Ruoli e responsabilità

La gestione del rischio aziendale è svolta da numerosi soggetti, ciascuno con importanti responsabilità. Il consiglio di amministrazione (direttamente o tramite i suoi comitati), il management, gli internal auditor e altri soggetti, contribuiscono tutti all’efficacia della gestione del rischio. Altri soggetti, quali i revisori esterni e le autorità di vigilanza, intervengono, in certi casi, nella valutazione dei rischi e nel controllo interno, (CoSO, 2006).

4.2.2.1.1 Personale dell’azienda

Il consiglio di amministrazione, il management, il risk officer, gli internal auditor e qualunque persona che opera all’interno dell’azienda contribuiscono a rendere efficace il processo di gestione del rischio aziendale.

Consiglio di amministrazione

Il management risponde al consiglio di amministrazione, il quale ha il ruolo di monitoraggio, guida e direzione. Nella selezione del management, il consiglio di amministrazione ha un ruolo importante nel definire le proprie attese in termini di integrità e di valori epici e, attraverso le sue attività di supervisione, può determinare se le proprie aspettative sono rispettate.

Il consiglio esercita i suoi poteri di supervisione riguardo il RM nei modi seguenti, (CoSO, 2006):

Acquisendo conoscenza della misura in cui il management ha attivato un efficace processo di gestione del rischio aziendale;

Conoscendo e condividendo il rischio accettabile stabilito dall’azienda;

Esaminando il rischio effettivo a livello aziendale e confrontandolo con il rischio accettabile;

Ricevendo informazioni sui rischi più significativi e se il management sta rispondendo in maniera adeguata.

Amministratori efficaci devono essere imparziali, competenti e curiosi. Devono possedere una conoscenza pratica dell’attività e dell’ambiente aziendale e impiegare il tempo necessario per l’adempimento delle proprie responsabilità. Devono utilizzare mezzi sufficienti per indagare su ogni argomento importante e disporre di ampi e liberi canali di comunicazione con gli internal audit, i revisori esterni e i consulenti legali.

Management

Il management è direttamente responsabile di tutte le attività di un’azienda, compreso il RM. Naturalmente, ai diversi livelli manageriali corrispondono diverse responsabilità di gestione del rischio.

In ogni organizzazione la scala gerarchica si ferma al CEO (Chief Executive Officer), il quale ha la responsabilità e la titolarità del RM.

Il CEO vi provvede, (CoSO, 2006):

Assicurando guida e direzione al senior management. Il CEO, con la collaborazione del senior management, stabilisce i valori, i principi e le principali politiche gestionali che costituiscono la base del processo RM. Il CEO e il senior management definiscono gli obiettivi strategici, la strategia e gli obiettivi di più alto livello. Inoltre, essi stabiliscono, a grandi linee, le politiche di base, e definiscono la filosofia della gestione del rischio, il rischio accettabile e la cultura aziendale. Essi assumono iniziative che riguardano la struttura organizzativa aziendale, i contenuti e la comunicazione delle politiche fondamentali e la tipologia dei sistemi di pianificazione e reporting adottati dall’azienda;

Incontrando periodicamente i senior manager responsabili delle maggiori aree funzionali – vendite, marketing, produzione, acquisti, finanza, risorse umane ecc. – per esaminare le loro attività, ivi comprese le modalità in cui gestiscono il rischio. Il CEO viene, così, a conoscenza del rischio inerente alle operazioni svolte, delle risposte al rischio, dei miglioramenti necessari per rafforzare i controlli e dello stato di avanzamento dei progetti in corso.

Acquisendo queste conoscenze, il CEO è in grado di monitorare le attività e i rischi, confrontandoli con il rischio accettabile dell’azienda.

I senior manager delle unità operative sono responsabili della gestione dei rischi relativi agli obiettivi della loro unità. Convertono la strategia in operazioni, identificano gli eventi, valutano i rischi e attivano le risposte. In questo senso, si verifica un trasferimento delle responsabilità a cascata verso il basso, dove ciascun manager è realmente un CEO nella sua sfera di responsabilità.

Di conseguenza, questi manager, normalmente, giocano un ruolo più diretto nel delineare ad attivare specifiche procedure di particolare rischio mirate al raggiungimento degli obiettivi dell’unità, come le tecniche per identificare gli eventi, per la valutazione dei rischi e per definire le risposte al rischio.

Sebbene differenti livelli di management abbiano funzioni e responsabilità diverse, le azioni dei singoli livelli si devono integrare nel processo di gestione di RM.

Risk officer

Alcune società hanno istituito una struttura centrale di coordinamento per facilitare le attività concernenti il RM. Il risk officer, indicato in alcune organizzazioni con il termine di “chief risk officer” oppure “risk manager”, collabora con gli altri manager per attivare un efficace processo di gestione del rischio nella loro area di competenza.

Alcune società assegnano questo ruolo a senior officer, come, per esempio, il direttore finanziario, il direttore degli affari generali, il responsabile dell’internal audit, o il responsabile della compliance; altre società, considerando l’importanza e la portata di tale funzione, preferiscono identificare e assegnare risorse specifiche.

Le responsabilità del risk officer, (CoSO, 2006):

Stabilire le politiche del RM, incluse la definizione dei ruoli e delle responsabilità, e la partecipazione alla definizione degli obiettivi da realizzare;

Definire, nelle linee generali, i poteri e le responsabilità delle unità operative nell’ambito del RM;

Promuovere la competenza nella gestione del rischio in tutta l’azienda, facilitando lo sviluppo delle competenze tecniche nella gestione del rischio, assistendo i manager ad allineare le risposte al rischio con la tolleranza al rischio dell’azienda e sviluppando dei controlli appropriati;

Favorire l’integrazione del RM con le altre attività di pianificazione e gestione aziendale;

Definire una terminologia del RM, che includa criteri comuni di misurazione dell’impatto e della probabilità e categorie comuni di rischio;

Assistere i manager nello sviluppo di protocolli per reporting, comprese le soglie qualitative e quantitative e nel monitoraggio del processo di reporting;

Riferire al CEO sui progressi e sugli ostacoli incontrati raccomandando i necessari interventi.

Direttori finanziari

Particolarmente importante per le attività di gestione del rischio aziendale sono i direttori finanziari, i controller e i loro collaboratori, le cui attività intersecano in senso orizzontale e verticale tutte le unità operative. I direttori finanziari partecipano spesso alla stesura del

budget e di programmi aziendali, e seguono e analizzano la performance dal punto di vista operativo, di conformità alle leggi e ai regolamenti e di reporting. In tale veste, il direttore finanziario, responsabile della contabilità, il controller e altro personale con funzioni amministrative svolgono un ruolo centrale nel modo in cui il management esercita la gestione del rischio aziendale.

Il direttore finanziario diviene un protagonista chiave quando si definiscono gli obiettivi, si scelgono le strategie e si analizzano i rischi e si prendono decisioni su come gestire i cambiamenti che incidono sull’organizzazione.

Internal auditor

Gli standard fissati dall’Institute of Internal Auditors precisano che la portata dell’internal auditing deve comprendere la gestione del rischio e i sistemi di controllo. Tali interventi includono la valutazione dell’affidabilità del reporting, dell’efficacia e dell’efficienza delle operazioni, e della conformità dell’attività aziendale alle leggi e ai regolamenti. Nell’adempiere alle proprie responsabilità, gli internal auditing assistono i manager, il consiglio di amministrazione o i comitati interni, nell’esame, valutazione e produzione di report, e nell’indicazione di miglioramenti da apportare per l’efficacia ed efficienza del RM.

Altri

In una qualche misura, chiunque operi in un’azienda è responsabile del RM e pertanto questa responsabilità dovrebbe essere indicata in modo esplicito o implicito nella descrizione delle mansioni in ciascun dipendente. Ciò è vero da due punti di vista, (CoSO, 2006):

Virtualmente tutto il personale gioca un ruolo nell’attuare il RM. Essi possono produrre delle informazioni utilizzate per identificare o valutare i rischi, oppure prendere altre iniziative necessarie per supportare l’efficacia del RM;

Tutto il personale è responsabile del flusso delle informazioni e comunicazioni di supporto al RM. Tale flusso riguarda tutte le comunicazioni, ai livelli più alti dell’organizzazione, di qualsiasi problema concernente l’operatività aziendale, le violazioni del codice di condotta e le politiche o atti illegittimi.

Il RM riguarda tutti, e i ruoli e le responsabilità di tutto il personale devono essere ben definiti e comunicati efficacemente.

4.2.2.1.2 I terzi

Più soggetti esterni possono contribuire al conseguimento degli obiettivi aziendali, qualche volta con azioni in parallelo a quelle condotte dall’azienda. In altri casi, i terzi possono fornire informazioni utili all’azienda per la gestione del rischio, (CoSO, 2006).

Revisori esterni

I revisori esterni forniscono al management e al consiglio di amministrazione un punto di vista obiettivo indipendente che contribuisce al conseguimento degli obiettivi di reporting finanziario esterno dell’azienda, come anche di altri obiettivi.

Il revisore, nel condurre la revisione di bilancio, può fornire informazioni utili al management per l’esercizio delle proprie responsabilità in materia di gestione del rischio.

È fondamentale precisare che la revisione del bilancio di per sé, non comporta la valutazione del RM e, in ogni caso, il giudizio espresso dal revisore non riguarda la gestione del rischio. Comunque, quando la legge e i regolamenti richiedono che il revisore valuti la correttezza delle dichiarazioni fatte da una società in materia di controllo interno, la portata del lavoro su quest’area sarà più estesa rispetto alla revisione di bilancio e ulteriori informazioni e conferme saranno necessarie.

Legislatore e autorità di vigilanza.

Il legislatore o le autorità di vigilanza esercitano un’influenza sul RM di molte organizzazioni sia obbligandole a mettere a punto nuovi meccanismi di gestione del rischio o controlli interni, sia svolgendo controlli diretti su alcune di esse. Molte leggi e regolamenti trattano prevalentemente i rischi e i controlli applicati alle informazioni di bilancio, anche se alcuni (particolarmente quelli applicabili alle organizzazioni pubbliche) possono anche riguardare gli obiettivi operativi e di conformità.

Pertanto, i legislatori e le autorità di vigilanza hanno una doppia influenza sul RM, (CoSO, 2006): da una parte, essi stabiliscono regole che spingono il management ad assicurarsi che la gestione del rischio e il controllo interno sia conforme alle norme minime stabilite dalle leggi e dai regolamenti; dall’altra parte, a seguito delle loro verifiche su una certa azienda, forniscono informazioni che sono utili all’azienda stessa quando decide di adottare il RM ed emettono delle raccomandazioni e qualche volta delle direttive per migliorare la gestione del rischio o dei controlli interni.

Parti che interagiscono con l’azienda

I clienti, i fornitori, i soci in affari e altri che hanno rapporti commerciali con l’azienda costituiscono una fonte d’informazione di rilievo utilizzata nelle attività di gestione del rischio aziendale. Queste informazioni possono rilevarsi estremamente importanti per l’azienda per conseguire i suoi obiettivi strategici, operativi, di reporting e di conformità.

Fornitori di servizi in outsourcing

Molte organizzazioni tendono a dare in outsourcing le funzioni operative, delegando la gestione corrente a fornitori esterni. L’amministrazione, la finanza e le operazioni interne all’azienda in certi casi sono esternalizzati, con l’obiettivo di potere usufruire di servizi elevati a costi bassi. Anche se queste attività sono svolte da terzi a beneficio dell’azienda, il management non può sottrarsi alle sue responsabilità di gestire i rischi conseguenti e deve realizzare un programma per monitorare le attività esternalizzate.

Analisti finanziari, agenzie di rating e media

Le attività di analisi e di monitoraggio di questi soggetti esterni possono fornire al management informazioni sul modo in cui la performance dell’azienda è percepita all’esterno e sui rischi economici e di settore che l’azienda dovrà affrontare, su strategie operative e finanziarie innovative che possono migliorare la performance e i trend del settore. Il management deve tener conto delle osservazioni e dei commenti degli analisti finanziari, delle agenzie di rating e dei mass media che possono contribuire al miglioramento del RM.