In un contesto macroeconomico come quello odierno, caratterizzato da elevata incertezza ed instabilità, la quantità dei rischi a cui le aziende sono esposte e devono prestare attenzione è cresciuta notevolmente. Il risk management, in tale contesto, appare particolarmente critico e complesso.
Il concetto di rischio ha subito un’evoluzione nel corso del tempo, passando da una visione puramente negativa, ad una che guarda anche ai possibili vantaggi che possono derivare da una sua attenta gestione. Parallelamente a tale cambiamento, quindi, si è assistito anche ad importanti variazioni nell’approccio al risk management. Oggi quest’attività di gestione consiste sommariamente nell’identificazione dei fattori di rischio, nella misurazione dell’esposizione ad essi e nel costante monitoraggio, con lo scopo di valutare la convenienza della realizzazione di operazioni di trasferimento dei rischi sul mercato finanziario e assicurativo o di interventi correttivi sulle posizioni originarie.
Il risk management, per quanto detto, è da considerarsi come parte integrante del management strategico di ogni organizzazione. È il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere dei benefici durevoli.
2.1 ERM
Nella letteratura esistono diversi framework che analizzano la gestione del rischio
aziendale;tutti possono essere potenzialmente seguiti dalle società. Queste guide
suggeriscono degli approcci per l’individuazione, l’analisi e il monitoraggio dei rischi, definiscono gli elementi essenziali, suggeriscono un linguaggio comune e forniscono orientamenti chiari per l’attività di risk management. Il framework più utilizzato nella prassi è l’ERM (’Enteprise Risk Management – Integrated
40
Framework), proposto nel 2004 dal Co.S.O. of the Tradeway Commission53 allo
scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa attraverso un modello integrato che intende comprendere tutti i rischi aziendali. È un processo posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura, utilizzato per la formulazione della strategia nell’organizzazione, progettato per l’individuazione di eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro dei limiti “accettabili” e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi prestabiliti.
In questo modello l’approccio al risk management suggerito è quello dell’“holistic risk management”; il focus sarà su tutti i rischi (sia di natura quantitativa che qualitativa), in tutti gli ambiti dell’organizzazione e prevede il coinvolgimento di diversi attori coinvolti, tutti devono essere sensibilizzati all’implementazione dell’ERM in quanto responsabili della gestione dei rischi. Un approccio sistemico ed integrato.
2.1.1 Gli attori dell’ERM
Ogni sistema di risk management ha tre componenti: una soggettiva, che sono gli attori; il processo, ovvero l'insieme di attività volte all' “identificazione, valutazione, trattamento” del rischio; e infine una oggettiva che è data dalle tecniche e dagli strumenti utilizzati per fare risk management. Gli attori del possono essere innanzitutto sia interni che esterni. Tra i primi abbiamo il CDA, il direttore generale, il risk officer, ecc. Ma dobbiamo tenere in considerazione anche quelli esterni coinvolti nel processo (es: clienti, che possono chiedere all'azienda di dotarsi di un sistema di risk management; società di revisione, che possono fungere da consulenti; le autorità di vigilanza; ecc..). Gli attori coinvolti saranno chiaramente diversi da settore a settore; attori specifici se l'azienda è quotata
53 Il Comitato delle Organizzazioni di Sponsorizzazione della Commissione Treadway (COSO) è
un'iniziativa congiunta di cinque organizzazioni del settore privato (American accounting association, AICPA, FEI, IMA, The institute of internal auditors) ed è dedicata a fornire una guida attraverso lo sviluppo di quadri e orientamenti sulla gestione dei rischi aziendali, controllo interno e monitoraggio delle situazioni legate a possibili frodi
41
oppure no, perché le aziende quotate dovranno rispondere a regole precise di reporting, di comunicazione. Esistono poi attori che svolgono l'attività di risk management in modo formalizzato e attori che la svolgono in modo informale. In generale possiamo distinguere quattro livelli di attori:
1. Livello della governance:
Consiglio di amministrazione; Amministratore delegato; Comitato di controllo e rischi; Collegio sindacale (che controlla l'operato del CDA);
2. Livello del management: Top e middle management; 3. Unità di risk management:
Variamente denominate nelle aziende come “Risk Management”, “Chief Risk Officer”, “Group Risk Officer”;
4. Unità di Assurance:
Unità che svolgono l'attività di assurance (assicurativa). Vegliano sul corretto funzionamento dell'attività di risk management. Abbiamo sia attori interni, come l'internal auditor, sia esterni, come la società di revisione.
Per quanto riguarda il primo livello il ruolo del CDA in ambito di risk management è definito all'interno del codice di autodisciplina, e consta di due punti essenziali:
1. Deve definire la natura e il livello di rischio compatibile con gli obiettivi strategici dell'emittente, includendo nelle proprie valutazioni tutti i rischi che possono assumere rilievo nell'ottica della sostenibilità nel medio-lungo periodo dell'attività dell'emittente. In altre parole il CDA deve definire il livello di risk appetite (la soglia di accettabilità del rischio).
2. Deve valutare l'adeguatezza dell'assetto organizzativo, amministrativo e contabile dell'emittente nonché delle controllate aventi rilevanza strategica,
42
con particolare riferimento al sistema di controllo interno e di gestione dei rischi. Assicurare quindi a tutti i soggetti interessati che all'interno dell'azienda è implementato un efficace sistema di risk management. Come questo compito si attua nel concreto? Il CDA deve: definire le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, creando quindi un sistema formalizzato di gestione, ovvero un reporting interno. Va quindi ad esplicitare le componenti del sistema di risk management, impostare l'ERM, andando per esempio a descrivere le tecniche da utilizzare per la valutazione dei rischi; definire le figure coinvolte nel processo di risk management e le loro responsabilità (l'organigramma della gestione del rischio); valutare, con cadenza almeno annuale, l'adeguatezza del sistema di controllo interno e la sua efficacia. Per tutti questi compiti viene da sé l'importanza del reporting e della sua qualità. Il CDA avrà bisogno di un sistema di informazioni dettagliate e complete, per potere assolvere al meglio ai propri doveri, e sarà proprio il consiglio a dettare le linee guida di questo reporting, a dire al top management di quali informazioni abbisogna; approvare, con cadenza almeno annuale, il piano di lavoro dell'internal audit; infine il CDA deve riportare tutte queste informazioni relative al sistema di controllo interno e di gestione dei rischi all'interno della relazione sulla corporate governance, esprimendo la propria valutazione sull'adeguatezza dello stesso.
Un altro attore chiave è il Comitato del controllo interno e dei rischi. È un organo composto da amministratori non esecutivi o indipendenti, e ha il compito di facilitare il ruolo del CDA; fa un'attività di istruttoria sul processo di risk management. Questo compito lo possiamo trovare anche in seno al collegio sindacale, come delineato nel codice di autodisciplina; questo perché il codice nasce nella prospettiva delle best practices internazionali, ma negli altri paesi non esiste il collegio sindacale, e quindi tutti i suoi compiti sono canalizzati all'interno del comitato controllo e rischi. Ciò può portare ad una confusione, duplicazione, dei ruoli tra i due organi. Il comitato costituisce comunque l'interfaccia del CDA con il risk manager, e organizza riunioni periodiche con quest'ultimo (per acquisire
43
informazioni sui rischi) e con l'internal audit (per valutare il grado di adeguatezza del risk management).
Al secondo livello abbiamo il top ed il middle management. Questi sono direttamente coinvolti in tutte le attività che costituiscono il processo di gestione. Nelle attività quindi di identificazione, valutazione e trattamento dei rischi. Affinché il top management sia in grado di esercitare il suo compito è importante che l'AD, che funge da collante tra le decisioni del CDA e il top management dell'azienda, fornisca tutte le informazioni del caso. C'è quindi un processo top down dove il consiglio, attraverso l'amministratore delegato, dà tutte le informazioni al top management per implementare un sistema di risk management che sia coerente con quello che è il profilo di rischio dell'azienda, con i suoi obiettivi strategici.
Gli attori di terzo livello non sono sempre presenti in tutte le aziende. Tra questi abbiamo il Risk committee, che affianca il management di line per garantire il coordinamento delle azioni di risposta; il Chief risk Officer, che ha la responsabilità di coordinamento di tutto il processo (se non c'è questa unità, come spesso accade, questo compito spetta all'internal auditor); e l'unità di risk management, molto diffusa nel sistema bancario e che ha il compito di definire i modelli di rating interni per la gestione dei rischi tipici dell'intermediario bancario. L'ultimo attore che possiamo analizzare è l'internal auditor. Il suo ruolo non è specifico nell'ERM, ma possiamo dire in generale che ha il compito di assurance, deve assicurarsi che il processo si svolga nel modo corretto, e deve riferire al CDA. Spesso però svolge ruoli che non sono di sua competenza. Possiamo comunque delineare le tante attività che deve svolgere o può svolgere l'internal auditor; tra quelle che secondo il modello ERM questa figura deve sicuramente assolvere abbiamo:
✓ Validare il processo di risk management;
✓ Assicurare che i rischi siano correttamente valutati; ✓ Valutare il processo di risk management;
44
✓ Valutare il reporting dei rischi chiave;
✓ Rivedere l’attività di management sui rischi chiave. Tra i ruoli che l'internal auditor può fare suoi abbiamo:
✓ Facilitare l'identificazione e la valutazione dei rischi (ruolo di consulenza, quando non ci sono il Risk officer o il committee);
✓ Coordinare le attività dell'ERM; ✓ Sviluppare il framework ERM;
✓ In generale azioni di natura consulenziale.
Tra le attività che sicuramente l'internal auditor non deve svolgere abbiamo: ✓ Settare il risk appetite;
✓ Identificare gli obiettivi o i rischi o l'evento;
✓ Valutare i rischi (perché gli spetta proprio di controllare la valutazione); ✓ Prendere decisioni in merito al trattamento dei rischi;
✓ In generale tutte le funzioni del CDA o del Top management.
Figura 3. Attori del risk management