Propensione e tolleranza al rischio: risk appetite e risk tolerance

“A risk appetite statement resides at the heart of an effective risk management program and is linked to the organization’s overall risk management philosophy and strategic ambition” . 144

La definizione del risk appetite da parte delle organizzazioni è considerata un’attività fondamentale per l’implementazione di ERM ; tuttavia tale attività è particolarmente 145

difficile in ragione della mancanza di consenso su cosa esattamente è risk appetite e su come dovrebbe essere sviluppato. Invero, molte delle nozioni fornite - principalmente dagli organismi istituzionali - sono vaghe, ambigue e talvolta contraddittorie se si aggiunge che l’espressione “risk tolerance” viene spesso utilizzata come sinonimo di risk appetite. Nella tabella seguente (Tabella 3.2) sono rappresentate le definizioni di risk appetite e risk tolerance date da alcuni organismi istituzionali:

Risk Appetite Risk Tolerance

COSO (2004) The degree of risk, on a broad-based level, that a company or other entity is willing to accept in pursuit of its goals

—-

The amount of risk an entity is willing to accept in pursuit of value

[It] relates to the entity’s objectives. Risk tolerance is the acceptable level of variation relative to achievement of a specific objective

EY ERM

143

National Association of Corporate Directors in Quail, R. (2012). Defining your taste for risk. Corporate Risk Canada,

144

24-30.

Quail, R. (2012). Defining your taste for risk. Corporate Risk Canada, 24-30.

Tabella 3.2 Definizioni di Risk Appetite e Risk Tolerance

Fonte: elaborazione personale da Quail (2012)

La principale confusione che deriva da queste definizioni risiede nel fatto che: in primo luogo, il COSO fornisce due diverse definizioni di risk appetite, senza alcuna motivazione o spiegazione della possibile differenza tra “degree of risk” e “amount of risk”; in secondo luogo, sebbene esistano due diverse definizioni - anche se non chiare - di risk appetite e risk tolerance, il Comitato di Basilea afferma nello stesso report che “in this document the terms are used synonymously”, generando ancora più confusione.

Nonostante tali difficoltà terminologiche, nella pratica ogni organizzazione esprime di fatto il proprio risk appetite, sia che venga riconosciuto esplicitamente come tale sia che venga taciuto. Il risk appetite infatti rappresenta la visione della realtà da parte dell’organizzazione, ossia come essa si pone di fronte ad una decisione. In altre parole, è il propulsore che guida le sue scelte strategiche e delimita fino a dove l’organizzazione si vuole spingere al fine di perseguire il proprio scopo.

Il risk appetite costituisce il determinante della strategia dell’impresa, delle modalità usate e delle azioni poste in essere al fine di perseguire gli obiettivi strategici, in termini di sfruttamento dei rischi/eliminazione dei rischi. Un’organizzazione con un basso risk appetite può scegliere di non cogliere un’opportunità che, seppur rischiosa, offre un alto rendimento; al contrario un’altra impresa può decidere di sfruttare quella stessa opportunità in ragione della propria propensione al rischio elevata.

B r i t i s h S t a n d a r d s

(2008) Amount and type of risk that an organisation is prepared to seek, accept or tolerate

Organisation’s readiness to bear the risk after risk treatments in order to achieve its objectives ISO guide 73 (2009) The amount and type of risk

that an organization is willing to pursue or retain

Organization's or stakeholder’s readiness to bear the risk after risk treatment in order to achieve its objectives

B a s e l C o m m i t t e e

(2011) A high level determination of how much risk a firm is willing to accept taking into account the risk/return attributes; it is often taken as a forward l o o k i n g v i e w o f r i s k acceptance

A more specific determination of the level of variation a bank is willing to accept around business objectives that is often considered to be the amount of risk a bank is prepared to accept

Di conseguenza, dal momento che il risk appetite stabilisce il collegamento tra gli obiettivi strategici, la loro priorità e la mission dell’organizzazione, la definizione del risk appetite deve avvenire a livello del Board e deve essere diffusa a tutti livelli dell’organizzazione. Nel processo di decision-making infatti, i manager devono conoscere e capire la propensione al rischio dell’impresa al fine di distinguere i rischi da sfruttare (opportunità da cogliere) da quelli da eliminare: questo permette di eliminare la soggettività nel successivo processo di risk management, dal momento che i manager possiedono una propria propensione al rischio che potrebbe non coincidere con quella effettiva dell’impresa.

Se è vero che il risk appetite è definito a livello strategico, la tolleranza al rischio è definita a livello “tattico”: definire il livello di tolleranza al rischio implica chiarire il livello appropriato al quale un rischio deve essere gestito al fine di essere considerato accettabile: “Setting risk tolerance clarifies what is (and what is not) an acceptable risk exposure. Clarity enables an organization to know with certainty what risk exposures it can take and what risk exposures it must avoid” . La risk tolerance non è costituita da un numero singolo, ma piuttosto come una 146

scala di valori che rappresenta il grado di rischio target per ogni specifico obiettivo perseguito, il quale viene valutato singolarmente. Per ogni obiettivo infatti, i decision- maker dovrebbero chiedersi quale sia il grado di rischio che meglio riflette la mission, la visione e i valori dell’organizzazione e in quale misura l’azienda sia disposta a rischiare al fine di realizzare quel determinato obiettivo.

La presenza di una scala di valutazione permettere di dimostrare che l’impresa sta propriamente gestendo i rischi a cui è esposta, coerentemente con la propria propensione al rischio e lo scopo prefissato: “Comparing helps an organization determine whether it is undermanaging - or conversely - overmanaging a given risk. It answers the question: Do we need to do more, or less, to manage this risk?” . 147

In altre parole, il risk appetite, promotore della strategia e degli obiettivi aziendali, dovrebbe essere definito a livello corporate e diffuso a tutta l’organizzazione; sulla base della propensione al rischio dell’intera organizzazione vengono poi definiti dei livelli di tolleranza, utilizzati all’interno del processo di risk management per valutare l’effettiva

Mylrea, K., Lattimore. (2010). How to Create and Use Corporate Risk Tolerance. In: Fraser, J., Simkins, B. (Eds.),

146

Enterprise Risk Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 141-154.

Mylrea, K., Lattimore. (2010). How to Create and Use Corporate Risk Tolerance. In: Fraser, J., Simkins, B. (Eds.),

147

Enterprise Risk Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 141-154.

esposizione al rischio dell’impresa e gestirla di conseguenza tenendo a mente gli obiettivi che si vogliono perseguire. La definizione dei livelli di tolleranza richiede l’applicazione di un giudizio da parte del decision-maker che considera non solo la propensione al rischio dell’impresa e i suoi obiettivi, ma anche l’abilità dell’organizzazione di gestire il rischio, la capacità (in termini quantitativi) di assorbire l’impatto di potenziali perdite nel caso in cui il rischio venisse corso e la relazione costi/benefici del risk management.