1
UNIVERSITA’ DI PISA
Dipartimento di Economia e Management
CORSO DI LAUREA IN STRATEGIA, MANAGEMENT
E CONTROLLO
TESI DI LAUREA
CEO e Risk Profile: Evidenze
all’interno del contesto italiano
Relatore
Prof. Giuseppe D’ONZA
Candidata
Arianna AMICI
2
A tutti voi,
che non credete mai
abbastanza in voi stessi…
3
Indice
Introduzione ... 6
Capitolo I ... 9
1.
La nascita del Risk Management ... 9
2.
Il rischio: inquadramento e definizione generale ... 13
2.1. I caratteri del rischio ... 16
2.2. Possibili classificazioni ... 17
3.
Il risk management nel sistema azienda ... 23
4.
Il sistema di risk management: Elementi fondanti ... 27
4.1. Il processo ... 30 4.2. Gli Attori ... 38
5.
Il Risk Appetite ... 46
Capitolo II ... 52
1.
Caratteri generali ... 52
1.1. Possibili definizioni ... 55 1.3 Classificazioni ... 602.
L’azienda familiare nel mondo: Dati e statistiche. ... 64
3.
I meccanismi di corporate governance all’interno dell’impresa familiare 67
3.1 Il Three circle model ... 694.
Il profilo di rischio nelle imprese familiari ... 73
4.1 Teoria dell’agenzia ... 75
4.2 La stewardship theory ... 77
4.3 La Socioemotional wealth theory ... 78
4.4 CEO e risk profile: possibili influenze ... 78
Capitolo III ... 82
1.
Il campione di indagine ... 82
2.
Le variabili analizzate ... 84
3.
Statistica descrittiva ... 86
Conclusioni ... 92
Bibliografia e sitografia ... 96
Ringraziamenti ... 99
4
Indice delle figure e tabelle
Capitolo
#
Descrizione
Pagina
1
1
Il processo di Risk Management
29
1
2
I fattori influenzanti il Risk Appetite
48
1
3
La definizione di Risk Appetite
50
2
4
La classificazione delle imprese familiari
61
2
5
Ulteriore classificazione di impresa familiare
62
2 6
L’azienda familiare nel mondo
65
2
7
Il Three circle model
70
2 8 L’evoluzione del modello
72
2 9 Le variabili analizzate
85
5
Indice dei grafici
Capitolo
#
Descrizione
Pagina
2
1
La distribuzione settoriale delle aziende familiari
66
3 2 CEO Familiare
88
3 3 CEO Gender
88
3 4 CEO Education 89
3 5 CEO Experience 90
6
Introduzione
L’odierno contesto competitivo in cui si trovano a dover operare le aziende risulta caratterizzato da una crescente complessità, dovuta all’ imprevedibilità e alla volatilità dei mercati (sia di sbocco che approvvigionamento), a una clientela che diviene ogni giorno sempre più esigente, alle innovazioni sempre più ricorrenti, ecc. Molte aziende poi interagiscono e sono presenti sui mercati internazionali e quindi, si trovano esposte a ulteriori difficoltà, dovute principalmente al Paese in cui si andrà a operare: in particolare, si fronteggeranno con normative, leggi, regolamenti e talvolta valute differenti. In generale, si trovano costrette a dover gestire una pluralità di eventi che possono impattare negativamente sul raggiungimento degli obiettivi prefissati. L’obiettivo per antonomasia dell’azienda è sicuramente la capacità di creare valore per i propri stakeholder (Porter, 1985).
Il management crea valore quando impiega in modo efficace ed efficiente le risorse a sua disposizione nel perseguire gli obiettivi aziendali (CoSo, 2004). In termini pratici si può affermare che un sistema economico genera valore quando crea un differenziale positivo tra redditività del capitale investito e costo dello stesso.1
La capacità di individuare in anticipo gli eventi che possono impattare negativamente sul raggiungimento degli obiettivi, di gestirli opportunamente e di trasformarli, eventualmente, in fattori favorevoli, rappresenta una competenza chiave per molte aziende che, grazie ad un’efficace gestione dei rischi, possono creare le condizioni per conseguire vantaggi competitivi, reddituali e sociali.2
La gestione del rischio è un tema che negli anni sta acquistando e acquisterà ancora sempre più importanza. Le normative nazionali dei vari paesi si stanno muovendo sempre più verso il dettato di leggi che impongono lo sviluppo di sistemi di risk management all’interno delle varie organizzazioni, il cui obiettivo è quello di individuare, gestire e comunicare (sia all’interno che all’esterno) i principali rischi di carattere generale, per permettere un miglioramento delle performance tramite l’intercettazione di eventi che potrebbero avere conseguenze disastrose,
1 La configurazione che si predilige è quella relativa al costo medio ponderati del capitale (WACC), che nasce dalla media
ponderata tra costo del capitale proprio e costo del capitale di debito, considerando anche l’effetto dello scudo fiscale, in formule: 𝑊𝐴𝐶𝐶 =[i∗(1−t)∗D+Ck∗Vk]
D+Vk
7
ma anche di eventi che potrebbero portare a un miglioramento dei risultati, sia di tipo economico che finanziario, ovvero le cosiddette opportunità.3
In particolare, all’interno del sistema di risk management assume un ruolo chiave il concetto di risk appetite, componente fondamentale caratterizzante dell’ambiente interno,4 rappresentante
l’ammontare di rischio complessivo che un’azienda è disposta ad assumersi per poter raggiungere i suoi obiettivi strategici.5 C’è una diretta relazione tra il risk appetite, le strategie
aziendali e il profilo di rischio. L’ammontare di rischio che un’azienda è disposta ad assumersi influenza le strategie e il modello di business adottato e di conseguenza, il profilo di rischio effettivamente assunto dall’azienda.6
Inoltre, negli ultimi anni gli studiosi interessati alle tematiche del rischio, hanno focalizzato la loro attenzione su una particolare categoria d’impresa ovvero, la family business.
Tale tipologia di azienda presenta delle peculiarità dovute alla presenza di una o più famiglie nel controllo e nella gestione dell’azienda.
Studi7 sul tema, ritengono che queste peculiarità, dovute principalmente alle caratteristiche di
governance di tali aziende, possano influenzare il profilo di rischio che esse si assumono. Inoltre, diversi studiosi8 interessati a tale tematica, hanno focalizzato la loro attenzione non solo
sull’influenza esercitata dalle caratteristiche di governance di tali aziende sul profilo di rischio, ma anche sull’influenza esercitata dalle caratteristiche del CEO.
Numerosi studiosi9 hanno sviluppato diverse ricerche sul tema, servendosi di differenti teorie,
che hanno condotto però a risultati contrastanti.
3 Rielaborazione da G. D’onza, op. cit., 2008 4 G. D’Onza, op.cit., 2008
5 G. D’Onza, op. cit., 2008 6 G. D’Onza, op. cit., 2008
7 Zahara, Huybrecths, Gomez-Mejia, Jensen e Mekling, D’Onza.
8 Si ricordano Wang and Poutziouris, Welsh and Zellweger, Huybrechts et. al, A. Rashad Abdel – Khalik, Kish – Gephart,
Campbell.
8
Dunque, l’obiettivo di questo elaborato è effettuare un’indagine di tipo descrittivo, dove le variabili considerate sono le caratteristiche del CEO; come ad esempio, la sua appartenenza o meno alla famiglia, l’età, il sesso, le caratteristiche socio demografiche, ecc..
Nell’analizzare la relazione esistente tra le caratteristiche del CEO e il profilo di rischio delle aziende del mio campione di analisi, il presente lavoro è stato strutturato come di seguito. Il primo capitolo di questa tesi intende fornire informazioni e nozioni sul concetto di rischio in generale, partendo dalle sue caratteristiche e dalle varie classificazioni, procedendo con i modelli di gestione, fino a giungere ai soggetti che in azienda si occupano di risk management. Il secondo capitolo invece, intende fornire una conoscenza sull’azienda familiare, partendo da una possibile definizione, per poi enunciare gli studi già esistenti in dottrina riguardo al binomio impresa familiare-rischio, fino ad arrivare alla trattazione delle teorie che costituiscono il fondamento teorico del tema: la teoria dell’agenzia, la stewardship theory e la socioemotional wealth perspective.
Infine, il terzo e ultimo capitolo sarà incentrato sull’analisi empirica condotta sul mio campione di analisi, con l’obiettivo di investigare la relazione tra alcune variabili del CEO e il risk profile delle aziende familiari del campione, commentando i risultati ottenuti.
9
Capitolo I
L’obiettivo di questo primo capitolo è fornire un’idea generale di quello che è il fenomeno del rischio in tutte le sue sfaccettature. Nella prima parte ho affrontato il tema della nascita del risk management, attività necessaria per sopravvivere all’interno dell’odierno contesto economico, caratterizzato da instabilità e dinamismo e di come il legislatore italiano si sia interessato a questo tema, in seguito all’impulso proveniente dai paesi economicamente più sviluppati (Stati Uniti). In seguito si è fornito una definizione di rischio, sono state elencate le varia caratteristiche e le possibili classificazioni e si è parlato di come il risk management riesca ad insinuarsi in ogni aspetto della vita aziendale. Si è proseguito poi elencando i principali elementi che devono essere presenti in un sistema di risk management, assieme a una loro breve descrizione. Infine si è affrontato il tema del risk appetite, elemento di principale importanza all’interno di un sistema di gestione del rischio.
1. La nascita del Risk Management
Il concetto di rischio è da sempre legato all’attività economica. In passato, si è sempre pensato a una correlazione positiva tra rischio e rendimento: più un’attività era rischiosa più alto era il suo rendimento e numerosi sono i modelli di finanza aziendale che hanno cercato di stimare e definire questa relazione.10
Fino agli anni ’70 del secolo scorso gli scenari in cui le imprese operavano erano tendenzialmente certi e privi di incertezze, l’ambiente circostante non era caratterizzato dal dinamismo e dall’imprevedibilità dei giorni d’oggi, e quindi il contesto competitivo era stabile.11
Il risk management nasce tipicamente nel settore assicurativo. La natura insita dell’attività di assicurazione è proprio la copertura del rischio. Un cliente paga una somma di denaro (il premio) per proteggersi dai danni che un certo evento aleatorio gli procurerebbe se si verificasse.
10 Ad esempio, Brealey R., Myers S., Sandri S., Principi di finanza aziendale, McGraw Hill, Milano, 1990.
11 Si pensi alla stabilità dei mercati negli anni ’50-’60, quando la strategia aziendale si basava su piani di programmazione
10
Un altro settore di primaria importanza in cui collocare la nascita del risk management è sicuramente quello bancario, con particolare riguardo ai rischi finanziari12.
Si comincia a parlare di sistemi integrati di gestione del rischio solo a seguito di una serie di clamorosi scandali e fallimenti, soprattutto nel mercato statunitense dove azionisti, investitori e stakeholder di ogni genere hanno subito gravissime perdite.
In seguito a questi eventi13 negli Stati Uniti emerse la necessità di sopperire alle mancanze dei
sistemi di controllo interno, che avevano portato a una generale sfiducia nel sistema economico perché invaso da illegalità, immoralità e corruzione.
Già nel 1985, dall’azione congiunta di cinque associazioni professionali statunitensi14 nacque
la “Treadway Commission” (National Commission on Fraudolent Financial Reporting) per lo studio dei fattori causali della più diffusa tra le false comunicazioni sociali: il falso in bilancio. La Commissione prevedeva l’adozione di un’apposita politica di risk management, diretta, per un verso, a individuare ex ante le aree aziendali maggiormente esposte al rischio (attività generalmente denominata mappatura dei rischi) e, per l’altro verso, a rafforzare le aree più deboli attraverso l’introduzione di opportuni aggiustamenti organizzativi, nella forma di protocolli comportamentali come miglior strumento per la prevenzione dalle frodi contabili. Sempre negli Stati Uniti, il Sarbanes-Oxley Act costituisce un ulteriore impulso al tema dei controlli interni. L’atto impone alle società quotate americane di predisporre sistemi di controllo interno, affidando al management il compito diattestarne l’efficacia e al revisore indipendente quello di esprimere una valutazione sul giudizio del management.
12 In seguito verrà data un’adeguata definizione.
13 Nel 2002 la società di revisione e consulenza di nome “Andersen” fu accusata di ostruzionismo alla giustizia per aver distrutto
documenti relativi alla sua revisione del bilancio di Enron. Furono individuati due manager responsabili dello scandalo, poiché avevano ordinato la distruzione di una moltitudine di documenti contabili. Dato che la SEC (equivalente della Consob italiana) non permette a soggetti sottoposti a processo di eseguire la revisione di bilanci, Andersen rese le sue licenze ed autorizzazioni ad operare il 31 agosto 2002. Questo passo di fatto pose fine all'operatività della società.
14 Le cinque associazioni sono: American Institute of Certified Public Accountants (AICPA), dell’American Accounting
Association (AAA), dell’Institute of Internal Auditors (IIA), del Financial Executives Institute (FEI) e dell’Institute of Management Accountants (IMA).
11
Nel 2004 uno studio pubblicato dal CoSo15 ha contribuito a inserire la nozione di controllo
interno in quella più ampia di gestione dei rischi, teorizzando un modello di valutazione e di gestione dei rischi che incorporasse il tema dei controlli, è il rapporto dal nome “Enterprise Risk Management: Integrated Framework”16.
L’ambito di riferimento del controllo interno ne risulta ampliato e particolare enfasi è conferita al tema del controllo dei rischi aziendali, descritto come un “processo” attuato dal consiglio di amministrazione, dall’alta direzione e da altri dipendenti, nell’ambito della fissazione delle strategie aziendali. Tale processo è disegnato in modo da identificare eventi capaci di incidere sull’ente, in vista della gestione dei relativi rischi, coerentemente con il risk appetite17
dell’impresa, ferma la necessità di una ragionevole sicurezza circa il raggiungimento degli obiettivi dell’ente.18
In Italia invece, l’adozione di un approccio risk-based in sede di progettazione e valutazione dei controlli interni è stata suggerita nel 2005 con la legge n°262 “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari” con l’imposizione di un maggior controllo sull’informativa economico-finanziaria e l’insistenza sull’esigenza di un sistema in grado di individuare, gestire e rispondere ai principali rischi, e ancora negli anni a seguire con l’edizione del 2006 e poi la successiva revisione nel 201119 del Codice di Autodisciplina di Borsa Italiana.
Negli anni si è assistito sempre più ad un cambiamento di approccio: da una gestione informale si è giunti a una gestione formale, caratterizzata dall’introduzione di figure qualificate,
15 Le associazioni promotrici della Treadway Commission diedero successivamente vita a un apposito sottogruppo di lavoro,
denominato Committee of Sponsoring Organizations of the Treadway Commission (CoSO), con il compito di realizzare uno studio teorico, basato sulla dottrina esistente in tema di controlli interni.
16 Il documento nel 2006 è stato tradotto in italiano (“La gestione del rischio aziendale. ERM. Enterprise risk management:
modello di riferimento e alcune tecniche interpretative”) e corredato da un commento a cura dell’Associazione Italiana Internal Auditors (AIIA) e della PricewaterhouseCoopers.
17 Se ne parlerà bene in seguito.
18 Rielaborazione da G. D’Onza, op. cit., 2008
19Art 7.P.1. «Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme delle regole,
delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale»; e l’art. 7.P.2., secondo cui: «Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, nonché dello statuto sociale e delle procedure interne».
12
appositamente scelte e di specifiche metodologie, che rendono i sistemi di risk management veri e propri processi visibili e identificabili all’interno di un’organizzazione aziendale.20
La possibilità di disporre di informazioni riguardanti i fattori di rischio che caratterizzano una certa azienda consente agli investitori di dare un giudizio sulla capacità di creare valore da parte dell’ente considerato, e inoltre costituisce la base del processo di assegnazione del rating da parte delle società specializzate. Non è detto però, che tutte le aziende siano d’accordo sul divulgare all’esterno informazioni sensibili di questo tipo, infatti gran parte della disclosure sui rischi infatti rientra nell’informativa volontaria.21
Per quanto riguarda la situazione italiana, si è assistito a una prima fase antecedente al 2005 in cui l’informativa era essenzialmente volontaria, una seconda in cui a seguito del recepimento della cosiddetta Direttiva 2001/65/CE22 è stato introdotto l’obbligo di fornire un’informativa
sui rischi legati all’utilizzo degli strumenti finanziari, con la terza fase si richiede alle aziende di fornire una disclosure non solo riguardo ai rischi finanziari, ma a tutti i rischi ai quali l’azienda è esposta nella sua totalità.
Prima del 2005, i principi contabili nazionali e la normativa civilistica non richiedevano la predisposizione di un’informativa riguardo agli eventi classificabili come rischiosi, ciò che veniva richiesto riguardava esclusivamente la costituzione di fondi rischi da includere nei disegni di Stato Patrimoniale e Conto Economico, vi erano (e ci sono tutt’ora) regole per il trattamento contabile delle passività potenziali, dettate dal principio contabile n°19 del CNDEC23.
Dopo il 2005 (è questa la seconda fase), a seguito dell’entrata in vigore della Direttiva Modernizzazione viene richiesto alle società una disclosure riguardante i rischi finanziari e le relative politiche messe in atto per mitigarli, soprattutto perché nei paesi ad economia avanzata fondazioni, accademici e esperti in dottrina24 erano concordi nel ritenere che la comunicazione
20 G. D’Onza, op. cit., 2008
21 Rielaborazione da G. D’Onza, op. cit., 2008
22 La Direttiva costituisce un’evoluzione delle direttive 78/660/CEE, 83/349/CEE e 86/635/CEE per quanto riguarda le regole
di valutazione per i conti annuali e consolidati di taluni tipi di società nonché di banche e di altre istituzioni finanziarie.
23 Acronimo di Consiglio Nazionale dei Commercialisti e degli Esperti Contabili.
24 Si collocano in queste direzione gli interventi dell’American Institute of Certified Public Accountants, della Security and
Exchange Commission, dell’ICAIEW, del German Accounting Standard, del Canadian Institute of Chartered Accountants, del Financial Accounting Standard Board e dell’International Federation of Accountants.
13
in questione potesse fornire preziose indicazioni in merito alle prospettive future e agli eventi in grado di condizionare i risultati prospettici.25
Si arriva così alla terza fase con il completamento del processo di recepimento della Direttiva Modernizzazione che ha previsto l’inserimento nella relazione sulla gestione di “una descrizione dei principali rischi ed incertezze a cui la società è esposta”, a partire dall’esercizio 2008.
Con l’ultimo step di questo percorso, l’informativa viene ampliata a tutti i fattori di rischio che possono gravare su di un’organizzazione nella sua totalità; quindi, non si guarda solo ai rischi finanziari.
L’informativa è richiesta solo per le società di grandi dimensioni, intendendo a questo proposito società che superano alla data di chiusura del primo esercizio o, successivamente per due esercizi consecutivi, almeno due dei seguenti limiti:
Totale attivo patrimoniale 43.000.000 €
Ricavi delle vendite e delle prestazioni 50.000.000€
Numero di dipendenti occupati in media durante l’esercizio 250
La questione riguardo l’obbligo o la volontà di un’informativa sui rischi non tange invece le società finanziarie, le quali devono dare precise comunicazioni dettate da un’apposita normativa.
2. Il rischio: inquadramento e definizione generale
Si è visto come l’ambiente contemporaneo dove si trovano a interagire le aziende di oggi sia sempre più caratterizzato da una crescente instabilità.
L’odierno contesto competitivo è caratterizzato dal dinamismo, dovuto al progresso tecnologico, alla globalizzazione che sta portando sempre di più le aziende ad operare al di fuori dei propri confini nazionali e ad internazionalizzarsi ma anche alle crescenti richieste di una clientela sempre più esigente.
14
Più l’ambiente è dinamico e variabile, più sarà difficile fare previsioni e ipotizzare fatti o eventi futuri.26
In Economia aziendale, esistono tantissime definizioni di rischio.
Una prima definizione identifica il rischio d’impresa come la possibilità che si verifichino e si abbattano su di essa eventi che pregiudicano lo svolgimento, in maniera economica, dell’attività di produzione per il mercato.27
Secondo un’altra definizione, il rischio d’azienda è la possibilità che a seguito del realizzarsi di taluni fenomeni si origini uno scostamento negativo fra le posizioni ipotizzate e gli andamenti reali, fra i risultati inseriti nei piani e quelli che si manifesteranno.28
Una terza definizione invece, definisce il rischio come la potenzialità di un evento sfavorevole, intendendo come eventi sfavorevole la variazione di segno negativo rispetto ad una data situazione prevista.29
Un’ultima definizione qualifica il rischio come la possibilità di danno economico che deriva da un evento futuro di incerta manifestazione che può determinare uno scostamento negativo dagli obiettivi prestabiliti.30
Questa definizione necessita di alcune specificazioni.
Il rischio è cosa diversa dal danno, il primo esprime la possibilità di un evento contrario a quanto ipotizzato di verificarsi, il secondo è la certezza che quell’evento si è verificato.
Il danno economico consiste nel peggioramento dei risultati economici, finanziari e patrimoniali rispetto a quelli che si erano ipotizzati: esempi possono essere maggiori costi, minori ricavi, riduzione dei flussi di cassa o ancora riduzione del valore degli asset o del patrimonio netto.
Nella definizione per danno economico, si intende danno potenziale, e quindi potrebbe verificarsi in futuro o non verificarsi affatto. Una volta che il danno si è manifestato, il rischio viene meno. Questa è la giustificazione del risk manager, ridurre il danno economico dato che
26 Rielaborazione da G. D’Onza, op. cit., 2008
27 F. Giunta, Appunti di Economia Aziendale, Cedam, Padova, 1996
28 E. Giannesi, Le aziende di produzione originaria: le aziende agricole, Cursi, Pisa, 1960
29 A. Borghesi, La gestione dei rischi di azienda, Economia ed Organizzazione, Teoria e Pratica, Cedam, Padova, 1985 30 G. D’Onza, op. cit., 2008
15
il rischio è elemento inscindibile della gestione aziendale, fenomeno ineliminabile e intrinseco al funzionamento dell’attività aziendale.31
Il rischio è legato a eventi futuri incerti nella loro manifestazione, infatti è collegato all’incertezza che caratterizza la vita aziendale e l’instabilità che denota il contesto contemporaneo.
Infine, il rischio come possibilità di scostamento negativo rispetto a quanto pianificato. Gli obiettivi si riferiscono a risultati futuri sperati, sono sia interni che esterni e definiti in sede di pianificazione. Se si registra uno scostamento negativo rispetto a quanto prefissato, significa che l’evento rischioso si è verificato, comportando il conseguente danno.
Inoltre si dibatte in dottrina sul fatto di dover includere nella definizione di rischio, non solo la prospettiva di danno, ma anche la possibilità che si verifichino risultati migliori rispetto a quelli attesi. Si tratta in questo caso del concetto di opportunità, eventi incerti ai quali si associa una variazione positiva rispetto a quella attesa.32
La maggioranza però è concorde nell’includere solo la prospettiva di danno economico.33
La gestione del rischio trova giustificazione nel criterio di convenienza economica: il costo dell’azione di risk management deve essere inferiore al beneficio che produrrà.
Per analizzare il beneficio in termini quantitativi si ricorre al concetto di perdita attesa, che si calcola come:
Probabilità di verificarsi del rischio * Danno conseguente
Non bisogna confondere il rischio con l’incertezza, Knight definisce il rischio come “quell’incertezza misurabile” proprio perché per il rischio è possibile calcolare la probabilità di futura manifestazione.
Il rischio dipende da eventi incerti. Inoltre, si divide tra incertezza predeterminata e incertezza predeterminabile.34 La prima si riferisce a eventi prevedibili, perché dovuti alla loro ciclicità o
alle esperienze passate dei manager.
31 G. D’Onza, op. cit., 2008 32 G. D’Onza, op. cit., 2008
33 Rielaborazione da G. D’onza, op. cit., 2008 34 Rielaborazione da G. D’Onza, op. cit., 2008
16
La seconda invece, si riferisce a eventi non prevedibili o perché è cambiato il contesto di riferimento o perché non c’è abbastanza esperienza.
Ci sono poi i cosiddetti eventi esterni, che a causa della loro natura sono fenomeni totalmente imprevedibili dalle capacità umane. Qui l’incertezza è massima e si tratta di una situazione estrema, quasi paranormale.
2.1. I caratteri del rischio
Passando ad analizzare i caratteri del rischio, una delle caratteristiche fondamentali è che esso, risulta un fenomeno ineliminabile.35 Il rischio deve essere gestito, non si può eliminare in
quanto risulta un fenomeno intrinseco al funzionamento aziendale, ci sarà sempre incertezza sul futuro, poiché non si può prevedere come si comporteranno clienti, fornitori, competitor, finanziatori e via decidendo.
Il rischio cessa di esistere quando viene meno l’attività aziendale.
Il secondo carattere è direttamente collegato al primo, la dinamicità. Per effetto della sua gestione e delle azioni di risk management il rischio cambia nel suo ammontare. Per effetto di fattori interni e esterni un rischio cessa o meno la propria esistenza. Ad esempio, si potrebbero richiedere acconti ai clienti in seguito alla vendita del prodotto finito, per ridurre il rischio di credito.36
Un terzo carattere è la sistematicità. Ferrero37 evidenzia la presenza di due tipi di rischi:
- Economico-generale - Particolare
Quello economico-generale è il rischio comprensivo che grava su tutta la struttura aziendale, a livello aggregato. In letteratura è identificato con l’incapacità dell’azienda di remunerare i fattori produttivi di cui necessita per portare avanti l’attività aziendale.
35 G. D’Onza, op. cit., 2008
36 Rielaborazione da G. D’Onza, op. cit., 2008
17
I rischi particolari sono invece quelli specifici, elementari che a livello aggregato formano quello economico generale.
È importante comprendere come si passa dai vari rischi particolari al rischio economico generale, non basta semplicemente sommare tutti i rischi specifici perché nella maggior parte dei casi non sono interdipendenti l’uno dall’altro.
Per fare un esempio, il rischio di credito (o rischio di insolvenza) e il rischio di liquidità (ovvero l’incapacità dell’azienda di onorare i debiti che ha assunto) sono direttamente collegati, infatti se l’azienda non riscuote i propri crediti non può pagare i propri debiti.
Per ottenere il rischio complessivo quindi si deve tenere conto dell’interdipendenza e ragionare in termini sistemici.
L’ultimo carattere da considerare è il contenuto economico del rischio.38 Il carattere economico
deriva dalla definizione di azienda stessa, non esiste operazione in azienda che non produca un effetto economico, e quindi che non abbia un impatto sulla ricchezza.
Le politiche di risk management non eliminano il danno, tuttavia riducono la probabilità e l’impatto nel caso di futura manifestazione.
2.2. Possibili classificazioni
In letteratura esistono diversi criteri per una possibile classificazione, dato che i rischi che si incorrono nella gestione aziendale sono tantissimi.
Un primo criterio lo abbiamo già incontrato, si distingue tra rischio economico-generale e rischio specifico.39
In breve il rischio economico generale è il rischio a livello aggregato, dato dall’insieme di tutti i rischi specifici che gravano sulla combinazione aziendale. C’è interdipendenza tra i vari rischi
38 G. D’Onza, op. cit., 2008 39 Ferrero, op. cit., 1968
18
specifici, quindi nel calcolo del rischio economico generale bisognerà tenere conto di questo legame e ragionare in termini sistemici.
Un secondo criterio di classificazione si basa sul segno dell’impatto, che può essere positivo o negativo.40
A questo proposito si distingue tra rischi puri e rischi speculativi.
I rischi puri sono riconducibili a tutti quegli eventi che possono generare un danno di tipo economico, quindi un peggioramento dei risultati ottenuti rispetto a quelli sperati. Un esempio può essere un evento atmosferico avverso per le aziende agricole. Spesso sono rischi legati a eventi naturali o sociali, dai quali ci si protegge tramite assicurazioni.
I rischi speculativi sono originati da eventi che possono determinare sia una perdita che un guadagno, classici esempi sono il rischio di cambio oppure il rischio di tasso o il rischio di prezzo.
Un terzo criterio di classificazione discende direttamente dal modello Enterprise Risk Management proposto dal COSO della Treadway Commission (se ne parlerà bene in seguito), il criterio fondante è l’obiettivo su cui può impattare un certo rischio.
Gli obiettivi identificati sono di quattro tipi: Strategici
Operativi Reporting Compliance
Obiettivi strategici generano rischi strategici che possono essere interni o esterni.
I rischi interni gravano sulle risorse, le competenze e le conoscenze distintive determinanti del vantaggio competitivo.
Gli esterni si dividono ancora in macro ambientali e competitivi. La distinzione deriva dal fatto che il rischio può derivare sia dall’ambiente circostante in tutte le sue sfumature (generale, sociale, politico, normativo, ecc…) sia dall’ambiente competitivo (fornitori, clienti, competitor, ecc…).
19
Quando un rischio strategico si realizza, si riduce la capacità di creare valore nel medio/lungo termine. In generale, i rischi strategici determinano un peggioramento della qualità della strategia, e alcune cause possono essere la riduzione della capacità competitiva e reddituale prospettica dell’azienda.
I rischi operativi, al contrario, interessano obiettivi operativi e riguardano situazioni di inefficacia, inefficienza e scarsa economicità dei processi operativi aziendali ovvero processi di acquisto, vendita, produzione, approvvigionamento, ecc..
Tra i rischi operativi merita di essere menzionato il rischio delle rimanenze. Il rischio che si corre è quello di avere una cattiva gestione del magazzino o perché le rimanenze sono troppe, in questo caso si avrebbero costi di stoccaggio troppo altri che sottraggono risorse alla gestione caratteristica, oppure all’inverso mancanza di scorte, non avere una quantità necessaria di rimanenze per far fronte alle richieste produttive comporterebbe infatti tutta una serie di problemi, in primis con il cliente finale.
Ovviamente la soluzione del problema non sta nell’avere disponibile in magazzino scorte in grande quantità (per il problema enunciato sopra), ma potrebbe essere una gestione integrata del magazzino con il processo produzione e il processo approvvigionamento.
I rischi di reporting impattano sulle attività di reporting interno. È possibile che si verifichino situazioni che determinano un peggioramento dei livelli di accuratezza, rilevanza e tempestività delle informazioni. Situazioni del genere generano la possibilità di un bilancio falso o falsificabile, ad esempio.
Infine, i rischi di compliance abbracciano quegli eventi che possono generare uno scostamento dalle leggi, regolamenti e normative che l’azienda deve rispettare per lo svolgimento dell’attività economica.
I rischi di compliance sono legati a doppio filo con un’altra categoria di rischi, che non è inclusa in questa classificazione ma che non deve essere trascurata: i rischi reputazionali.
Il rischio reputazionale riguarda il verificarsi di un danno che genera un peggioramento dell’immagine e/o della reputazione dell’azienda, quindi conseguenze negative in termini di risultati.41
20
Si dice che questo tipo di rischio è un derivato perché non può generarsi da solo, ma nasce perché altri tipi di rischi (di compliance, ma anche di reporting) si sono già verificati.
Un’azienda perde reputazione e peggiora la sua immagine quando viola una normativa, non rispetta una legge o commette un falso in bilancio.
Non è detto però che il rischio reputazionale si trasformi in danno reputazionale, e quindi in danno economico portando a un peggioramento dei risultati.
La reputazione infatti dipende dagli stakeholder o in generale dai vari tipi di agenti che abitano l’ambiente circostante; la loro sensibilizzazione è l’elemento scatenante per la concretizzazione del rischio in danno.
Quando si stima l’esposizione ai rischi di primo livello (quelli diretti), si stima l’esposizione anche a quelli di secondo livello (quelli indiretti).
Un quarto modello classifica i rischi in base alla loro natura, si divide allora tra rischi operativi e finanziari.
Non bisogna farsi ingannare dal nome, la categoria di rischi operativi qui citata comprende sia quelli con una componente strategica che quelli con una componente operativa, a meno che incidano sulla determinazione del reddito operativo.
Donna li classifica in:
Rischi settoriali, riguardanti il sistema competitivo e le caratteristiche del settore in cui opera l’entità che generano rischi di natura operativa. È possibile una stima della rischiosità operativa media delle aziende che operano in un certo settore;
Rischi strategici, riguardanti il vantaggio competitivo e il tasso di crescita dell’azienda; Rischi strutturali, riguardanti la flessibilità della struttura e la sensibilità alle ragioni di
scambio (i prezzi ad esempio)
Al contrario, i rischi finanziari impattano sulla gestione finanziaria e si riferiscono ad eventi che potrebbero portare al dissesto aziendale.
21
Rischio di mercato, si riferisce alla possibilità che il fair value42 (valore equo) o i flussi
futuri di uno strumento finanziario varino il proprio ammontare e generino una perdita, in seguito al cambiamento dei prezzi di mercato (rischio di prezzo), dei tassi di cambio (rischio di cambio) o dei tassi di interesse (rischio di tasso).
Il rischio di mercato è originato e cambia il proprio ammontare in base a variabili esterne, che non sono sotto il controllo diretto dell’azienda, a differenza degli altri due tipi di rischio finanziario.
Rischio di credito, come si legge direttamente dal principio contabile si intende come il rischio che “una delle due parti di uno strumento finanziario causi una perdita finanziaria all’altra parte non adempiendo a un’obbligazione”.
In letteratura è conosciuto anche come rischio di default, la sua gestione è tra le più complesse perché il rischio di perdite su crediti e il tasso di recupero richiedono un procedimento di stima molto difficile.
Le difficoltà sono dovute al fatto che i crediti sono solitamente a medio/lungo termine e il più delle volte lo storico di un cliente non è necessario e sufficiente per dettare giudizi in merito alla solvibilità futura.
Rischio di liquidità, si riferisce al caso in cui un’azienda non riesca o incontri difficoltà ad adempiere alle proprie obbligazioni, legate a debiti di natura finanziaria.
Si verifica tipicamente quando l’azienda paga i propri debiti prima di aver incassato i propri crediti.
È immediato qui notare l’interdipendenza tra i due tipi di rischio, aziende che corrono un rischio di credito molto elevato, avranno una più elevata probabilità di scontrarsi con il rischio di liquidità, e quindi cadere in una situazione di crisi.
Ovviamente questa è solo una delle tante classificazioni esistenti in dottrina. Un’altra suddivisone interessante, proposta da Chapman, include nella macro categoria di rischi finanziari i soli rischi di credito e di liquidità, escludendo quello di mercato perché riguarda situazioni di carattere finanziario che non maturano nelle aziende ma nell’ambiente di riferimento.
42 Il fair value (valore equo) come definito dai principi contabili internazionali IAS/IFRS è il corrispettivo al quale un'attività
22
L’ultimo criterio esaminato è l’universalità o specificità del rischio e le classi di rischio sono due:43
Rischio sistematico, è quella componente del rischio che non è governabile dall’azienda e per questo ineliminabile tramite un’adeguata strategia di diversificazione del portafoglio. Dipende dalle variabili macroeconomiche, quindi può colpire tutte le aziende o solo le aziende di un certo settore, un esempio è la recessione;
Rischio specifico, è quella componente del rischio legata a specifiche variabili dell’azienda, ad esempio il livello di indebitamento o la diversificazione di clienti e fornitori, eliminabile tramite un’adeguata diversificazione.
23
3. Il risk management nel sistema azienda
Si è già precedentemente sottolineato come la presenza di un sistema di risk management sia fondamentale e di primaria importanza, all’interno di un’organizzazione per la creazione di valore e per il rispetto delle condizioni di equilibrio economico, finanziario e patrimoniale aziendale.44
Si identificano inoltre vari legami con l’attività di gestione del rischio e altre componenti del sistema azienda.
Un primo punto di contatto si ha con le strategie aziendali.45 Le fasi di identificazione, valutazione dei rischi e la loro successiva risposta caratterizza sia la fase di formulazione che attuazione della strategia, basti pensare che la SWOT Analysis (uno degli strumenti più utilizzati per l’analisi strategica) include l’analisi dei rischi, identificabili in minacce (fattori esterni dannosi per gli equilibri aziendali) e punti di debolezza (fattori interni peggiorativi delle condizioni di equilibrio).
Il primo legame quindi, si trova già nella fase antecedente la formulazione della strategia, dato che proprio queste ultime vengono enunciate tenendo in considerazione sia i fattori positivi che negativi per la competitività e l’economicità aziendale.
Un secondo legame si ha nella fase di generazione delle alternative strategiche. Si è già parlato di quanto sia dinamico e in continua evoluzione il moderno contesto competitivo, proprio per questo è necessario che le aziende definiscano più piani di azione per tenere conto dell’evoluzione dei fattori di rischio più rilevanti, al fine di elaborare analisi di scenario e analisi di sensitività.
Ci si serve del risk management anche durante la fase di selezione delle alternative strategiche. Si sceglierà l’alternativa strategica più conveniente, si andranno a considerare sia i risultati che ogni strategia è in grado di produrre, sia i rischi che l’azienda si assume nel momento dell’attuazione, in altre parole si definisce il profilo rischio/rendimento. È importante sottolineare come in questa fase non ci si serva solo di modelli quantitativi, ma di altri fattori
44 Rielaborazione da G. D’Onza, op. cit., 2008 45 Rielaborazione da G. D’Onza, op. cit., 2008
24
che non risultano propriamente logici, come per esempio la propensione al rischio del soggetto economico46 considerato, il cosiddetto risk appetite.
In letteratura, l’espressione risk appetite è utilizzata per indicare l’ammontare complessivo di rischio che un’organizzazione è disposta ad assumersi47 e, come si vedrà in seguito, tale
ammontare è diretta espressione di una serie di fattori direttamente riconducibili soprattutto alle caratteristiche personali di chi governa e ai sistemi di governance. Le figure chiave potrebbero puntare sull’adozione di strategie più o meno rischiose, andando a sovvertire i risultati che emergono dai vari modelli di valutazione.
L’attività di risk management caratterizza anche le fasi esecutive della gestione.48 Il rischio
deve essere gestito in tutte le sue sfaccettature e a 360° all’interno dell’organizzazione, ed è questo un approccio di tipo olistico al risk management. Secondo questa modalità, ogni manager con riguardo al proprio raggio di azione, che sia funzione o processo, deve essere in grado di identificare, valutare e gestire i rischi che interessano gli obiettivi assegnati precedentemente dal vertice, in questo modo a ogni livello verranno adottate azioni per contrastare situazione di inefficacia e inefficienza.
I processi che caratterizzano le varie unità organizzative dovrebbero essere strutturati tenendo conto dei rischi insiti nei processi stessi. Per esempio, all’interno del processo approvvigionamenti un rischio sempre presente è quello che i fornitori non consegnino le materie prime nei modi e nei tempi desiderati: quindi, si potrebbe utilizzare un sistema di qualificazione volto alla selezione dei fornitori tramite procedure di omologazione, seguito da una valutazione periodica per avere nel tempo solo fornitori affidabili, tramite l’assegnazione di un punteggio.
Nelle grandi aziende, il coordinamento dei processi di risk management realizzati all’interno delle varie funzioni è un problema crescente, ma risulta necessario per raggiungere l’obiettivo comune e condiviso di contenimento del rischio economico-generale entro predefiniti soglie di accettabilità.
46 Si intende per soggetto economico il soggetto, o gruppo di persone, responsabili delle decisioni inerenti all’impresa,
solitamente sono i portatori di capitale proprio, quindi gli azionisti.
47 G. D’Onza, op. cit., 2008
25
Il problema può essere contrastato tramite un’attenta attività di guida e supervisione esercitato dall’alta direzione.
Un’ulteriore componente del sistema azienda che presenta un forte legame con l’attività di risk management è il sistema di controllo interno. Tale nesso è caratterizzato da una duplice interpretazione. Da una parte, nel framework internazionale “Internal control – Integrated framework” proposto dal C.o.S.o of the Treadway Commission nel 1992 la presenza di un sistema di risk management all’interno di un’azienda è una delle cinque componenti fondamentali per definire buono un sistema di controllo interno. Tale sistema potrà dirsi ben strutturato solo nel caso in cui preveda una valutazione dei rischi, che dovrebbe precedere il disegno delle attività di controllo, in modo da disegnare i controlli in base ai rischi che i controlli stessi devono prevenire. Di contro, però nei modelli successivi proposti dal COSO si trova la relazione ribaltata: è il sistema di controllo a rappresentare una componente fondamentale dell’attività di risk management.
Il controllo deve essere pensato in base all’esposizione al rischio, in alcune aree i controlli saranno più o meno stringenti, in altre più lascivi. Si potrebbero creare situazioni in cui il controllo è inefficace, caso in cui il controllo è inesistente o insufficiente rispetto al rischio considerato, oppure inefficiente, caso in cui il controllo è sovrabbondante.
Le domande fondamentali da porsi durante la progettazione dei controlli sono:49
- Quali controlli attuare?
- Chi è il soggetto responsabile dell’attuazione? - Qual è la frequenza?
- Qual è l’estensione?
- Quale il grado di formalizzazione?
Infine, l’ultimo legame con il sistema azienda è costituito dalla relazione tra rischio e misurazione delle performance.50 Gli indicatori tradizionali di performance, come il ROI, ROE
o l’Utile non tengono conto del rischio, l’azienda infatti potrebbe aver registrato un miglioramento degli indicatori dovuto a una crescita di tipo economico, finanziario o patrimoniale, ma potrebbe essere più esposta al rischio; solamente a titolo esemplificativo
49 Rielaborazione da G. D’Onza, op. cit., 2008 50 Rielaborazione da G. D’Onza, op. cit., 2008
26
potrebbero essere aumentate le vendite, quindi il fatturato, i ricavi e i crediti, ma l’azienda si trova più esposta al rischio di credito.
Il rischio non trova rappresentazione nel sistema delle scritture contabili e nel bilancio di esercizio. Come conseguenza di questo, le valutazioni sulla qualità dei risultati raggiunti non tengono conto del rischio.51
Negli ultimi anni, negli studi sulle valutazioni delle performance sono stati proposti molteplici indicatori per misurare la creazione di valore,52 tutti condividono l’assunto che in azienda si
crea valore quando il rendimento del capitale eccede il suo costo.
Si intende per costo del capitale sia il capitale proprio, sia il capitale di debito.
Spesso si considera solo quello di debito, tuttavia anche il capitale proprio rappresenta una fonte onerosa, più l’azienda è ritenuta rischiosa più aumenta il costo in quanto gli azionisti richiedono remunerazioni più elevate, ugualmente per il capitale di debito la banca applicherà tassi di interesse superiori al crescere della rischiosità aziendale.
L’EVA è la misura più nota per esprimere la creazione di valore, si presenta come segue: EVA= NOPAT-(WACC*CI)
Dove per NOPAT (Net Operating Profit After Taxes) si intende il reddito operativo al netto delle imposte, CI rappresenta il capitale investito e il WACC il costo medio ponderato del capitale, derivante da una media ponderata tra le fonti di capitale.
51 G. D’Onza, op. cit., 2008
27
4. Il sistema di risk management: Elementi fondanti
In tutte le aziende è più o meno presente un sistema di gestione dei rischi, indipendentemente dalla dimensione e dal settore competitivo.
In dottrina si è concordi sul fatto che non esiste un modello unico, i modelli variano da organizzazione a organizzazione, costruiti direttamente sulle specifiche del sistema economico considerato. 53
Solitamente nelle piccole medie imprese i sistemi non sono formalizzati, non ci sono progetti e soggetti appositamente scelti e, il più delle volte non è presente una specializzazione dei livelli organizzativi per tipologia di rischi.
All’aumentare delle dimensioni la formalizzazione aumenta. Si nota come le attività di risk management si sviluppano ai vari livelli organizzativi: in generale, al vertice l’attenzione è rivolta alla gestione dei rischi connessi al profilo strategico, a livello di SBU54 la gestione
riguarda i rischi riferiti ad una particolare combinazione prodotto/mercato/tecnologia, mentre a livello funzionale ogni manager considera i rischi direttamente legati alle funzioni di cui sono responsabili.
Particolare attenzione meritano le banche e gli intermediari finanziari, la cui gestione del rischio è soggetta a particolari pressioni normative. Il risk management in questo settore è sempre in continua crescita, si stanno sviluppando tecniche e strumenti sofisticati per la gestione dei rischi caratteristici del settore e si ritrovano all’interno delle organizzazioni delle vere e proprie funzioni, il cui compito è quello di curare non solo la progettazione, ma anche l’implementazione e il funzionamento continuo di tutto il sistema.
Si individuano vari modelli istituzionali per la gestione del rischio, secondo una prima classificazione ne vengono identificati quattro:55
53 G. D’Onza, op. cit., 2008
54 Acronimo di Strategic Business Unit, una SBU è un sottoinsieme dell’azienda coincidente con un business specifico e
corrispondente a una specifica combinazione prodotto/mercato/tecnologia, in grado di sopravvivere autonomamente, quindi generare ricavi e coprire costi.
28
Risk silo management: E’ una gestione sul singolo rischio, ogni rischio è identificato e gestito singolarmente, perdendo in questo modo la visione sistemica. La gestione non è nè efficace ne efficiente.
Integrated risk management: Si riconosce l’esistenza di interdipendenza tra i rischi e l’esigenza di gestirli tramite un approccio integrato, si incrementa efficacia e efficienza. Risk based management: E’ legato alla possibilità di sviluppare sistemi di management risk based per migliorare il valore creato per gli shareholders e, consiste nell’adottare sistemi di management risk based come ad esempio il RORAC (Risk Aggiusted Return On Capital).
Holistic risk management: E’ un approccio sistemico e integrato dove si considerano tutti i rischi, presenti in tutta l’organizzazione. Il risvolto della medaglia è ovviamente il coordinamento che deve esistere tra tutte le unità organizzative per il raggiungimento di un modello integrato.
Alla luce di quanto detto vengono individuati alcuni elementi che costituiscono la base di un sistema di risk management: gli attori, il processo, le tecniche e gli strumenti.56
La dimensione soggettiva è costituita dagli attori. Gli attori sono i soggetti che ai vari livelli dell’organizzazione sono impegnati nelle fasi di identificazione, valutazione, trattamento e reporting che costituiscono il processo.
La componente oggettiva è composta da tecniche e strumenti che come si nota dalla figura 1.1. sono trasversali a tutto il processo, dato che verranno utilizzati in tutte e quattro le fasi.
Infine, il processo che costituisce la componente dinamica di tutto il sistema di risk managament.
29
Identificazione
Valutazione
Trattamento
Reporting
Figura 1: Il processo di Risk Management
Fonte: Il sistema di controllo interno nella prospettiva di Risk Management, G. D’Onza, Giuffrè, 2008
Inoltre, si riscontrano i seguenti elementi qualificanti57:
Il risk management è un sistema complesso, costituito da vari elementi fra loro collegati, volti a mitigare le eventualità sfavorevoli che gravano sulla gestione;
Il risk management si sviluppa a tutti i livelli dell’organizzazione e coinvolge più soggetti che operano nelle diverse aree in cui si articola la struttura organizzativa; Le quattro attività identificate compongono un processo che si avvale di risorse umane,
tecniche e finanziarie e che si sviluppa in maniera iterativa durante le varie fasi della vita aziendale;
L’obiettivo ultimo del processo è individuabile nella salvaguardia del valore creato dalla combinazione produttiva attraverso il trattamento dei rischi che sono stati individuati e valutati.
Sebbene questi elementi siano sempre presenti all’interno di un sistema di risk management, si deve ricordare che essi costituiscono solo la parte visibile di tutto il sistema.
La componente invisibile è contenuta nelle strategie e nelle politiche gestionali, che condizionano l’economicità aziendale.
57 G. D’Onza, op. cit., 2008
Attori
30
4.1. Il processo
Si è più volte sottolineato come il sistema di risk management sia un processo che si compone delle attività di Identificazione, Valutazione, Trattamento e Reporting.
Il processo è la componente dinamica del sistema, che ha inizio formale con la fase di identificazione dei rischi.
Si può affermare però che il processo inizia sostanzialmente con la fase di Definizione del contesto, sia interno che esterno. Si tratterà di comprendere quindi se è presente o meno una cultura del rischio, il grado di risk appetite, se sono presenti codici o carte dei valori, mentre con focus all’esterno si cercherà di contestualizzare l’ambiente di riferimento con riguardo ai fornitori, clienti, competitor, mercati di sbocco e approvvigionamento, settore di appartenenza. In generale, sarà una raccolta di informazioni mirata alla costruzione di un sistema di risk management compatibile con quello che è il contesto, sia interno che esterno, del sistema economico considerato.
La fase di Identificazione dei rischi si compone di tutte quelle attività necessarie per individuare eventi rischiosi che nel futuro potrebbero generare un danno, e quindi portare a un peggioramento delle performance desiderata dall’impresa. È una fase critica e delicata perché un rischio non individuato potrebbe portare a un danno inaspettato, con conseguenze disastrose. Ovviamente, non ci si riferisce a singoli rischi inerenti a una singola funzione, ma a rischi che gravano su tutto il sistema aziendale.
Ci sono vari strumenti/tecniche da utilizzare in questa fase per identificare gli eventi che potrebbero avere conseguenze negative sui fattori critici di successo e sugli obiettivi prefissati. È bene tenere presente che gli eventi rischiosi non si generano da soli, ma deriveranno da fattori esterni con riferimento all’ambito economico, culturale, sociopolitico, tecnologico e fattori interni come le infrastrutture, il personale, i processi e la tecnologia.
I fattori da considerare sono molti, ogni azienda poi tenderà a concentrarsi sui fattori che presentano un alto grado di aleatorietà con riguardo al suo contesto di riferimento.
Le tecniche e gli strumenti utilizzati si basano sia su eventi passati che futuri. Con riguardo alle prime si guarda al passato, per stimare il futuro; per le seconde non è possibile servirsi dello storico aziendale perché gli eventi da individuare potrebbero essere frutto di nuove strategie.
31
Le tecniche più utilizzate sono i workshop, incontri che stimolano la creatività tra soggetti operanti in funzioni diverse all’interno della stessa azienda che attingono alla propria esperienza passata per stilare una lista di eventi rischiosi; le interviste, fatte sui dipendenti che vivono l’operatività aziendale e possono esprimere il loro punto di vista su eventi passati, attuali e potenziali; il catalogo degli eventi, ovvero una lista degli eventi comuni a un settore/funzione redatto dal personale in base a informazione variamente raccolte; i key risks indicators, indicatori critici predittivi da monitorare giornalmente, settimanalmente o mensilmente per il confronto con le soglie di risk limits per comprendere se l’azienda sta assumendo più rischi del previsto e evitare di incorrere in danni dal carattere economico finanziario; e ancora la lista aperta, dove ogni manager è chiamato liberamente ad individuare rischi che in futuro potrebbero verificarsi sull’obiettivo assegnato.58
Questi sono solo alcuni degli strumenti utilizzati per l’individuazione dei rischi, per ragioni di brevità non è stato possibile definirli tutti singolarmente.
Il management può decidere se usarli tutti, solo alcuni o uno singolarmente e ciò, dipende dalla filosofia di gestione ma soprattutto dal contesto di riferimento.
La fase successiva si sostanzia nella Valutazione dei rischi individuati. Sarà possibile una valutazione comune perché in questa fase tutti i rischi vengono portati a un valore confrontabile: la perdita attesa. L’abbiamo già incontrata precedentemente, la perdita attesa è data dal prodotto di probabilità di accadimento dell’evento per impatto sull’obiettivo.
Non sarà necessaria la considerazione di tutti i rischi possibili, il management non considera eventi con bassa probabilità di accadimento e piccolo impatto sull’obiettivo, mentre si concentrerà su eventi che presentano una media alta probabilità di verifica con un medio alto impatto sull’obiettivo. Esistono tantissime tecniche da utilizzare in questa fase, il management deve ragionare in base alla convenienza economica, constatando di volta in volta quando il beneficio dell’azione di risk management è maggiore del suo costo.
Esistono due tipi di tecniche:59
Qualitative: sono utilizzate per rischi che non si prestano ad essere quantificati e per cui non sono disponibili archivi storici o per cui la ricerca delle informazioni sarebbe troppo
58 Rielaborazione da G. D’Onza, op. cit., 2008 59 G. D’Onza, op. cit., 2008
32
costosa. La differenza è fatta dall’esperienza, dalle conoscenze e abilità del management che fa la valutazione. L’impatto viene valutato su una scala da 1-trascurabile fino a 5-catastrofico, così come la probabilità valutata da 1-raro fino a 5-molto probabile. La scale sono completamente compatibili e coerenti tra di loro, in modo da ottenere come output finale matrici per l’analisi di probabilità-impatto. A ogni rischio verrà assegnato un punteggio in termini di probabilità e impatto, il punteggio verrà inserito all’interno della matrice dove si riconoscono varie classe che immediatamente permettono la classificazione del rischio in basso, medio e alto.
Quantitative: si dividono in due classi, probabilistiche e non probabilistiche.
Le non probabilistiche si utilizzano per la quantificazione dell’impatto potenziale, ma non per la probabilità di verifica. La probabilità viene determinata separatamente. Le più conosciute sono la sensitivity analysis, scenario analysis e stress testing. La sensitivity analysis è utillizzata per la quantificazione dell’impatto di variazioni normali o di routine di eventi potenziali. La scenario analysis invece valuta l’effetto di uno o più eventi su uno stesso obiettivo, servendosi di diversi scenari, con ipotesi più o meno pessimiste. Infine, lo stress testing valuta l’impatto degli eventi che danno luogo a effetti gravi; questa è la peculiarità di questa tecnica: considerare l’impatto diretto della variabilità di un solo evento o attività in circostanze difficili o gravose.60
Le tecniche probabilistiche invece misurano probabilità e impatto di una serie di risultati, ipotizzando una certa distribuzione dei comportamenti degli eventi.61 Si
applicano quando sono disponibili serie storiche di dati molto ampie, massicce e attendibili. Il più utilizzato è il value at risk che misura l’ammontare della perdita massima potenziale che un’attività finanziaria (o un portafoglio di attività finanziarie) può subire in un certo orizzonte temporale, dato un certo intervallo di confidenza. Tra le altre tecniche “at risk” si ricordano il cash flow at risk, l’earnings at risk e il market value at risk.62
La scelta di una metodologia di valutazione qualitativa, piuttosto che quantitativa, dipende da molti fattori.63 Per esempio, le tecniche quantitative probabilistiche possono essere applicate
60 Associazione Italiana Internal Auditors, Price Waterhouse Coopers, La gestione del rischio aziendale. ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, CoSo, 2006
61 Associazione Italiana Internal Auditors, Price Waterhouse Coopers, op. cit., 2006 62 G. D’Onza, op. cit., 2008
33
solamente in presenza di serie di dati storiche importanti e si utilizzano soprattutto per i rischi di carattere finanziario, raramente per quelli di tipo operativo. Altri fattori discriminanti della scelta sono l’ambiente in cui si trova ad operare l’azienda, il numero e le interrelazioni che esistono tra i vari rischi e il grado di precisione desiderato dal management.
I metodi qualitativi sono più intuitivi e soggettivi, risentono delle esperienze personali e del vissuto di chi le utilizza, forniscono una limitata differenziazione dei livelli di rischio; all’inverso le tecniche quantitative permettono un giudizio più oggettivo, considerano le interrelazioni tra i vari rischi aziendali e presentano un’ampia differenziazione dei vari livelli di rischio.
La terza fase del processo è il Trattamento del rischio e consiste nella definizione della terapia che l’azienda decide di intraprendere per fronteggiare i rischi.64 In questa fase verranno
implementate le strategie e le azioni necessarie per modificare il profilo di rischio aziendale, che dovrà essere allineato con il risk appetite e rientrare all’interno delle soglie di risk limits. In seguito al trattamento si parlerà di rischio residuale, da distinguersi dal rischio inerente. Il rischio inerente è quello che un’azienda si assume quando non attiva nessuna azione di risk management che ne limitino la probabilità e l’impatto. Il rischio residuo è quello che rimane in seguito al trattamento.
Per quanto riguarda l’ultima fase, alcuni autori propendono o meno per l’inclusione all’interno del processo di gestione del rischio.65 La comunicazione può distinguersi in esterna, rivolta agli
interlocutori esterni alla combinazione produttiva e interna, i cui beneficiari sono gli attori che operano all’interno del sistema aziendale.
Si vedrà immediatamente come uno dei framework più utilizzati come base per il risk management in azienda consideri la comunicazione interna una componente stessa del modello, trasversale a tutte le altre fasi.
La comunicazione esterna invece è collocata al termine delle classiche fasi di identificazione, valutazione e trattamento dei rischi ed è alimentata dal reporting interno. Come si è visto nella prima parte di questo elaborato la comunicazione sui rischi sta acquistando via via sempre più importanza, soprattutto grazie all’impulso fornito dalle specifiche normative e direttive.
64 G. D’Onza, op. cit., 2008 65 G. D’Onza, op. cit., 2008
34
4.1.1.
L’Enterprise Risk ManagementL’Enterprise Risk Management è stato proposto nel 2004 dal Co.S.O. of the Tradway Commission, con l’obiettivo fondamentale di “aiutare il management delle aziende e di altri enti a gestire meglio i rischi connessi al conseguimento degli obiettivi aziendali”, ed è definito più precisamente come segue:
“La gestione del rischio aziendale è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”.
È un modello di tipo olistico, significa che considera tutti i rischi del sistema azienda, in modo sistematico e integrato, non solo quelli di specifici funzioni.
La definizione è abbastanza chiara e non necessita di spiegazioni, l’ERM è un processo, quindi un insieme di attività, di natura continua e pervasiva, messe in atto da tutti i membri dell’organizzazione e che interessano ogni livello e unità aziendale (da qui il carattere olistico) utilizzato per formulare le strategie e per individuare potenziali eventi rischiosi.
Andando a sintetizzare il modello si riconoscono alcune componenti fondamentali:66
1. Caratteristiche dell’ambiente interno, si tratta di definire il contesto organizzativo all’interno del quale si sviluppano i progetti, più o meno favorevoli alla gestione del rischio. Si concretizza in alcuni elementi fondamentali che sono il risk appetite, la filosofia di gestione del rischio, l’integrità e i valori etici, il ruolo del consiglio di amministrazione e del collegio sindacale, la struttura organizzativa, le competenze degli attori con i relativi poteri e responsabilità, infine la gestione del personale.
2. Definizione degli obiettivi, i punti di partenza sono la Mission e la Vision. Gli obiettivi che verranno definiti devono essere traguardi misurabili, attraverso adeguate misure di performance o altri indicatori, come la soddisfazione della clientela o il numero degli
35
infortuni. La classificazione è quella vista sopra, ovvero obiettivi strategici, operativi, di reporting e di compliance.
3. Identificazione degli eventi, con un particolare occhio di riguardo agli eventi che influenzano in modo negativo il raggiungimento degli obiettivi, è forse la più importante del processo,67 carica di incertezza riguardo il se, quando e come si verificherà un
evento. Se un evento non viene identificato, il relativo rischio non può essere gestito. Si utilizzano una pluralità di strumenti tra i quali si ricordano il catalogo degli eventi, i workshop, i brainstorming, le check list, le interviste, i diagrammi di flusso, i Key Risk Indicators, la Tabella della vulnerabilità degli asset materiali, la Rilevazione dei dati delle perdite e le Liste aperte.
4. Valutazione dei rischi, è un’altra fase importantissima del processo. Una volta identificati, i rischi possono essere più o meno gravi e in seguito a una valutazione possono essere espressi in termini omogenei, in modo da stabilire la priorità di intervento. Si andrà a stimare l’esposizione al rischio, data dal prodotto tra la probabilità (che si verifichi un evento rischioso, valutata in un certo arco temporale) e l’impatto (che l’evento rischioso ha sull’obiettivo).
5. Risk response, è la fase di risposta al rischio, quindi le azioni da porre in essere per rispondere al rischio, mitigarlo e riportarlo al di sotto della soglia ritenuta accettabile. Le strategie di risposta sono in genere quattro. Queste sono: l’accettazione, si accetta quando la probabilità è bassa e l’impatto contenuto, si decide consapevolmente di accettare il rischio, non è una strategia se il rischio in oggetto non viene identificato e quindi valutato.
Quando la probabilità e l’impatto aumentano la strategia migliore è sicuramente evitare il rischio, quindi cercare di eliminare la causa che risiede alla base del rischio. Quando i rischi non possono essere evitati, le ulteriori strategie sono quelle di riduzione e condivisione.
6. Attività di controllo, comprende tutte le politiche e le procedure che permettono agli attori di capire se la risposta ha ricondotto il livello di rischio a quello accettabile. Si identificano inoltre due componenti trasversali, che interessano tutte le altre componenti del processo:
