Cambiamenti normativi e gestione del rischio aziendale.Il caso della Cogitek S.r.l

L’ENTERPRISE RISK MANAGEMENT COME

MODELLO DI GESTIONE DEL RISCHIO

1. D

EFINIZIONE DIRISCHIO

La letteratura economica offre diverse definizioni per quanto concerne il rischio. Esso, infatti, è una realtà complessa ricca di sfaccettature, che si manifesta in vesti differenti secondo il modo in cui è osservata. Ogni prospettiva enfatizza certi aspetti rispetto ad altri e porta ad esprimere una definizione diversa. Scrive Bertini:

“L’eventualità che non verificandosi una determinata ipotesi si

abbiano conseguenze sfavorevoli per il soggetto che l’ha formulata, può essere intesa come sinonimo di rischio, nella più ampia accezione del termine.” [Bertini U., Introduzione alla studio dei rischi

nell’economia aziendale, Pisa, Cursi editore, 1969] e ancora:

”Si ha il rischio ogni qual volta, da un certo evento può essere razionalmente formulata una prospettiva di danno.”

Diversi studiosi hanno espresso il loro parere riguardo al rischio in ambito economico-aziendale; possiamo ricordare alcune delle definizioni più note:

“Il rischio può considerarsi l’eventualità di un andamento sfavorevole nello svolgimento di un’azione futura.” (Sassi, Sistema; pag 1), oppure: “Risk may be defined as uncertaity in regard, loss or damage” (Hardy, Risk, pag 1).

In termini più pratici possiamo individuare delle caratteristiche del rischio che sono in ogni caso presenti e comuni in qualunque realtà esso si manifesti.

Il rischio è intrinseco all’attività imprenditoriale. L’azienda, infatti, è un sistema economico duraturo. La sua vita cioè si esplica attraverso fenomeni che si susseguono, senza soluzione di continuità. Quindi l’azienda deve necessariamente operare in un ambiente più o meno esteso dove confluiscono forze economiche e non economiche, di diversa natura. I fenomeni ambientali ed economici combinandosi tra loro danno luogo a degli eventi che incombono sull’attività aziendale. L’incertezza legata a tali eventi è dovuta sostanzialmente ai seguenti fattori: 1. Limitate capacità conoscitive dell’uomo; gli eventi che caratterizzano la

vita di un’azienda spesso non possono essere previsti, oppure non può essere previsto con certezza l’impatto che essi avranno sui risultati aziendali. Le situazioni in cui operano le aziende possono essere conosciute, prevedibili o,nella maggior parte dei casi, sconosciute e quindi rischiose;

2. Dinamismo dei fattori ambientali interni ed esterni, influenti sul sistema azienda, quali ad esempio tecnologie emergenti, cambiamenti di leggi e regolamenti, instabilità politica, nuovi concorrenti, cambi dei tassi di interesse.

Quindi, date queste due condizioni, qualunque impresa opera in condizioni di incertezza, per questo affronterà dei rischi. Di conseguenza possiamo definire il rischio come ”la possibilità che un evento incerto generi uno

scostamento negativo dagli obiettivi aziendali”. Da questo emerge

chiaramente che il rischio è intrinseco all’attività aziendale e quindi è ineliminabile1_{. Non può esserci impresa se non c’è rischio; quindi il rischio}

si annulla completamente solo quando cessa l’attività aziendale.

1 _{Scrive Dezzani<<L’ineliminabile proiezione nel futuro di ogni sistema aziendale implica che il} rischio vena assunto come ineliminabile condizione di esistenza di qualsiasi azienda, qualunque sia l’oggetto che ne qualifica la funzione strumentale>>. Dezzani ,Rischi e politiche d’impresa, Milano, Giuffrè, 1971, pag 33.

Nel corso delle attività aziendali è sempre presente un certo grado di esposizione al rischio, che pur caratterizzando tutte le fasi di vita dell’impresa, assumerà nel tempo una differente entità. Da ciò deriva una seconda caratteristica del rischio e cioè la dinamicità. Il rischio si modifica nel corso delle varie fasi di vita dell’impresa per effetto di fattori interni ed esterni che determinano il sorgere di nuovi rischi e la fine di altri.2 _{Inoltre il}

rischio è un fenomeno sistematico; esistono dei legami fra le varie forme di rischio che gravano sull’azienda; ed è per questo che a volte vanno gestiti rischi apparentemente poco rilevanti, perché se trascurati potrebbero dar luogo ad altri rischi più gravi. Da qui la distinzione tra rischio particolare e rischio economico generale. I rischi particolari sono i singoli eventi che riguardano un’azione o una data attività, questi nel loro insieme determinano il rischio generale d’impresa ovvero la situazione di incertezza che grava sull’azienda nel complesso.

Infine il carattere fondamentale del rischio è il suo contenuto economico. Il carattere economico del rischio deriva, come quello sistemico, dalla natura stessa dell’azienda poiché i fenomeni che si incontrano danno vita alle relazioni e ai legami che costituiscono la base della coordinazione aziendale. Il rischio è insito nelle operazioni aziendali; poiché nella vita di un’azienda tutte le operazioni sono svolte al fine di creare un profitto, ciò vuol dire che tutte le manifestazioni che riguardano l’azienda hanno rilevanza economica.

1.1 R

ISCHIO

:

MINACCIA E OPPORTUNITÀ

Nella norma si è soliti associare al rischio il concetto di danno economico, essendo il rischio quel fenomeno che potrebbe portare uno scostamento negativo dagli obiettivi aziendali; ciò si traduce in perdite e in minori utili. In realtà l’associazione fra rischio e prospettiva di danno economico permette di far luce su un altro aspetto molto discusso nella dottrina 2 _{D’onza G., Il Sistema di controllo interno nella prospettiva del Risk Management, Milano,}

economico aziendale: molti studiosi ritengono che il rischio in una sua accezione più ampia possa rappresentare un evento favorevole per l’azienda. In poche parole essendo il rischio legato ad un’incertezza che rende variabili i risultati, tale variabilità non necessariamente porterà perdite. Gli eventi incerti che influiscono sul raggiungimento degli obiettivi aziendali potrebbero avere un impatto positivo o negativo o entrambi sulle dinamiche aziendali. Infatti, le situazioni che si generano in azienda non sono mai negative o positive, la maggior parte delle volte sono situazioni intermedie che per fattori esterni o per azioni interne possono trasformarsi in un vantaggio o in un danno. Per questo di recente si è diffusa la convinzione che l’incertezza che caratterizza certi eventi può rappresentate sia un rischio che un’opportunità per le imprese. Quindi il rischio è lo spazio non solo di possibili eventi sfavorevoli, ma anche il campo in cui l’impresa può mostrare il proprio valore attraverso le competenze, la creatività, la conoscenza e l’efficienza. Ragion per cui possiamo affermare che il rischio è anche il mezzo attraverso cui l’azienda deve costruire il proprio successo. Questa nuova accezione di rischio spinge verso una considerazione delle opportunità dato che queste supportano la creazione di valore e quindi portano i manager a rivedere le strategie elaborate al fine di cogliere le opportunità che si presentano.

1.2 N

ECESSITÀ DI GESTIRE IL RISCHIO

Concludendo, dalle considerazioni fatte emerge che il rischio è un fenomeno tipico della vita aziendale che esprime la possibilità, nel corso del tempo, di raggiungere dei risultati diversi da quelli previsti e per tale motivo deve essere studiato e gestito all’interno delle organizzazioni.

Per questo la gestione del rischio è orientata all’identificazione di tutti gli eventi che possono avere un impatto sugli obiettivi aziendali. La capacità di assumere e gestire i rischi è sempre stata un elemento caratterizzante l’azione imprenditoriale, ma di recente tale capacità ha assunto

un’importanza centrale nelle pratiche di gestione aziendale. Oggigiorno, infatti, la centralità del rischio e quindi del Risk Management è indiscutibile in quanto questo si lega con il sistema azienda in vario modo. In primo luogo la gestione del rischio si lega alla creazione di valore. Infatti, sappiamo che il valore creato in azienda è dato dalla redditività del capitale investito al netto del costo di tale capitale. Il rischio incide sia sul costo del capitale proprio sia sul costo del capitale di terzi, ma su questo argomento si tornerà nei capitoli successivi.

Il rischio si lega alle strategie in quanto l’identificazione e la valutazione dei rischi supporta la formulazione della strategia aziendale. La formulazione dei piani strategici è preceduta da analisi del tipo: SWOT Analysis o Scenario Analysis, dove per l’appunto si identificano tutte le minacce e le opportunità che riguardano una certa attività. Quindi una corretta valutazione dei rischi serve a scegliere le migliori alternative strategiche.

La gestione del rischio si lega con le politiche gestionali in quanto un sistema di Risk Management è funzionale al raggiungimento degli obiettivi aziendali. Infine il rischio si lega al sistema di controllo interno dato che il controllo interno è una delle modalità di far fronte ai rischi particolari che gravano sulla combinazione produttiva.

1.3 C

LASSIFICAZIONE DEI RISCHI

Classificare i rischi dividendoli in categorie può essere utile ai fini di una più facile individuazione delle cause che li determinano e quindi di una migliore gestione del rischio stesso. Le classificazioni che possono essere considerate sono diverse, ciascuna di esse è funzionale a mettere in evidenza determinate proprietà, aspetti distintivi dei fattori e delle conseguenze dei rischi stessi. Una prima distinzione molto utile ai fini della gestione del rischio è quella fra rischi “puri” e “speculativi”.

I rischi puri, detti anche unilaterali, sono costituiti dal complesso di potenziali eventi che possono solo avere effetti negativi sull’impresa. Sono riconducibili a questa categoria tutte le minacce collegate a illeciti, disastri naturali etc. I rischi speculativi invece fanno riferimento a quei fenomeni che possono generare una perdita oppure un guadagno e sono per questo detti anche bilaterali.

Al di là della distinzione fra rischi puri e speculativi, dal punto di vista pratico i rischi delle imprese non finanziarie possono essere distinti in tre grandi categorie:

- rischi legati all’ambiente esterno - rischi legati alla gestione operativa - rischi inerenti la gestione finanziaria.

I rischi legati all’ambiente esterno sono dovuti a cambiamenti nell’ambiente economico generale; sono eventi di ”forza maggiore” sui quali l’impresa non ha alcuna influenza. Rientrano in questa categoria il rischio politico, i rischi di regolamentazione o il rischio di innovazione tecnologica. Ovviamente tali rischi avranno un impatto diverso sulle organizzazioni a seconda delle loro caratteristiche peculiari; ad esempio un’impresa che basa le sue attività sulle esportazioni risentirà maggiormente del rischio di cambio rispetto ad un’azienda che opera solo sul territorio nazionale.

Tra i rischi legati alla gestione operativa è possibile individuare:

- Rischi di business detti anche rischi settoriali in quanto legati alla struttura del mercato e dell’ambiente competitivo dell’impresa. Rientrano in questa classe le variazioni della domanda, le variazioni dei prezzi, l’ingresso di nuovi concorrenti sul mercato, il lancio di prodotti sostitutivi etc.

- Rischi legati ai processi produttivi - Rischi di information technology.

Per quanto riguarda l’ultima categoria, i rischi legati alla gestione finanziaria, questi possono essere divisi in:

- rischio di credito - rischio d’interesse

- rischio di variazione di prezzo delle attività finanziarie - rischio di cambio

- rischi di liquidità.

Oltre questo tipo di classificazione che in realtà serve per individuare più facilmente gli eventi rischiosi e raggrupparli in categorie aventi caratteristiche simili, esistono altre distinzioni fra i rischi che vengono prese in considerazione in un processo di Risk Management. Per esempio possiamo distinguere tra:

- Rischi dinamici e statici

- Rischi sistematici e diversificabili - Rischi core e non core

- Rischi governabili e non governabili

I rischi dinamici sono quelli derivanti dal cambiamento del contesto economico e dipendono sia dall’evoluzione delle variabili esterne come l’economia, i competitor, il settore di appartenenza e i consumatori;che dalle decisioni prese internamente dal management.3 _{I rischi dinamici sono}

difficilmente prevedibili e generano una potenziale perdita di profitti per l’impresa.

I rischi statici sono quelli che esistono a prescindere dall’evoluzione del contesto competitivo in cui opera l’impresa e dipendono esclusivamente da fattori interni all’impresa. Contrariamente ai rischi dinamici sono prevedibili e si verificano con una certa regolarità. Queste caratteristiche offrono il presupposto per il loro trasferimento sul mercato assicurativo. Sulla base della correlazione tra gli effetti economici del rischio e le principali variabili macroeconomiche e finanziarie, si distingue tra rischi sistematici (o non diversificabili) e rischi diversificabili4_{. Affinché un}

rischio possa essere qualificato come sistematico, il legame tra il rischio e la fonte di rischio sistematico non deve seguire alcun prestabilito nesso di 3 _{Forestieri. 2003}

causalità. Sono fonti di rischio sistematico le principali variabili macroeconomiche e/o finanziarie, quali l’andamento generale dell’economia (misurata, per esempio, dalla variazione nel PIL), l’andamento dei tassi d’interesse di mercato (misurato, per esempio, dal rendimento effettivo dei titoli di stato a breve scadenza) e l’inflazione (misurata, per esempio, dalla variazione dell’indice dei prezzi al consumo). Spesso le fonti di rischio sistematico sono “sintetizzate” da un unico fattore di rischio sistematico, detto rischio di mercato. I rischi sistematici sono detti anche non diversificabili, in quanto attraverso il processo di diversificazione non è possibile eliminarli o ridurli, e sono ”additivi”, cioè il rischio sistematico derivante dalla somma di due variabili aleatorie è uguale alla somma dei rischi sistematici delle due variabili aleatorie. Il termine diversificabile si riferisce al fatto che i rischi non sistematici possono essere eliminati attraverso il processo di diversificazione, che consiste nell’assumere numerose variabili aleatorie non perfettamente correlate fra loro al fine di ridurre la variabilità complessiva attraverso la compensazione dei rischi [Williams, Smith, Young, 1995, ].

Altra distinzione quella fra rischi “core” e rischi “non core”. I rischi core sono quelli che dipendono dall’attività specifica svolta dall’impresa quindi se gestiti possono essere fonte di un maggior rendimento rispetto alla concorrenza. Tali rischi possono essere gestiti attraverso le scelte strategiche dell’impresa, per esempio scegliendo di entrare o meno in un nuovo mercato e ricorrere all’outsourcing piuttosto che all’internalizzazione.

I rischi non core sono quelli che si subiscono come conseguenza delle attività svolte e quindi possono essere gestiti attraverso il trasferimento o attraverso strumenti di copertura finanziaria.

Ultima distinzione quella fra rischi controllabili e non controllabili. I primi sono quelli sui quali l’azienda può avere un’influenza,cioè quelli per cui l’azienda può avere un’influenza sui fattori scatenanti. I rischi non

governabili sono quelli per i quali l’impresa non può fare nulla se non cercare di contenere il danno.

2 L

A NASCITA E LA DIFFUSIONEDEL

R

ISK

M

ANAGEMENT

Da quanto detto fino ad ora emerge che la capacità di identificazione, valutazione e gestione dei rischi è alla base del successo aziendale. Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere per definizione un tratto distintivo dell’azione imprenditoriale e una componente irrinunciabile del management5_.

Fino a pochi anni fa la gestione dei rischi si è concentrata tanto nella prassi quanto nella letteratura manageriale su poche aree specialistiche o settoriali, quali la gestione dei rischi finanziari e la copertura dei rischi assicurabili. Originariamente, infatti, la maggior parte delle imprese era dotata di staff dedicati all’Insurance Management, che si limitavano ad adottare un approccio reattivo nella gestione dei rischi e che vedevano nel mondo assicurativo l’unico strumento per il trattamento degli stessi. Nel tempo si è poi affermata l’idea che l’assicurazione non dovesse essere necessariamente l’unica soluzione possibile, così l’Insurance

Management si trasformò gradualmente in Risk Management. In

particolar modo dalla scuola americana arrivarono nuovi stimoli a cercare approcci di gestione del rischio alternativi alla semplice sottoscrizione del contratto di assicurazione. Questo primo stadio evolutivo della gestione del rischio definito “ risk management

tradizionale” presentava ancora il limite di focalizzare le imprese su una

gestione compartimentale dei rischi. Tale approccio al rischio, che potremmo definire ”per funzioni”, è giustificato dal fatto che le imprese di oggi sono realtà molto complesse, altamente articolate al loro interno e governate in logica decentrata. Di conseguenza i manager concentrano

la propria attenzione solo sulle funzioni o segmenti di attività di cui sono responsabili. Con questo tipo di gestione però, è possibile cogliere solo visioni parziali del sistema dei rischi cui l’azienda è esposta. Questo tipo di approccio al rischio, dovuto all’elevata articolazione dell’assetto organizzativo, ha portato spesso ad azioni frammentate o poco coordinate, e conseguentemente, poco efficaci nel tentativo di gestire i rischi in un’ottica integrata. Oggi la gestione dei rischi sta attraversando un’ultima fase di evoluzione, che è quella che porta alla diffusione di sistemi di Risk Management integrati e globali. L’attenzione verso il Risk Management è aumentata gradualmente nell’ultimo decennio, ma è letteralmente esplosa negli anni più recenti, alimentata soprattutto dai recenti scandali finanziari che hanno travolto alcune grandi imprese quotate - le vicende dei gruppi Enron, Parmalat, Cirio, Worldcome sono solo alcuni esempi. Ovviamente i grandi fallimenti sono da considerarsi casi limite in cui, a sistemi di controllo inadeguati, si è aggiunto il comportamento doloso di alcuni manager. In realtà, la necessità di gestire i rischi aziendali si è manifestata a seguito di alcuni cambiamenti sia interni che esterni alle aziende, che hanno modificato in maniera profonda il contesto generale e il modo di operare delle imprese. Tali fattori possono essere riassunti nei seguenti punti: 1) la crescente instabilità dei contesti economico-politico-sociali in cui le

imprese operano;

2) i nuovi modelli organizzativi adottati dalle imprese;

3) gli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business;

4) l’evoluzione della normativa;

5) l’accresciuta sensibilità da parte degli stakeholder circa il raggiungimento degli obiettivi stabiliti dal vertice aziendale.

Il cambiamento dello scenario competitivo globale ha costretto le aziende a rivedere l’atteggiamento nella gestione dei rischi. La

velocità del cambiamento, e l’aumentata complessità aziendale che ne deriva, hanno portato alla nascita di nuovi rischi o ad un aumento dell’impatto e della frequenza di accadimento di quelli già esistenti. Le imprese devono affrontare una varietà di nuove sfide nel tentativo di ottenere profitti, come globalizzazione, e-business e nuove

partenership. Per questo le aziende hanno la necessità di sviluppare e

utilizzare nuovi metodi di gestione e di far sì che i processi di Risk Management diventino continui e formalizzati.

Questo nuovo scenario ha incrementato la complessità e l’interrelazione dei rischi evidenziando come un’insufficiente valutazione e gestione di quest’ultimi può condurre a strategie non efficaci, insuccessi nel lancio di prodotti, scarsa competitività dei processi o contenziosi legali che, a loro volta, possono avere un impatto significativo sul valore della società. In virtù di tali fattori di cambiamento, un processo di gestione del rischio deve estendersi ben al di là dei tradizionali rischi di natura finanziaria per comprendere un’ampia varietà di nuovi rischi, quali quelli strategici, operativi, operazionali, legali e di immagine. Inoltre è necessaria una continua attenzione e una valida capacità di reazione nell’identificazione e nella valutazione dei rischi.

Di conseguenza si è passati da una logica dell’agire dopo (azioni reattive o settoriali) all’agire prima, cioè ad identificare il rischio preventivamente e a “tutto campo”, valutandone le origini, limitando, o se possibile eliminando del tutto, le vulnerabilità potenziali mediante la definizione di contromisure. L’anticipazione dei rischi con una politica consapevole permette all’azienda di superare eventuali momenti di crisi incombenti o di vincere la concorrenza, in pratica trasformando il rischio in una reale opportunità di creare ricchezza o per esempio acquisire quote di mercato. Chi è più bravo ad anticipare le minacce incombenti con strategie consapevoli acquisisce un indubbio vantaggio competitivo.

Il cambiamento nel metodo di affrontare i rischi P.Piana 4 IDENTIFICARE IL RISCHIO IDENTIFICARE IL RISCHIO PREVENTIVAMENTE A PREVENTIVAMENTE A “TUTTO CAMPO”, “TUTTO CAMPO”, VALUTARNE LE ORIGINI, VALUTARNE LE ORIGINI, ELIMINARE/LIMITARE ELIMINARE/LIMITARE LE VULNERABILITA’ LE VULNERABILITA’ POTENZIALI POTENZIALI AGIRE DOPO AGIRE DOPO .

.AZIONI SOLO REATTIVEAZIONI SOLO REATTIVE . AZIONI SETTORIALI . AZIONI SETTORIALI . SPINTA EMOTIVA . SPINTA EMOTIVA ED ESTEMPORANEA ED ESTEMPORANEA .CARENZE DI POLICY .CARENZE DI POLICY AGIRE PRIMA AGIRE PRIMA

…qualcosa sta cambiando nell’atteggiamento

…qualcosa sta cambiando nell’atteggiamento

delle imprese verso il rischio…

delle imprese verso il rischio…

Da: _A:

Questo nuovo orientamento nella gestione dei rischi nasce dal superamento di alcuni convincimenti del passato che spesso portavano ad una gestione dei rischi frammentaria e poco formalizzata.

In primo luogo il rischio non deve essere visto come fenomeno necessariamente negativo; esso non è di per sé né negativo né positivo, per cui va visto nella sua duplice veste di opportunità e di minaccia. Si sta quindi prendendo coscienza che i rischi non devono essere considerati soltanto minacce da evitare ma, in molti casi, se correttamente gestiti, possono trasformarsi in opportunità da cogliere.

In secondo luogo i rischi non devono essere eliminati ad ogni costo. La gestione del rischio come tutti gli altri processi aziendali, va sempre condotta ispirandosi al principio di economicità. Questo significa che la decisione di eliminare un rischio ha come presupposto un’accurata analisi costi/benefici. Ovvero, le perdite attese in termini di costi diretti e indiretti, in caso di manifestazione del rischio, devono superare i costi della sua eliminazione. Grazie a questo approccio i manager possono concentrarsi sul monitoraggio di quei rischi a più alta probabilità di verificarsi e cercare di ridurne l’impatto.

Questi fattori di cambiamento, come più volte detto hanno portato allo sviluppo e alla diffusione di sistemi di gestione del rischio più moderni. In realtà, la rilevanza che questo processo assume oggi nelle imprese, deriva anche da ragioni che si legano all’economia dell’impresa.

Infatti, come già accennato in precedenza, la gestione del rischio è fondamentale ai fini della generazione del valore per gli azionisti e per la realizzazione delle strategie. Per questo è necessaria l’individuazione e la valutazione delle cause e la misurazione degli effetti degli eventi rischiosi.

Creare valore vuol dire produrre redditività del capitale investito; tuttavia, chi investe per produrre ricchezza sa di dover fronteggiare anche dei rischi e quindi non può esimersi dal tener conto di tutte le cause che limitano/vincolano le proprie possibilità di successo. Quindi è importante trovare il giusto equilibrio tra la volontà di cogliere le opportunità che il contesto offre e i rischi, in modo da non distruggere la ricchezza investita nell’attività imprenditoriale. Il ruolo degli

stakeholders in questo senso diventa fondamentale; infatti, una

gestione dei rischi efficace serve ai manager non solo per rispettare regolamenti e migliorare la gestione, ma anche per accrescere la fiducia degli investitori, per tutelarli e dare più stabilità alle

performance aziendali. Il processo di gestione dei rischi deve essere quindi allineato alle esigenze degli stakeholders.

Diviene fondamentale svolgere l’attività di Risk Management in base a degli obiettivi chiave che gli azionisti considerano vitali per il successo dell’impresa. A tal proposito è necessario considerare quattro fasi fondamentali per definire e gestire il legame tra rischio e valore per gli azionisti:

• definizione delle leve principali che generano valore per gli azionisti;

• identificazione dei rischi che agiscono sulle leve principali del valore degli azionisti;

• determinazione della modalità migliore di gestione del rischio; • comunicazione agli azionisti della scelta di gestione del rischio. Le quattro attività appena citate, se non supportate da uno sforzo organizzativo nella definizione dei ruoli e responsabilità, potrebbero generare dei risultati inadeguati a garantire gli obiettivi di un progetto di Risk Management.

Gli approcci tradizionali alla gestione dei rischi non sono più adeguati per molte grandi imprese e non sono in grado di rispondere alle richieste degli stakeholders. I nuovi orientamenti nella gestione del rischio portano all’abbandono del modello tradizionale che lega ad ogni funzione determinati rischi; bisogna, infatti, adottare un modello di Risk Management integrato, che consideri gli aspetti strategici e miri a sfruttare le opportunità di business. Le imprese devono comprendere l’importanza di evolvere da un approccio tradizionale di delegare ad ogni funzione/divisione la responsabilità di alcuni rischi. È necessario invece adottare un approccio di Risk Management integrato. Nel passato le unità operative gestivano i rischi operativi, le funzioni di credito gestivano i rischi di credito, etc., ma quest’approccio ha dato dei risultati spesso insoddisfacenti. I rischi sono, infatti, fortemente interdipendenti tra loro e non possono essere

gestiti in modo frammentato esclusivamente da funzioni/divisioni indipendenti. Gli azionisti e il management aziendale, devono essere sempre più consapevoli dell’importanza di gestire in modo integrato per salvaguardare il valore delle aziende.

Un approccio focalizzato sui rischi specifici dell’azienda ne garantisce la completa identificazione e permette di rispettare i ruoli, le responsabilità e le competenze derivanti dalla struttura organizzativa. Per svolgere un processo di Risk Management è necessario, infatti, combinare competenze specifiche di tipo finanziario, tecnologico e dei processi operativi e sviluppare un approccio completo alla gestione dei rischi prendendo in considerazione sia gli aspetti strategici che realizzativi. La gestione del rischio deve essere un processo dinamico che inizia dalla fase di pianificazione e viene supportato da appropriate metodologie e da una solida infrastruttura. L’impresa non deve prendere in considerazione soltanto le aree di rischio tradizionali, come finanza o proprietà, ma un campo di rischi più ampio che include altre aree come immagine aziendale, etica, salute, sicurezza, ambiente, etc.

Nell’economia moderna si va affermando un nuovo paradigma, definito “business at risk”, che interpreta qualsiasi impresa come un insieme integrato di unità di business e di rischi, che vengono compresi – e quindi gestiti – attraverso una visione unitaria e sistemica dei processi che interessano le singole unità. Tale metodologia evidenzia la centralità del business, indicando alcuni principi di gestione strategica ed operativa e sostenendo la necessità di una visione integrata dei rischi, nell’ottica della creazione e del mantenimento del benessere dei vari soggetti portatori di interessi.Una gestione efficiente dei rischi deve mirare quindi a sfruttare le opportunità di business favorendo la crescita futura, proteggendo, al contempo, il valore fino ad oggi creato.

L’obiettivo della gestione dei rischi non è eliminare (rimuovere) i rischi, ma equilibrare appropriatamente i rischi con le opportunità. Trovare un equilibrio non è facile a causa dei cambiamenti nei tipi di rischi che si devono gestire, a causa della crescente attenzione sui beni intangibili, della competizione globale, dell’outsourcing, della tecnologia, internet.

Questo comporta la necessità di una chiara identificazione e conoscenza dei rischi, delle possibilità di accadimento e dell’impatto sull’azienda, il tutto accompagnato da un continuo monitoraggio volto a gestirne ogni sviluppo nel tempo. In tal modo i rischi possono creare opportunità, quindi creare valore e ricchezza per gli azionisti.

L’obiettivo di fondo del Risk Management è proprio quello di elaborare misure idonee a fronteggiare i rischi cui è soggetta l’attività imprenditoriale, oltre che a contenere il loro eventuale impatto negativo sulle performance. Non si tratta quindi di cancellare quanti più rischi possibili, perché ogni rischio può costituire anche un’opportunità.

La figura sottostante riassume i punti fondamentali del Risk

Management oggi.

P.Piana 14

…i fattori critici di successo… …i fattori critici di successo…

L’anticipazione dei rischi con una

L’anticipazione dei rischi con una

politica “consapevole” permette all’azienda

politica “consapevole” permette all’azienda

di superare le crisi incombenti o di

di superare le crisi incombenti o di

vincere la concorrenza

vincere la concorrenza

Non si tratta di cancellare quanti più rischi possibile,

Non si tratta di cancellare quanti più rischi possibile,

perché ogni rischio può costituire anche un’opportunità

perché ogni rischio può costituire anche un’opportunità

Le crisi possono nascere da Le crisi possono nascere da “segnali deboli” trascurati “segnali deboli” trascurati E’ sempre indispensabile un’analisi costi-benefici

2.1 C

ARATTERISTICHE DEL

R

ISK

M

ANAGEMENT

Il Risk Management nella concezione moderna è un approccio rigoroso nella valutazione e nell’identificazione dei rischi; per essere di utilità all’impresa deve essere svolto in maniera sistematica e continuata con l’obiettivo di ridurre gli ostacoli che si frappongono al raggiungimento degli obiettivi aziendali. Il Risk Management è un processo che attraverso vari strumenti agirà sui rischi, cercando di ridurre, trasformare, mitigare, trasferire, fino ad arrivare ad una configurazione di rischio più consona all’azienda 6_{. Come è stato già sottolineato in precedenza, la gestione dei}

rischi, come quella di altri processi aziendali, si ispira al principio di economicità. Ciò vuol dire che essa si basa su un confronto tra i costi necessari per mitigare il rischio, e i risparmi derivanti dalla forma di trattamento scelta. Il risparmio può essere misurato in termini di riduzione delle perdite attese da un evento dannoso o come riduzione dei costi dell’incertezza. Inoltre la gestione dei rischi deve tener conto di due ulteriori vincoli:

1. il rispetto della Normativa;

2. il rilievo etico o strategico di determinati rischi.

Spesso, questi due aspetti portano l’azienda ad investire sul trattamento di rischi che, in base ad un’analisi costi-benefici avrebbe trascurato.

Un altro aspetto da considerare riguardo al Risk Management è che questo assumerà caratteristiche diverse a seconda del tipo di impresa in cui verrà applicato. Nelle aziende di piccole dimensioni sarà probabilmente un processo poco formalizzato, con un forte coinvolgimento dell’imprenditore

nella gestione dei rischi operativi. Nelle imprese di grandi dimensioni, l’attività di Risk Management si svilupperà ai vari livelli organizzativi e quindi avrà contenuti diversi in base all’area aziendale di pertinenza.

Un'altra differenza importante riguarda la gestione del rischio nel settore finanziario, rispetto al settore industriale. Infatti, nel settore finanziario le tecniche di gestione del rischio sono di gran lunga più evolute e diffuse rispetto altri settori. Ciò per effetto dell’evoluzione normativa (Basilea 2) che ha introdotto nelle banche modelli strutturati per la misurazione dei rischi insiti nell’attività di intermediazione creditizia e finanziaria. Nelle imprese industriali invece, il Risk Management è ancora un processo poco formalizzato e legato alla gestione dell’impresa in senso globale.

3 G

ESTIONE DELRISCHIO ESISTEMA DICONTROLLO INTERNO

L’evoluzione dei sistemi di gestione del rischio è andata di pari passo con l’evoluzione dei sistemi di controllo interno. Sia in letteratura che nella pratica professionale spesso questi due elementi vengono presentati come strettamente collegati. Infatti, un valido sistema di controllo interno dovrebbe contemplare azioni e strumenti adeguati a prevenire il manifestarsi di eventi rischiosi. Per tale motivo i sistemi di controllo interno sono oggi sviluppati in una logica “risk based”, ovvero volti ad individuare e valutare e controllare eventi dannosi che potrebbero mettere a repentaglio l’economicità della gestione. Il sistema di controllo quindi, va realizzato e strutturato in base al profilo di rischio dell’azienda. Inoltre il sistema di controllo interno avendo come obiettivo quello di guidare verso la realizzazione degli obiettivi, può essere più efficace in questo senso se si pone l’obiettivo di supportare l’attività di gestione dei rischi che possono impedire il raggiungimento degli obiettivi aziendali. Nella figura riportata sotto, i rischi sono le varie “canne” dell’istogramma, il sistema di controllo è descritto come un “piano scorrevole verso l’alto ed il basso” a seconda dell’esigenza di ridurre o ampliare l’entità dei rischi residui (la parte al di sopra del piano stesso). Il significato di tale rappresentazione grafica è che

il sistema di controllo va “implementato a immagine e somiglianza

dell’azienda presso cui deve operare e soprattutto deve essere la risultante della sua esposizione al rischio”.

Il rapporto tra il rischio e il sistema di controllo Il rapporto tra il rischio e il sistema di controllo

Rischio residuo Rischio controllato Sistema di gestione e controllo aziendale Tend enza Esposizione al rischio

Per concludere possiamo evidenziare una duplice relazione tra Sistema di controllo interno e gestione dei rischi; da una parte il sistema di controllo fa parte dei modelli di gestione integrata del rischio, dall’altra la valutazione dei rischi è una componente del sistema di controllo. Questa duplice relazione come vedremo ha portato lo sviluppo dei più importanti modelli di controllo e gestione del rischio come il CO.SO Report e l’ERM.

4 D

AL

CO.SO R

EPORT ALL

’E

NTERPRISE

R

ISK

M

ANAGEMENT Nel 1992 Il Committee of Sponsoring Organizations pubblicò il COSO Report, ovvero un modello di riferimento per i sistemi di controllo interno e di valutazione dei rischi. Il modello indicava tre categorie di obiettivi

aziendali, che dovevano essere raggiunti con il supporto del sistema di controllo:

- obiettivi di efficacia ed efficienza delle attività operative - obiettivi di attendibilità delle informazioni in bilancio - obiettivi di conformità alle leggi e ai regolamenti in vigore.

Il principio di fondo del COSO Report era che un valido sistema di controllo avrebbe dovuto supportare il management nel perseguimento di tali obiettivi; inoltre questo nuovo modello prevedeva un coinvolgimento di diversi soggetti aziendali e quindi dava particolare risalto al carattere sistemico dell’azienda. In questo senso il sistema di controllo viene definito come l’insieme di cinque componenti interrelati tra loro:

1) ambiente di controllo 2) valutazione dei rischi 3) attività di controllo

4) informazioni e comunicazioni 5) monitoraggio.

La figura (pag. 20) ci aiuta a capire la rilevanza e la collocazione delle varie componenti nel sistema di controllo interno; come possiamo notare l’ambiente interno è alla base della piramide perché rappresenta il contesto dove il processo viene svolto e quindi l’elemento più importante perché in grado di influenzare tutto il sistema.

La valutazione dei rischi consiste nell’individuazione e nell’analisi dei rischi che possono pregiudicare il raggiungimento degli obiettivi strategici. L’attività di controllo è l’insieme delle politiche e delle procedure che assicurano il management circa l’applicazione delle sue direttive; si attuano a tutti i livelli organizzativi e occorre tenere in considerazione: i controlli correlati al business, i controlli operativi, le procedure standard e i controlli sui sistemi informativi.

Le informazioni, come si nota, sono una componente trasversale a tutto il processo e devono essere disponibili tempestivamente per consentire alle persone di assolvere alle proprie responsabilità.

Le comunicazioni devono essere efficaci verso il basso (dipendenti), verso l’alto (management) e trasversalmente alla struttura organizzativa e nei confronti dei clienti, fornitori, azionisti e soggetti terzi (stakeholders).

Al vertice della piramide troviamo il monitoraggio o supervisione, il quale deve essere effettuato sui sistemi di controllo interni che devono essere valutati in modo da verificare la qualità delle loro performance nel tempo.

La supervisione comprende le attività di controllo svolte da dirigenti e funzionari nonché le iniziative assunte dal personale nell’ambito delle proprie funzioni.

Già con il COSO Report viene messa in evidenza l’importanza delle relazioni tra le componenti del sistema di controllo e le dimensioni del sistema ovvero le tre categorie di obiettivi e le unità coinvolte. Successivamente la necessità di avere un sistema integrato di controlli e

INFORMAZIONE E COMUNICAZIONE MONITORAGGIO

ATTIVITA’ DI CONTROLLO

Figura 1.1: Le componenti del sistema di controllo interno secondo il Co.So Report

VALUTAZIONE RISCHI

valutazioni dei rischi ha portato ad un’evoluzione di questo modello; già nel 2000 il Committee of Sponsoring Organizations of the Threadway Commision ha iniziato un dibattito sulla gestione dei rischi aziendali ed è arrivato alla definizione di un nuovo framework “l’Enterprise Risk Management”.

Questo nuovo modello ha come base e come riferimento il precedente COSO Report, però mentre in quest’ultimo il controllo dei rischi veniva visto come una delle componenti di tutto il sistema, ed era una attività solo marginale, nella nuova prospettiva la gestione del rischio diviene l’elemento fondamentale e il sistema di controllo interno è parte integrante di un sistema di gestione del rischio più ampio.

L’Enterprise Risk Management è stato pubblicato nel 2004 dal COSO of the Tradeway Commision allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa, attraverso un modello integrato che intende comprendere tutti i rischi aziendali.

5 D

EFINIZIONE ECARATTERISTICHE DELL

’ERM

“L’Enterprise Risk Management è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestir il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.”7

Dalla definizione proposta si evincono le caratteristiche principali dell’ERM:

7 _{PriceWaterHouseCoopers e Associazione Italiana Internal Auditors, La Gestione del rischio} aziendale ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, Il Sole 24 Ore.

- Prima di tutto è un processo e in quanto tale attraversa l’intera organizzazione. Un processo è costituito da una serie di fasi, quindi la gestione del rischio non deve essere portata avanti attraverso un insieme di attività isolate ed estemporanee, ma in maniera unitaria e continuata. - È un processo legato con i sistemi di corporate governance perché oggi

è nelle responsabilità di chi governa l’azienda garantire che ci sia un valido sistema di risk management.

- È posto in essere da diversi soggetti nell’organizzazione, quindi non è prerogativa dei manager o di una sola funzione, ma riguarda tutte le persone presenti in azienda.

- Prende avvio con il processo di pianificazione strategica ed arriva fino alla definizione dei programmi operativi.

- Supporta il perseguimento degli obiettivi aziendali; infatti porta ad una maggiore consapevolezza degli obiettivi che l’organizzazione intende raggiungere e degli ostacoli potenziali che incontrerà.

- Permette di verificare l’allineamento fra il profilo di rischio che connota l’organizzazione e il risk appetite.

- Permette di sviluppare piani di controllo dei rischi non accettabili. L’ERM rappresenta per le organizzazioni che decidono di svilupparlo,una rivoluzione soprattutto culturale ed organizzativa. Infatti, nonostante la tecnologia ed i sistemi informativi abbiano un ruolo fondamentale, sono le risorse umane a rendere possibile lo sviluppo di tale processo; nella maggior parte dei casi il capitale intellettuale e le capacità necessarie per condurre l’ERM sono già presenti all’interno della società. Però non dobbiamo dimenticare che un processo accurato ed utile deve essere basato su una solida capacità d’analisi. Senza valide misurazioni, la gestione del rischio è efficace solo per caso.

La novità proposta da tale framework sta nella gestione globale e integrata. Infatti, il termine Entreprise significa rimozione delle tradizionali barriere di funzione, di divisione, di dipartimento o

culturali; Enterprise simboleggia un approccio veramente integrato, focalizzato sul futuro e orientato ai processi. Il fine ultimo di tale modello è aiutare le organizzazioni a gestire tutti i rischi di business e a identificarne le opportunità connesse. L’ERM, a differenza di modelli precedenti di gestione del rischio, si focalizza sull’identificazione e la gestione dei rischi che interferiscono con gli obiettivi e le strategie dell’impresa, creando una più forte connessione tra le strategie e i rischi. Con l’ERM si superano i vincoli del passato, ad esempio, non esiste più un dominio specializzato che si focalizza sui rischi finanziari e sui rischi assicurabili, ma ci si focalizza sui rischi di business/strategici e operativi. L'impresa non deve prendere in considerazione soltanto le aree di rischio tradizionali, come finanza o proprietà, ma uno spettro di rischi più ampio che include altre aree come immagine aziendale, etica, salute dei dipendenti, sicurezza, salvaguardia dell’ambiente, etc. Per questo con l’ERM l’analisi del rischio si spinge in tutti gli ambiti in cui l’azienda individua obiettivi da raggiungere.

Inoltre dato che l’ERM consiste in un significativo cambiamento comportamentale la sua implementazione richiede un programma

STRATEGICO

Business, mercato, politica, economia, sociale, tecnologia, competizione, organizzazione, controlli……

FINANZIARIO

Patrimonio, debito, valute, vita tecnico-economica, investimenti,

crediti, liquidità……….

OPERATIVITA’

Beni strumentali, risorse umane, sicurezza fisica e logica, logistica, business

continuità,……… IMMAGINE Reputazione, marchio, comunicazione, legali, conformità, qualità………

specifico di cambiamento, non semplicemente una lista dei rischi e dei loro presunti responsabili. Per muovere verso un approccio ERM, è necessario definire una struttura integrata di Risk Management ed un linguaggio comune a tutta l’organizzazione; è necessario collegare le decisioni di business con la gestione del rischio attraverso l’analisi dell’impatto che ogni tipo di scelta operativa può generare sul profilo di rischio; è necessario riconoscere che il Risk Management è uno strumento che può sviluppare il business e non una voce di costo. La gestione del rischio con l’ERM diventa un processo incluso nella pianificazione degli affari, nei processi operativi, nelle procedure di crisis management, divenendo così un processo proattivo.

5.1 V

ANTAGGI DELL

’ERM

I benefici ottenibili attraverso l’ E.R.M. possono così essere sintetizzati:

• Migliora l’attenzione e la visibilità verso i rischi;

• Crea una cultura di identificazione e gestione dei rischi, che

determina un più forte collegamento e un allineamento tra rischio, strategia, processi, persone e tecnologia.

• Riduce il costo del capitale, grazie alla gestione della volatilità:

attualmente, le imprese stanno soffrendo la più grande volatilità non solo nei mercati azionari, ma anche nei mercati del lavoro, nei processi, nella tecnologia e nei modelli d’affari. Un approccio di tipo integrato permette di ridurre la volatilità dei risultati e di generare, nel lungo termine, un più basso costo del capitale.

• da possibilità per il Management di focalizzare diverse tipologie di rischio utilizzando un linguaggio standard: infatti sappiamo che

esistono diverse interpretazioni del concetto di rischio e su quali dovrebbero essere gli scopi e gli obiettivi del Risk Management. Quindi l’Enterprise Risk Management ha anche come obiettivo quello di definire il rischio e dare una struttura standard per la sua gestione.

Questi risultati possono essere raggiunti dal momento che un sistema ERM:

 suggerisce criteri migliori per l’allocazione delle risorse;  riduce le spese sui rischi immateriali;

 Supporta un processo decisionale basato sulle informazioni;

 Scopre aree di potenziale impatto negativo sui fattori che determinano il valore delle azioni;

 identificando e sfruttando aree di vantaggi basati sul rischio;  aumenta la fiducia degli investitori;

 istituendo un processo che stabilizzi i risultati proteggendoli dalle interferenze;

5.2 L

IMITI E PUNTIDI DEBOLEZZA DELL

’ERM

Nonostante tale framework si stia diffondendo in tutte le imprese di grandi e medie dimensioni ci sono ancora degli elementi che ne limitano l’efficacia:

• sebbene ci sono molti studi al riguardo, esso è ancora relativamente immaturo8_.

• I sistemi informatici per monitorare e fare reporting sono poveri e richiedono significativi investimenti.

8 _{Per un approfondimento sulla diffusione dei sistemi di Risk management nelle società quotate} italiane si veda: ALLEGRINI M. D’ONZA G. Internal Auditing e Risk Assesment in Large Italian Companies: an Empirical Survey, in International Journal of Auditing, Vol 7 2003.

• Mancanza di valutazioni quantitative. I domini tradizionali del rischio (rischi finanziari o assicurativi) hanno sviluppato metodologie e un enorme quantità di dati, che facilitano le valutazioni quantitative; è il caso di metodi come value at risk,

stress testing e “Monte Carlo”.9 _{Sebbene questi non vengono}

tralasciati, è troppo scoraggiante o inappropriato applicare questi e altre analisi quantitative a molti rischi strategici e operativi.

5.3 LE COMPONENTI DELL’ERM

Lo schema dell’ERM si compone di otto elementi.

9 _{Si tratta di una procedura numerica spesso usata in statistica per effettuare simulazioni di eventi} complessi. Originata durante la seconda guerra mondiale, si assiste oggi ad una sua consistente rinascinata grazie all’avvento dei computers sempre più potenti. In sostanza, la procedura consiste nel determinare a priori le distribuzioni di probabilità di particolari variabili e quindi nell’ottenere una distribuzione di probabilità dei risultati sulle variabili che rappresentano l’oggetto dello studio.

Nella figura vediamo come questi siano posti in sequenza proprio per indicare il flusso di processo che dovrebbe caratterizzare tutte l’attività di ERM. Premesso che tutto il processo prende avvio dalla definizione della missione e della strategia, gli elementi che compongono l’ERM sono i seguenti:

1. Ambiente interno

2. Definizione degli Obiettivi 3. Identificazione degli eventi 4. Valutazione dei rischi 5. Risk Response

6. Attività di controllo

7. Informazione e comunicazione 8. Monitoraggio

Dalla figura possiamo notare le somiglianze fra il modello ERM e il precedente COSO Report; anche in questo caso infatti ,l’ambiente interno è posto alla base del sistema in quanto influenzerà tutto il processo . Tale processo sarà supportato dalle Attività di controllo, mentre le attività di monitoraggio e di informazione e comunicazione non a caso sono poste in maniera trasversale, perché permetteranno un miglior funzionamento del processo e un suo contino miglioramento. Gli altri elementi rappresentano le fasi tipiche di un processo di risk management che analizzeremo successivamente. Questi otto componenti insieme devono supportare il raggiungimento di quattro categorie di obiettivi:

- Strategici - Operativi - Di Reporting - Di Compliance

Tali obiettivi riguardano l’azienda a tutti i suoi livelli e in tutte le sue dimensioni, come indicato nella figura le otto componenti riguardano sia l’azienda nel complesso, che le singole divisioni/ funzioni.

Ora passiamo a descrivere brevemente le componenti del modello.

5.3.1 L’

AMBIENTE INTERNO

L’ambiente interno viene messo al primo posto perché è ciò che influenza tutti gli altri componenti dell’ERM. Esso, infatti, rappresenta la cultura e l’identità di un’organizzazione. L’ambiente interno è fondamentale dato che l’attività di Risk Management deve essere sviluppata all’interno di un contesto che ne favorisca la diffusione e ne valorizzi l’utilità. Infatti, uno dei fattori che forse ha rallentato di più la crescita del Risk Management nelle aziende è la scarsa rilevanza di cui esso gode presso il management. Se non ne

viene riconosciuta l’importanza, tale attività rischia di portare solo costi improduttivi e di essere a scarso valore aggiunto.

Molti elementi contribuiscono alla creazione dell’ambiente interno: l’integrità e i valori etici, le competenze del personale, la cultura del rischio,le modalità di distribuzione dei poteri e delle responsabilità, lo stile del management, etc. Fra questi elementi tre assumono particolare importanza al fine di creare un valido sistema di Risk Management:

- la cultura del rischio

- l’esplicitazione del risk appetite - il supporto del vertice

Per cultura del rischio si intende l’insieme di valori e comportamenti che definiscono l’atteggiamento dell’azienda verso il rischio. Ci sono molti modi per definire o comunicare la filosofia del rischio: codici di condotta, mappe rischio/opportunità, workshop in cui si discutono i rischi legati all’attività aziendale. L’importante per quanto riguarda la filosofia del rischio è che questa sia diffusa e condivisa in tutta l’organizzazione.

La cultura del rischio si lega anche al concetto di Risk Appetite (rischio accettabile) che rappresenta l’ammontare del rischio che l’azienda è disposta a sopportare nel perseguire il suo obiettivo di creazione del valore. La definizione del risk appetite non necessariamente si concretizza in un valore quantitativo, di solito viene determinato con aggettivi del tipo basso, alto; tuttavia tale valore esprime l’atteggiamento di chi governa l’azienda nei confronti del rischio e si estrinseca attraverso le strategie e le politiche gestionali. Stabilire la soglia di rischio accettabile serve per allineare tutte le decisioni e i comportamenti dei manager al profilo di rischio aziendale e quindi procedere con le azioni più consone.

Per quanto riguarda il supporto del vertice, questo è fondamentale per il funzionamento del Risk Management; infatti, l’esempio deve essere

dato prima di tutto dall’alta direzione aziendale. Il consiglio di amministrazione deve sponsorizzare il processo di gestione del rischio, far in modo che questo goda di tutte le risorse necessarie per funzionare efficacemente.

5.3.2 D

EFINIZIONE DEGLI OBIETTIVI

La definizione degli obiettivi è la condizione base per identificare i rischi e i conseguenti piani d’azione per gestirli. Non può essere individuato un evento rischioso se non lo poniamo in relazione ad un obiettivo da raggiungere. Il framework dell’ERM prevede una visione globale e integrata di tutto ciò che riguarda l’impresa e il suo business, per questo la definizione degli obiettivi deve partire dalla Mission aziendale e da questa a cascata devono essere determinati tutti gli altri obiettivi. La missione aziendale esplicita lo scopo generale dell’organizzazione. Partendo da tale scopo si definiscono gli obiettivi strategici, cioè si sceglie come competere, come creare valore per gli azionisti. Ovviamente gli obiettivi strategici dovranno essere allineati con la missione aziendale e supportarla. Dagli obiettivi strategici si delineano tutti i cosiddetti obiettivi correlati, ovvero quelli che nel concreto consentiranno all’azienda di sopravvivere e di creare valore nel tempo. Gli obiettivi correlati sono:

- Operativi: cioè quelli che riguardano efficacia ed efficienza delle

operazioni; ad esempio obiettivi di performance, di protezione delle risorse aziendali.

- Di Reporting: cioè quelli che riguardano l’attendibilità dei report

interni ed esterni, delle informazioni economiche e non economiche.

- Di Compliance: conformità a norme e regolamenti.

Nella definizione degli obiettivi si deve tener conto del fatto che questi pur appartenendo a categorie diverse sono tutti correlati tra

loro. Quindi ad esempio il raggiungimento di un obiettivo di reporting potrebbe essere funzionale al raggiungimento di un obiettivo operativo.

Un altro aspetto da considerare nella fase di definizione degli obiettivi è la risk tollerance. La tolleranza al rischio è il livello di variazione accettabile quando si stabilisce un obiettivo.Ciò significa che stabiliti una serie di obiettivi è poi possibile individuare un livello massimo di scostamento dall’obiettivo, che può essere accettato dall’impresa senza gravi conseguenze.

5.3.3 A

TTIVITÀ DICONTROLLO

Le attività di controllo sono un insieme di procedure che, una volta applicata la risposta al rischio, garantiscono che questa sia stata efficace. Si svolgono a vari livelli dell’organizzazione e includono operazioni di diverso tipo quali: autorizzazioni, verifiche di coerenza, ricalcoli, etc. Nonostante l’attività di controllo sia svolta per verificare l’efficacia delle risposte al rischio, in alcuni casi rappresenta di per sé una modalità di gestione del rischio. Per esempio se il rischio è che una certa operazione venga svolta senza autorizzazioni, allora una valida risposta sarà un’attività di controllo basata sulla richiesta di approvazioni da parte di un supervisore per lo svolgimento di quella operazione.

5.3.4 I

NFORMAZIONE E COMUNICAZIONE

Le informazioni sono una componente trasversale di tutto il modello, necessaria in tutte le fasi di gestione sia dei rischi che delle opportunità. Un buon funzionamento del sistema informativo è il presupposto per una gestione dei rischi consapevole, infatti, comunicare le informazioni giuste in tempi brevi favorisce il decision making e lo svolgimento delle attività.

5.3.5 M

ONITORAGGIO

Il monitoraggio continuo è utile per verificare il corretto funzionamento del sistema. Inoltre dato che il contesto in cui opera l’azienda si modifica rapidamente, anche i rischi si evolvono e quindi il monitoraggio è necessario per rivedere e migliorare il modello ERM.

6 I

L

P

ROCESSO DI

R

ISK

M

ANAGEMENT

Il Risk Management può essere definito come un sistema che si compone di tre elementi principali che sono:

• Il processo • Gli attori

• Le tecniche e gli strumenti

Gli attori sono tutti i soggetti che in diverso modo prendono parte alle attività di identificazione, valutazione e gestione dei rischi; come vedremo tali soggetti sono diversi e sono posti a vari livelli dell’organizzazione aziendale oltre che all’esterno di quest’ultima. Gli strumenti e le tecniche sono tutto ciò che viene utilizzato per il corretto svolgimento del processo e possono essere di vario tipo: chek list, questionari, mappe dei processi etc.

Per quanto riguarda il processo, questo come accennato è composto da tre fasi che sono:

1. Identificazione dei rischi 2. Valutazione

Oggi oltre alle tre fasi principali sta acquisendo notevole importanza anche la comunicazione sui rischi, che molti studiosi iniziano a considerare come la quarta fase di un processo di Risk Management. In realtà la comunicazione interna rientra già nelle componenti del modello di Risk Management ed è un’attività che accompagna tutto il processo di gestione del rischio. La novità invece riguarda la comunicazione verso l’esterno che può essere vista come la fase conclusiva di tutto il sistema di Risk Management. La comunicazione esterna consiste nell’informare gli stakeholder sui rischi che caratterizzano l’azienda e sulle attività poste in essere per fronteggiarli. Il risk reporting può portare diversi benefici alle imprese, infatti una comunicazione efficace aumenta la fiducia degli investitori, inoltre le informazioni potrebbero essere usate per valutare le performance aziendali, oppure per fare delle valutazioni sugli scenari futuri.

Infine le banche possono utilizzare le informazioni sul rischio per i loro modelli di rating. Il problema attinente la comunicazione è che questa è nella maggior parte dei casi volontaria; dato che la comunicazione comporta dei costi, spesso le aziende non sono molto propense a divulgare informazioni proprie sostenendo anche delle spese.

Quindi la figura sottostante può rappresentare il sistema di Risk Management comprensivo anche della fase di reporting esterno.

Passiamo ora a descrivere le tre fasi tipiche del processo di gestione del rischio:

1) Identificazione dei rischi

La prima fase del Risk Management è l’identificazione dei rischi ovvero la “risk analysis”, nella quale vengono identificate le minacce, sia quelle reali che quelle probabili. In questa fase vengono costruiti gli input informativi necessari per la valutazione dei rischi e per la scelta degli interventi. La fase di identificazione dei rischi è sicuramente il momento più critico di tutto il processo di Risk Management; basti pensare che un rischio non identificato lascia l’azienda senza alcuna protezione, mentre un rischio individuato ma inesistente, provoca solo costi improduttivi. In realtà come accennato in precedenza, con l’ERM non si parla di rischi ma di eventi cioè di fatti che potrebbero avere un impatto sulle strategie e tale impatto potrebbe essere negativo o positivo. Dopo aver individuato gli obiettivi si identificano gli eventi che potenzialmente potrebbero avere

Attori

Identificazione

Valutazione

Tecniche e strumenti

Processo

un impatto sull’attività aziendale.L’identificazione degli eventi viene svolta sempre con riferimento agli obiettivi aziendali precedentemente stabiliti; infatti, una volta individuati una serie di eventi, il management si concentrerà su quelli che possono incidere maggiormente sugli obiettivi aziendali. Non è possibile definire, a priori, il grado di dettaglio cui si deve spingere l’analisi dei rischi. Ogni risk manager agirà in base alle esigenze peculiari dell’azienda e in base ai suoi vincoli economici. Bisogna ricordare però che come tutti gli altri processi aziendali, anche il Risk Management deve ispirarsi al principio dell’economicità; Poiché non è possibile avere una completa conoscenza dei rischi puri aziendali (data la loro complessità), in mancanza di vincoli di costo l’indagine non avrebbe mai fine.

L’attività di identificazione dei rischi può essere scomposta in tre fasi: - Percezione degli eventi rischiosi

- Analisi dei fattori causali - Esame delle causalità.

Per facilitare l’individuazione degli eventi rischiosi esistono diversi strumenti e tecniche:

- Il Catalogo degli Eventi: è uno degli strumenti più utilizzati; si tratta di un Risk Framework, anzi di un elenco in cui vengono riportati tutti gli eventi potenziali comuni ad un certo settore economico, processo , funzione etc. Come vedremo nel capitolo finale, esistono dei software molto usati dalle società di consulenza, che permettono di creare delle “librerie” dove vengono raccolti gli eventi che possono interessare una specifica azienda.

- Workshop ed Interviste: sono incontri dove i partecipanti, basandosi sulle loro esperienze pregresse identificano dei rischi/opportunità. Normalmente i workshop sono guidati da un facilitatore che aiuta i partecipanti nell’identificazione degli eventi.

- Analisi de Flusso del Processo: servono per mappare le varie attività che compongono i processi e individuare gli eventi che verificandosi potrebbero influenzare il corretto svolgimento del processo.

- Diagramma Causa-Effetto: serve per individuare le interrelazioni tra diversi eventi in modo da individuare relazioni di cause-effetto che possono pregiudicare un obiettivo finale. Attraverso tale strumento è possibile classificare i rischi come primari e secondari.

- Segnalatori di Criticità: Meccanismi di controllo che avvisano l’azienda quando si verificano situazioni problematiche. Questi meccanismi si basano sul confronto fra situazioni correnti e parametri prestabiliti ( livelli, soglie), se tali parametri sono superati la situazione deve essere valutare per stabilire delle azioni correttive.

Per l’analisi dei fattori causali, si prendono in considerazione una serie di elementi di origine esterna (macroambiente e sistema competitivo) o di origine interna (processi, struttura, risorse umane). L’obiettivo di questa seconda fase è di individuare i fattori da cui hanno origine i rischi/opportunità. Nell’analisi delle cause si deve tener conto del carattere sistemico del rischio; ciò vuol dire che un evento può manifestarsi a seguito di un altro evento e che quindi nell’individuazione delle cause è utile avere una visione di come si legano fra loro i vari processi aziendali.

2) Valutazione dei rischi

La seconda fase del processo di Risk Management consiste nella valutazione dell’entità del rischio. Il risk assessment permetterà di rendere omogenei rischi appartenenti a categorie differenti e di individuare quelli che necessitano di coperture “prioritarie”. La valutazione dei rischi normalmente avviene in base a due parametri: la probabilità di accadimento e la gravità dell’impatto. Queste due variabili combinate tra loro

determinano il grado di esposizione dell’azienda ad un certo rischio. Inoltre la quantificazione dei rischi in termini di frequenza, reale o probabile e di gravità permetterà di effettuare analisi comparate delle diverse contromisure da adottare.

Per la stima di queste due variabili esistono diverse tipologie di tecniche, alcune di tipo qualitativo, altre quantitative oppure miste.

Le tecniche quantitative garantiscono una maggiore precisione e oggettività della stima, tuttavia sono meno diffuse. Infatti, per poter essere applicate, le tecniche quantitative, necessitano di una base di dati numerici/storici molto ampia in termini di osservazioni temporali. Le più utilizzate sono tecniche di tipo probabilistico, ovvero si basano sulla costruzione di distribuzioni di probabilità delle perdite associabili agli eventi dannosi. Alcuni esempi di tali tecniche quantitative probabilistiche sono il Value at Risk, l’Earnings at

Risk o il Cash Flow at Risk.

Altrimenti le tecniche non probabilistiche sono quelle usate per quantificare l’impatto di un evento ma senza stimare la probabilità di accadimento. Le più note fra queste sono la Scenario Analysis, Stress Testing e la Sensitività Analysis.

Come già detto nella prassi aziendale risultano più utilizzate le tecniche qualitative anche perché la maggior parte dei rischi soggetti a stima, non si presta ad essere quantificata.

Le tecniche qualitative si basano sul giudizio soggettivo di chi effettua la valutazione, quindi la loro efficacia dipende dalle esperienze e dalle conoscenze dei valutatori. Con le tecniche qualitative il giudizio sulla probabilità e l’impatto si concretizza attraverso degli aggettivi come: Alto, Basso, Catastrofico o Trascurabile. Per limitare la soggettività della stima possono essere utilizzati dei drivers; per esempio con riferimento alla probabilità di accadimento di un evento, un driver potrebbe essere:

- la frequenza con cui si è verificato l’evento in passato - livello di manualità o di automazione delle operazioni - numerosità o volume delle operazioni.