Monitoraggio e key risk indicators

L’attività di monitoraggio ha per oggetto il controllo dei rischi ritenuti e assicura l’efficienza rispetto agli obiettivi aziendali prefissati delle relative strategie di trattamento dei rischi accettati o evitati.

In particolare, i manager responsabili devono : 206

- monitorare i rischi ritenuti , mediante il controllo periodico eseguito sulle 207

variabili aziendali individuate come potenziali fonti di rischio;

- monitorare la risposta al rischio al fine di assicurare che la decisione di trattamento selezionata sia adeguata, correttamente implementata e funzionante;

- monitorare l’obsolescenza dei risultati delle analisi, adeguando tanto il processo di misurazione del rischio quanto quello di valutazione ai cambiamenti ambientali in corso;

Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2004. Enterprise Risk Management—

205

Integrated Framework. COSO, New York, NY.

Damodaran, A., & Roggi, O. (2016). Elementi di finanza aziendale e risk management. La gestione d'impresa tra valore e

206

rischio. Maggioli Editore

i rischi ritenuti, si ricorda, sono i rischi che l’impresa ha deciso volontariamente di assumersi, senza adottare alcuna

207

- monitorare la qualità e l’efficacia del processo di ERM, eseguendo test sul suo funzionamento e proponendo eventuali soluzioni di intervento al Senior Management. Il monitoraggio può essere svolto in due modi: attraverso un’attività continua o attraverso valutazioni periodiche . Nonostante il grado e l’efficacia più elevati caratterizzanti il 208

controllo continuo implichino una minore necessità di valutazioni periodiche, occorre sottolineare che l’implementazione di un’attività non preclude l’altra dall’essere utilizzata: al contrario, è possibile una combinazione di monitoraggio continuo e valutazioni periodiche al fine di garantire che il processo di ERM mantenga la sua efficacia nel tempo. Le due attività infatti, differiscono per la finalità che vanno a perseguire.

Le valutazioni periodiche rappresentano l’approccio più adeguato nel caso in cui l’impresa voglia focalizzarsi direttamente sull’efficacia di ERM come processo globale che abbraccia tutta l’impresa. Esse possono variare in termini di scopo e frequenza, a seconda della significatività dei rischi e l’importanza delle scelte di trattamento funzionali alla loro gestione: ad esempio, i rischi aventi alta priorità saranno valutati più frequentemente rispetto a quelli classificati a bassa priorità. La valutazione dell’intero processo di ERM invece, che sarà più sporadica rispetto a quella delle sue componenti, è resa necessaria da specifiche situazioni, quali: il cambiamento della composizione del management o della strategia aziendale, fusioni e acquisizioni, cambiamenti delle condizioni economiche e politiche. Di conseguenza qualsiasi variazione dello status quo che possa avere un impatto sui processi aziendali e sulla struttura organizzativa comporta la completa rivisitazione dell’intero modello di ERM al fine di monitorarne l’adeguatezza alle nuove condizioni. Nonostante la validità delle valutazioni periodiche nel controllo di ERM in senso globale, tali valutazioni vengono solitamente implementate dopo che il fatto si è verificato, impedendo quindi un approccio proattivo. Tale limitazione viene superata da un’attività di monitoraggio continua, insita nelle normali operazioni aziendali quotidiane. Rientrando il monitoraggio continuo nelle routine aziendali, esso consente di ottenere feedback importanti circa l’efficacia di ERM nel corso dell’attività economica, attraverso la valutazione dell’efficacia delle componenti specifiche del processo. In questo senso, il monitoraggio viene implementato in tempo reale e risponde dinamicamente ai cambiamenti delle condizioni interne all’impresa, arrivando ad essere un metodo più efficace rispetto alle valutazioni periodiche.

Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2004. Enterprise Risk Management—

208

Una delle principali tecniche di monitoraggio continuo che vale la pena di nominare è costituita dai Key Risk Indicators , definiti come “statistical data that provide potential insights 209

to future situations” . Contrariamente agli Indicatori Chiave di Performance (KPI) che 210

riportano ciò che è avvenuto in passato, gli Indicatori Chiave di Rischio sono in grado allertare il Management su situazioni attualmente in evoluzione che potrebbero aumentare o ridurre il rischio a cui l’organizzazione è esposta. Sebbene i KRI siano strumenti utilmente applicabili in ogni fase del processo di ERM, (“the formal use of key risk indicators (KRIs) as an enterprise risk management (ERM) tool is an emerging practice” ) il monitoraggio 211

del rischio ne costituisce l’applicazione più comune.

I pilastri su cui si basa ERM, ossia il processo di pianificazione strategica, la definizione del risk appetite, dei livelli di tolerance e degli obiettivi aziendali, vengono supportati attraverso l’utilizzo dei KRI, i quali contribuiscono in maniera rilevante : alla validazione 212

della struttura organizzativa e il monitoraggio delle performance; all’aumento dell’efficienza e dell’efficacia operativa dell’azienda; alla definizione delle aspettative derivanti dallo sfruttamento delle opportunità; alla misurazione e al monitoraggio del rischio.

Nella fase di monitoraggio infatti, i KRI si pongono come strumenti di misurazione che permettono di valutare e indirizzare in senso proattivo i cambiamenti nell’esposizione al rischio dell’impresa, evidenziando la potenziale esistenza di un rischio, il livello o il trend assunto da un rischio. In altre parole i KRI indicano in tempo reale se un rischio si è effettivamente verificato o è emergente, qual è il livello dell’esposizione dell’impresa a tale rischio e quale il possibile cambiamento nell’esposizione. Il KRI in questo senso, fornisce informazioni circa la situazione rischiosa che può o non può esistere, configurandosi come segnale per la conseguente più idonea azione: “Based on the measurement, KRIs help to focus action by providing a direction to follow. A KRI can be equated to a thermometer that measures the

Un esempio particolare di KRI può essere il mercato. I mercati finanziari infatti, possono essere considerati come

209

efficaci ed efficienti indicatori in quanto sono caratterizzati dal giudizio collettivo di varie tipologie di investitori - speculatori, banche, singoli individui, assicurazioni, consumatori - che hanno un forte interesse che i prezzi quotati siano corretti e affidabili, al fine di ottenere un profitto dal loro investimento. Così, i mercati riflettono l’equilibrio tra la domanda e l’offerta per beni, valute, prestiti, e l’equilibro tra la posizione lunga e la posizione corta dei vari investitori. L’equilibrio è garantito da regulators, banche e arbitragers che intervengono ogni qual volta che il mercato è percepito in disequilibrio. Ad esempio, il mercato azionario è considerato spesso come l’indicatore chiave della performance futura dell’economia.

Fraser, J. R., & Simkins, B. J. (2016). The challenges of and solutions for implementing enterprise risk management.

210

Business Horizons, 59(6), 689-698.

Hwang, S. (2010). Identifying and communicating key risk indicators. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk

211

Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 125-140

Per ulteriori approfondimenti circa gli usi e l’importanza della costruzione di un KRI framework che permea l’intera

212

temperature of a patient. The reading encourages the physician to delve more deeply into the condition of the patient and the reason for the high temperature” . I KRI misurano quindi il rischio di 213

“salute” dell’organizzazione.

Di conseguenza, nel momento in cui sono efficacemente definiti e utilizzati, i KRI diventano degli strumenti predittivi in termini di valore, che aiutano l’impresa a gestire efficacemente la fase di monitoraggio agendo come segnali di allarme in relazione ai possibili cambiamenti nel profilo di rischio dell’organizzazione: “They provide early warning signals to trigger actions that would help to prevent or minimize material losses or incidents” . 214