Data la sua natura “enterprise-wide”, il processo di risk management va a coinvolgere anche tutto l’aspetto organizzativo dell’impresa: non riguarda infatti esclusivamente il top management o quei soggetti direttamente responsabili della progettazione o dell’attuazione dell’ERM, ma interessa l’intera struttura organizzativa, in ogni singolo livello e specifica funzione. “Qualunque persona che opera in un’organizzazione ha qualche
responsabilità riguardo all’ERM” (PriceWaterhouseCoopers, 2006: 95). Pertanto, affinché il processo di gestione sia efficiente e garantisca risultati soddisfacenti, è importante che compiti e responsabilità vengano definiti in maniera dettagliata e chiaramente assegnati a ciascun soggetto o a ciascuna funzione coinvolti o interessati dal processo. Una corretta ripartizione delle competenze in sede di pianificazione strategica permette a ciascuno di comprendere in maniera chiara e definita le proprie mansioni, responsabilità, limiti e ruolo all’interno dell’ERM ed il proprio contributo alla sua efficace implementazione.
85 Numerosi sono i soggetti coinvolti nel processo, sia direttamente, costituendo quindi parte integrante dell’ERM e contribuendo ad esso in maniera diretta, che indirettamente, influendo cioè sul conseguimento degli obiettivi aziendali esternamente all’impresa.
Personale interno all’azienda
Partendo dal presupposto che ogni singolo individuo all’interno dell’impresa da il proprio contributo al processo di gestione, si possono individuare i principali attori, il cui operato è principalmente focalizzato sul trattamento dei rischi al fine di conseguire gli obiettivi aziendali previsti:
-il Consiglio di Amministrazione; riveste il ruolo fondamentale di monitoraggio, guida e direzione; ha mansioni di indirizzo, in quanto ad esso spetta la definizione della strategia, degli obiettivi aziendali e delle risorse necessarie a raggiungerli, nonché di controllo e supervisione dell’attività di gestione e dei risultati ottenuti.
Quattro sono i principali compiti che vengono attribuiti al CdA dall’Institute of Directors: 1)deve avere spirito imprenditoriale ed incentivare lo sviluppo dell’impresa mantenendola però sotto controllo prudenziale; 2)deve essere sufficientemente informato e coinvolto nelle attività dell’impresa e allo stesso tempo avere una visione oggettiva e orientata al medio-lungo termine; 3)deve essere sensibile sia alle problematiche locali e di breve periodo, sia agli andamenti macro-economici e alla concorrenza, anche in un’ottica internazionale; 4)si presuppone tenga in considerazione le necessità commerciali e di business dell’impresa, agendo però responsabilmente nei confronti dei partner commerciali, del personale e dell’intero ambiente nel quale è inserita.17
Da ciò è possibile identificare altrettante funzioni fondamentali: formulazione della politica e della cultura aziendale; diffusione della cultura del rischio; pianificazione strategica, cioè selezione del mercato di sbocco e allocazione delle risorse allineando gli obiettivi aziendali al profilo di rischio pre-determinato; supervisione, cioè implementazione di processi di gestione, di monitoraggio e di controllo, soprattutto in materia di risk management; responsabilità, cioè garanzia che a ciascuna azione di gestione dei rischi faccia capo un responsabile, incaricato dell’implementazione delle
17
86 risposte ai rischi identificati, del monitoraggio dei cambiamenti nel profilo di rischio e dell’adozione di eventuali azioni correttive.
Obiettivo principale rimane comunque assicurare l’efficienza e l’efficacia del modello di gestione adottato.
Nell’esercizio delle proprie funzioni, il CdA può delegare specifiche attività ad uno o più comitati, quali ad esempio l’audit committee, al quale è affidata la discussione in merito alle linee guida e alle politiche per disciplinare il processo di gestione, nonché in merito alle maggiori esposizioni al rischio residuo ed agli interventi da attivare per il loro monitoraggio e controllo; oppure il risk committee, responsabile, da un lato di garantire che la capacità dell’impresa di identificare, valutare e gestire il rischio rimanga in linea con le variazioni nel profilo di rischio dell’organizzazione; dall’altro di infondere nel management una visione allargata ed integrata del rischio e di esaminare tutti i rischi potenzialmente significativi per l’impresa.
Altro aspetto importante infine è che i singoli amministratori che compongono il consiglio devono essere dotati di elevate qualità: valori morali, etica, imparzialità, competenza, curiosità, conoscenza ed esperienza pratica dell’attività e dell’ambiente aziendale. Sono inoltre chiamati ad utilizzare al meglio il tempo ed i mezzi a loro disposizione per adempiere alle proprie responsabilità ed indagare su ogni aspetto degno di importanza. Fondamentale infine è che dispongano di ampi canali di comunicazione con i soggetti interni ed esterni all’impresa, mantenendo la trasparenza, l’accuratezza e la tempestività delle informazioni.
-il Management; al top management spetta la responsabilità ultima di tutte le attività che riguardano l’ERM, quindi dell’effettivo sviluppo e dell’adeguato funzionamento del processo, che deve essere in linea con gli obiettivi fissati dal CdA.
Al vertice della gerarchia si trova il Chief Executive Officer (CEO), il quale ha la titolarità e la responsabilità definitiva del processo e vigila affinché tutti i suoi componenti funzionino adeguatamente. Svolge molteplici compiti e funzioni: fornisce guida e leadership al senior management con il quale collabora al fine di stabilire politiche, valori e principi che riflettono la filosofia aziendale del rischio; definisce la cultura d’impresa e la cultura del rischio, gli obiettivi strategici di più alto livello ed il livello di rischio accettabile; dà
87 carattere ed identità all’azienda, influenzando sia l’ambiente interno, mantenendolo sano e positivo, che gli altri componenti dell’ERM; monitora i rischi cui l’impresa è esposta e le varie attività di gestione implementate al fine di garantire l’allineamento con il profilo di rischio ed evitare eccessivi scostamenti; adotta gli interventi correttivi necessari in caso di carenze del sistema o discute con il CdA per adottare soluzioni più adeguate; incontra infine con regolare periodicità i senior managers per esaminare le loro attività.
Questi ultimi sono sostanzialmente responsabili della gestione dei rischi all’interno delle loro specifiche unità operative convertendo, nei limiti delle loro responsabilità e competenze, le strategie in operazioni, in modo tale da attivare e mettere in pratica effettivamente e completamente il processo. Generalmente determinate procedure e compiti vengono delegati ai manager che, in quanto a stretto contatto con la realtà pratica e la vita operativa d’impresa, risultano maggiormente idonei ad attivare procedure specifiche mirate al raggiungimento degli obiettivi peculiari dell’unità, identificando e trattando in maniera tempestiva ed efficace eventuali pericoli.
-il Chief Risk Officer (CRO); cui viene affidato, soprattutto in aziende di grandi dimensioni o con strutture e sistemi di gestione articolati, un ruolo di indirizzo e coordinamento delle varie attività concernenti l’ERM.
Fino a circa un decennio fa, il ruolo del risk manager veniva considerato una posizione secondaria, marginale, limitata alle responsabilità derivanti dall’acquisto delle coperture assicurative o dei prodotti finanziari; oggi, in relazione alla nascita di nuove tipologie di rischi e all’accresciuta difficoltà nella loro identificazione, controllo e gestione, la funzione di risk manager è stata elevata al livello di senior manager e quindi equiparata a posizioni che richiedono speciali capacità e competenze18. In alcuni casi questa posizione è ricoperta
da senior officers già presenti in azienda, quali soprattutto il Chief Financial Officer (CFO), il responsabile dell’internal audit o il direttore degli affari generali; in altri casi invece viene espressamente nominato un CRO, il quale quindi riveste un importante ruolo di direzione, assistenza e monitoraggio.
Genericamente parlando quindi, secondo la definizione fornita da Lam, “the CRO is
responsible for developing and implementing an enterprise-wide risk management strategy that
18
“The role of the CRO is to take risk management to a higher level, moving it from the back office to the board-room” (Lam J., 2001).
88
includes all aspects of risk” (Lam J., 2001); egli dispone quindi delle competenze e delle risorse idonee ad assistere il top management nell’elaborazione e nell’attuazione del processo di gestione, nel monitoraggio durante l’implementazione, nella valutazione dei risultati e nella segnalazione di potenziali nuovi rischi.
Le responsabilità del CRO riguardano pertanto:
• Definire e rivedere periodicamente il processo per garantire l’allineamento con le linee strategiche fissate dal CdA;
• Assicurare la corretta assegnazione di poteri e responsabilità all’interno delle varie unità operative;
• Fissare obiettivi e limiti nello svolgimento delle attività operative in merito all’assunzione di rischi nei diversi centri di responsabilità;
• Assicurare il corretto funzionamento dell’ERM in ciascuna unità di business e garantire la tempestiva e corretta individuazione e gestione dei rischi più significativi;
• Controllare l’allineamento tra l’effettiva esposizione al rischio e gli obiettivi e vincoli prestabiliti;
• Tutelare la struttura ed il buon funzionamento continuo dell’ERM, segnalando eventuali disfunzioni e provvedendo alle necessarie migliorie;
• Contribuire alla diffusione della cultura del rischio e promuovere il modello di gestione integrata tra i responsabili delle varie unità operative;
• Fornire supporto e collaborazione ai manager delle varie unità operative per assicurare l’implementazione delle strategie decise dal CdA, nonché il monitoraggio, il reporting e la segnalazione dei risultati ottenuti;
• Riferire al CEO su progressi ed ostacoli incontrati, raccomandando anche i necessari interventi.
Si tratta quindi soprattutto di una funzione “operativa” e di supporto alle unità operative nell’attuazione delle operazioni di gestione, ma implicitamente fornisce anche supporto e indirizzo alle decisioni aziendali.
La nomina di un CRO viene anche considerata come un segnale da parte dell’impresa del suo reale impegno nell’adozione del processo di ERM: “by creating a CRO position, a
89
company is signaling both internally and externally that it is serious about integrating all of its risk management activities under a more powerful senior-level executive” (Lam J., 2001).
-l’internal auditor; il quale svolge un ruolo chiave nella valutazione dell’efficacia e dell’efficienza delle operazioni aziendali, dell’affidabilità del reporting, soprattutto in ambito finanziario, della conformità delle attività a leggi e regolamenti in vigore. Si tratta sostanzialmente di attività di consulenza svolta principalmente da personale interno, che non dipende gerarchicamente da alcun responsabile delle unità operative, ma che riferisce del proprio operato al top management e che rappresenta quindi uno strumento a disposizione di quest’ultimo per garantire il monitoraggio continuo sia dell’attività aziendale, sia del corretto e continuo funzionamento dell’intero processo di risk management, attraverso l’esame, la valutazione e la produzione di report al riguardo.
-i dipendenti; tutti i soggetti inseriti nel sistema-impresa devono essere a conoscenza sia del profilo di rischio dell’impresa sia delle strategie che questa intende attuare. Ecco perché la diffusione della cultura del rischio deve essere capillare: ciascun singolo individuo deve essere consapevole dei pericoli cui l’impresa può essere esposta, delle proprie responsabilità nel dare attuazione al processo di gestione, delle conseguenze delle proprie azioni, dei compiti e dei limiti insiti nelle proprie mansioni. In un processo integrato ogni soggetto rappresenta un tassello che permette di comporre il puzzle in maniera corretta ed efficiente.
Soggetti esterni
Anche i soggetti esterni all’impresa, con la quale essa entra in contatto in maniera diretta e/o indiretta, svolgono un ruolo importante sia nell’influenzare l’operatività aziendale, la sua capacità di conseguire gli obiettivi aziendali e quindi le sue scelte in materia di gestione del rischio, sia nel contribuire al flusso informativo fornendo informazioni utili all’impresa.
Considerando i revisori esterni, attraverso l’analisi del bilancio e dei documenti contabili, essi sono in grado di fornire al management una valutazione indipendente ed oggettiva in merito all’attendibilità delle scritture, alla loro conformità ai principi nazionali ed
90 internazionali, alla loro correttezza e trasparenza. In tal modo contribuiscono al conseguimento da parte dell’impresa degli obiettivi di reporting finanziario esterno, fornendo anche informazioni ed opinioni utili al management per l’esercizio delle proprie responsabilità in materia di gestione degli altri rischi cui l’impresa è esposta.
Legislatore ed autorità di vigilanza invece esercitano una doppia influenza sull’impresa e sull’ERM: da un lato stabiliscono regole e norme di comportamento che “obbligano” le imprese a dotarsi di sistemi di gestione del rischio o controlli interni e ad assicurarsi che siano perfettamente conformi alla disciplina; dall’altro lato svolgono controlli e verifiche dirette, producendo poi rapporti, raccomandazioni e direttive che forniscono informazioni utili alle imprese al fine di perfezionare il processo e le strategie adottate.
Altri soggetti infine, quali clienti, fornitori, soci, partner commerciali e competitors rappresentano importanti fonti di informazioni per le imprese, che le possono sfruttare al fine di raggiungere obiettivi operativi, strategici e di reporting. Fondamentale è il possesso di adeguati meccanismi di raccolta di tali informazioni e condivisione del flusso informativo, sia all’interno che verso l’esterno.