Il CoSO Report è il precursore di un modello di gestione del rischio più recente che prende il nome di modello ERM (Enterprise Risk Managment). Poiché l’ERM integra e amplia le funzioni del CoSO Report si è pensato fosse interessante descrivere questo nuovo approccio all’interno del presente capitolo così da offrire al lettore una panoramica più completa sui sistemi di gestione del rischio e controllo interno da un lato e un confronto tra le ultime innovazioni della teoria del risk management con ciò che invece avviene nella pratica lavorativa dall’altro. Partiamo dalla definizione: “L’ERM
è un processo, gestito dal CdA della banca, dal management e dal personale; utilizzato per la formulazione di strategie in tutta l’organizzazione; progettato per identificare gli eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti tollerati al fine di fornire una ragionevole assicurazione che gli obiettivi
72
dell’organizzazione vengano raggiunti.”47 La definizione è estensiva perchè contiene tutti
i concetti fondamentali su cui si basa il modello.
È un processo. L’ERM è una serie continua di azioni interconnesse che raggiungono la
massima efficacia quando sono integrate nella struttura organizzativa e fanno parte della cultura aziendale. Infatti, l’integrazione del modello con le procedure esistenti, permette di contenere i costi e di adottare un processo di gestione del rischio che pervade il tessuto operativo aziendale contribuendo anche in maniera sostanziale all’individuazione di nuove opportunità per la crescita del business.
Posto in essere da persone. Il modello è posto in essere dal CDA, dal management e dal
personale cioè da tutti i soggetti che operano all’interno della banca: ognuno contribuisce con le proprie competenze tecniche e la propria esperienza a stabilire gli obiettivi della società, le strategie da seguire e il processo di gestione del rischio. Dall’altro lato è l’ERM ad influenzare tutti questi soggetti: poiché tra le persone possono nascere delle incomprensioni dovute al fatto che ogni individuo ha il suo personale punto di vista circa l’individuazione, la valutazione e la reazione al rischio, il modello ERM fornisce i meccanismi necessari per far si che le persone mantengano un approccio al rischio orientato al raggiungimento degli obiettivi aziendali.
Utilizzato per la formulazione delle strategie. L’ERM può essere utilizzato nella scelta e
definizione della strategia aziendale più appropriata per raggiungere gli obiettivi prefissati. Infatti, permette di valutare i rischi delle diverse strategie alternative e di scegliere quindi quella più coerente con il profilo di rischio della banca.
Utilizzato in tutta l’organizzazione. Il modello è utilizzato in ogni attività svolta da una
banca a tutti i livelli: dal più alto in cui si prendono le decisioni strategiche fino alle singole unità operative. Per funzionare correttamente, l’ERM ha bisogno che la banca stimi il rischio complessivo della propria attività: perché questo avvenga nel modo più efficace possibile è necessario costruire questa valutazione partendo dalle valutazioni parziali del rischio di ogni singolo processo o attività che compongono la banca. Successivamente il management dovrà analizzare le diverse correlazioni esistenti tra i rischi delle singole unità operative per ottenere la valutazione di rischio complessivo richiesta dall’ERM.
47 CoSO Committee of Sponsoring Organizations of the Treadway Commission (2006), La gestione del
rischio aziendale, ERM – Enterprise Risk Management: modello di riferimento e alcune tecniche applicative
73
Rischio accettabile. La valutazione di rischio complessivo dovrà essere confrontata
con il valore di rischio accettabile: si tratta dell’ammontare di rischio che la banca è disposta ad accettare per perseguire le sue finalità. Questo valore, che può essere determinato in termini qualitativi o quantitativi, è direttamente correlato con la strategia aziendale: compito dell’ERM è aiutare il management a scegliere la strategia aziendale che meglio contempera il raggiungimento degli obiettivi con la soglia di rischio accettabile.
Fornire una ragionevole sicurezza. L’ERM non può eliminare del tutto il rischio perché
un evento imprevisto o un errore possono sempre manifestarsi con conseguenze dannose. Tuttavia, se strutturato correttamente, l’ERM può contribuire a contenere il rischio complessivo in maniera ragionevole prospettando così buone possibilità di raggiungimento degli obiettivi aziendali.
Conseguimento degli obiettivi aziendali. L’ERM suddivide gli obiettivi in quattro
categorie distinte ma connesse e sovrapponibili con riferimento alle diverse esigenze dell’azienda: ci sono gli obiettivi strategici che sono definiti dai vertici della società e sono allineati o a supporto delle finalità della banca, gli obiettivi operativi che invece sono rivolti ad un impiego efficace ed efficiente delle risorse disponibili, ci sono poi gli obiettivi di reporting che riguardano la qualità e l’affidabilità delle informazioni fornite dalla funzione di reporting e, infine, gli obiettivi di conformità relativi al rispetto delle leggi e dei regolamenti vigenti.
Terminata l’analisi della definizione del modello ERM procediamo con l’esame delle otto componenti che lo costituiscono. Prima di cominciare, è importante ricordare che l’ERM non è un modello di gestione del rischio che funziona attraverso un procedimento strettamente sequenziale in cui una componente influisce solo sulla successiva, ma si tratta invece di un processo interattivo e multidirezionale in cui le diverse componenti sono interconnesse e si influenzano a vicenda indipendentemente dalla sequenza del processo. Inoltre, anche se per risultare efficace nella gestione del rischio il processo ERM deve disporre di tutte le otto componenti a prescindere dal tipo di azienda in cui viene applicato, le modalità con cui il modello sarà attivato risulteranno certamente diverse da azienda ad azienda (o da banca a banca) a seconda della loro dimensione, filosofia gestionale e peculiarità.
74