Le componenti del modello ERM

Il modello ERM identifica sei componenti principali, interconnessi e integrati con i processi operativi, che devono essere ben identificati e specificati:

Figura 14: Componenti dell'ERM - D’Onza (2016), Corso di Risk Management, Università di Pisa

Ambiente interno

Filosofia di base formulata dal management in cui vengono specificati i valori guida che si intendono seguire (codice etico, vision, mission), l’ammontare di rischio che si è disposti ad accettare, gli attori coinvolti, le loro qualità e competenze personali, i ruoli assegnati, le modalità di svolgimento dei processi e l’ambiente in cui si opera.

L’ambiente interno forma l’identità essenziale di un’organizzazione, e si trova alla base del sistema di Risk Management.

Definisce il contesto organizzativo all’interno del quale i progetti di Risk Management sono sviluppati e determina i modi in cui il rischio è considerato e affrontato dalle persone che operano all’interno di un’azienda.

I fattori che influenzano l’ambiente interno sono:

• La filosofia di gestione del rischio: definibile come l’insieme dei valori e dei componenti che caratterizzano l’atteggiamento dell’azienda nei confronti del rischio. È necessario che la filosofia del risk management sia considerata un orientamento culturale, capita e condivisa da tutti i soggetti che vi operano, in modo che si sentano responsabilizzati nella considerazione e gestione dei rischi, in ogni unità operativa.

Questa filosofia è riflessa nelle politiche, nelle comunicazioni orali e scritte e nei processi decisionali, e per una migliore diffusione e condivisione gli strumenti più usati sono i corsi di formazione, per fare leva su tutti i comportamenti e sul loro senso di appartenenza;

• Risk Appetite: è l’ammontare di rischio teorico complessivo (economico generale) che l’organo di governo di un’azienda è disposto ad assumersi, per raggiungere gli obiettivi strategici per la creazione di valore, e per quale ammontare complessivo42. Esso deve rispecchiare la filosofia di gestione del rischio predefinita dall’azienda. A seconda della tipologia di azienda, questo rischio teorico è intrinseco nella strategia, definita dal Consiglio di Amministrazione (come per esempio nelle aziende industriali), oppure formalizzato nel Risk Appetite Statements43 (come per esempio nelle aziende

finanziarie). Il ruolo dell’ERM è quello di aiutare il Management a selezionare una strategia coerente con il livello di rischio accettabile stabilito dell’azienda. Attraverso l’analisi del Risk Appetite è possibile individuare tre tipologie di azienda: avverse al rischio (caratterizzate da strategie conservative), propense al rischio (caratterizzate da strategie aggressive) e neutrali (in media con il settore). Altri concetti di rischio, strettamente collegati al Risk Appetite sono:

o Risk Capacity: livello massimo di rischio che l’azienda è tecnicamente in grado di assumere, senza violare requisiti regolamentari e vincoli imposti da azionisti o autorità di vigilanza;

o Risk Tollerance: devianza dal risk appetite consentita. È la soglia di tolleranza, fissata in modo da assicurare margini di operatività per rimanere entra il limite di risk appetite;

o Risk Profile: è il rischio reale, effettivamente assunto dall’azienda, misurato in un determinato istante temporale. È utile a verificare che ci si trovi entro il limite di risk tollerance e risk appetite;

o Risk Limit: limiti di rischio su obiettivi operativi specifici (definiti per tipologie di rischio, unità, linee di business, linee di prodotto, tipologie clienti. ecc ..).

Definizione degli obiettivi

L’ERM assicura che il Management abbia definito degli obiettivi in linea con i valori guida che l’azienda intende seguire, e coerenti con l’ammontare di rischio che è disposta ad accettare. A seconda dell’ampiezza d’utilizzo del modello saranno obiettivi specifici e/o generali.

• Obiettivi strategici: sono obiettivi di fondo che l’azienda intende conseguire per favorire il raggiungimento della mission;

• Obiettivi operativi: sono obiettivi che riguardano la gestione operativa, e riguardano efficacia, efficienza ed economicità. Sono necessari per decidere come allocare le risorse aziendali in modo da raggiungere gli obiettivi preposti;

• Obiettivi di reporting: sono obiettivi che riguardano l’attendibilità e accuratezza delle informazioni contenute nei report interni e nei report esterni;

• Obiettivi di compliance: sono obiettivi che riguardano il rispetto di quanto previsto in norme di legge, in circolari, in disposizioni e regolamenti. Sono diversi in base al tipo di azienda e dal tipo di settore.

Identificazione degli eventi

Il modello ERM si focalizza sull’identificazione degli eventi che possano impattare sul raggiungimento degli obiettivi, intendendoli sia come rischi che opportunità.

Questi eventi sono caratterizzati da incertezza, in quanto non è possibile sapere con certezza se, quando e con quale impatto, si verificheranno, e possono essere causati sia da fattori esterni, come l’economia, competitor, naturali, politici, cambiamenti tecnologici, che interni all’azienda, come la tecnologia a disposizione, il personale, le infrastrutture, lo svolgimento dei processi ecc…

• Catalogo degli eventi: lista, elaborata dal management, degli eventi possibili e dei conseguenti rischi associati a processi, funzioni, progetti ecc.. a partire da informazioni esterne. Gli eventi, e quindi i rischi, vengono suddivisi poi in base alla provenienza (interni / esterni) o in base agli obiettivi su cui impattano (Strategici / finanziari / operativi / reporting);

• Workshop: incontro organizzato dal risk manager allo scopo di identificare i rischi associati ad una funzione o processo. Dopo che i partecipati propongono i rischi da loro rilevati, viene fatta una selezione e creata una lista di rischi da valutare; • Check list: Consiste in una lista predefinita, fornita dal Risk Management o

dall’esterno, composta da rischi “tipici” di una funzione o di un processo che possono impattare sugli obiettivi predefiniti. Tramite interviste singole, ogni rischio deve essere successivamente valutato con un “si” o con un “no” in base alla possibilità che accada.

Valutazione dei rischi

Per la valutazione dei rischi è importante definire quale tipologia di rischio si intende valutare (rischio lordo oppure il rischio residuale, che residua dopo l’attività di risposta al rischio implementata dall’azienda) e la scala di valutazione da adottare.

Per la compilazione della matrice di significatività, che combina probabilità e impatto, dovrà essere scelto il metodo di valutazione da seguire:

• Tecnica qualitativa: è un metodo che si basa sulle conoscenze e sull’esperienza, dato che probabilità e impatto di ogni evento vengono valutati in base a giudizi espressi da uno o più soggetti come manager e responsabili. Questo metodo ha lo

svantaggio che risente di giudizi soggettivi degli individui che compiono le valutazioni;

• Tecnica quantitativa: utilizza strumenti e metodologie statistiche o matematiche per poter rappresentare l’andamento di probabilità e impatto degli eventi individuati. È quindi una tecnica applicabile solamente in presenza di dati storici molto ampi in grado di rappresentare, con un certo livello di confidenza, l’andamento della probabilità e l’impatto, ed è caratterizzata da una maggiore oggettività della valutazione;

• Tecnica mista: utilizza per la valutazione della probabilità futura, delle stime in base a strumenti statistici che misurano la frequenza passata, e per l’impatto, le valutazioni soggettive del manager e dei responsabili in modo da sfruttare le conoscenze e le abilità di questi.

Risk response

In base alla matrice di significatività costruita, gli eventi saranno classificati secondo l’esposizione al rischio, e, quindi, formulata la strategia di risposta più consona tra:

• Accettare il rischio: quando il rischio lordo è minore del Risk Appetite si può accettare, secondo una decisione esplicita, ponderata e consapevole assunta dopo una valutazione. Si accetta perché la bassa probabilità di una perdita attesa bassa ha un costo minore di quello che avrebbe gestire il rischio;

• Evitare il rischio: quando il rischio ha un impatto alto e una probabilità di accadimento alta. La risposta migliore sarebbe evitare, cercando di eliminare la causa del rischio, abbandonando una certa attività, rinunciando a intraprendere un determinato investimento, attraverso un contratto di factoring pro-soluto, in modo da cedere il credito a società di factoring, eliminando del tutto il rischio;

• Ridurre il rischio: quando il rischio ha un’alta probabilità di accadimento ma un impatto basso, si può cercare di ridurlo, facendo leva sulle attività di controllo, riducendo le risorse investite in una certa attività, diversificando, investendo in attività con andamenti correlati negativamente (per esempio azioni con andamenti esattamente opposti), preparandosi al rischio per ridurre l’esposizione, accantonare risorse come forma di autofinanziamento per sopportare perdite future;

• Condividere il rischio: tramite assicurazioni facoltative, factoring pro-solvendo (per quanto riguarda i rischi di credito), outsorcing, Hedging (tecniche di copertura per rischi finanziari e di prezzo legati ai costi delle materie prime).

Attività di controllo

Insieme di politiche e procedure di verifica e coordinamento della corretta attuazione delle risposte al rischio stabilite. Si verifica che il rischio esista sempre, che la valutazione del rischio sia sempre coerente e che le risposte al rischio prestabilite siano sempre adeguate.

Le componenti dell’attività di controllo sono:

• Informazione & Comunicazione: valuta la qualità delle informazioni diffuse a tutti i livelli dell’organizzazione. Le valutazioni riguardano la rilevanza del contenuto dei report, il grado di tempestività rispetto alle esigenze dell’utente, il livello dell’aggiornamento dell’informazione, il grado di accuratezza dei dati contenuti nei report e il grado di accessibilità con cui gli interessati possono ottenere i dati di cui necessitano;

• Monitoring: il monitoraggio può essere continuo e su tutte le attività, con una periodicità definita dal Risk Management, o dall’internal audit, oppure fatto in presenza di una esigenza specifica e concreta, in base alle criticità evidenziate dall’ERM.

Informazione & comunicazione e il monitoring sono componenti trasversali, influenzano e condizionano l’efficacia di tutto il sistema dell’ERM.