccio   al   rischio   può   essere   definito   come   una   modalità   gestionale   che   ha   il   fine   ultimo   di   garantire   che   lo   svolgersi   delle   attività   aziendali   avvenga   nel   rispetto   di   quelle   che   sono   le   procedure   e   le   norme   definite  dall’impresa  presa  a  riferimento.    

Il  CRM  assume  connotazioni  differenti  a  seconda  dei  soggetti  a  cui  si  rivolge  e  a  seconda   del   soggetto   che   ha   il   compito   di   controllare   che   l’attività   rispetti   i   parametri   e   le   indicazioni   definite   a   livello   aziendale.   Possiamo   individuare   almeno   tre   situazioni   differenti  (Prandi,  2010):  

• se   sono   gli   azionisti   ad   avere   la   responsabilità   di   controllare   l’attività   aziendale,   può  essere  considerato  uno  strumento  di  corporate  governance  che  consente  alla   proprietà  di  verificare  se  il  management  stia  operando  secondo  le  linee  dettate  dal   soggetto  economico;  

• può  connotarsi  come  strumento  di  controllo  e  guida  per  il  management  in  quanto   consente   alla   direzione   aziendale   di   verificare   che   gli   organi   a   loro   subordinati   stiano  operando  secondo  le  linee  guida  delineate;  

• può   essere   addirittura   uno   strumento   di   garanzia   per   gli   stakeholder   portatori   di   interessi   verso   l’impresa   considerata.   L’adozione   del   CRM   può   servire   a   questi   soggetti   per   verificare   se   l’attività   economica   dell’impresa   considerata   sta   causando  danni  o  sta  ledendo  i  loro  interessi.  

L’ultimo  approccio  al  rischio  che  analizzeremo  è  probabilmente  quello  che  più  di  tutti  e   cinque  si  avvicina  all’approccio  tipico  dell’ERM.  Il  modello  a  cui  ci  riferiamo  è  quello  del  

Risk   Management   Standard   reso   pubblico   nel   2003   ad   opera   dalla   Federazione   delle  

Associazioni  europee  di  Risk  Management  (Ferma).  E’  nato  con  l’obiettivo  di  racchiudere   all’interno   di   una   stessa   trattazione   le   varie   linee   di   pensiero   sviluppatesi   negli   anni   in   relazione  a  tale  tematica:  infatti,  non  può  essere  considerato  un  vero  e  proprio  modello  di   approccio  al  rischio,  ma  piuttosto  un  insieme  di  lineee  guida  e  di  principi  da  adattare  alla   specifica  realtà  oggetto  di  osservazione.  

Il   Risk  Management  Standard  si   caratterizza   per   la   presenza   di   sei   fasi   principali   ben   identificate  (Prandi,  2010):  

1. individuazione  degli  obiettivi  strategici  generali  dell’impresa  in  modo  da  definire   lo  spazio  di  manovra  all’interno  del  quale  si  muove  l’impresa;  

2. determinazione  dei  rischi  ai  quali  l’impresa  è  esposta  nonché  stima  degli  stessi  con   evidenziazione  delle  eventuali  perdite  che  possono  generarsi;  

3. definizione  del  rischio  effettivo  a  cui  è  esposta  l’impresa  e  del  rischio  target  a  cui  si   tende  in  modo  da  garantire  la  continuità  aziendale;  

4. individuazione   e   descrizione   del   modo   in   cui   verrà   trattato   ogni   rischio   al   quale   l’impresa  è  esposta  mediante  gli  opportuni  strumenti  di  prevenzione,  ritenzione  e   di  gestione;  

5. definizione  del  reporting  e  del  sistema  di  comunicazione  relativo  alla  gestione  dei   rischi  che  deve  rivolgersi  all’esterno  dell’impresa,  ma  anche  all’interno  in  modo  da   coinvolgere  tutti  gli  operatori  all’interno  dell’impresa;  

6. continuo   monitoraggio   e   verifica   dell’esposizione   al   rischio   a   cui   è   esposta   l’impresa  e  dell’efficacia  e  dell’effcienza  con  cui  si  svolge  il  processo  di  gestione  dei   rischi  aziendali.  

Sebbene  il  Risk  Management  Standard  si  avvicini  più  degli  altri  all’ERM,  dato  che  le  fasi   elencate  sono  praticamente  le  stesse  della  gestione  integrata  dei  rischi,  possiamo  dire  che   tutti  e  cinque  gli  approcci  che  abbiamo  esaminato  presentano  delle  caratteristiche  comuni   che   li   differenziano   dalla   gestione   integrata   dei   rischi.   Anche   se,   come   abbiamo   avuto   modo   di   mettere   in   evidenza   nelle   precedenti   pagine,   i   cinque   approcci   esaminati   presentano   caratteristiche   diverse,   possiamo   provare   a   dare   un’unica   definizione.   Il   Risk  

Management  può,  infatti,  essere  definito  come  una  funzione  aziendale  che  ha:  

“…il  compito  di  identificare,  valutare,  gestire  e  sottoporre  a  controllo  economico  i  rischi  

puri  dell’azienda,  cioè  gli  eventi  che  possono  rappresentare  una  minaccia  per  il  patrimonio   fisico  ed  umano  dell’azienda  stessa  e/o  per  le  sue  capacità  di  reddito.”31  _{(Forestieri,  1996).}  

 Quindi,   in   questa   accezione,   il   Risk   Management   si   configura   come   una   funzione  

aziendale   che   ha   lo   scopo   di   rispondere   alle   minacce   e   ai   pericoli   ai   quali   è   esposta   l’impresa.   Si   afferma,   quindi,   una   visione   del   Risk   Management   che   in   letteratura   viene   definita   come   gestione   sylos   by   sylos   per   mettere   in   evidenza   la   mancanza   di  

31

coordinamento  tra  le  diverse  unità  organizzative  dell’impresa  e  il  fatto  che  il  rischio  venga   gestito  all’interno  di  ogni  business  unit  senza  considerare  il  collegamento  tra  i  vari  rischi   all’interno   dell’impresa.   Infatti,   in   questa   accezione,   l’obiettivo   della   funzione   aziendale  

Risk   Management   si   configura   nella   gestione   dei   rischi   con   il   minor   costo   possibile  

basandosi   su   quelle   che   sono   le   politiche   di   investimento   e   finanziamento   definite   dai   vertici  aziendali.  Il  rischio,  quindi,  si  configura  come  una  minaccia  dalla  quale  è  opportuno   difendersi  con  un’adeguata  funzione  aziendale  al  riguardo.  

Col   passare   del   tempo,   come   abbiamo   già   detto,   l’approccio   tradizionale   alla   gestione   dei   rischi   ha   lasciato   il   posto   a   un   metodo   innovativo   e   più   completo   qual   è   quello   dell’ERM.   I   fattori   che   hanno   portato   all’affermarsi   di   questo   approccio   sono   molteplici;   non   solo   è   mutato   lo   stesso   concetto   di   rischio,   ma   anche   gli   eventi   e   l’incessante   cambiamento  del  mondo  che  è  avvenuto  nello  scorso  decennio  hanno  posto  sempre  di  più   al  centro  dei  pensieri  delle  aziende  la  tematica  del  rischio.  Negli  ultimi  quindici  anni  sono   avvenuti  degli  eventi  che  hanno  tolto  la  certezza  in  merito  a  certi  aspetti  ed  hanno  iniziato   a   far   scattare   un   campanello   d’allarme   nella   testa   dei   managers   e   più   in   generale   delle   persone.  Segal  (2011)  individua  tutta  una  serie  di  eventi  che  hanno  cambiato  la  mentalità   di  imprese  e  managers  nell’approciarsi  al  rischio.    

• L’attacco   alle   Torri   Gemelle   del   2001.   Quel   tragico   evento   che   sconvolse   tutto   il   mondo  mise  in  luce  un  rischio  e  un  pericolo  che  prima  non  si  era  mai  considerato,   cioè  il  rischio  dato  dal  terrorismo.  L’accaduto  fu  talmente  sconvolgente  che  tutta   l’America   si   interrogò   sui   rischi   ai   quali   il   Paese   era   esposto   e   sulle   modalità   di   gestione   della   sicurezza.   E’   proprio   durante   quegli   anni   che   l’Office   of   the  

Department   of   National   Intelligence   (ODNI)   iniziò   a   parlare   di   un   approccio  

integrato  alla  gestione  dei  rischi  connessi  alla  sicurezza  del  Paese    

• L’uragano   Katrina   del   2005.   Quando   nell’agosto   del   2005   l’uragano   Katrina   distrusse  la  città  di  New  Orleans  vennero  messi  in  evidenza  da  subito  due  aspetti.   Innanzittuto,  data  la  straordinarietà  dell’evento,  si  capì  che  nell’approccio  ai  rischi   era   molto   più   importante   dare   maggior   peso   all’analisi   dei   possibili   scenari   e   al   loro   impatto   sulla   realtà   piuttosto   che   alla   probabilità   di   manifestazione   degli   eventi.  In  secondo  luogo,  sebbene  l’umanità  sia  sempre  stata  sconvolta  dai  disastri   naturali,  quell’evento  colpì  molto  l’opinione  pubblica:  

“…showed  the  most  powerful  nation  in  the  world  unable  to  stem  the  virtual  loss  of  a  

major  city  to  nature.”32  _{(Segal,  2011).}  

E’   proprio   successivamente   a   quell’evento,   come   sostiene   Segal   (2011),   che   le   imprese   iniziarono   a   prevedere   i   disastri   naturali   all’interno   dei   loro   sistermi   di   ERM.  

•  Nel  2005  si  iniziò  a  considerare  l’adozione  dell’ERM  come  un  aspetto  per  valutare  le  

imprese.  La  società  di  rating  Standard  &  Poor  introdusse  la  presenza  dell’ERM  tra  

gli   elementi   da   considerare   per   valutare   il   rating   delle   società   di   assicurazione.   Questa  novità  spinse  il  mondo  assicurativo  a  dotarsi  dei  sistemi  di  ERM  e,  inoltre,  a   cercare  di  implementare  e  sviluppare  tali  sistemi  nel  miglior  modo  possibile,  dato   che   questo   aspetto   sarebbe   stato   considerato   nelle   valutazioni   del   rating   di   tali   società.   Sostanzialmente,   l’adozione   di   questo   modello   integrato   di   approccio   al   rischio   veniva   considerato   un   aspetto   positivo   nella   valutazione   della   probabilità   di   default   delle   aziende,   che   veniva   giudicata   dalle   agenzie   di   rating.   Il   grande   successo   riscontrato   nel   mondo   assicurativo   diventò   un   volano   per   la   sua   diffusione  anche  in  altri  settori.  

• La  crisi  finanziaria  del  2008.  La  crisi  finanziaria  partita  negli  Stati  Uniti  e  che  poi  ha   riguardato  tutto  il  mondo  ha  messo  in  luce  quanto  sia  importante  approcciarsi  in   maniera   adeguata   alla   gestione   dei   rischi.   Anche   la   crisi   del   2008,   così   come   gli   altri   eventi   che   abbiamo   descritto,   ha   influito   nell’evoluzione   della   gestione   integrata  del  rischio.  L’introduzione  di  regole  sulla  trasparenza,  sull’informazione   e   sulle   modalità   di   approcciarsi   ai   vari   strumenti   finanziari   ha   dato   un   certo   sviluppo  all’adozione  di  meccanismi  più  trasversali,  come  l’ERM,  nei  confronti  del   rischio.  

Alla  conclusione  di  questa  analisi  e  del  percorso  che  abbiamo  descritto,  possiamo  dire   che  l’approccio  al  rischio  negli  ultimi  sessant’anni  ha  subito  delle  evoluzioni  notevoli.  La   nascita   del   Risk  Management  ha   segnato   una   svolta   poiché   si   è   capito   come   si   potessero   introdurre   strumenti   alternativi   alle   assicurazioni   nella   gestione   del   rischio.   Come  

32 _{Segal, S. (2011), Corporate value of Enterprise Risk Management: the next step in business management, John}

Wiley and Sons, Hoboken, New Jersey.

abbiamo  detto,  si  sono  sviluppate  varie  tipologie  di  approccio  al  rischio  che  hanno  trattato   il  problema  in  maniera  diversa.  Successivamente,  l’evoluzione  del  concetto  di  rischio  e  una   visione   d’impresa   più   sistemica   e   più   orientata   al   medio-­‐lungo   termine   hanno   fatto   evolvere   le   tecniche   tradizionali   verso   un   approccio   più   innovativo   e   trasversale   qual   è   quello  dell’Enterprise  Risk  Management.  Non  possiamo  trovare  una  data  precisa  in  cui  tale   approccio  è  nato  poiché  si  tratta  di  un  cambiamento  di  atteggiamento  nell’approciarsi  al   rischio   che   è   iniziato   all’inizio   degli   anni   ’90   del   secolo   scorso,   ma   che   dura   tutt’oggi.   Certamente  il  fatto  che  molti  esperti  abbiano  pubblicato  numerosi  manoscritti  sull’ERM  e   abbiano   messo   in   luce   i   difetti   degli   approcci   tradizionali   e   il   fatto   che   numerosi   eventi,   come   quelli   avvenuti   negli   ultimi   quindici   anni,   abbiano   cambiato   la   stessa   percezione   della   realtà   ci   spingono   a   pensare   che   l’adozione   oggi   di   un’approccio   alla   gestione   integrata  dei  rischi  sia  più  un’esigenza  che  un’opportunità  offerta  alle  imprese.