L'ERM è un modello di riferimento per lo sviluppo dei progetti di risk management e, per poter essere correttamente strutturato, deve prevedere 8 diverse componenti: ambiente interno; definizione degli obiettivi; identificazione degli eventi; valutazione dei rischi; risposta al rischio (risk response); attività di controllo; informazioni e comunicazione; monitoring.
➢ Ambiente interno
L'ambiente interno è alla base del sistema di risk management di un'azienda, in quanto costituisce l’origine degli altri elementi perché fornisce regole e struttura.
47
Questa componente definisce il contesto organizzativo all'interno del quale i progetti di risk management sono sviluppati. Quindi nelle aziende possiamo riscontrare ambienti interni favorevoli o sfavorevoli ad un'efficace gestione del rischio. L'ambiente interno è influenzato da 8 elementi:
1) Risk appetite:
Rappresenta l'ammontare di rischio complessivo (livello di rischio) che l'organo di governo di un'azienda è disposta ad assumersi per poter raggiungere i suoi obiettivi strategici; non sarà quindi mai uguale a 0, perché qualsiasi azienda, per poter raggiungere i traguardi/obiettivi prestabiliti, deve assumersi dei rischi. Nel momento in cui si definisce una strategia, il risk appetite è intrinseco alla strategia stessa. La definizione del risk appetite spetta all’organo amministrativo dell’azienda e quindi al CDA ed è una delle decisioni fondamentali che caratterizzano l’attività di governo di un’organizzazione. Il risk appetite è il frutto di scelte e decisioni che il consiglio di amministrazione è chiamato ad assumere in merito a due aspetti fondamentali: quali rischi l'azienda è disposta ad assumersi nel perseguimento dei suoi obiettivi? per quale ammontare complessivo? Il Risk appetite in molte aziende non è esplicitato. Negli intermediari è la normativa che obbliga a farlo. Questo avviene con un documento che si chiama risk appetite statements (redatto e approvato dal CDA). Definito il risk appetite si individuano dei limiti ( sistema di boundary) all'interno dei quali il senior e il middle management possono muoversi in sede di attuazione del disegno strategico e di ricerca di nuove opportunità strategiche. Una società avrà un sistema di risk management evoluto rispetto al risk appetite quando il risk appetite è presente, esplicitato, definito dal CDA e formalizzato e se procede periodicamente a controlli volti ad assicurarsi che questo rientri nella soglia desiderata. L'Amministratore Delegato di solito propende per alzare il livello del rischio avendo una remunerazione variabile mentre il Cda ha il ruolo di contenere la spinta al rialzo del rischio perché ne risponde anche sotto il
48
profilo civile e penale nei confronti degli azionisti, essendo l'organo di governo dell'azienda. Definire il risk appetite significa anche vincolare l'organo esecutivo(amministratore delegato, top management)a operare nei limiti del risk appetite.
2) Cultura di gestione del rischio:
In un'azienda l'attività di gestione del rischio è di competenza del manager non del Cda (che si occupa del monitoraggio che potrebbe essere inteso come gestione) In un'azienda tutti devono gestire il rischio, dal CDA all'operativo. Un sistema di risk management efficace si basa dunque su un orientamento al rischio del complesso dell’organizzazione (tutti i soggetti dell’organizzazione devono sentirsi responsabilizzati nelle gestione dei rischi); significa che ci vuole una vera e propria cultura del risk management, da considerarsi come un orientamento strategico, un senso di appartenenza all’azienda. La cultura però non nasce da sola, ma va diffusa attraverso strumenti, corsi di formazione, comportamenti, in specie del vertice dell'azienda perché tutto questo forma gli atteggiamenti e le azioni della persona nella minimizzazione dei rischi. La cultura o filosofia di gestione del rischio è quindi l'insieme dei valori e dei comportamenti condivisi che caratterizzano l'atteggiamento di una azienda, a tutti i suoi livelli organizzativi, nei confronti del rischio.
3) Etica e integrità dei valori:
Integrità e valori etici devono essere alla base di un sistema di gestione dei rischi. L'etica permette di gestire i rischi di compliance e di reporting, ma anche reputazionali. L'etica riduce quindi i rischi di compliance e di reporting ma indirettamente anche il rischio reputazionale perché la reputazione si perde soprattutto se viene meno la compliance a norme. Se l’etica è presente, quindi, si può evitare di mettere in piedi sistemi di gestione per esempio del rischio di corruzione, in quanto, non dovrebbe sussistere. L'elemento visibile, formalizzato, di questo elemento sono i codici etici, ma da soli non bastano per garantire che l'azienda si muova nella giusta direzione, ma i codici sono solo la punta di un iceberg che
49
vede alla base i comportamenti di tutti i soggetti, ma soprattutto dei vertici aziendali, che devono, attraverso le loro azioni, rispettare il codice e quindi dare il buono esempio. Etica= codici etici + comportamenti. Gli studi di criminologia dicono anche che l'etica è un concetto relativo nel senso che alcuni fattori potrebbero trasformare un soggetto etico in uno non etico: quindi quando si analizza l'ambiente interno bisogna analizzare tutti quei fattori che potrebbero portare un soggetto tendenzialmente in linea all'etica a diventare uno soggetto disonesto, fattori quali denaro. Il presupposto di un efficace implementazione di un sistema di risk management è dunque la presenza di principi come onestà, correttezza, trasparenza e rispetto dei diritti.
4) Ruolo del vertice aziendale:
È importante che il rispetto della legge e dei principi etici parta dal vertice aziendale, in particolar modo dall'amministratore delegato è chiamato a dare il buon esempio. In azienda le frodi più gravi sono causate proprio dall’amministratore delegato: è importante che il rispetto della legge e dei principi etici parta dalla “testa del pesce” e nel caso in cui l’amministratore realizzi operazioni non in linea con il codice etico il CDA è tenuto a provvedere. Da alcuni casi aziendali del passato (ENRON, WORLDCOM, VIVENDI, PARMALAT) possiamo trarre alcuni insegnamenti utili al fine di ridurre eventuali atteggiamenti non etici da parte del vertice come: evitare e prevenire il manifestarsi di conflitti di interesse; il sistema dei valori individuali è alla base dell’etica aziendale; bilanciare adeguatamente amministratori “indipendenti” ed esecutivi; separare i ruoli di presidente ed AD; limitare il cumulo degli incarichi; analisi della struttura retributiva degli amministratori.
5) Struttura organizzativa adeguata:
Quando si analizza l’adeguatezza della struttura organizzativa di un’azienda si prendono in considerazione due profili: adeguatezza quantitativa (numero delle persone coerente con l'entità e la complessità delle operazioni aziendali da svolgere altrimenti i rischi aumentano) e
50
qualitativa (legata alle competenze dei soggetti, che devono avere skills, conoscenze, esperienze maturate e abilità adeguate al ruolo che svolgono, viceversa i rischi aumentano).
6) Competenze:
Skills, abilità, esperienze, conoscenze delle persone. 7) Poteri e responsabilità chiari e coerenti:
In un'azienda ben organizzata, i poteri e le responsabilità devono essere esplicitati in maniera chiara e coerente e sono definiti in alcuni documenti come organigrammi, funzionigrammi, jobdescription, deleghe con esplicita indicazione di attività e di limiti. Se le responsabilità e i poteri non sono chiari i rischi aumentano.
8) Gestione del personale corretta ed equa:
Una gestione del personale improntata a correttezza ed equità favorisce lo sviluppo di cultura del rischio:
Politica di assunzione (quando un’azienda assume personale deve guardare non solo alle competenze ma anche al profilo etico del soggetto, alla sua personalità, alla sua inclinazione, al livello di integrità individuale); valutazione e gestione delle carriere (vi devono essere meccanismi formalizzati e chiari delle promozioni, per essere eque e corrette in modo da non basarsi su valutazioni discrezionali che potrebbero creare malcontento e quindi iniquità); formazione del personale (per lo sviluppo delle competenze e di comportamenti in linea con i valori e i principi di equità dell'azienda).
➢ Definizione degli obiettivi
Prima di andare ad identificare i rischi è necessario capire e quindi definire quali sono gli obiettivi che l'azienda si propone di raggiungere. Sarà inoltre necessario definire degli strumenti di misurazione e delle misure target legati ai diversi propositi (traguardi che devono essere misurati, per identificare un obiettivo dobbiamo individuare la misura dell’obiettivo stesso che possono essere misure di performance, grado di soddisfazione della clientela, ecc.). Ogni organizzazione
51
deve fronteggiare una varietà di rischi derivanti da fonti interne ed esterne e la definizione degli obiettivi costituisce il presupposto per un’efficace identificazione degli eventi, valutazione del rischio e risposta al rischio. È importante, inoltre, che gli obiettivi siano allineati al rischio accettabile, fissato all’azienda, dal quale si determinano i livelli di tolleranza al rischio, e che siano tutti coerenti tra di loro. La prima cosa da fare in questa seconda fase è quella di partire dalla mission aziendale. Compresa quest’ultima bisognerà definire gli obiettivi utili per raggiungerla. Quelli proposti dal modello dell'ERM sono di quattro tipi:
1) Obiettivi strategici: sono gli obiettivi di fondo che si devono perseguire per raggiungere la mission. Sono il punto di partenza per la definizione della strategia aziendale (mission-> definizione obiettivi strategici-> definizione strategie aziendali per il raggiungimento degli stessi);
2) Obiettivi operativi: riguardano la gestione operativa e in particolare le cosiddette tre E: Efficienza (devo perseguire il mio obiettivo in modo efficiente, con un'allocazione delle risorse efficiente e sostenibilità dei costi accettabile), Efficacia (svolgere delle attività che mi permettano di raggiungere il traguardo prefissato), Economicità;
3) Obiettivi di reporting: fanno riferimento all’attendibilità e all’accuratezza dei report e quindi dell'informazione; obiettivi, dunque, in termini di attendibilità, accuratezza e tempestività delle informazioni contenute nei bilanci e nei report di natura sia interna che esterna all'azienda e negli altri documenti di comunicazione economico-finanziaria;
4) Obiettivi di compliance: rispettare quelle che sono le norme di leggi, regolamenti, circolari, disposizioni (es. obiettivo di rispettare disposizioni in termini di igiene o sicurezza dell'ambiente di lavoro, o di qualità del prodotto). Cambiano chiaramente da azienda ad azienda e da settore a settore.
52
➢ Identificazione degli eventi
Questa è una delle fasi più importanti e delicate dell’intero modello, in quanto se non identifichiamo tutti gli eventi non riconosciamo e quindi non possiamo gestire alcuni rischi che potrebbero avere un impatto negativo sul raggiungimento degli obiettivi e quindi sull’azienda nel suo complesso. Nel modello dell'ERM non si parla di identificazione di rischi ma di eventi evidenziando la bilateralità del concetto di rischio come opportunità o minaccia: l'accadimento di un evento può comportare un rischio ma anche una opportunità quindi si parla di eventi perchè nell'ERM potremmo essere interessati non solo ai rischi ma anche alle opportunità che potrebbero derivare dal manifestarsi di un certo evento. L'obiettivo è quindi di acquisire la più ampia conoscenza possibile in merito agli eventi che possono impattare sugli obiettivi. La prima caratteristica degli eventi è sicuramente la totale incertezza. Non si sa se si verificheranno o meno, non si sa quando, e non si conosce l'impatto nel caso in cui si manifestino. Possono essere causati da fattori interni od esterni all'azienda: tra i primi abbiamo per esempio la tecnologia impiegata all’interno dell’azienda, le infrastrutture, i processi, il personale (infortuni sul lavoro) ecc.; tra quelli esterni troviamo invece fattori quali l’economia (quindi una congiuntura economica sfavorevole), la competizione con gli altri attori, ambiente competitivo (competizione con i competitors, es. innovazione tecnologica dirompente da parte di un’azienda concorrente che modifica il modello di business) e clima (terremoti, alluvioni, ecc.), fattori di natura politica (nuove leggi o regolamenti che possono cambiare lo scenario generando un cambiamento di strategie), di natura sociale (cambiamenti demografici per esempio), cambiamenti nei gusti dei consumatori o cambiamenti tecnologici (come la digitalizzazione, che può diventare un'opportunità, ma anche una minaccia).
Esistono diversi strumenti utili per identificare gli eventi. Vi sono alcune tecniche che guardano al passato (allo storico dell'azienda) e altre al futuro. Queste possono anche essere utilizzate congiuntamente e contemporaneamente, una non esclude l'altra. Ancora, fondamentale nel momento in cui si procede
53
all'identificazione è l'interrelazione che può sussistere tra i diversi eventi, bisogna avere una visione complessiva: spesso il verificarsi di un evento potrebbe generarne un altro quindi agendo sul primo rischio in maniera corretta posso evitare il verificarsi degli altri rischi che ne sono la conseguenza diretta (es. ritardo ricezione merci comporta blocco della produzione, ritardo nelle consegne e perdita di immagine e di reputazione). Da un evento che si verifica discende un rischio che può portarne altri. Una prima tecnica che aiuta le aziende nello svolgere questo compito è il catalogo degli eventi, lista di categorie di eventi standard. Il catalogo può essere realizzato o da un soggetto interno all’azienda o sulla base delle informazioni che provengono dall’esterno andando a guardare quello che hanno fatto organizzazioni simili che operano nello stesso settore. È una delle tecniche maggiormente usate per la sua facile applicazione, adattabile a vari contesti e per risultare efficace richiede di procedere alla contestualizzazione; un suo grande svantaggio riguarda però il fatto che è una lista preimpostata di eventi già riconosciuti e quindi può essere limitante e non coerente con le specifiche delle singole aziende.
Molti preferiscono integrare l’utilizzo dei cataloghi con dei workshop, incontri in cui i partecipanti si riuniscono per identificare gli eventi e i rischi ad essi associati relativi ad una funzione, ad un processo o ad un progetto. L’organizzazione e la gestione del workshop è affidata ad un facilitatore (es. risk manager). È importante che questa procedura sia estremamente formalizzata; preparare quindi il materiale, definire l'ordine del giorno, condividere con gli altri il motivo della partecipazione, specificare le responsabilità dei partecipanti al workshop, preparare la reportistica interna, ecc. Dovranno comunque partecipare un numero limitato di persone affinché l’incontro sia profittevole e, preferibilmente, soggetti con skills e competenze differenti, in modo da poter individuare il rischio secondo diverse prospettive e capire quindi l'impatto che questo può avere sulle diverse funzioni/aree aziendali.
Una delle tecniche utilizzate nell'ambito del workshop è il brainstorming, ovvero una discussione di gruppo. L'obiettivo è quello di far emergere il maggior numero di rischi possibili; far sentire le persone coinvolte, libere di evidenziare
54
secondo i loro punti di vista e le loro responsabilità quali sono le minacce. Il punto di forza di questa tecnica è che stimola la creatività, l’innovazione e le idee reciproche. Quello di debolezza è che forse la stimola troppo, portando paradossalmente ad identificare dei rischi che in realtà non compromettono il raggiungimento degli obiettivi. Può infine accadere che all'interno di questi incontri vi siano una o più figure che, per il ruolo che ricoprono in azienda, possono influenzare gli altri soggetti coinvolti e quindi vi sia una cultura non orientata alla trasparenza.
Un altro strumento molto utilizzato nella prassi è la check list, che consiste in una lista predefinita di rischi tipici di una funzione o di un processo, non di eventi, che possono impattare sugli obiettivi definiti. Questa lista è predisposta dal risk manager o da un gruppo di consulenti esterni che è chiamato ad implementare il processo di ERM. L'azienda dovrà solamente esprimere un giudizio di esistenza o meno [sì/no] dei rischi elencati. Il punto di forza è che consente di realizzare un’analisi sistematica di rischi utile per processi standardizzabili e di evidenziare a priori le interrelazioni esistenti tra i rischi stessi. Il punto debole è che l'identificazione dei rischi dipende dalla soggettività di colui che predispone la lista; non stimola dunque la creatività e non tiene conto delle idee di più persone con ruoli diversi. Si rischi dunque di focalizzare l’attenzione soltanto sui rischi presenti nella lista senza evidenziare altri potenziali rischi (atteggiamento passivo e difficoltà ad individuare eventi estremi).
Le interviste consistono in interviste singole svolte con esperti e gestite dal risk manager. Possono essere strutturate(serie di domande definite a priori con una serie di risposte possibili dove non si lascia spazio alla soggettività dell'intervistato), semi-strutturate o destrutturate (interviste più aperte dove insieme ad alcune domande guida viene lasciato all'intervistato la libertà di esprimere il proprio giudizio e la proprio valutazione). E' importante analizzare il punto di vista dell'intervistato sugli eventi e sui possibili rischi associati: le figure che devono essere intervistate dipendono dal livello al quale stiamo facendo RM (a livello di progetto, area funzionale, intera azienda). Nell'intervista tendenzialmente si parte dagli eventi.
55
Diagrammi di flusso e matrice processi/rischi, si scompone il processo in singole
attività/fasi e per ognuna di esse si va ad identificare uno specifico rischio. Tra i punti di forza dei diagrammi di flusso si annovera la possibilità di verificare le interdipendenze tra i processi e i relativi rischi.
Ancora abbiamo i key risk indicators (segnalatori di criticità), indicatori di rischi chiave che hanno come finalità quella di monitorare l'esposizione ad eventuali rischi critici per l'azienda. Possono essere visti come vere e proprie misure di gestione del rischio in quanto servono per seguire l'evoluzione di un rischio nel tempo.
La tabella delle vulnerabilità è invece uno strumento di risk management molto diffuso soprattutto nel campo assicurativo, perché permette di associare a degli asset materiali di un'azienda quelli che possono essere i fattori di rischio. Serve quindi ad identificare, per ogni asset, i potenziali eventi negativi che possono determinare una perdita di funzionalità.
Lista aperta, (es. caso Pirelli), tecnica utilizzata dall'azienda Pirelli quando si
chiede ai managers e ai responsabili di funzione di identificare i rischi. La lista aperta è un foglio di carta con l'indicazione dell'obiettivo e non contiene alcuna indicazione dei rischi: ciascun manager separatamente è chiamato ad identificare i rischi che possono impattare sull'obiettivo pregiudicandone il raggiungimento. La differenza con il workshop è data dal fatto che non c'è un confronto di più soggetti riuniti in uno stesso luogo, ma l'analisi avviene in maniera isolata. Il vantaggio sta nella piena libertà del soggetto di esprimere la propria opinione talvolta anche in maniera anonima, criticità che caratterizza invece il workshop, dal momento che spesso nelle aziende non c'è uno stile di leadership democratico, non c'è la disponibilità da parte dei manager di fare autocritica. Infine abbiamo la rilevazione degli eventi che generano delle perdite (loss event
tracking): strumento che misura le perdite associate a degli eventi. Anche questo
sta a cavallo tra l'identificazione degli eventi, la valutazione dei rischi e la gestione. Questo perché più che prevenire le perdite le rilevo e ne identifico anche la causa.
56
➢ La valutazione dei rischi
Una volta identificati, i rischi devono essere valutati, poiché non tutti sono gravi allo stesso modo e dunque, grazie alla valutazione, riesco ad operare una distinzione delle minacce in base alla loro pericolosità: ciò ci aiuta a definire le priorità di intervento. Questo è possibile perché grazie alla stima dei rischi posso esprimere questi ultimi in termini omogenei e comparabili.
Secondo la formula generale di valutazione (assessment dei rischi):
Esposizione al rischio = Probabilità che si verifichi un evento rischioso (valutata
in un certo arco temporale) * Impatto che questo evento ha sull'azienda (deve essere riferito all’obiettivo).
Il valore confrontabile è proprio l'esposizione e, tramite questo, posso definire una scala di priorità dei rischi. Il manager con il supporto, se c'è, del risk manager, è il responsabile dell'effettuazione di queste valutazioni. A sua volta l'internal auditor (colui che svolge l'attività di assurance) deve controllare e assicurare la bontà dell’intero processo svolto durante tale fase.
Esistono numerose tecniche di calcolo del rischio e tutte possono essere fatte confluire in due grandi categorie:
1) Le tecniche qualitative: tecnica in cui probabilità e impatto sono valutate basandosi esclusivamente su valutazioni espresse da un soggetto o da più soggetti (singolo manager o più manager) che risentono dei giudizi soggettivi di chi compie le valutazioni. La maggior parte dei rischi in azienda sono valutati con questa tecnica; 2) Le tecniche quantitative: tecnica che utilizza strumenti statistici o
matematici per poter arrivare alla quantificazione dell'esposizione al rischio. In questo caso l'apprezzamento della probabilità e dell'impatto non sono frutto di un giudizio da parte di un soggetto ma derivano da modelli di analisi statistico-matematici.
57
Alla base delle tecniche qualitative vi è la formula vista precedentemente; siamo in presenza di una valutazione soggettiva con l’utilizzo di una scala ordinaria. Partendo dalla probabilità (possibilità che un evento accada) la prima cosa da fare è definire un orizzonte temporale (la probabilità che accada nel corso della