L’ERM anche se ben strutturato fornisce al Consiglio di Amministrazione e al management solo una ragionevole sicurezza sul raggiungimento degli obiettivi relativi a una o più categorie (obiettivi strategici, operativi, di reporting e di conformità). Pertanto per quanto esso sia ben progettato e gestito non fornisce un’assoluta certezza della realizzazione degli obiettivi perché questi risentono dei limiti insiti in tutti i processi gestionali. I limiti dell’ERM sono riconducibili al fatto che:
- il rischio riguarda un evento futuro, che già di per sé è incerto e che inoltre nessuno può predire con certezza;
- l’ERM opera a diversi livelli rispetto alle varie categorie di obiettivi pertanto anche se è efficace fornisce una ragionevole sicurezza sul raggiungimento degli obiettivi di reporting e di conformità perché
107
Cfr. ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, PRICEWATERHOUSECOOPERS,
La gestione del rischio aziendale. ERM - Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, op. cit., pag. 101.
96
ampiamente sotto il controllo aziendale, mentre nel caso del conseguimento degli obiettivi strategici e operativi, l’ERM può garantire una ragionevole sicurezza che il management e il Consiglio di Amministrazione siano tempestivamente informati della misura in cui questi obiettivi si stanno conseguendo ma non fornisce nessuna ragionevole sicurezza che gli stessi obiettivi saranno conseguiti perché alcuni eventi sono al di fuori del controllo del management;
- l’ERM non può fornire la certezza assoluta del conseguimento di nessuna delle quattro categorie di obiettivi perché nessun processo può fare tutto ciò per cui è stato predisposto;
- l’ERM inoltre deriva da decisioni prese sulla base di giudizi umani che possono portare a scelte errate. Inoltre, anche se ben concepito può essere soggetto a semplici errori o a sbagli dovuti al fatto che il personale ha mal interpretato le istruzioni;
- l’ERM può essere reso inefficace a causa di atti di collusione tra due o più individui che agiscono in comune accordo per vanificare i controlli e commettere azioni improprie come per esempio alterare i dati finanziari; - le risorse sono sempre limitate e le aziende devono considerare il
rapporto costi/benefici nel momento in cui devono selezionare le strategie di risposta al rischio più adeguate. Il problema sta nel trovare il giusto equilibrio tra i costi e i benefici dunque tenendo presente il fatto che le risorse in azienda sono limitate, queste non devono essere allocate nelle aree con una bassa esposizione al rischio perché attivare controlli eccessivi potrebbe essere dispendioso e controproducente, al contrario, l’attivazione di controlli troppo superficiali facilita l’emergere dei rischi. L’ERM è tanto efficace quanto lo sono le persone che sono responsabili per il suo funzionamento, dunque poiché il management e i sistemi di controllo non sono infallibili, chi ha intenti truffaldini e non etici cercherà i punti deboli del sistema per violarli, allo stesso tempo, un ERM efficace aumenterà la possibilità di prevenire e individuare queste violazioni108.
108 Cfr. ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, PRICEWATERHOUSECOOPERS,
La gestione del rischio aziendale. ERM - Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, op. cit., pag. 110.
97
Dopo aver analizzato il framework nel suo complesso, è facilmente intuibile che l’introduzione di un modello quale l’Enterprise Risk Management consentirebbe alle aziende di affrontare gli eventi incerti e soprattutto determinare il grado di rischio accettabile per creare valore allo scopo di garantire la sopravvivenza dell’azienda. Dunque l’implementazione di un modello integrato di gestione dei rischi aziendali non deve essere visto come una sorta di “esercizio di compliance” ovvero un semplice strumento utilizzato dalle aziende per mettersi a norma ma bisogna comprendere che l’adozione di tale modello potrebbe effettivamente contribuire alla creazione del valore facendo leva sulla riduzione dei fattori di rischio.
98
CAPITOLO 4
L’INFORMATIVA SUI SISTEMI DI
RISK MANAGEMENT NEL SETTORE
DEI SERVIZI PUBBLICI
Dopo aver appreso compiutamente, nei capitoli precedenti, il concetto di rischio, il processo di risk management e analizzato uno dei più rilevanti framework di gestione dei rischi, in questo capitolo verrà presentata un’analisi empirica condotta per mettere in luce l’informativa sui sistemi di Risk Management nel settore dei Servizi Pubblici.
4.1 CENNI INTRODUTTIVI
In questi ultimi anni l’informativa sui rischi e sulle politiche di Risk Management è una tematica che ha assunto maggiore rilievo per gli interlocutori aziendali. Ciò è legato anche alle turbolenze e rallentamenti dell’economia che hanno aumentato l’esposizione delle aziende ai rischi e pertanto in questo contesto le informazioni relative ai fenomeni rischiosi nonché l’illustrazione delle politiche aziendali adottate per fronteggiarli assumono particolare importanza per i destinatari delle informazioni contabili109.
Diversi sono i contributi in letteratura relativi alla risk disclosure che sostengono come un’informativa veritiera ed efficace sui rischi contribuisca a soddisfare le esigenze conoscitive dei diversi stakeholder. Un sistema di Risk Management efficace che è in grado di produrre informazioni corrette sui rischi,
109 Cfr. MENICUCCI E., La relazione sulla gestione nel reporting delle imprese. Un percorso di
99
insieme ad un atteggiamento di trasparenza nella comunicazione esterna, può prevenire situazioni di dissesto economico e finanziario110.
In questo lavoro si vuole esaminare l’informativa sui sistemi di Risk Management nel settore dei Servizi Pubblici. Quest’analisi è stata condotta analizzando unicamente la Relazione sulla gestione delle società selezionate riferite all’anno 2013, in particolare si è esaminata la sezione riferita alla descrizione dei principali rischi e incertezze.
Prima di esaminare l’analisi svolta è opportuno analizzare l’evoluzione normativa italiana, avvenuta negli ultimi dieci anni, che ha prodotto delle modifiche al Codice Civile in materia di informativa sui rischi.