ENTERPRISE RISK MANAGEMENT: Il progetto di implementazione in Sofidel S.p.A.

(1)

(2)

(3)

The only way to do great work is to love what you do. If you haven't found it yet, keep looking. Don't settle. As with all matters of the heart, you'll know when you find it.

(4)

(5)

V

S

OMMARIO

Sommario ... V

Introduzione ... 11

Parte Prima... 13

1. Il rischio nella gestione d’azienda ... 15

1.1. Il concetto di rischio negli studi economici: alcuni cenni ... 16

1.2. La crescente attenzione per la gestione dei rischi in azienda ... 29

2. I sistemi di gestione dei rischi ... 45

2.1. La gestione dei rischi a complemento del sistema d’azienda ... 46

2.2. Gli approcci alla gestione dei rischi in azienda: un’analisi evolutiva ... 55

2.3. Lo stato dell’arte ... 60

2.4. I recenti studi sullo stato di applicazione del risk management ... 67

3. L’Enterprise Risk Management - Integrated Framework ... 91

3.1. Il modello teorico dell’ERM (2004) ... 92

3.2. Il recente aggiornamento ... 117

Parte Seconda ... 125

4. Presentazione dell’azienda ... 127

4.1. La Storia dell’azienda: cenni ... 128

4.2. Sofidel oggi ... 138

5. Il progetto di implementazione in Sofidel ... 151

5.1. Il contesto operativo e i motivi alla base del progetto ... 152

5.2. Le attività svolte ... 159

5.3. Possibili sviluppi futuri ... 195

(6)

VI

Riferimenti ... 199

Appendice A: Sofidel Organizational Chart ... 204

... 204

Appendice B: i documenti fondamentali di Sofidel ... 205

Appendice C: Project draft ... 226

(7)

VII

I

NDICE DELLE FIGURE

Figura 1-1 classificazione dei rischi in base alla natura ... 28

Figura 1-2 Le crisi: fenomeni ricorrenti determinati da molteplici cause (Livatino, 2013) ... 30

Figura 1-3 Descrizione dei rischi globali (World Economic Forum, 2017) ... 38

Figura 1-4 Descrizione dei rischi globali (continua) ... 39

Figura 1-5 Mappa dei principali rischi globali (World Economic Forum, 2017) 40 Figura 1-6 Mappa delle interconnessioni tra i rischi ... 41

Figura 2-1 I punti di connessione tra il risk management e il sistema-azienda .. 46

Figura 2-2 Gli attori a presidio della gestione dei rischi nel TRM e nell’ERM .... 59

Figura 2-3 Il processo di risk management (standard FERMA)... 63

Figura 2-4 Gli attori coinvolti nell'Enterprise Risk Management ... 66

Figura 2-5 Distribuzione del campione per fatturato (in USD) ... 69

Figura 2-6 Distribuzione del campione per numero di dipendenti ... 69

Figura 2-7 Distribuzione del campione per numero di paesi serviti ... 70

Figura 2-8 Il calo generale nella prontezza alla gestione dei rischi (2015-2017) . 73 Figura 2-9 Perdite subite dai primi rischi identificati (2015-2017) ... 74

Figura 2-10 Presenza di un'unità organizzativa dedicata alla gestione dei rischi (per fatturato in USD) ... 75

Figura 2-11 Il livello di maturità delle organizzazioni nell'adozione di un sistema di risk management formale ... 76

Figura 2-12 Gestione del rischio nelle PMI italiane: perché no? ... 79

Figura 2-13 Gestione del rischio: perché sì? (dal 2012 al 2013)... 79

Figura 2-14 Tecniche di gestione del rischio: da quanti sono adottate in azienda (anno di riferimento: 2013) ... 80

(8)

VIII

Figura 2-15 Le fasi di risk management presenti in procedure formali ... 81

Figura 2-16 Gli strumenti di identificazione dei rischi ... 81

Figura 2-17 Le tecniche di valutazione della probabilità e dell'impatto degli eventi ... 82

Figura 2-18 Le macro categorie di rischi che hanno assorbito maggiori risorse 83 Figura 2-19 Modalità di gestione del rischio nelle medie imprese italiane ... 86

Figura 2-20 I dieci rischi più significativi per le medie imprese italiane... 87

Figura 2-21 La relazione tra redditività aziendale e modello di Risk Management adottato ... 88

Figura 3-1 L'attività del CoSO dal 1985 al 2015 ... 93

Figura 3-2 Enterprise Risk Management - Integrated Framework ... 96

Figura 3-3 Le tre dimensioni dell' ERM - CoSO Framework ... 97

Figura 3-4 Internal Environment Components ... 100

Figura 3-5 The fraud triangle (Cressey D.) ... 104

Figura 3-6 Risk hierarchies (esempi) ... 114

Figura 3-7 The risk assessment process flow diagram ... 115

Figura 3-8 La nuova rappresentazione dell'ERM-COSO (2016) ... 120

4-1: La nascita della “Stefani&Lazzareschi Sas” ... 129

Figura 4-2 SOFIDEL alla sua costituzione (1998) ... 132

Figura 4-3 Stabilimenti SOFIDEL in Europa (2017) ... 134

Figura 4-4 Europa e USA: Le due strategie di crescita a confronto ... 135

Figura 4-5 Stabilimenti SOFIDEL in America (2017) ... 136

Figura 4-6 Fatturato di Gruppo (in MLN di Euro, 2000-2016) ... 136

Figura 4-7 Capacità produttiva (In Migliaia di Tonnellate Annue, 2002-2016) . 137 Figura 4-8 Numero di dipendenti (2000–2016) ... 137

(9)

IX

Figura 4-10 Il Gruppo SOFIDEL nel mondo ... 138

Figura 4-11 I maggiori produttori di tissue su scala globale (per Migliaia di tonnellate di capacità produttiva installata) ... 139

Figura 4-12 Composizione del Gruppo ... 140

Figura 4-13 Fatturato 2016: ripartizione per Paese ... 141

Figura 4-14 I marchi del Gruppo ... 142

Figura 4-15 Fatturato 2016: ripartizione per Linee di business ... 142

Figura 4-16 Il processo produttivo della carta ... 145

Figura 5-1 SOFIDEL Risk management framework (2017)... 158

Figura 5-2 Il modello Management by values di SOFIDEL ... 162

Figura 5-3 Le tre componenti del Core Values System ... 163

Figura 5-4 Due esempi di innovazione di prodotto ... 166

Figura 5-5 I due corporate slogans ... 166

Figura 5-6 Il Cda di SOFIDEL: le famiglie Lazzareschi & Stefani ... 168

Figura 5-7 Internal Climate Survey: Punti di forza del Gruppo ... 170

Figura 5-8 Internal Climate Survey: Aree di possibile miglioramento del Gruppo ... 171

Figura 5-9 Sintesi del clima organizzativo SOFIDEL ... 171

Figura 5-10 Internal Climate Survey: Risultati generali di Gruppo ... 172

Figura 5-11 Sofidel Group Strategy Map ... 176

Figura 5-12 I legami tra vision, obiettivi, rischio accettabile e tolleranze ... 178

Figura 5-13 La strategia di riduzione dell'impatto climatico in SOFIDEL ... 180

Figura 5-14 Esempio di applicazione del diagramma a lisca di pesce ... 182

Figura 5-15 Hit Map: il profilo di rischio della strategia di riduzione dell’impatto climatico ... 194

(10)

(11)

11

(12)

(13)

13

(14)

(15)

15

1. I

L RISCHIO NELLA

(16)

16

1.1. I

L CONCETTO DI RISCHIO NEGLI STUDI

ECONOMICI

:

ALCUNI CENNI

1.1.1. L

E ORIGINI DEL TERMINE

Il rischio rappresenta un’incognita, un’alea che avvolge il futuro, un potenziale pericolo dal quale può derivare un danno1_{; oppure una opportunità, un possibile}

vantaggio.

Il profilo etimologico del termine è incerto. Alcuni ne attribuiscono l’origine al greco rizikon, sorte, a sua volta da e riza, scoglio2_{, a indicare, in senso figurato, il}

pericolo di incagliamento corso dalle imbarcazioni durante la navigazione, con un riferimento esplicito alla gestione degli eventi naturali. Analoga è la sua tra-duzione latina (riscus, risigus), da cui il verbo latino resecare, ossia tagliare nel senso di fendere le onde a ritroso, vogando all’indietro, dunque in modo perico-loso. Altri, invece, lo vogliono dall’arabo rizq, come “tutto ciò che viene da Dio e da cui si trae un profitto, tutto ciò che è necessario per vivere3_{”. Bernstein}4_{, infine,}

propone il verbo composto arrischiare, che significa osare, azzardare.

A sostegno della interpretazione greco-latina5_{, già nel Medioevo si trattava di}

ge-stione del rischio proprio con riferimento alle assicurazioni marittime. Altri au-tori, invece, fanno risalire l’origine della consapevolezza del rischio e della sua gestione addirittura al Codice di Hammurabi6_.

Nel tempo il termine ha assunto connotazioni caleidoscopiche; sono molti i signi-ficati attribuitigli, nella letteratura come nelle scienze e numerosi gli studi econo-mici che ne hanno discusso le varie fattispecie.

1_{“Il rischio è l’eventualità di subire un danno connessa a circostanze più o meno prevedibili”.}

Cfr. Treccani., Vocabolario Treccani – Rischio, 2017 [www.treccani.it].

2_{Si alludeva alla possibilità di naufragio per le navi che vi si imbattevano.}

3_{Cfr. Francesco Bonomi, Vocabolario etimologico della lingua italiana, 2008 [www.etimo.it].} 4_{Cfr. Peter L. Bernstein, Against the Gods. The remarkable story of risk, Wiley, US, 1998.} 5_{Cfr. Giuseppina Gandini, La gestione dei rischi e i controlli, Franco Angeli, Milano, 2013.} 6_{Nel codice babilonese vi sarebbero tracce di una tipologia di contratto di condivisione}

del rischio nel credito e nell’assicurazione. Cfr. Anna C. Pelicelli, La gestione dei rischi nelle imprese, Giappichelli, Torino, 2004.

(17)

17

1.1.2. L

A DICOTOMIA TRA RISCHIO E INCERTEZZA

Fra i primi a tentare una definizione organica del rischio, Knight distingue tra rischio, un evento con distribuzione probabilistica conosciuta nei suoi parametri, e incertezza, uno stato di alea con parametri non definibili e distribuzione proba-bilistica ignota7_{. Il rischio viene a configurarsi come una incertezza misurabile,}

differente dalla incertezza strictu sensu, non misurabile appunto.

Egli stabilisce una prima connessione tra i processi decisionali di impresa e un sistema caratterizzato da rischi e incertezze. Essendo, però, disponibili rileva-zioni statistiche solamente per fenomeni ricorrenti in maniera sistematica, la gran parte dell’alea gestionale rimane esclusa dai modelli di gestione dei rischi. No-nostante questa limitazione, successivamente saranno in molti ad accogliere l’idea di Knight, distinguendo gli eventi futuri che influenzano la dinamica azien-dale, secondo diversi gradi di incertezza:

a. Dinamiche prevedibili a priori, basandosi sull’esperienza passata di feno-meni che accadono con una ciclicità predeterminabile, in ambiente statico (incertezza minima);

b. Eventi conosciuti, ma in ambiente dinamico, per i quali non è possibile fare congetture, poiché, benché siano accaduti in passato, è cambiato il contesto di riferimento (incertezza media);

c. Fenomeni del tutto sconosciuti, che non sono contemplati nei processi de-cisionali in quanto sfuggono alle capacità d’indagine dell’essere umano (incertezza massima)8_.

Nella stessa epoca, Keynes propone il distinguo tra rischio non calcolabile e rischio calcolabile; quest’ultimo con distribuzione probabilistica avaraged (normalmente distribuita) or not avaraged(non normalizzata)9_{. Più tardi, Von Neumann e}

Mor-genstern, propositori della expected utility theory, portano una ulteriore novità

7_{“Randomness with knowable probabilities and randomness with unknowable probabilities”.}

Frank H. Knight, Risk, Uncertainty and Profit, Houghton Mifflin Co., Boston, 1921.

8_{D'Onza, Rischio e sistema d'azienda. in Dispensa ad uso degli studenti del corso di risk}

mana-gement, s.n., Pisa, 2016.

9_{Nell’analisi di Keynes l’individuo viene considerato un soggetto dotato di conoscenza}

e, allo stesso modo, il mercato è un aggregato di conoscenza. L’investitore è un agente razionale che tenta ragionevolmente di prevedere il futuro, dai dati che sono a sua co-noscenza, allo stato attuale. Cfr. John Maynard Keynes, Treatise on Probability, MacMil-lan, London, 1921.

(18)

18

ideologica secondo la quale gli individui (razionali) dovrebbero sempre scegliere l’alternativa che offre loro l’utilità più elevata, in condizioni di incertezza10_.

In Italia il rapporto fra incertezza e rischio è stato oggetto di studi da parte di diversi autori. Il Sassi lo interpreta in senso lato, come condizione generica che impedisce una conoscenza completa e costituisce sempre il fondamento del ri-schio. La fonte del rischio, sempre secondo il Sassi, risiederebbe nel “potere limi-tato della singola conoscenza a determinare i confini completi dell’attuazione dei futuri processi economici d’impresa, a causa della parziale o totale ignoranza, tra l’altro, di condizioni già esistenti e che resteranno immutate anche nel futuro, dell’andamento futuro di condizioni che assiduamente divengono e delle quali si conosce solo l’andamento trascorso e quello presente, di condizioni che si do-vranno manifestare nel futuro e delle quali non v’è riferimento o confronto al tempo passato e a quello presente; oltre poi, all’imponderabilità dei rapporti che si stabiliscono in conseguenza dei fattori complementari dell’intero sistema eco-nomico” 11_.

Precedentemente, il Chessa 12_{spiega il rischio come una componente}

dell’incer-tezza, che si presenta in relazione alla comparsa di costi o perdite per l’impresa o alla realizzazione di un danno; mentre l’incertezza assume un carattere più neu-tro, essendo l’aleatorietà con la quale possono accadere gli eventi.

Il Bertini, invece, riconduce il rischio a situazioni di impedimento conoscitivo prevalentemente riconducibile al soggetto, mentre valuta l’incertezza come una mancanza di consapevolezza dovuta a cause oggettive, esterne alla capacità co-gnitiva del singolo individuo13_.

Alcuni autori, infine, hanno proprio superato questa distinzione, concentrandosi maggiormente sulla prospettiva di danno economico, piuttosto che sul grado di aleatorietà ad esso relativo. Tra questi, si cita, a titolo di esempio, il Bianchi Mar-tini, il quale rileva come: “le distribuzioni di probabilità degli eventi e, più in generale,

10_{John von Neumann, Oskar Morgerstern, Theory of Games and Economic Behavior,}

Prince-ton University Press, New Jersey, 1944.

11_{Salvatore Sassi, Il sistema dei rischi di impresa, Vallardi, Milano, 1940.}

12_{Federico Chessa, La teoria economica del rischio e della assicurazione, CEDAM, Padova,}

1929.

13_{Umberto Bertini, Introduzione allo studio dei rischi nell'economia aziendale, Giappichelli,}

(19)

19

la misurabilità non ci pare debbano essere considerati come requisiti significativi della definizione di rischio in ottica aziendale […] in Economia aziendale si può parlare di rischio ogniqualvolta si manifesti una eventualità di conseguenza sfavorevole, una pro-spettiva di danno economico”14_.

1.1.3. I

LIMITI DELLA CONOSCENZA UMANA

L’elemento che accomuna le teorie dei molteplici autori che si sono pronunciati, sulla dinamica dei sistemi economici è la natura aleatoria dei fenomeni che la interessano. Per Ferrero, l’uomo non può prefigurarsi, se non con più o meno elevati margini di errore, il realizzarsi del futuro della dinamica aziendale; sia che questo dipenda da una mancanza di conoscenza assoluta, sia che derivi da un’insufficienza di informazioni detenute o dal carattere di indecisione del sog-getto15_.

Al concetto di “rischio/incertezza” si affianca, così, il ruolo della conoscenza e del tempo nell’agire economico. A tal proposito, la tradizione austriaca analizza la presenza di incertezza nell’attività intertemporale degli agenti economici e la possibilità che le aspettative attuali degli stessi vengano, in seguito, disattese. Hayek16_{, in particolare, studia gli aspetti incerti, endogeni all’ambiente}

econo-mico, ridefinendo le condizioni di equilibrio del sistema sulla base di una pro-spettiva spiccatamente soggettivista. Secondo la sua teoria, gli agenti economici riadattano le proprie teorie soggettive sull’andamento atteso del mercato in base alle azioni che gli altri agenti compiono, coordinandosi tra loro, in un processo di aggiustamento continuo, fino al raggiungimento dell’equilibrio, stanti le mede-sime condizioni esterne al mercato17_.

14_{Silvio Bianchi Martini, La politica dei rischi nel sistema delle decisioni finanziarie d’azienda,}

Edizioni Il Borghetto, Pisa, 1996.

15_{Giovanni Ferrero, Istituzioni di economia d'azienda, Giuffrè, Milano, 1968.}

16_{Friedrich A. Hayek, Economics and Knowledge, Routledge, London, 1937.}

17_{Nella visione di Hayek, unicamente l’analisi del processo di mercato è in grado di}

ri-velare in che modo la conoscenza personale venga utilizzata e resa disponibile, in quanto gli aggiustamenti interrelati degli individui fanno ampio uso di una parte tacita della loro conoscenza, che emerge solo dalle azioni da loro intraprese. Cfr. Friedrich A. Hayek, Economics and Knowledge, Routledge, London, 1937.

(20)

20

Sulla presenza dell’incertezza, Shackle aggiunge: il futuro non è conoscibile, non solo perché possono manifestarsi eventi esogeni non prevedibili, ma anche per-ché l’azione degli agenti economici crea necessariamente nuovi scenari ambien-tali ed è perciò fonte di continua sorpresa.

Il Gobbi, a sua volta, individua il tempo come fattore determinante dell’incer-tezza; in quanto vi è sempre un intervallo di tempo tra il momento in cui un sog-getto formula delle aspettative e il momento in cui queste si manifestano. L’in-certezza, quindi, si esprime non solo in relazione al se un evento si verificherà, ma anche rispetto al quando avrà luogo18_{. Anche il Chessa individua nel tempo la}

variabile fondamentale per la generazione di incertezza, mettendo in luce le in-terrelazioni che concatenano gli eventi passati a quelli futuri. Egli spiega che ogni atto economico produce, in un futuro più o meno prossimo, determinate conse-guenze, anch’esse sottoposte all’aleatorietà di tutti gli eventi futuri. In questa ipo-tesi, il rischio consisterebbe nella mancata o errata previsione degli eventi futuri, in parte derivante dalla incompleta o fallace conoscenza degli eventi passati e presenti19_.

I modi con i quali le imprese si trovano a far fronte all’incertezza e al rischio sono, dunque, innumerevoli: ogni comportamento di un operatore economico e qual-siasi mutamento ambientale ha un impatto difficilmente prevedibile ed è perciò di natura incerta e rischiosa. Se il futuro fosse perfettamente prevedibile (privo di incertezza), allora il rischio, inteso come scostamento tra quanto ipotizzato e quanto effettivamente accade, non esisterebbe.

In definitiva, incertezza e rischio possono essere considerati come aspetti distinti della stessa realtà. Come evidenzia il Bertini, il rischio deriva “dall’accostamento di due fenomeni, oggettivo il primo, soggettivo il secondo: il mutevole manifestarsi degli eventi e l’incapacità umana di prevedere tali mutamenti […] i due fenomeni, del resto, sono inscindibili: si ha, infatti, l’incertezza in quanto ogni manifestazione fenomenica è portatrice di rischi”20_.

18_{Ulisse Gobbi, Trattato di economia, Libraria, Milano, 1974.}

19_{Federico Chessa, La teoria economica del rischio e della assicurazione, CEDAM, Padova,}

1929.

20_{Umberto Bertini, Introduzione allo studio dei rischi nell'economia aziendale, Giappichelli,}

(21)

21

1.1.4. L’

INELIMINABILITÀ DEL RISCHIO

Sul carattere intrinseco del rischio per l’attività d’impresa, Zappa si esprime chia-ramente: “Sebbene fattore perturbatore dell’attività economica, il rischio è l’elemento che forse caratterizza meglio l’azienda, al punto che in assenza di rischio, l’attività aziendale non è neppure concepibile”.21

Zappa, dunque, non si limita a descrivere il rischio come una variabile con la quale le aziende devono necessariamente confrontarsi, bensì lo eleva a condi-zione di esistenza delle medesime. Aggiunge Ferrero22_{: l’azienda “deve essere}

in-tesa non tanto in quanto è, bensì soprattutto in quanto incessantemente si trasforma”. Citando l’antico proverbio “chi non risica, non rosica” (in inglese, no risk, no bu-siness) le opportunità di successo competitivo nascono proprio dalle situazioni di gap informativo; per cui il buon imprenditore deve necessariamente risicare, ossia assumersi dei rischi, facendo le sue scelte, seppur “bene informate”, in presenza di incertezza per poter sfruttare le possibilità di guadagno (rosicare).

Una posizione altrettanto radicale è assunta già da Knight, secondo il quale “quello in cui viviamo è un mondo di mutamenti e incertezza. Noi viviamo solo perché conosciamo qualche cosa del futuro; mentre i problemi […] derivano dal fatto che noi ne conosciamo troppo poco” 23_{. Knight osserva che se tutti i cambiamenti avvenissero}

secondo le leggi immutate e conosciute universalmente, allora sarebbe possibile prevedere tutti gli accadimenti futuri molto prima che si verifichino: la cono-scenza universale non lascerebbe posto ad alcun imprenditore, il cui ruolo è giu-sto quello di migliorare la propria conoscenza e la propria capacità di previsione. Nelle parole di Dezzani, l’ineliminabile proiezione aziendale nel futuro implica che il rischio venga assunto come ineliminabile condizione di esistenza di qual-siasi impresa.

Ancora, Chessa fa un passo ulteriore, affermando che non soltanto il rischio è il carattere principale d’impresa, ma che ogni sua attività apporta rischi di varia natura; in sostanza, ogni soggetto economico ha a che fare con i rischi derivanti dall’accadimento degli eventi che non dipendono dalla propria volontà, ma ogni

21_{Gino Zappa, Le produzioni nell'economia delle imprese, Giuffrè, Milano, 1956, p. 226 e ss.} 22_{Giovanni Ferrero, Istituzioni di economia d'azienda, Giuffrè, Milano, 1968.}

(22)

22

sua decisione determina anch’essa, a sua volta, la nascita e l’assunzione di nuovi rischi. Continua24_{: anche con il progredire della scienza e della tecnica e la}

crea-zione di strumenti sempre più sofisticati per la misuracrea-zione e l’analisi delle serie storiche di dati, non sarà mai possibile annullare il rischio inerente le attività eco-nomiche, perché non si potranno mai condurre previsioni sistematiche, senza in-correre nella possibilità di errore; benché queste metodologie riducano sperabil-mente i margini di tali errori.

1.1.5. L

A POSSIBILITÀ DI DANNO ECONOMICO25

L’associazione del concetto di “rischio” alla prospettiva di danno economico è uno degli aspetti più discussi in letteratura. Benché non si possa escludere che tale carattere sia forse l’elemento più qualificante della definizione di rischio in azienda, negli studi convivono differenti posizioni sul segno degli effetti del ri-schio; ossia sulla possibilità di includere, oltre alla eventualità di danno mento di segno negativo), anche la prospettiva di un risultato migliore (scosta-mento di segno positivo) rispetto alle attese.

L’approccio tradizionale-assicurativo propende verso un’accezione negativa del termine e descrive il rischio come una condizione di danno potenziale. Si tratta della definizione di rischio puro: un fenomeno aleatorio che ancora non si è ma-nifestato, né è detto che si manifesti in futuro, ma che può causare un danno eco-nomico. Nel momento in cui il danno si verifica, il rischio cessa di esistere, pas-sando da una situazione di incertezza a una condizione effettiva di peggiora-mento dei risultati ottenuti rispetto a quanto preventivato. Un danno economico, quindi, che può impattare sulle performance reddituali, patrimoniali e/o finan-ziarie dell’azienda.

In ambito statistico- finanziario, invece, il rischio è inteso come aleatorietà sto-castica, come possibile scostamento di una variabile rispetto al valore atteso, ten-dendo ad escludere proprio i rischi puri; in quanto essi non hanno andamenti

24_Federico_{Chessa, La teoria economica del rischio e della assicurazione, CEDAM, Padova,}

1929.

25_{Rielaborazione personale di contenuti tratti da: D'Onza, Rischio e sistema d'azienda. in}

(23)

23

positivi. Si parla essenzialmente di rischi speculativi. Parimenti, la misura fre-quentemente usata per misurare la rischiosità in questi ambiti disciplinari è la deviazione standard dal valore medio, la quale tiene conto delle variazioni sia po-sitive sia negative dei rendimenti.

L’approccio manageriale è il più flessibile, poiché si adatta alla gestione di en-trambe le tipologie di rischi, puri e speculativi, ed è tra i più diffusi. I lavori di management proposti dalla dottrina internazionale distinguono, infatti, tra down-side risks e up and down-down-side risks, prendendo a riferimento il concetto di scosta-mento delle performance rispetto alle attese, sia esso positivo o negativo:

EQUAZIONE 1:IL RISCHIO BILATERALE

𝑅𝑖𝑠𝑐ℎ𝑖𝑜 = (𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑡à 𝑐ℎ𝑒 𝑙′𝑒𝑣𝑒𝑛𝑡𝑜 𝑠𝑖 𝑚𝑎𝑛𝑖𝑓𝑒𝑠𝑡𝑖) ∗ (𝐸𝑓𝑓𝑒𝑡𝑡𝑖 𝑑𝑒𝑙𝑙′𝑒𝑣𝑒𝑛𝑡𝑜) L’analisi del rischio che ne deriva non si orienta alla “mera” mitigazione delle potenziali minacce (rischi puri), bensì volge un occhio anche alle opportunità le-gate alla gestione dei rischi così detti “bilaterali” (o rischi speculativi).

Guardando alla dinamica gestionale, però, è la possibilità di una conseguenza negativa che, per prima, spinge gli uomini d’azienda ad intraprendere delle azioni per cercare di contenerne gli effetti avversi, giustificando l’esistenza stessa del risk management. Il rischio, infatti, può essere misurato come il prodotto fra la probabilità che l’evento sfavorevole accada e l’entità del danno, qualora il rischio si manifesti entro un certo arco temporale (si veda la formula più sotto). Ragio-nando secondo una logica “costi-benefici”, la gestione del rischio risponderà ai criteri di convenienza economica soltanto quando i benefici tratti dall’azione di risk management supereranno i costi sostenuti per metterla in pratica. In altre pa-role: la riduzione della perdita attesa (𝑃𝑎𝑡𝑡.𝑖𝑛𝑒𝑟𝑒𝑛𝑡𝑒− 𝑃𝑎𝑡𝑡.𝑟𝑒𝑠𝑖𝑑𝑢𝑎), deve essere maggiore

dei costi effettivi sostenuti per ridurre la perdita stessa (𝐶𝑜𝑠𝑡𝑜 𝑑𝑒𝑙𝑙′𝑎𝑧𝑖𝑜𝑛𝑒 𝑑𝑖 𝑚𝑖𝑡𝑖𝑔𝑎𝑧𝑖𝑜𝑛𝑒 𝑑𝑒𝑙 𝑟𝑖𝑠𝑐ℎ𝑖𝑜).

EQUAZIONE 2:L'ANALISI COSTI-BENEFICI NELLA GESTIONE DEI RISCHI PURI

{ 𝑃𝑎𝑡𝑡.= (𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑡à 𝑐ℎ𝑒 𝑙′𝑒𝑣𝑒𝑛𝑡𝑜 𝑠𝑖 𝑚𝑎𝑛𝑖𝑓𝑒𝑠𝑡𝑖) ∗ (𝐷𝑎𝑛𝑛𝑜 𝑝𝑟𝑜𝑣𝑜𝑐𝑎𝑡𝑜). [1.1] 𝑅𝑖𝑑𝑢𝑧𝑖𝑜𝑛𝑒 𝑑𝑒𝑙𝑙𝑎 𝑝𝑒𝑟𝑑𝑖𝑡𝑎 𝑎𝑡𝑡𝑒𝑠𝑎 = 𝑃𝑎𝑡𝑡.𝑖𝑛𝑒𝑟𝑒𝑛𝑡𝑒− 𝑃𝑎𝑡𝑡.𝑟𝑒𝑠𝑖𝑑𝑢𝑎. [1.2] 𝑃𝑎𝑡𝑡.𝑖𝑛𝑒𝑟𝑒𝑛𝑡𝑒− 𝑃𝑎𝑡𝑡.𝑟𝑒𝑠𝑖𝑑𝑢𝑎 ≥ 𝐶𝑜𝑠𝑡𝑜 𝑑𝑒𝑙𝑙′𝑎𝑧𝑖𝑜𝑛𝑒 𝑑𝑖 𝑚𝑖𝑡𝑖𝑔𝑎𝑧𝑖𝑜𝑛𝑒 𝑑𝑒𝑙 𝑟𝑖𝑠𝑐ℎ𝑖𝑜. [1.3]

(24)

24

La maggior parte della dottrina economico-aziendale italiana concorda nel rite-nere che nel concetto di rischio debbano essere ricomprese solo le prospettive di danno economico: secondo Bertini “si ha rischio ogni qualvolta è possibile formulare razionalmente una prospettiva di danno economico” (Bertini, 1987). Altri autori speci-ficano, poi, come la conseguenza sfavorevole possa manifestarsi sia sotto forma di distruzione di valore che sotto forma di risultato positivo, ma inferiore a quello atteso26_{. Dunque il rischio è inteso come uno scostamento negativo relativo, e non}

assoluto, rispetto alle previsioni di risultato ex ante.

Accogliendo quest’ultima visione, occorre evidenziare, però, che il segno dello scostamento degli effetti di un evento rischioso, potrebbe mutare a seconda dell’arco di tempo preso a riferimento, durante l’analisi. Si consideri il caso in cui uno scostamento “troppo positivo” rispetto al risultato ipotizzato determini nel medio/lungo periodo conseguenze sfavorevoli. “Si pensi ad un incremento della domanda di un prodotto nella situazione in cui la struttura organizzativa ed il sistema di produzione non consentano di evadere nei tempi richiesti gli ordini della clientela. Le difficoltà nell’evasione degli ordini potrebbero comportare, oltre alla perdita del cliente, un passaparola negativo che danneggia l’immagine, con conseguenze sfavorevoli nel lungo termine” (D'Onza, 2016). Parlando di “possibilità di danno economico”, dunque, appare fondamentale riferire l’ipotesi di scostamento negativo, rispetto ad un risultato atteso, alla dinamica reddituale prospettica dell’azienda, ossia al me-dio-lungo periodo.

In accordo con questa visione, più recente, si trova anche il Bianchi Martini, il quale, parlando della valutazione del rischio, ammette che, sebbene in via di prima approssimazione, potremmo analizzare la portata di un ipotetico danneggiamento patri-moniale, osservando la perdita di valore del singolo bene separatamente considerato, è anche vero che solo un’analisi fondata anche sulle condizioni di economicità prospettica

26_{Tra questi, il Borghesi definisce il rischio come “potenzialità di un evento sfavorevole,}

intendendo per eventi sfavorevoli la variazione di segno negativo rispetto ad una data situazione prevista…siffatta definizione di rischio è riferibile tanto a stati futuri ignoti, suscettibili di determinare perdite assolute (distruzione di ricchezza esistente, quanto a quelli suscettibili di determinare perdite relative (riduzione o distruzione di ricchezza rispetto a quella che si era prevista di produrre)”. Borghesi, La gestione dei rischi di azienda. Economia ed organizzazione, Teoria e pratica, CEDAM, Padova, 1985.

(25)

25

della coordinazione è in grado di esprimere correttamente il danno potenzialmente gra-vante sull’azienda, rispetto agli attuali valori del capitale27_.

Si trova che tale definizione sia, peraltro, in linea con il finalismo aziendale, chia-ramente espresso dal pluricitato Giannessi: “L’azienda è un’unità elementare dell’or-dine economico generale, dotata di vita propria e riflessa, costituita da un sistema di ope-razioni, promanante dalla combinazione di particolari fattori e dalla composizione delle forze interne ed esterne, nel quale i fenomeni della produzione, della distribuzione e del consumo vengono predisposti per il conseguimento di un determinato equilibrio econo-mico, a valere nel tempo…”.

Alla luce delle considerazioni sin qui fatte, secondo chi scrive, è opportuno che, nell’ambito della gestione rischio aziendale, si guardi ad entrambe le tipologie di fenomeno (rischi puri e speculativi), in quanto entrambi possono essere fonte di un andamento sfavorevole nel lungo periodo.

1.1.6. L

E DIVERSE CLASSIFICAZIONI DEL RISCHIO

Sia nella dottrina che nella prassi professionale si trovano numerose classifica-zioni dei rischi. Ciascun modello si caratterizza, in quanto mette in evidenza una particolare prospettiva di analisi, riflettendo la complessità della materia in sé, nonché le peculiarità che differenziano le diverse aree geografiche, i settori di attività o le singole realtà aziendali.

Alcuni fra i modelli più utilizzati sono riportati qui di seguito. Classificazione in base al segno dell’impatto:

o Rischi puri, possono generare soltanto uno scostamento negativo per l’azienda. La loro gestione si limita all’annullamento o riduzione dei loro effetti. Floreani28_{propone una classificazione più di dettaglio, in base alla}

destinazione degli effetti dell’evento rischioso, che può riguardare beni

27_{Silvio Bianchi Martini, La politica dei rischi nel sistema delle decisioni finanziarie d’azienda,}

Edizioni Il Borghetto, Pisa, 1996.

28_{Floreani, Introduzione al risk management. Un approccio integrato alla gestione dei rischi}

(26)

26

aziendali (materiali, immateriali e finanziari), persone (per esempio per in-fortuni) e responsabilità (per mancato rispetto delle norme29_).

o Rischi speculativi, possono generare uno scostamento positivo o negativo rispetto al risultato medio atteso e suggeriscono politiche di più attiva ge-stione. Floreani discerne, ancora, tra rischi di business e rischi derivati. I primi attengono all’attività tipica dell’azienda, mentre i secondi alla ge-stione finanziaria.

In base all’obiettivo su cui impattano30_:

o Rischi strategici, possibilità di riduzione della capacità competitiva dell’azienda, che nel lungo termine può portare a una riduzione della ca-pacità di creare valore dell’azienda;

o Rischi operativi, possibilità di riduzione dell’efficienza, efficacia o economi-cità dei processi gestionali (sia operativi che finanziari);

o Rischi di reporting, possibilità di difetti di accuratezza o tempestività delle informazioni, rivolte sia all’interno sia all’esterno;

o Rischi di conformità, possibilità di violazione di normative cogenti o regole aziendali;

In tempi recenti, alcuni propongono di aggiungere un’ulteriore categoria, alle quattro sopra citate:

o Rischi reputazionali, possibilità di danno d’immagine che può tradursi in risultati economici negativi. Sono i rischi c.d. “di secondo livello”, in quanto emergono in seguito alla manifestazione di un altro rischio.

In base all’origine del fattore di rischio:

29_{Ex art. 2043 c.c. sulla responsabilità aquiliana: “Qualunque fatto doloso o colposo, che}

ca-giona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno”.

30_{Ispirata alla classificazione proposta da CoSO, LA GESTIONE DEL RISCHIO}

AZIEN-DALE; ERM - Enterprise Risk Management: un modello di riferimento e alcune tecniche appli-cative, Il Sole 24ORE, s.l., 2004, p.149.

Il Committee of Sponsoring Organizations (abbr. CoSO) occupa una posizione di rilievo internazionale nella formulazione di best practices per la gestione dei rischi e i sistemi dei controlli endosocietari. Per un approfondimento, si veda il paragrafo 3.1.1.

(27)

27

o Rischi esterni, ulteriormente classificabili in macro-ambientali (derivanti dal contesto sociale, economico, politico…) e competitivi (derivanti dai rap-porti con fornitori, clienti, competitor…);

o Rischi interni, riguardano le risorse e le competenze aziendali, sono intrin-sechi all’operare dell’azienda.

In base alle attività dalle quali trae origine (Figura 1-1):

o Rischi finanziari, attengono la gestione finanziaria e possono produrre una flessione del reddito netto a causa del grado di indebitamento dell’azienda o, secondo i principi IAS/IFRS, più in generale, rappresentano possibilità di perdite di valore degli strumenti finanziari31_{. Vi rientrano i rischi di}

mer-cato32_{; il rischio di credito; il rischio di liquidità;}

o Rischi operativi, attengono al core business aziendale. Secondo Donna33_{, si}

distinguono a loro volta in: rischi settoriali (caratteristiche del sistema com-petitivo, come concentrazione e polverizzazione, barriere all’ingresso…), rischi strategici (legati al vantaggio competitivo, alla capacità di creazione di valore per il cliente, e al tasso di crescita dell’azienda), rischi strutturali (legati alla flessibilità dell’azienda, cioè alla struttura dei costi fissi e varia-bili).

In base alla diversificabilità del rischio:

o Rischi sistematici, sono legati a dinamiche macro-economiche e colpiscono tutte le aziende indistintamente, anche se ognuna ne risente con un di-verso livello di impatto. Non sono eliminabili tramite diversificazione34_;

31_{Secondo i principi finanziari IAS, gli strumenti finanziari comprendono: attività}

li-quide, crediti e debiti commerciali, crediti e debiti finanziari, azioni, obbligazioni e altri titoli.

32_{I rischi di mercato è, a sua volta, scomponibile in tre tipologie di rischio:}

- Rischi di cambio, perdite dovute a variazioni dei tassi di cambio valuta in base alla posizione netta dell’azienda, tra importazioni-acquisti ed esportazioni-vendite; - Rischi di tasso, possibili perdite per le aziende che si finanziano a tassi variabili,

in caso di aumento dei tassi d’interesse o di una variazione degli indicatori ai quali è ancorato il tasso d’interesse del prestito;

- Rischi di prezzo, perdite dovute e a variazioni dei pressi di azioni, titoli finan-ziari, all’interno del portafoglio aziendale.

(28)

28

o Rischi specifici, dipendono da fattori che caratterizzano la singola azienda, come la leva finanziaria o la dipendenza da clienti/fornitori, la fiducia da parte degli stakeholders o il rating per le quotate.

FIGURA 1-1 CLASSIFICAZIONE DEI RISCHI IN BASE ALLA NATURA

Nonostante sia impossibile determinare a priori un modello univoco di riferi-mento, le classificazioni proposte in letteratura possono rivelarsi un valido punto di partenza per l’identificazione e la valutazione delle potenziali minacce.

34_{In finanza, il rischio sistematico è spesso indicato come “β”, nella formula del costo del}

capitale investito: 𝐶𝐶𝑁 = 𝐶𝐶𝑟𝑓+ [(𝐶𝐶𝑠𝑚− 𝐶𝐶𝑟𝑓) ∗ 𝛽] ∗ 𝑐𝑠𝑝 .

Tale classificazione sarà ripresa nel paragrafo 2.1.4, Il contributo alla valutazione delle per-formance. Rischi Finanziari di mercato di

cambio tassodi prezzodi di

credito liquiditàdi

Operativi

(29)

29

1.2. L

A CRESCENTE ATTENZIONE PER LA

GESTIONE DEI RISCHI IN AZIENDA

1.2.1. L

E EVIDENZE EMERSE DALLE CRISI

Negli anni più recenti, l’interesse per il tema del risk management è letteralmente esploso, alimentato in primo luogo dal verificarsi di collassi finanziari che hanno travolto alcune grandi imprese quotate, interessando le tasche di migliaia di in-consapevoli investitori. Come bene evidenziato da Livatino, in uno studio con-temporaneo sui sistemi di gestione del rischio, le tensioni finanziarie hanno por-tato molti effetti collaterali, fra i quali: l’inasprimento delle condizioni di accesso al credito, numerose operazioni straordinarie per il salvataggio di intermediari e privati, e un forte ridimensionamento delle iniziative imprenditoriali35_.

La Figura 1-2 offre, a tal proposito, uno scorcio sulla numerosità delle crisi che hanno interessato i mercati finanziari durante gli ultimi trenta anni; da ultima, la crisi economica europea, della quale si osservano ancora oggi gli effetti. Una mol-titudine di episodi che ha impattato sensibilmente sulla capacità di realizzazione dei piani strategici da parte delle aziende, aumentando il grado di imprevedibi-lità degli andamenti futuri. In particolare, l’esperienza della crisi sistemica del 2008 ha portato alla luce alcune falle nei sistemi di gestione dei rischi esistenti, tali per cui si avvertiva il bisogno di un risk management rinnovato. Prima della crisi, infatti, si credeva che lo sviluppo di modelli quantitativi sofisticati assieme all’utilizzo dei big data costituissero un efficace modello di identificazione. I rischi erano gestiti, ma con un approccio così detto “per silos”, che mirava ad interve-nire con riguardo a un singolo rischio, quando ritenuto necessario, alla ricerca di efficienze nel controllo delle criticità organizzative. Sfortunatamente i fatti hanno rivelato l’esistenza di:

- carenze sul fronte della governance del rischio da parte dei Board aziendali, scarsamente impegnati nella valutazione dell’adeguatezza del sistema di gestione dei rischi (rispetto al livello di rischiosità ritenuto accettabile), e

35_{Rielaborazione personale dei contenuti tratti da:}_{Massimo Livatino, Paola}

Taglia-vini, I sistemi per la gestione del rischio, Modelli operativi, ruoli e responsabilità, Lab ERM – SDA Bocconi, Milano, 2013, [www.sdabocconi.it].

(30)

30

insufficientemente consapevoli del profilo di rischio effettivamente as-sunto;

- flussi informativi non sempre adeguati, in termini di qualità, completezza e tempestività, rispetto alla complessità dei fenomeni da presidiare; - focus sui rischi quantificabili, a discapito della gestione dei rischi

misura-bili con tecniche più qualitative, quali i rischi strategici e reputazionali, altrettanto importanti per la salvaguardia del valore d’impresa a valere nel tempo;

- debolezza delle pratiche di risk management usate in contesti dinamici sot-toposti a significativi cambiamenti strutturali, che difficilmente si ade-guano al cambiamento delle strategie, nella prioritizzazione delle criticità da mitigare.

FIGURA 1-2LE CRISI: FENOMENI RICORRENTI DETERMINATI DA MOLTEPLICI CAUSE (L IVA-TINO,2013)

LE CRI SI DA L 1982 A L 2012

Soprattutto è emerso il carattere trasversale dei rischi, che possono colpire le or-ganizzazioni con effetti correlati su più aree funzionali o possono ricadere all’in-terno di zone grigie di competenza, sfuggendo in questo modo al controllo del risk management di tipo tradizionale. Di qui la necessità di rivisitare gli approcci adottati, evolvendo verso l’implementazione di sistemi di gestione

(31)

enterprise-31

wide, allo scopo di osservare tutte le potenziali minacce ed opportunità e valu-tarne il peso specifico sulla realizzazione dei piani strategici, tenendo conto del contributo complessivo che ciascuna attività è in grado di apportare36_.

1.2.2. L

A NORMATIVA SUI CONTROLLI INTERNI

:

DAL

FI-NANCIAL REPORTING ALLA GESTIONE INTEGRATA DEI RISCHI D

’

IMPRESA

.

Il tema della gestione dei rischi è stato affrontato a più riprese dai legislatori in diversi Paesi. Sono diverse le fonti che gradualmente hanno recepito l’interesse per il risk management, nell’ottica di salvaguardare gli interessi degli stakeholders delle aziende, specialmente per le società quotate. Benché un riferimento esplicito alla istituzione di un sistema di gestione dei rischi si possa trovare solo in anni più recenti, le disposizioni che hanno stimolato le aziende ad adottare politiche volte alla mitigazione dei rischi sono molteplici e muovono dal reporting finanziario ai controlli interni.

Nelle pagine che seguono si è cercato di fornire alcuni esempi del percorso evo-lutivo che ha interessato l’attività normativa nazionale, sino al recepimento delle best practices internazionali sull’introduzione del sistema di gestione dei rischi en-terprise-wide, nei primi anni Duemila. Sul tema si segnala un’opera particolar-mente approfondita, pubblicata dalla Consob nel 2013, “I controlli interni nelle so-cietà quotate”, che descrive in modo puntuale i connotati acquisiti dal nostro or-dinamento giuridico nel tempo e dalla quale sono attinte in via principale le no-zioni introdotte nel presente sotto-paragrafo37_.

Il processo di integrazione dell’istituto del “sistema di gestione dei rischi” nel corpo di leggi e regolamenti nazionali, come già detto, è avvenuto tramite una serie provvedimenti granulari, alla base dei quali, sostengono gli autori, manca un disegno progettuale inclusivo. Ne conseguono fenomeni di over-lapping, ossia di sovrapposizione tra disposizioni diverse, che hanno contribuito ad aumentare

36_{Nel capitolo successivo, si offre una panoramica sui modelli di risk management ai}

quali è approdata la prassi aziendale, in seguito delle considerazioni sin qui fatte.

37_{Giorgio Gasparri, CONSOB, I controlli interni nelle società quotate, Quaderni giuridici,}

(32)

32

l’incertezza applicativa delle norme e spesso hanno indotto le imprese alla im-plementazione di assetti organizzativi più strutturati, e quindi costosi, per il ri-spetto dei numerosi requisiti formali, richiesti in ambito ambientale, di sicurezza, di responsabilità amministrativa e controllo interno.

Attualmente gran parte del complesso di prescrizioni a supporto della gestione dei rischi, nel panorama giuridico globale, presenta ancora carattere volontario. Spesso si tratta di suggerimenti e linee guida fornite come best practices, recepite dai codici per le società quotate, che si sono progressivamente allineati nel rite-nere il risk-based approach la base per la costruzione di un solido sistema di con-trollo interno.

Nella legislazione italiana, l’istituto dei controlli interni ha fatto ingresso con por-tata generale per le società quotate, a seguito dell’entrata in vigore del d.lgs. n. 58/98 (d’ora in poi, “TUF”), che ha affidato al collegio sindacale la vigilanza sulla relativa adeguatezza38_{. Anche il d.lgs. n. 6/03, contenente la riforma organica}

della disciplina delle società di capitali, ha conferito al consiglio di amministra-zione di tutte le imprese azionarie un ruolo di monitoraggio sull’attività gestoria curata dagli amministratori esecutivi, con conseguente ampliamento della platea dei soggetti inquadrabili nell’ambito dei controlli interni. Il tema dell’adegua-tezza del sistema amministrativo-contabile, quale insieme delle procedure fina-lizzate a garantire l’attendibilità delle informazioni aziendali di bilancio, suscita particolare interesse nel legislatore, mosso dagli scandali finanziari di inizio mil-lennio39_{. Nel panorama delle elaborazioni scientifiche dedicate al tema della}

qua-lità della corporate governance, il ruolo dei controlli interni si è vieppiù accresciuto, a partire dalla fine degli anni ’90, anche per effetto della formulazione, in via di “autodeterminazione”, di una serie di raccomandazioni dirette alle società quo-tate ad opera di un Comitato costituito da rappresentanti delle società stesse, di

38_{L’art. 149, co. 1, lett. c), TUF, in particolare stabilisce che: «Il collegio sindacale vigila: (…)}

c) sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione». Continua l’art. 150, co. 4, TUF: «Coloro che sono preposti al controllo interno riferiscono anche al collegio sindacale di pro-pria iniziativa o su richiesta anche di uno solo dei sindaci».

39_{È noto, infatti, il peso determinante rivestito, nell’ambito dei tracolli finanziari italiani}

e statunitensi, dalle falsificazioni della contabilità sociale effettuate fraudolentemente dagli amministratori e dai direttori finanziari. Fonte: Giorgio Gasparri, CONSOB, I con-trolli interni nelle società quotate, Quaderni giuridici, s.l., 2013, cap. 3.

(33)

33

operatori finanziari, di associazioni di categoria e coordinato dal presidente della Borsa Italiana. Il riferimento è al Codice di Autodisciplina delle società quotate, re-datto nel 1999 dal Comitato per la Corporate Governance presso Borsa Italiana e aggiornato a più riprese, successivamente.

Il Codice di Autodisciplina rappresenta il tentativo di sistematizzare, le best prac-tices già recepite nelle più importanti esperienze straniere, adattandole alle pecu-liarità del diritto societario italiano. Obiettivo dichiarato dell’iniziativa autodisci-plinare è, in definitiva, quello di fornire «stimolo, sostegno e rafforzamento delle mi-gliori pratiche al servizio del mercato», identificando caratteri organizzativi e regole concrete di comportamento degli organi di gestione e di controllo, nonché requi-siti strutturali e funzionali di elementi dell’organizzazione aziendale rilevanti per il governo della società. L’approccio prescelto era informato alla c.d. freedom with accountability: l’adesione al Codice determinava a carico della società l’impegno di adeguare la propria struttura di governance alle linee-guida, dettate dalle regole autodisciplinari; in alternativa, la società era tenuta a dare conto, con un’esau-stiva informazione al mercato, del mancato adeguamento strutturale e funzionale alle regole indesiderate. La regola del comply or explain40_{non era, tuttavia,}

assi-stita da sanzioni di carattere giuridico.

All’aleatorietà del meccanismo sanzionatorio reputazionale provò a supplire, in parte, la l. n. 262/05 (c.d. “legge per la tutela del risparmio”), introducendo nel tessuto del TUF importanti innovazioni rivolte a riconoscere ampio spazio alla figura dei codici di comportamento. L’obbligo di disclosure di cui all’art. 124-bis venne rafforzato dalla previsione di una sanzione amministrativa pecuniaria a carico degli amministratori, degli organi di controllo e dei direttori generali della società (art. bis, TUF). Oltre alla sanzione amministrativa, lo stesso art. 192-bis dispone che il provvedimento sanzionatorio debba essere pubblicato, a spese dei soggetti responsabili della mancata disclosure, su almeno due quotidiani a dif-fusione nazionale, di cui uno economico. All’effetto deterrente della sanzione amministrativa, si affiancava, quindi, il potenziale danno d’immagine per la so-cietà quotata inadempiente. Infine, venne aggiunto l’art. 149, co. 1, lett. c-bis,

40_{“Comply or explain” è il principio secondo cui non vige l’obbligo di aderire ai requisiti}

dettati dalla norma. È possibile scegliere se ottemperare alla prescrizione (comply) o for-nire giustificazioni adducendo i motivi per i quali non si è ritenuto opportuno aderirvi (explain).

(34)

34

TUF, che individua, come dovere aggiuntivo del collegio sindacale di società quotate, la verifica delle modalità con cui la società, che abbia dichiarato con in-formativa al pubblico di attenersi a determinate regole di governo societario, dia concreta attuazione a tali regole.

Nel quadro degli interventi volti a valorizzare la funzione dei controlli interni, non si può tralasciare il D.lgs. n. 231/01, che ha statuito la “responsabilità ammi-nistrativa” dell’ente per reati41_{commessi nel suo interesse o a suo vantaggio, da}

parte di soggetti-persone fisiche riferibili all’ente stesso. Inizialmente si trattava per lo più di corruzione e reati connessi ai rapporti con la Pubblica Amministra-zione, ma, con il passare degli anni, le fattispecie ascrivibili tra i reati 231 sono aumentate significativamente, entrando appieno nella gestione operativa delle organizzazioni. La crescente importanza dell’elenco degli illeciti punibili, ha fatto sì che progressivamente sempre più imprese decidessero di aderire al c.d. “mo-dello 231”: un sistema integrato di gestione del rischio di compliance, che pre-vede tanto l’implementazione di procedure e controlli nei punti critici di pro-cesso, quanto l’istituzione di una struttura organizzativa adeguata42_.

Successivamente, la riforma del diritto societario del 2003 sancisce l’obbligo di cooperazione tra i diversi organi societari, dando così impulso alla formazione di un sistema di corporate governance dove, in particolare: gli organi delegati sono chiamati a curare, il consiglio di amministrazione a valutare e il collegio sindacale a vigilare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società (art. 2403 c.c.).

A seguito dello scoppio di gravi scandali finanziari, che hanno coinvolto gruppi americani ed europei43_{, la disciplina dei controlli per le società quotate subisce}

un ulteriore irrobustimento: l’istituzionalizzazione del dirigente preposto alla re-dazione dei documenti contabili societari, ai sensi dell’art. 14, l. n. 262/05. Sulla falsariga delle disposizioni statunitensi in materia di Internal Control over Finan-cial Reporting (sections 302 e 404, SOX), questa figura è chiamata a predisporre

41_{I reati passibili di “procedimento 231” sono esclusivamente quelli richiamati}

espressa-mente dalla normativa di legge.

42_{Si pensi, in prima istanza, all’Organismo di Vigilanza, appositamente concepito per}

l’attività assurance sul modello 231.

43_{Il riferimento è, in particolare, ai casi: Enron e Worldcom, per gli USA; Cirio e}

(35)

35

adeguate procedure amministrative e contabili per la formazione del bilancio e ad attestare la loro adeguatezza ed effettiva applicazione, congiuntamente agli amministratori delegati, in capo ai quali viene posto l’obbligo di vigilanza sul rispetto effettivo delle procedure stabilite. Tale disposizione andava a potenziare la “prima linea” del sistema di prevenzione degli abusi societari, recependo le best practices che emergevano nel dibattito internazionale.

Nel 2002, dopo la pubblicazione dell’Internal Control – Integrated Framework (CoSO 1992), un nuovo impulso al tema dei controlli interni negli Stati Uniti con l’approvazione del Sabarnes-Oxley Act (SOX), che in sostanza ricercava un alli-neamento a livello federale rispetto alle best practices al tempo presenti solo in alcuni stati più virtuosi, riguardo alla normativa sulle competenze e responsabi-lità concernenti i controlli interni nelle società quotate. Il SOX non fornisce un nuovo modello di riferimento, bensì lascia alla U.S. Securities and Exchange Commission (d’ora in poi, SEC) il compito di definire il sistema dei controlli in-terni, la quale vi provvede, ma relativamente al financial reporting. Restano esclusi i controlli relativi all’efficacia e all’efficienza della gestione sociale e al rispetto di leggi e regolamenti. Anche l’European Company Law Experts (ECLE), nel Winter report del 2001, ha attribuito un ruolo centrale ai sistemi di controllo interno e al risk management, inserendoli tra le materie di competenza del comitato per il con-trollo interno. Successivamente, il tema è stato ripreso dalla Raccomandazione della Commissione UE del 2005 sul ruolo degli amministratori non esecutivi e dei membri del consiglio di sorveglianza delle società quotate, la quale attribui-sce al “comitato per la revisione dei conti” il compito di “riesaminare almeno an-nualmente i sistemi di controllo interno e di gestione dei rischi, al fine di garantire che i rischi principali, ivi compresi quelli connessi al rispetto della legislazione e dei regola-menti esistenti, siano correttamente individuati, gestiti e resi noti”.

Nel 2004, il CoSO pubblica un nuovo studio, inserendo la nozione di “controllo interno” nel più ampio contesto della gestione dei rischi, teorizzando un modello di risk management che incorporasse l’internal control framework, il c.d. COSO ERM. L’adozione dell’approccio risk-based contagia anche il Turnbull Report44_{, nel}

44_{L’Internal Control: Revised Guidance for Directors on the Combined Code del 2005 (più}

co-nosciuto come Turnbull Report) sottolinea, infatti, come il sistema di controllo interno abbia un ruolo essenziale nella gestione dei rischi che sono significativi per il

(36)

raggiungi-36

Regno Unito, per quanto riguarda la progettazione e valutazione dei controlli interni relativamente alla gestione amministrativo-contabile.

Finalmente, nel 2006 e nei successivi aggiornamenti, il tema della gestione inte-grata dei rischi è recepita anche nel Codice di Autodisciplina di Borsa Italiana, il quale, nell’art. 7, associa la gestione dei rischi al sistema di controllo interno: “Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costi-tuito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a con-sentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adot-tati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale”45_.

1.2.3. L

E MAGGIORI VULNERABILITÀ OPERATIVE

Della imprevedibilità degli eventi futuri e dei limiti della conoscenza umana si è già parlato precedentemente, ma negli ultimi decenni la rapidità di trasforma-zione dei contesti operativi nei quali molte organizzazioni militano ha portato il rischio al centro dell’attenzione tanto degli studiosi quanto degli operatori, in tutti i settori. La globalizzazione, l’utilizzo di tecnologie innovative che hanno rivoluzionato i processi industriali, la diffusione di Internet, i pressanti ritmi con-correnziali … sono solo alcuni dei fattori moltiplicatori di questa aleatorietà, che caratterizza il nuovo scenario economico, rendendolo dinamico e instabile. Nel 2017, il World Economic Forum46_{(WEF) ha pubblicato un rapporto annuale}

sui fenomeni ritenuti i principali rischi globali. Nel documento, si adotta la

mento degli obiettivi di un’impresa. Secondo il Financial Reporting Council: «A sound sys-tem of internal control contributes to safeguarding the shareholders’ investment and the com-pany’s assets […] Internal control facilitates the effectiveness and efficiency of operations, helps ensure the reliability of internal and external reporting and assists compliance with laws and regulations».

45_{Cfr. Comitato per la Corporate Governance, Codice di Autodisciplina di Borsa Italiana,}

par. 7.P.1., luglio 2015 [www.borsaitaliana.it].

46_{Il Forum economico mondiale è una fondazione senza fini di lucro con sede a Cologny,}

vicino a Ginevra (Svizzera), nata nel 1971 per iniziativa dell'economista ed accademico Klaus Schwab. Oltre ad organizzare una serie di incontri annuali per discutere le que-stioni più urgenti a livello mondiale, chiamando esponenti di primo piano della politica,

(37)

37

guente definizione di rischio: “una condizione o un evento incerto che, se si veri-fica, può causare un impatto negativo significativo per diversi Paesi o settori, in un orizzonte temporale di dieci anni”47_{. Gli eventi sono riconducibili a cinque}

diverse categorie di rischio: economici, ambientali, geo-politici, sociali e tecnolo-gici (Figura 1-3).

Dalla Figura 1-5, inoltre, si deduce che i rischi sono dati dal prodotto della pro-babilità che si manifestino (likelihood) per l’impatto che comporterebbero sulle economie a livello globale, qualora si verificassero (impact). Come si può notare, la matrice è suddivisa in quattro quadranti, originati dall’intersezione dei valori medi per le ordinate e per le ascisse: rispettivamente average impact pari a 3,47 ed average likelihood pari a 4,92. Gli eventi più critici si collocano nel quadrante a Nord-Est e sono riportati nella tabella sottostante al grafico.

Il Forum economico mondiale prosegue la sua analisi con lo “scenario dei rischi in evoluzione 2007-2017”, che mostra la trasformazione dei rischi negli ultimi dieci anni. Il WEF, evidenzia come la classifica sia stata dominata per anni dai problemi sociali, mentre nell’ultima analisi siano improvvisamente gli “eventi climatici estremi” a rappresentare il rischio più grande a livello globale.

Ciò che emerge dai dati elaborati è che i rischi sono dinamici e cambiano conti-nuamente in numerosità, conformazione, probabilità di accadimento ed entità dei relativi effetti. Nel corso degli anni, infatti, il focus è traslato da fattori econo-mici (come la crisi finanziaria, la volatilità del prezzo del petrolio, il tasso di cre-scita delle forze economiche emergenti) e geopolitici (quali la globalizzazione e le guerre civili), a rischi sociali (pandemie, scarsità di cibo e di acqua, migrazione su larga scala) e ambientali (disastri naturali, eventi atmosferici estremi), fino a minacce derivanti dalla digitalizzazione (frodi e furti di dati, attacchi informa-tici). Inoltre, i rischi identificati potrebbero non essere strettamente comparabili, poiché, durante il periodo di osservazione, le definizioni di alcuni di essi sono evolute: alcuni eventi sono stati “ricategorizzati” all’interno di classi diverse; altri rischi sono stati introdotti ex novo, senza la possibilità di confronto con i valori

dell’economia internazionale, intellettuali e giornalisti; produce anche una serie di rap-porti di ricerca.

47_{“A global risk is defined as an uncertain event or condition that, if occurs, can cause significant}

negative impact for several countries or industries within the next 10 years”. Cfr. World Eco-nomic Forum, Global Risks Report 2017, January, 2017, [www.reports.weforum.org].

(38)

38

degli anni precedenti (per esempio, disuguaglianza reddituale e disoccupazione sono state introdotte nel 2012).

FIGURA 1-3DESCRIZIONE DEI RISCHI GLOBALI (WORLD ECONOMIC FORUM,2017)48

48_{Fonte: World Economic Forum, Global Risks Report 2017, January, 2017}

(39)

39

FIGURA 1-4DESCRIZIONE DEI RISCHI GLOBALI (CONTINUA)49

(40)

40

(41)

41

FIGURA 1-6MAPPA DELLE INTERCONNESSIONI TRA I RISCHI51

Un secondo aspetto che emerge dallo scenario dipinto dal WEF è il carattere si-stemico dei rischi: le possibili minacce globali non hanno un comportamento “a compartimenti stagni” e la Figura 1-6 ne evidenzia proprio l’interconnessione.

(42)

42

All’aumentare del numero e della forza di relazioni stabilite fra un evento ri-schioso e gli altri, cresce anche la criticità del rischio stesso; in quanto, a parità d’impatto specifico, qualora il rischio si verifichi, questo determinerà una serie maggiore di conseguenze indirette, aumentando il livello di esposizione globale al rischio, in maniera superiore rispetto ai rischi con un minor grado di interrela-zione. Dunque, anche i trend futuri dei rischi individuati (quali il cambiamento climatico, l’invecchiamento della popolazione, la crescita della ineguaglianza nella distribuzione dei redditi, la polarizzazione delle società e l’aumento della dipendenza dalle tecnologie digitali), sono tra loro interdipendenti, poiché origi-nano dallo stesso aggregato di rischi, che oggi interessano le attività su scala mon-diale.

Di qui la necessità di assumere una visione di portafoglio dei rischi che, nel com-plesso, possono impattare sulla gestione economica, poiché l’accadimento di un evento sfavorevole è spesso legato ad altri rischi che lo hanno causato e, a sua volta, si combina con le situazioni critiche esistenti, determinando l’emergere di nuovi rischi. Si pensi, a puro titolo di esempio, al rischio reputazionale per un’azienda che non rispetti le caratteristiche tecniche indicate sui suoi prodotti. In questo caso, la possibilità di una perdita deriva dalla manifestazione di un altro rischio, il rispetto delle condizioni contrattuali, e determina, a sua volta, l’in-sorgere del rischio di contrazione delle vendite. Oltre al risarcimento e al costo di un eventuale richiamo dei prodotti difettosi, infatti, l’azienda dovrà far fronte al passaparola negativo che il cliente, insoddisfatto, innescherà a danno della sua immagine. Una gestione accorta del rischio reputazionale potrà sventare non sol-tanto la manifestazione del rischio di riduzione delle vendite future, ma anche la nascita e/o l’aggravarsi di ulteriori rischi aziendali, quali il rischio di liquidità. Nello scenario odierno, le aziende si trovano più che mai a contatto con la vola-tilità dei risultati: acquisiscono fattori produttivi e collocano prodotti finiti e ser-vizi su mercati sempre più lontani e meno prevedibili, con clienti via via più esi-genti, consumatori informati e con l’innovazione cha avanza a ritmi sempre più sostenuti. Le forze che influenzano le organizzazioni sono sensibilmente mutate rispetto a quelle che regolavano il mercato per le generazioni precedenti. Sono molte le organizzazioni che operano su scala globale e l’internazionalizzazione fa sì che le imprese siano esposte a un numero superiore di eventi rischiosi, au-mentandone la complessità gestionale.

(43)

43

Come afferma il Tonchia, per sopravvivere in un ambiente così instabile, l’im-presa deve continuare a rinnovarsi e migliorare le proprie performance non più semplicemente guardando al consuntivo dell’anno precedente, ma misurandosi nella competizione con i leader nel suo campo: “Bisogna guardare ai competitor e alle forze emergenti. L’aumento dell’incertezza dei mercati crea, inevitabilmente, anche maggiori opportunità, per le aziende che per prime individuano e gestiscono il rischio più efficacemente, rispetto alla concorrenza”52_.

Già gli inizi degli anni Settanta, Kirzner, ispirandosi alla scuola austriaca53_,

svi-luppa l’idea di alert entrepreneur: l’imprenditore che nota opportunità di investi-mento potenzialmente profittevoli, che gli altri semplicemente non sanno co-gliere54_{. Egli presenta il rischio come opportunità già esistente sul mercato, in}

attesa di essere scoperta dall’imprenditore.

La capacità di individuare tempestivamente eventi che possono impattare nega-tivamente sui risultati della gestione, di gestirli opportunamente e di trasfor-marli, eventualmente, in fattori favorevoli, in ambienti sempre più volatili, rap-presenta oggi la competenza chiave per conseguire vantaggi competitivi, reddi-tuali e sociali (D'Onza, 2016).

La gestione del cambiamento, dunque, è importante non soltanto per evitare di esserne travolti, ma diviene essa stessa un’arma competitiva di successo55_.

52_{Stefano Tonchia, Il project management – Come gestire il cambiamento e l’innovazione, Il}

Sole24Ore, Milano, 2001.

53_{Fra i vari esponenti, in particolare, Hayek sostiene la teoria della “division of}

know-ledge”, spiegando come l’economia sia basata sulle aspettative e l’agire economico ri-guardi essenzialmente il come l’informazione è acquisita e comunicata. Cfr. Friedrich A. Hayek, Economics and Knowledge, Routledge, London, 1937.

54_{Israel M. Kirzner, Perception, Opportunity and Profit, University of Chicago Press,}

Chi-cago, 1979.

55_{A tal proposito, il Tonchia definisce l’impresa come una “fucina di progetti”. Cfr.}

Ste-fano Tonchia, Il project management – Come gestire il cambiamento e l’innovazione, Il Sole24Ore, Milano, 2001

(44)

(45)

45

2. I

SISTEMI DI GESTIONE

(46)

46

2.1. L

A GESTIONE DEI RISCHI A

COMPLEMENTO DEL SISTEMA D

’

AZIENDA

Nel capitolo precedente si è discusso della necessità di gestire il rischio per l’im-presa. Vediamo ora come il risk management possa essere sviluppato con finalità differenti, a favore dei diversi processi decisionali afferenti l’attività aziendale56_.

FIGURA 2-1I PUNTI DI CONNESSIONE TRA IL RISK MANAGEMENT E IL SISTEMA-AZIENDA

2.1.1. L

A CONNESSIONE CON IL PROCESSO STRATEGICO

Secondo la scuola Harvardiana la strategia deve essere formulata, in un primo momento, e realizzata, in un secondo. Il risk management entra in gioco in en-trambi i momenti, attraverso l’uso dei suoi strumenti:

 Per la formulazione della strategia

 Analisi dell’ambiente esterno e interno. Le tecniche di risk management ven-gono in aiuto, durante la disamina delle minacce esterne e dei punti di debolezza interni all’organizzazione (uno strumento ampiamente utiliz-zato è la SWOT analysis).

 Generazione delle alternative strategiche. Il numero di alternative da formu-lare può variare proprio in base al numero di rischi individuati, attraverso la tecnica dello Scenario planning.

 Deliberazione della strategia. Nell’ambito dell’analisi rendimento-rischio, il ri-schio incide sul valore delle strategie. È possibile, infatti, valutare quanti-tativamente le alternative strategiche formulate, attualizzandone i flussi

56_{I contenuti espressi in questo paragrafo richiamano i concetti appresi durante le lezioni}

tenute da Giuseppe D’Onza e Alessandra Rigolini, durante il corso di “Risk Manage-ment”, presso il Dipartimento di Economia e Management, Pisa, 2016.

Risk Management