Reporting corporate risk profile

La definizione delle linee di indirizzo e delle politiche di risk management, l’implementazione del processo di risk assessment, le conseguenti decisioni di trattamento del rischio così come le attività di monitoraggio, sono tutte fasi di ERM che necessariamente richiedono un continuo e costante flusso di informazioni che viaggia in due macro-direzioni, ossia verso gli stakeholder esterni - investitori, agenzie di rating, banche - e verso gli stakeholder interni - Board of Directors, Management, manager delle funzioni aziendali/business unit.

La comunicazione di ERM quando trasparente e regolare fornisce gli strumenti per discutere le potenziali vulnerabilità del processo in essere e il profilo di rischio proprio dell’impresa con lo scopo di rafforzare le attività manageriali. Trasparenza e regolarità del reporting da e per il Board of Directors, il Senior Management e i manager di linea sono le componenti fondamentali per un ERM efficace.

L’attività interna di reporting dei rischi coinvolge l’intera organizzazione e ha per oggetto la comunicazione verso l’alto, verso il basso e tra i diversi livelli aziendali di informazioni possono riguardare da una parte l’esistenza del rischio, la natura, la forma, la probabilità, l’impatto, la valutazione, il grado di accettabilità, il trattamento o qualsiasi altro aspetto del processo di risk management; dall’altra parte, la Risk Management Policy e i principi

Hwang, S. (2010). Identifying and communicating key risk indicators. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk

213

Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 125-140

Hwang, S. (2010). Identifying and communicating key risk indicators. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk

214

Management: Today's Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 125-140

cardine, necessari al fine di garantire che chiunque nell’organizzazione abbia le conoscenze adeguate ad una corretta ed efficace implementazione di ERM.

La descrizione del flusso informativo dell’attività di reporting presentata da Hume (2010) ne definisce le linee principali: “Good disclosure management in a transparent organization will provide the communication of risks up and down the corporation. Downward risk policy is for the board and senior management to establish the key levels of acceptable risk exposure and to communicate these policies to managers and other employees. Implementation and reporting then flows up from the bottom to senior management and to the Risk Management Committee, which may be a subcommittee of the board in the ideal structure”.

Sebbene i dettagli di ogni report siano stati discussi nel paragrafo precedente coerentemente con la descrizione dei ruoli e delle responsabilità della Corporate Governance, vale la pena sottolineare in questa sede l’importanza della comunicazione del profilo di rischio fatta dal Management al Board (Committee) responsabile dell’attività di risk oversight.

Il profilo di rischio aziendale (Corporate Risk Profile) è una documentazione periodica che mette in luce i rischi residui chiave a cui l’organizzazione è esposta, che potrebbero 215

influire sul perseguimento degli obiettivi aziendali in un periodo di tempo futuro . Se la 216

definizione del Risk Profile viene fatta a livello di funzioni e business unit, si riportano i principali rischi residui a cui quella funzione o unità di business è esposta, i quali verranno così comunicati al Senior Management. Quest’ultimo provvederà a integrare i Risk Profile di ogni funzione/unità di business in un unico documento che andrà a formare il profilo di rischio dell’intera azienda, comunicato direttamente al Board of Directors. In questo modo, il Corporate Risk Profile assicura che il Board of Directors sia consapevole dei principali rischi affrontati dall’organizzazione, presentandosi come uno strumento utile alla pianificazione strategica e di business e alle decisioni di allocazione delle risorse, funzionale ad una gestione più efficace ed efficiente dell’organizzazione.

La preparazione del profilo di rischio avviene sulla base di metodologie che ogni organizzazione sceglie, tenendo in considerazione le caratteristiche che meglio si adattano ai propri fabbisogni. Per ogni tipologia di Risk Profile esistono infatti vantaggi e svantaggi

“Residual risk is the risk that remains after management’s response to the risk. Once risk responses have been developed, management then

215

considers residual risk” (COSO, 2004)

Fraser, J. R. (2010). How to prepare a risk profile. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk Management: Today's

216

Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 171-188

che solo l’organizzazione può ponderare in base alla propria specifica realtà. Le metodologie più usate sono la Top 10 List, la Risk Map e la Heat Map . 217

La Top 10 List è considerata come il metodo più semplice per identificare, classificare e condividere i dieci rischi residui principali a cui l’organizzazione è esposta che potrebbero ostacolare (o rafforzare) la sua abilità di realizzare gli obiettivi prefissati. La principale caratteristica della lista sono le informazioni sul trend che uno specifico rischio assume: in questo modo è possibile stabilire se il rischio è aumentato o diminuito in confronto alla valutazione fatta nel periodo precedente.

Figura 3.7 Esempio di Top 10 List

Fonte: Fraser (2016)

La Risk Map è un metodo alternativo per presentare i principali rischi aziendali. La mappa, come mostrato in figura 3.8, è composta da un asse orizzontale, che indica la probabilità con cui il rischio si potrebbe manifestare, e un asse verticale, che ne mostra il potenziale impatto, a cui vengono dati dei giudizi in una scala da uno a cinque. Inoltre, viene divisa in 4 quadranti ad indicare le situazioni di bassa probabilità/basso impatto, alta probabilità/basso impatto, bassa probabilità/alto impatto e alta probabilità/alto impatto.

Fraser, J. R. (2010). How to prepare a risk profile. In: Fraser, J., Simkins, B. (Eds.), Enterprise Risk Management: Today's

217

Leading Research and Best Practices for Tomorrow's Executives (The Robert W. Kolb series in Finance). John Wiley & Sons, Inc., Hoboken, NJ, pp. 171-188

Figura 3.8 Esempio di Risk Map

Fonte: Fraser (2016)

Infine, una descrizione della Heat Map è stata proposta precedentemente nel paragrafo in cui si sono discusse le tecniche qualitative di identificazione del rischio, a cui si rimanda. A questo punto occorre sottolineare che le tecniche di rappresentazione del Corporate Risk Profile sono similari a quelle utilizzate nel processo di identificazione del rischio. Se è vero che la forma è la stessa, la differenza fondamentale risiede nella sostanza del metodo: le tecniche qualitative nella fase di identificazione permettono di presentare i rischi inerenti, ossia la complessità di rischi a cui l’impresa è esposta, prima che venga implementata qualsiasi decisione di trattamento che va a modificarne la probabilità o l’impatto; le stesse tecniche che nella fase di reporting definiscono il Corporate Risk Profile, invece, permettono di illustrare i rischi residui, ossia quei rischi a cui l’impresa è esposta che rimangono dopo che il management ha gestito attivamente il rischio, riportandolo entro il livelli di tolleranza accettabili.