DIPARTIMENTO DI ECONOMIA E MANAGEMENT
Corso di Laurea Magistrale in Strategia, Management e Controllo
TESI DI LAUREA:
L’Enterprise Risk Management in un’analisi evolutiva: i nuovi
framework e le tecniche di risk assessment nel contesto
internazionale odierno
RELATORE:
Prof. Marco GIANNINI
CANDIDATO:
Giacomo GUERRINI
A mia mamma, a mio zio Claudio, a tutta la mia famiglia. Grazie. Giacomo
Sommario
INTRODUZIONE ... 5
1 EVOLUZIONE DEL CONCETTO DI RISCHIO IN AZIENDA ... 7
1.1 DALL’INCERTEZZA AL CONCETTO DI RISCHIO ... 7
1.1.1 Il rischio come “Danno Economico” ... 9
1.1.2 Caratteri del rischio ... 10
1.2 CLASSIFICAZIONE DEI RISCHI ... 12
1.3 DAL RISK MANAGEMENT ALL’ENTERPRISE RISK MANAGEMENT ... 17
1.3.1 Financial Risk Management... 22
1.3.2 Project Risk Management ... 23
1.3.3 Traditional Risk Management ... 23
1.3.4 Enterprise Risk Management ... 25
2 FRAMEWORK DI RIFERIMENTO PER LA GESTIONE INTEGRATA DEI RISCHI ... 28
2.1 GLI STANDARD ISO ... 28
2.2 LO STANDARD ISO31000:2018 ... 31
2.2.1 I principi per la gestione dei rischi ... 33
2.2.2 Framework per la gestione del rischio ... 34
2.2.3 Processo per la gestione dei rischi ... 36
2.3 COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION ... 39
2.4 ENTERPRISE RISK MANAGEMENT INTEGRATING WITH STRATEGY AND PERFORMANCE 2017 ... 43
2.4.1 Governance e cultura aziendale ... 44
2.4.2 Strategia e definizione degli obiettivi ... 46
2.4.3 Perfomance ... 47
2.4.4 Controllo e Revisione ... 50
2.4.5 Informazione, comunicazione e reporting ... 52
3 TECNICHE DI IDENTIFICAZIONE E VALUTAZIONE DEGLI EVENTI RISCHIOSI ... 55
3.1 L’IDENTIFICAZIONE DEGLI EVENTI RISCHIOSI ... 56
3.1.1 Le principali tecniche di identificazione degli eventi rischiosi ... 58
3.1.2 Metodi basati sull’approccio sistematico in team ... 59
3.1.3 Metodi basati sulle evidenze ... 62
3.1.4 Metodi basati sul ragionamento induttivo ... 63
4
3.1.6 La descrizione del rischio ... 69
3.2 LA VALUTAZIONE DEGLI EVENTI RISCHIOSI ... 71
3.2.1 Configurazioni di rischio ... 72
3.2.2 Le principali tecniche di valutazione degli eventi rischiosi... 73
4 IL CONTESTO INTERNAZIONALE ODIERNO: UN’ANALISI DELLE PRINCIPALI SURVEY ... 78
4.1 PREMESSA ... 78
4.2 LA RISK GOVERNANCE E IL LIVELLO DI MATURITÀ DELL’ERM ... 79
4.2.1 Extended Enterprise Risk Management Survey ... 83
4.2.2 Risk in Review Study ... 86
4.3 ITOP-RISKS E LE NUOVE SFIDE DELL’ERM ... 89
4.3.1 Le catastrofi naturali e la Business Continuity Management (BCM) ... 91
4.3.2 I Cyber-Attacks e la Cyber Resiliency ... 93
4.3.3 I Cyber-Attacks alla luce del nuovo GDPR ... 95
CONCLUSIONI ... 97
BIBLIOGRAFIA ... 101
5
Introduzione
Fin dagli albori dell’attività economica cercare di ridurre le possibili conseguenze negative dell’incertezza è sempre stato uno degli obiettivi fondamentali nel perseguimento della creazione di valore. Per questo motivo, la gestione dei rischi ha iniziato ad assumere all’interno delle aziende un’importanza crescente nel corso degli anni fino a raggiungere, secondo la letteratura, una struttura ben definita in grado di abbracciare numerosi lati della gestione, culminata nella visione olistica dei rischi descritta dall’Enterprise Risk Management (ERM).
L’interesse di chi scrive verso questo affascinante lato della gestione aziendale ha preso avvio dal retro dei banchi del Dipartimento di Economia dell’Università di Pisa dove, grazie alle nozioni apprese al corso di “Risk Management”, è stato possibile un primitivo incontro con lo studio dei rischi aziendali, con l’Enterprise Risk Management e con i suoi principali framework. L’entusiasmo iniziale per la tematica è stato successivamente arricchito grazie all’esperienza maturata “sul campo”; in particolare, un’opportunità lavorativa nella funzione di ERM di un’importante azienda ha contribuito a sviluppare la riflessione sul rapporto tra teoria e pratica, quindi tra ciò che dovrebbe essere sulla carta e le principali costrizioni e difficoltà operative.
L’obiettivo è quello di creare un elaborato che, muovendo dalle nozioni fondamentali della “teoria dei rischi” quindi dei principali framework che ormai da diversi anni guidano la gestione aziendale dei rischi, sia in grado di stimolare la riflessione sullo stato attuale della tematica nonché sul grado di maturità raggiunto e le modalità con le quali viene applicata all’interno delle aziende. La riflessione verrà effettuata unendo l’esperienza fino a qui maturata con dati e informazioni provenienti da alcune delle più recenti survey internazionali opportunamente rielaborate.
Seguendo questo ideale percorso, la tesi risulta strutturata in quattro capitoli.
Il capitolo uno ha lo scopo di introdurre i concetti fondamentali che hanno caratterizzato la tematica del rischio; la parola chiave introdotta, rimasta poi ben presente come vero e proprio filo conduttore dell’intera trattazione è “evoluzione”. In particolare, dopo un breve excursus storico sul rapporto rischio-incertezza e una descrizione dei caratteri del rischio,
6
verranno affrontate le tappe fondamentali che hanno caratterizzato gli approcci di risk management fino all’introduzione della versione olistica dell’Enterprise Risk Management nonché la parallela evoluzione delle figure aziendali deputate alla gestione dei rischi. Il capitolo due è dedicato all’analisi delle disposizioni previste dai due principali framework di gestione, emanati dalla International Organization for Standardization (ISO) e dal Committee of Sponsoring Organizations of the Treadway Commission (COSO). L’attenzione sarà focalizzata sulle novità introdotte dai due framework di recente emanazione, ovvero lo standard ISO:31000 2018 emanato a febbraio 2018 e l’Enterprise Risk Management Integrating with Strategy and Performance emanato a settembre 2017; in particolare, dopo aver chiarito le motivazioni che hanno scaturito la necessità di aggiornamento e le principali differenze dalle precedenti versioni, si passerà all’analisi approfondita delle singole componenti.
Il capitolo tre rappresenta il raccordo tra la parte strettamente teorica dell’elaborato e quella caratterizzata dalle sfumature più applicative; in particolare, si entrerà nel merito delle fasi cruciali di un processo di risk assessment, ovvero del momento dell’individuazione dei rischi e della loro successiva valutazione passando in rassegna alcune delle più utilizzate tecniche di individuazione e valutazione dei rischi. Tale descrizione avverrà mettendo in evidenza quelli che sembrano sorgere come i principali punti di forza e di debolezza di ogni tecnica nel momento della loro messa in attuazione.
Il capitolo quattro si apre con alcune riflessioni in merito a quella definita come “Governance dei Rischi”; in particolare, in apertura del capitolo verranno analizzate le principali figure e responsabilità in merito alla gestione dei rischi con riflessioni circa i gap che spesso caratterizzano l’operatività rispetto alle previsioni teoriche, confrontando le best practices con i dati desunti dalle survey. Infine, si cercherà di capire in che modo, secondo le aziende, l’ERM possa contribuire in maniera positiva nel fronteggiare i cambiamenti imposti dall’innovazione, tematica che farà da trampolino di lancio verso la discussione di quelli individuati come i più rilevanti trend rischiosi per l’immediato futuro che saranno esaminati a conclusione della trattazione.
7
1 Evoluzione del concetto di rischio in azienda
1.1 Dall’incertezza al concetto di rischio
Il “rischio” è da sempre oggetto di riflessione di carattere sociologico filosofico ed è stato nel corso della storia sottoposto a numerose definizioni ed interpretazioni. L’Etimologia del termine è variegata e, come riporta il “Vocabolario Etimologico della Lingua Italiana” di Ottorino Pianigiani1, si può far risalire a tre correnti di pensiero; secondo il Diez l’origine è
da ricercare nella parola spagnola Risco ovvero “scoglio, roccia tagliata a picco” ad indicare un grande pericolo per la navigazione; secondo il Canello deriva dal latino “Resecare” ovvero “fendere le onde a ritroso” ad indicare un modo pericoloso di vogare; il Devic fa riferimento all’arabo Rizq “Tutto ciò che viene da Dio e da cui si può trarre un profitto nella vita”. A prescindere da quale sia la sua vera etimologia, alcuni autori2 fanno invece risalire la presa
di coscienza del concetto rischio al Codice di Hammurabi in cui, già all’epoca, sembra si parlasse di una metodologia di condivisione del rischio tipica di particolari contratti assicurativi.
Il primo approccio attivo tuttavia, inteso come possibilità di sottrarsi al destino passivo che sembrava avvolgere il concetto di rischio, si ha soltanto in epoca rinascimentale grazie al notevole sviluppo economico del tempo3. I matematici Pascal e de Fermat formulano infatti
una base matematica per il calcolo della probabilità, grazie ad uno studio sui giochi di fortuna, studio che farà da pilastro per tutti i successivi strumenti di risk management ancora attualmente utilizzati.
1 Vocabolario Etimologico della Lingua Italiana, a cura di Francesco Bonomi
(http://www.etimo.it/?term=rischio&find=Cerca)
2 Pellicelli A.C. (2004), “La gestione dei rischi nelle imprese”, Giappichelli, Torino.
Chiappori P.A. (2008) “Il risk management nella storia”, paper presentato alla riunione annuale di Assicurazioni Generali, Venezia.
3 Prandi P. (2010), “Il risk management – teoria e pratica nel rispetto della normativa”,
8
La prima vera e propria definizione del concetto di rischio risale a inizio ‘900, quando l’economista Frank H. Knight4 distingue tra “rischio” e “incertezza”, «…It will appear that a
measurable uncertainty, or 'risk' proper, as we shall use the term, is so far different from an unmeasurable one that it is not in effect an uncertainty at all.». Il rischio viene quindi definito
come un’incertezza misurabile, ovvero un evento con una distribuzione probabilistica dai parametri conosciuti; l’incertezza invece viene definita come un’alea dai parametri non misurabili, quindi con distribuzione probabilistica ignota. L’idea originale di Knight viene così accolta e sviluppata da numerosi studiosi successivi, passando per Keynes5 e il suo lavoro
sull’analisi del significato e sulle applicazioni della probabilità, fino ad arrivare a Von Neumann e Morgenstern primi studiosi della teoria dell’utilità attesa6; secondo i due
economisti gli individui, data una condizione di incertezza, dovrebbero seguire un modello razionale che li porta a scegliere l’alternativa che va a massimizzare la propria utilità. In particolare, ciascun individuo seguirà una funzione di utilità che sarà crescente all’aumentare dei livelli di ricchezza, decrescente all’aumentare del rischio. Pur rappresentando un apprezzabile avanzamento nella teoria economica che, in precedenza, non prendeva assolutamente in considerazione il rischio, rimane comunque un importante limite. Il comportamento degli individui nei confronti del rischio viene quindi considerato pienamente razionale.
Successivamente, la visione classica dei modelli decisionali è messa fortemente in discussione alla fine degli anni ’70 del Novecento, periodo in cui Kanheman e Tversky cambiano la visione di rischio esclusivamente quantitativo statistica in una comprensiva dell’interpretazione soggettiva della realtà7. Proprio a partire dagli anni ’70 le aziende
iniziano a riconoscere l’importanza di una corretta analisi e gestione dei rischi, “Risk
Management”. Negli anni ’90 sono stati molti gli interventi normativi che hanno
gradualmente introdotto l’obbligo per le imprese di mettere in atto procedure formalizzate e sistemi di controllo interno favorendo il contestuale sviluppo di modelli che cercano di definirne le linee guida.
4 Knight F.H (1921), “Risk, Uncertainty and Profit”, Houghton Mifflin Co., Boston. 5 Keynes J. M. (1921), “Treatise on Probability”, MacMil-lan, London.
6 Von Neumann J., Morgenstern O. (1944), “Theory of Games and Economic Behavior”, Princeton
Economic Press, Princeton.
7 Kahneman D., Tversky A. (1979) “Prospect Theory: An Analysis of Decision under Risk” in Econometrica
9
1.1.1 Il rischio come “Danno Economico”
Parallelamente all’evoluzione del concetto di rischio scandita dalle tappe fondamentali sopra citate, vi sono stati numerosi tentativi di darne una definizione. Analizzando il rischio da una prospettiva statistico-finanziaria, come ad esempio nei lavori di finanza aziendale o nel caso di valutazioni di aziende, c’è la tendenza a definirlo come la possibilità di scostamento dai risultati attesi, facendo ricomprendere in questa casistica sia gli scostamenti positivi sia gli scostamenti negativi; proprio in questi ambiti disciplinari la misura del rischio più frequentemente utilizzata risulta essere la deviazione standard. Passando invece ad una prospettiva aziendalistico-manageriale, la definizione di rischio più largamente utilizzata è quella che contempla soltanto l’accezione negativa del termine, ovvero quella di potenziale “danno economico”. Già il Bertini8 parlava di rischio “ogni
qualvolta è possibile formulare razionalmente una prospettiva di danno economico” quindi
come la possibilità che si verifichino eventi che hanno come conseguenza diretta un risultato negativo o che portano ad un risultato positivo ma inferiore alle aspettative prefissate dall’azienda.
Seguendo quest’ultimo filone di pensiero, la definizione di rischio che sembra maggiormente soddisfare gli scopi di questo elaborato è quella fornita dal D’Onza9, il quale
definisce il rischio come “la possibilità di danno economico che deriva da un evento futuro
di incerta manifestazione che può determinare uno scostamento negativo dagli obiettivi prestabiliti.”
Il rischio risulta essere quindi una possibilità di danno, possibilità che verrà a meno al suo manifestarsi. La definizione “ristretta” di rischio adottata dal D’Onza porta quindi ad usare questo termine per distinguere tutti quei casi aleatori in cui si hanno scostamenti negativi rispetto ad obiettivi prefissati; è il caso sia di risultati negativi più marcati sia di risultati positivi inferiori a quelli attesi. Questa definizione inoltre permette di andare a distinguere chiaramente il concetto di rischio da quello di opportunità, quindi di possibili eventi che hanno come conseguenza del loro accadimento un risultato maggiormente positivo rispetto a quello atteso.
8 Bertini U. (1987), “Introduzione allo studio dei rischi nell’economia aziendale”, Giuffrè, Pisa.
9 D'Onza G., Rigolini A. (2016), “Rischio e sistema d'azienda” in Dispensa ad uso degli studenti del corso di risk management, s.n., Pisa.
10
Il danno economico così definito si traduce in un peggioramento economico finanziario dell’azienda; ecco che maggiori costi, minori ricavi, flussi di cassa inferiori alle aspettative, riduzioni del patrimonio netto, etc., pur essendo causati da eventi di diversa natura sono accumunati dalla stessa conseguenza, ovvero un peggioramento dei risultati aziendali. Il rischio è legato ad un evento futuro di incerta manifestazione; nella dinamica aziendale infatti possono accadere sia eventi con una ciclicità predeterminabile grazie allo studio sui fenomeni passati, quali per esempio il rischio di cambio, sia eventi per i quali è diventato impossibile poter effettuare una qualsiasi ipotesi a causa del mutamento del contesto di riferimento, come il lancio di un nuovo prodotto. Infine, esistono eventi completamente sconosciuti e che quindi non possono neanche essere contemplati (incertezza strictu sensu), basti pensare agli attacchi terroristici prima del 11 settembre 2001, giorno della catastrofe delle Torri Gemelle.
Il rischio come possibilità di uno scostamento negativo rispetto ad un obiettivo fa presupporre la necessità che vi sia all’interno dell’azienda un sistema di individuazione degli obiettivi, rispettosi delle aspettative degli stakeholders; è verso questi che sarà necessario procedere con l’identificazione dei rischi relativi al loro raggiungimento per poi passare alla successiva valutazione e corretta gestione.
1.1.2 Caratteri del rischio
Dalla definizione di rischio, ne discendono anche le sue principali caratteristiche. Essendo infatti un fenomeno scaturito da mutamenti sia esterni al contesto aziendale, e quindi non perfettamente prevedibili (fenomeno oggettivo), sia interni, quindi legati alle capacità dei decision makers di averne una corretta previsione (fenomeno soggettivo), la prima caratteristica implicita sarà l’ineliminabilità; anche Zappa10 già si esprimeva a riguardo:
“Sebbene fattore perturbatore dell’attività economica, il rischio è l’elemento che forse
caratterizza meglio l’azienda, al punto che in assenza di rischio, l’attività aziendale non è neppure concepibile”; il rischio è intrinsecamente legato al sistema azienda e sopravvivrà
con lei accompagnando ogni momento della sua vita.
11
La quantità di rischio al quale l’azienda sarà sottoposta varierà nel corso del tempo, sia a seconda di determinate scelte gestionali, sia a causa di altri fattori esogeni al sistema. La
dinamicità è quindi la seconda caratteristica fondamentale, che implica la necessità per chi
prende le decisioni di mantenere alta nel corso del tempo l’attenzione su tutte quelle variabili in gioco.
Terza caratteristica è la sistematicità; Ferrero11 studiando i rischi secondo uno schema
concettuale di sistema, collegava il rischio economico generale, cioè il macro-rischio che pervade l‘intera struttura aziendale legato all’incertezza di una adeguata remunerazione dei fattori produttivi, ai rischi particolari, descrivendo quest’ultimi come le sue parziali manifestazioni; fondamentale sarà considerare tutte le possibili interdipendenze rischiose e quindi l’entità delle possibili conseguenze.
Ultima caratteristica è il già discusso contenuto economico del rischio; le aziende decidono infatti di procedere all’identificazione e successiva gestione dei rischi proprio in virtù dell’impatto economico che il loro manifestarsi causerebbe all’attività.
12
1.2 Classificazione dei rischi
Come è possibile evincere, la mancanza di una visione concettuale unitaria quindi una prassi variegata in virtù dei diversi fenomeni che caratterizzano gli ambienti di riferimento, hanno portato ad una frammentazione del modo di categorizzare le diverse tipologie di rischio. Prima di entrare nel merito di ogni singola categoria, viene fornita di seguito una visione complessiva che propone la suddivisone in 5 categorie rischio:
I. Livello
1. In base al segno dell’impatto; i. Puri
ii. Speculativi
2. In base alla diversificabilità; i. Sistematici
ii. Specifici
3. In base alla natura del rischio; i. Operativi a) Rischiosità Settoriale b) Rischiosità Strategica c) Rischiosità Strutturale ii. Finanziari a) Di mercato b) Di prezzo c) Di credito d) Di cambio e) Di liquidità
4. In base all’obiettivo su cui impatta il fattore di rischio; i. Strategici
ii. Operativi iii. Reporting iv. Compliance
13
II. Livello
5. Rischi Reputazionali;
1. Classificazione in base al segno dell’impatto:
❖ Rischi Puri: questa categoria segue la concezione aziendalistico-manageriale del rischio, quindi saranno ricompresi in questa categoria tutti quegli eventi a cui è possibile associare soltanto una prospettiva di danno economico. ❖ Rischi Speculativi: questa categoria è fedele alla concezione
statistico-finanziaria del rischio, quindi saranno ricompresi tutti quegli eventi a cui sarà possibile associare sia uno scostamento negativo che uno scostamento positivo rispetto ad un risultato atteso.
Il Selleri12 distingue i rischi puri in tre categorie quali: rischi riguardanti le persone ovvero
eventi che potrebbero colpire gli operatori dell’azienda come le malattie, gli infortuni o altri eventi che potrebbero mettere a repentaglio la salute dei lavoratori; rischi riguardanti i beni ovvero eventi che potrebbero portare a perdita o danneggiamento di attrezzature e strutture aziendali come ad esempio incendi, furti etc.; rischi riguardanti le responsabilità ovvero eventi che potrebbero danneggiare terze parti, quali quello di responsabilità civile prodotto o rischi ambientali.
La principale differenza tra i rischi puri e rischi speculativi è che i primi hanno una manifestazione improvvisa e immediatamente osservabile quindi degli effetti economici che potrebbero impattare l’attività in un lasso di tempo molto ristretto. Da questo deriva l’importanza delle attività di prevenzione per i primi, della fase del monitoraggio per i secondi.
2. Classificazione in base alla diversificabilità:
❖ Rischi Sistematici: questa categoria ricomprende tutti quegli eventi riferibili al cambiamento di variabili macroeconomiche, quindi che colpiscono inevitabilmente tutte le aziende ma con un impatto che varierà da realtà a realtà. Alcuni esempi tipici sono la variazione del tasso di interesse o dell’inflazione.
12 Selleri L. (2006), L’impresa e il rischio. Introduzione all’Enterprise Risk Management, I.S.U. Università
14
❖ Rischi Specifici: questa categoria ricomprende degli eventi che possono impattare una singola azienda in virtù di particolari fattori come la leva finanziaria, la dipendenza da un fornitore o cambiamenti della fiducia degli stakeholders. Questi rischi a differenza dei precedenti possono essere mitigati con adeguate strategie di diversificazione.
3. Classificazione in base alla natura del rischio:
❖ Rischi Operativi: vi rientrano tutti quegli eventi che possono impattare sui processi di produzione, approvvigionamento e gestione delle risorse umane con riferimento sia alla componente operativa che strategica della gestione. ❖ Rischi Finanziari: tutti quegli eventi che impattano la dinamica finanziaria
dell’azienda con riferimento alla suddivisione tra capitale di rischio e capitale di debito. Seguendo una concezione più ampia di rischio finanziario si devono collocare all’interno di questa categoria i rischi legati agli strumenti finanziari di copertura; il principio contabile internazionale dell’International Financial Reporting Standard (IFRS) 7, distingue questi in rischi di Mercato, di Credito e di Liquidità.
In dottrina i rischi operativi sono stati ulteriormente suddivisi. Donna13 propone una
suddivisione ulteriore legata a Rischiosità settoriale quindi correlata all’ambiente competitivo in cui l’azienda si trova ad operare; Rischiosità Strategica ovvero correlata al vantaggio competitivo dell’azienda e al suo tasso di crescita; Rischiosità Strutturale correlata alla flessibilità dell’azienda, quindi alla ripartizione tra costi fissi e variabili.
Con riferimento specifico ai rischi finanziari invece, il rischio di mercato indica la possibilità di variazioni del fair value (valore equo) di uno strumento finanziario o dei flussi di cassa futuri di un’azienda a causa di movimenti dei tassi di cambio, dei tassi di interesse o dei prezzi. Se suddette variazioni sono avvenute per ragioni legate a fluttuazioni dei tassi di cambio si parlerà di rischio di cambio; se invece la causa è da imputare a fluttuazioni dei tassi di interesse, si parlerà di rischio di tasso; infine l’ultimo caso è quello in cui i prezzi dei titoli posseduti all’interno di un portafoglio azionario subiscono delle variazioni, rischio di
prezzo. Il rischio di credito tipicamente è relativo a possibili situazioni in cui la controparte
non è più capace di adempiere agli impegni contrattuali assunti. Generalmente parlando, spesso si indica come rischio di credito anche la possibilità di un declassamento delle
15
obbligazioni emesse dall’azienda da parte delle agenzie di rating. Concludendo, il rischio di
liquidità fa riferimento alle difficoltà che un’azienda può incontrare ogni volta che vi è uno
sfasamento temporale tra le entrate e le uscite, sfasamento che comporta dei disequilibri gestionali.
Infine, vi è la quarta e ultima classificazione
4. Classificazione sulla base dell’obiettivo su cui impatta il fattore di rischio:
❖ Rischi Strategici: eventi che possono impattare l’obiettivo dell’azienda di generare valore nel lungo periodo a causa dell’impatto negativo sulla competitività aziendale. Generalmente gli obiettivi strategici dell’impresa sono declinati già a partire dalla mission e dalla vision;
❖ Rischi Operativi: eventi che possono impattare sulla catena del valore aziendale e quindi sugli obiettivi efficacia, efficienza ed economicità dei processi, generalmente di breve-medio termine e misurati ponendo l’attenzione sul rapporto performance-risorse assorbite.
❖ Rischi di Reporting: eventi legati ad una mancanza di affidabilità del flusso informativo aziendale, sia all’interno dell’azienda che verso l’esterno nei documenti pubblici (ad esempio eventi che impattano sulle informazioni presenti nel bilancio e nei vari report di natura cogente) a causa di informazioni non accurate, non tempestive, non rilevanti, non aggiornate, non ben selezionate o generate con un rapporto costo/benefici non vantaggioso.
❖ Rischi di Compliance: eventi legati al mancato rispetto di leggi, normative, standard, best practices internazionali e quindi tutte le possibili conseguenze che ne possono derivare, quali interruzioni dei processi critici o sospensione delle attività aziendali.
Questa classificazione fu proposta per la prima volta nel 2004 dal Committee of Sponsoring Organizations of the Treadway Commission (COSO), nella prima edizione del framework sulla gestione dei rischi e, nel corso degli anni, è diventata un punto di riferimento per tutte le aziende che gradualmente incominciarono ad affacciarsi ad un sistema integrato di gestione dei rischi. Nel seguito della trattazione verranno approfonditi i graduali passaggi dell’evoluzione della gestione dei rischi in azienda e quindi la genesi dei relativi framework per la corretta rilevazione, nonché i più recenti aggiornamenti in materia.
16
Per completezza di analisi, ciò che è necessario sapere in questa fase è che, oltre alle quattro tipologie appena citate, vi è stata la tendenza ad esplicitare un’ulteriore tipologia,
5. Rischi Reputazionali: eventi che possono impattare sull’immagine e sulla
reputazione dell’azienda con ripercussioni economiche rilevanti.
Spesso questi rischi vengono definiti di secondo livello poiché si generano come conseguenza dell’accadimento di altri rischi. Basti pensare infatti al danno di immagine scaturito da un malfunzionamento di un prodotto o dall’operato maldestro di un addetto e a tutte le possibili conseguenze, quali ad esempio la nascita di movimenti di boicottaggio, che potrebbero indurre i consumatori a non comprare più i prodotti in virtù dell’immagine negativa ormai generata. I rischi reputazionali stanno assumendo una sempre maggiore attenzione non solo in tutte quelle aziende che godono di un brand forte e riconosciuto ma, soprattutto, nelle aziende quotate dove le ripercussioni dell’accadimento di un rischio reputazionale potrebbero essere lampanti con una drastica diminuzione del valore di borsa delle azioni. Infine, il momento storico caratterizzato dalla potenza dei social network e dal rapidissimo scambio di informazioni, in cui la voce del singolo può diventare in maniera virale la voce di un gruppo, fa da acceleratore alla pericolosità dell’esposizione a tale tipologia di rischio.
A prescindere dalle numerose classificazioni proposte in letteratura, la prassi insegna che non vi è un modello vincitore ma, l’esperienza di ciascuna azienda, la capacità del management e le peculiarità delle singole strutture saranno determinanti nel comprendere le tipologie di rischio che possono impattare gli obiettivi stabiliti. Le categorie sopra elencate sono da considerarsi quindi come uno spunto da cui far partire le riflessioni non appena i principali obiettivi aziendali saranno declinati.
17
1.3 Dal Risk Management all’ Enterprise Risk Management
L’evoluzione del risk management sembra aver preso avvio dal settore assicurativo con la stipula dei primi semplici contratti di assicurazione per poi gradualmente lasciare spazio all’introduzione di procedimenti sempre più strutturati fino a veri e propri modelli di gestione del rischio14. Parallelamente all’evoluzione del concetto di rischio spiegata all’inizio
di questo elaborato vi è stata infatti l’evoluzione delle pratiche di gestione, che sono passate da approcci di tipo preventivo e volti al mero trasferimento del rischio, Insurance
Management, ad approcci di tipo proattivo volti alla gestione e mitigazione del rischio, Risk Management. All’inizio del percorso evolutivo si trovano i primi contratti assicurativi
stipulati nell’ambito dei trasporti marittimi; il primo modello prevedeva che un soggetto, l’assicuratore, prestasse delle somme ad un secondo soggetto, l’assicurato, il quale si sarebbe impegnato alla restituzione di queste, comprensive degli interessi, soltanto se il trasporto fosse andato a buon fine e quindi la merce avesse raggiunto il porto di destinazione senza subire danno alcuno. Questa prima tipologia di assicurazione molto diffusa al tempo, venne gradualmente sostituita soprattutto a seguito della pubblicazione del Liber Extra15 di Papa Gregorio IX che aveva lo scopo di limitare i prestiti in modo da
combattere le pratiche di usura. Le nuove convenzioni stipulate in seguito al provvedimento, sostituirono il prestito con una vendita della merce oggetto del carico da parte dell’assicurato all’assicuratore, e il contestuale impegno del primo al riacquisto ad un prezzo maggiorato (fatto salvo l’arrivo intatto del carico al porto di destinazione). La sempre maggiore necessità di tutelare i trasporti marittimi portò anche all’introduzione della figura di un notaio come garante delle somme assicurate, ruolo ricoperto con il passare del tempo dai primi intermediari assicurativi. Più tardi, l’oggetto dei contratti di assicurazione si ampliò fino a ricomprendere non soltanto trasporti marittimi ma anche eventi naturali come incendi e danni collettivi; questo passaggio fu un vero e proprio spartiacque che sancì la
14 Protiviti (2016), Da Insurance Risk Manager a Chief Risk Officer: un percorso di evoluzione nella gestione dei rischi
15 Raccolta delle decretali di Gregorio IX, ovvero lettere firmate da un papa contenenti disposizioni
giuridiche, riguardanti un caso singolo, alle quali andava riconosciuto un valore generale. Questa raccolta, denominata con l’appellativo Extra per il fatto che conteneva le fonti non comprese nel Decretum Gratiani (“quae extra decretum vagabantur”) costituisce la seconda collezione del Corpus iuris canonici e fu la prima ad avere carattere di codificazione ufficiale.
18
nascita definitiva delle compagnie di assicurazione nonché la rapidissima espansione di questo settore.
In ambito aziendale il primo contributo importante fu quello di Fayol del 1916 “Administration industrielle et générale” vera e propria pietra miliare dell’organizzazione aziendale. Fayol individuò all’interno delle aziende sei funzioni: produzione, vendite, finanza, organizzazione, contabilità e sicurezza. Con la nascita della nuova funzione di sicurezza, Corporate Insurance, si andò delineando una nuova figura, l’Insurance Buyer, il cui compito principale era quello di effettuare attività di copertura dei rischi cosiddetti “assicurabili” tramite l’acquisto di polizze assicurative. Oltre alla stipula dei contratti, la nuova funzione di Corporate Insurance era responsabile degli adempimenti contabili e amministrativi correlati alla stipula di suddette polizze nonché della loro gestione operativa; il risk transfer era quindi l’unico strumento a disposizione per la gestione dei rischi. Inizialmente, l’istituzione di questa nuova figura trovò molte difficoltà soprattutto a causa della reticenza del mondo degli intermediari quali broker e agenti che, sentendo le proprie commissioni e le proprie prerogative minacciate, cercavano di ostacolarne la diffusione; tuttavia, la collaborazione tra le due figure si rivelò molto proficua poiché gli intermediari, soggetti esterni quindi indipendenti dall’azienda, mantennero il compito di individuare le polizze assicurative più coerenti e le coperture più vantaggiose, mentre, l’insurance buyer, si trasformò nell’interlocutore interno più qualificato, quindi ottimo mediatore tra le parti. Un salto di qualità nell’approccio dei rischi aziendali si ebbe a partire dagli anni ’50 del’900. Tale passaggio fu causato in primo luogo da alcune pratiche non corrette spesso portate avanti dai broker e dagli agenti, in secondo luogo dalle asimmetrie informative presenti nel mercato assicurativo che minavano il rapporto intermediari-aziende. Analizzando il primo caso, il problema principale derivava dal fatto che le retribuzioni degli agenti si basavano soprattutto su delle provvigioni applicate al numero dei contratti venduti, quindi direttamente correlate al volume di affari. Il conflitto di interessi era chiaro; i broker iniziarono a sacrificare gli interessi delle aziende alla ricerca di una maggiore remunerazione. Necessarie di una maggiore tutela, le aziende si videro così obbligate a prendere una maggiore consapevolezza delle tematiche in questione, spingendo l’insurance buyer ad una evoluzione ancor più gestionale; da semplice curatore degli aspetti amministrativi a conoscitore delle logiche e dei meccanismi del mercato, quindi ad una figura capace di prendere attivamente parte alle negoziazioni. Il nuovo Insurance Manager aveva inoltre il
19
compito di andare a mappare tutti i rischi assicurabili, trasferendo all’esterno soltanto quei rischi che non potevano essere gestiti internamente. Questa nuova corrente di pensiero16
vedeva il Risk Management come un sistema di gestione del rischio che, avvalendosi di nuovi strumenti e tecniche, tra le quali quella delle captives ovvero imprese fondate da una società o da gruppi di società di dimensioni rilevanti con il solo scopo di gestire l’assicurazione delle loro attività, cercava di limitare al minimo i rapporti con le compagnie assicurative quindi riducendo la voce di costo legata ai premi.
Negli anni successivi quindi, la figura dell’Insurance Manager si trovò a sviluppare ed ampliare il suo range di azione, contemplando la gestione di nuove tipologie di rischi con un rinnovamento delle strategie di risposta, superando le strategie meramente Risk Trasfer Based. Era ormai chiaro infatti che non tutte le tipologie di rischio presenti in azienda fossero gestibili tramite la stipula di contratti assicurativi ma, un numero sempre crescente era rappresentato dai cosiddetti rischi non assicurabili, quindi che sembravano, almeno in apparenza, esulare dalla sfera d’azione dell’Insurance Manager.
Dal punto di vista accademico, la materia oggetto di studio subì in quegli anni un periodo di effervescenza che perdurò per tutti gli anni ’60. In particolare, il contributo di maggiore importanza fu ad opera degli studiosi statunitensi Mehr e Bob Hedges17. I due elaborarono
infatti un primo tentativo di estensione delle pratiche di risk management anche ai rischi cosiddetti “speculativi”, ampliando e sviluppando la disciplina fino a ricomprendere all’interno della gamma dei rischi anche quelli che fino ad allora ne erano sempre rimasti esclusi.
I tentativi più consistenti di riportare nell’operatività aziendale ciò che era scritto soltanto su carta si ebbero grazie alla grande diffusione delle associazioni nate a partire dalla seconda metà del 900, quali la RIMS “Risk and Insurance Management Society” negli Stati Uniti, IRMIC “Association of Insurance and Risk Managers in Industry and Commerce” in Inghilterra, AOG “Assurantie Overlegorgaan Grootenderneimingen” in Olanda, CAGI “Groupment des Assures du Commerce et de l’Industrie” in Francia, VIV “Verband Industrieverbunder Versicherungsvermittler” in Germania, A.N.R.A. “Associazione
Nazionale Responsabili Assicurazioni” in Italia ed infine l’AEAI “Association Europeenne de
16 Gallagher, R. B. (1956), “Risk Management: A new phase of Cost Control” in Harvard Business Review,
pp.75-86.
17 Hedges R.I., Mehr R.A. (1963), Risk Management in the Business Enterprise, Richard D. Irwin,
20
Assurance de l’Industrie”, associazione a livello europeo in rappresentanza degli interessi
delle varie associazioni nazionali. Negli anni ’70 invece, vi contribuì sia il grande sviluppo economico vissuto dagli Stati Uniti sia l’evoluzione regolamentare, soprattutto in tema di responsabilità civile come conseguenza diretta della violazione degli obblighi di conformità in capo alle aziende industriali.
Gli anni ’80 furono segnati dalla crisi del mercato assicurativo. Il mercato fino ad allora fu caratterizzato da un’estrema facilità per le aziende di assicurarsi con polizze dai premi molto vantaggiosi e molto generose in termini di massimali di esposizione, a prescindere dalla rischiosità del settore che spesso nemmeno veniva contemplata dalle clausole. Il mercato, detto in questa fase “soft market” fu messo in crisi da una serie di catastrofi soprattutto ambientali che iniziarono a colpire l’attività economica delle aziende, costringendo le compagnie di assicurazione ad onerosi risarcimenti anche molti anni dopo l’accadimento dell’evento rischioso. Iniziò una graduale revisione delle offerte che ebbe come conseguenze principali sia un generale aumento dei premi assicurativi sia una riduzione dei massimali. In questo nuovo “hard market” si delineò ben presto una nuova figura aziendale, l’“Insurance Risk Manager”. Tra i compiti principali, oltre a quelli già visti di gestione delle coperture assicurative aziendali per i rischi assicurabili, vi erano quelli di analizzare e trattare una gamma di rischi ora più ampia, con una interazione sempre maggiore con il management e i vertici aziendali. Proprio la crisi del mercato assicurativo legata al diffondersi delle prime normative di responsabilità civile prodotto, quindi l’introduzione dell’obbligo di recall dei prodotti difettosi, e una espansione del mercato finanziario in tema di copertura (grazie al massiccio uso di strumenti finanziari come swap, future, opzioni e derivati), portarono ad un grande aumento della richiesta di manager con questo tipo di prerogativa.
Soltanto alla fine degli anni ’90 si iniziò a delineare la figura professionale del Risk Manager, ovvero quando l’Insurance Risk Manager risultò essere sempre più coinvolto in progetti di Merger and Acquisition nonché in importanti attività di Crisis Management. Queste nuove sfide professionali richiesero agli Insurance Risk Manager di dotarsi di strategie di risposta al rischio sempre più sofisticate e il ricorso al mercato ed agli intermediari assicurativi non potevano più essere le principali soluzioni; i vertici di molte realtà aziendali inoltre avevano ormai la necessità di farsi affiancare da un esperto di gestione dei rischi a tuttotondo che prendesse attivamente parte al processo decisionale strategico. Tuttavia, per molti
21
Insurance Risk Manager questo non rappresentò un naturale passaggio tanto che, ancora oggi, non è insolito continuare a trovare negli organigrammi aziendali, soprattutto in particolari tipologie di business, questa figura professionale.
L’evoluzione della figura deputata all’analisi dei rischi in azienda, come si è potuto vedere, ha subito nel corso del tempo numerosi adattamenti. Inizialmente, nelle prime versioni di Risk Management “a silos”, a condurre le analisi dei rischi vi era un soggetto di formazione assicurativa, di stampo molto operativo e collocato a livello funzionale (vedasi la primordiale collocazione nella funzione aziendale di “sicurezza” o il successivo posizionamento all’interno dell’area legale o finanziaria) che si occupava di gestire rischi specifici e ben delineati tramite l’utilizzo di strumenti di mero trasferimento del rischio; successivamente si è passati ad una figura di maggiore responsabilità, collocata a livello di staff quindi a supporto interfunzionale del processo decisionale, con formazione variegata nonché capacità gestionali polivalenti e trasversali.
Le numerose crisi e l’avvio di nuovi trend economici avvenuti nel periodo compreso tra la fine degli anni ’90 e culminato con la crisi economica mondiale del 2008, hanno segnato un momento di svolta e di profondo cambiamento nelle modalità di interpretazione della disciplina del risk management.
Considerando in particolare:
• Corporate Globalization: i grandi passi in avanti compiuti dalle aziende in termini di internazionalizzazione portata avanti mediante pratiche di outsourcing hanno fatto sorgere la nascita di nuove tipologie di rischio legate alle tematiche di delocalizzazione;
• Nuove pratiche organizzative: l’introduzione di nuove modalità organizzativo-produttive, prime su tutte la tecnica giapponese del Just in time, ha fatto emergere nuove aree di rischio legate alla catena di fornitura con conseguenze molto gravi sulle interruzioni dei processi produttivi;
• Esternalizzazione: la tendenza eccessiva ad affidare all’esterno sempre maggiori attività, anche tipo “core”, ha fatto emergere nuove tematiche di rischio di dipendenza da partner o fornitori;
• Volatilità: la poca stabilità dei mercati finanziari in generale ha contribuito a incrementare la percezione del rischio a qualsiasi livello aziendale;
22
L’evoluzione del Risk Management verso la nascita di un sistema di gestione integrata dei rischi, Enterprise Risk Management (ERM), ha rappresentato la principale risposta a questa serie di cambiamenti. Prima di arrivare a questo approccio di tipo olistico, si è passati attraverso numerosi interpretazioni e tipologie particolari di applicazioni delle tecniche di Risk Management. Poiché non è chiaro il momento esatto della sua nascita, verranno di seguito analizzati i principali schemi presenti in dottrina. A fronte della vasta scelta di framework di risk management a cui far riferimento, si è scelto di analizzare soltanto quelli che permetteranno di comprendere in maniera efficace la logica che ha portato la visione olistica di risk management. Per completezza di analisi però, è importante sottolineare la nascita in questa nuova fase di una nuova figura deputata alla gestione dei rischi il Chief Risk
Officer. A differenza delle numerose figure descritte nei paragrafi precedenti, quest’ultima
è ormai completamente integrata al top management sia nelle decisioni strategiche sia nelle relative scelte di investimento con un ruolo non più soltanto di supporto ma di vero e proprio indirizzo; proprio questa caratteristica si riflette nel suo ideale collocamento al vertice dell’organizzazione aziendale, in modo da riuscire a tenere costantemente sotto controllo il grado complessivo di esposizione al rischio dell’azienda nella sua interezza.
1.3.1 Financial Risk Management
Il Financial Risk Management (FRM) nasce a partire dagli anni ’90 quando le aziende si accorgono che la valutazione degli investimenti e delle relative forme di finanziamento sono attività fondamentali per il raggiungimento dei propri obiettivi. Il contestuale sviluppo delle funzioni finanziarie all’interno delle aziende viene accompagnato dalla necessità di andare a creare un approccio focalizzato prettamente, come è intuibile già a partire dal nome, alla sola gestione dei rischi finanziari. Prandi18 suggerisce di considerare in questo ambito
un’accezione di rischio finanziario in senso lato, includendo in questi sia quelli che guardano all’area operativa (es. variazione del prezzo di una materia prima) sia quelli che guardano all’area più strettamente finanziaria (variazione del tasso di cambio, di interesse etc.). Ciò che caratterizza il FRM è quindi la continua ottimizzazione dell’allocazione del capitale proprio e di quello di debito alla ricerca della remunerazione ritenuta accettabile, entro le soglie di rischio stabilite. Nonostante il perimetro di azione sia limitato, questo approccio inizia a prevedere attività che saranno poi riprese nel framework integrato19.
18 Prandi (2010) op. citata.
23
1.3.2 Project Risk Management
Il Project Risk Management (PRM) si sviluppa nell’ambito delle costruzioni delle grandi opere edili quali grattacieli, ponti, dighe etc. ma anche in senso più ampio in qualsiasi grande opera che possa rientrare nel settore meccanico o delle infrastrutture. Questa tipologia di approccio nasce per gestire i rischi associati alle varie fasi di costruzione dell’opera ma, a differenza del classico Risk Management di tipo economico, l’obiettivo non è tanto quello di individuare e gestire rischi legati ad eventi che possono impattare sul livello dei costi del progetto quanto sull’individuare i rischi legati a quegli eventi che possono minare la realizzazione stessa dell’opera. In particolare, nel Project Risk Management rientrano quelle attività volte ad assicurare l’individuazione di tutte le possibili cause di rallentamento del progetto o di scostamenti qualitativi o tecnici dalle specifiche del progetto delineate.
1.3.3 Traditional Risk Management
Il Traditional Risk Management (TRM) è una metodologia di gestione del rischio che si concentra in particolare sulla corretta gestione dei rischi puri ovvero quelli definiti da Prandi come “fonte di potenziali danni dai quali difendersi”, con l’obiettivo a livello di singole business units di” gestire i rischi con il minor costo possibile”. Questa tipologia di risk management appunto tradizionale, si basa sull’utilizzo di strumenti finanziari di hedging, in grado di incidere sia sulla riduzione della probabilità di accadimento dell’evento rischioso, sia sulla riduzione dei costi. Questa sua principale caratteristica di approccio dai costi molto contenuti si ripercuote soprattutto in applicazioni spesso una tantum, quindi in base alle singole necessità. Il risvolto della medaglia è però in primo luogo una impossibilità di portare avanti misure di mitigazione dal buon bilanciamento costi-benefici poiché, valutando i rischi singolarmente e prescindendo da tutte le possibili correlazioni, manca quella visione d’insieme fondamentale a prioritizzare gli interventi secondo una gerarchia definita; in secondo luogo vi è una perdita di efficienza in sede di allocazione delle risorse riguardo alle azioni di correzione in quanto non possono essere valutate in un’ottica sinergica tra i diversi eventi rischiosi. Queste caratteristiche lo rendono inoltre una metodologia che utilizza tecniche di Risk Assessment poco flessibili che mal si adattano perciò all’individuazione di eventi e di possibili minacce riguardanti il contesto molto dinamico dei cambiamenti afferenti i diversi modelli di business; tuttavia questa particolare approccio al risk management continua a trovare applicazione soprattutto in imprese di piccole dimensioni
24
Il TRM sembra essere l’antenato che più si avvicina al modello dell’Enterprise Risk Management soprattutto perché considerando le singole fasi di implementazione, queste risultano essere molto vicine a quelle previste dal modello olistico di gestione dei rischi; in particolare è possibile individuare 4 fasi:
• Identificazione del Rischio, fase che prevede la definizione degli eventi rischiosi che possono andare ad impattare l’attività;
• Valutazione del Rischio, fase che prevede una stima dell’ammontare dei danni provocati dall’evento rischioso;
• Gestione del Rischio, fase di analisi delle possibili strategie di prevenzione o trasferimento del rischio;
25
1.3.4 Enterprise Risk Management
L’Enterprise Risk Management (ERM) è stato proposto per la prima volta dal COSO of Treadway Commision nel 2004, framework che ha rappresentato una pietra miliare nell’approccio olistico alla gestione dei rischi. Nel capitolo successivo verrà affrontata la genesi del framework e le modifiche subite nel corso degli anni fino alla versione appena rivisitata pubblicata nel corso dell’anno appena trascorso; verranno inoltre analizzati altri framework successivi ma correntemente utilizzati da numerose aziende in materia di gestione dei rischi.
Come precedentemente sottolineato, l’instabilità economica degli anni ’90 culminata con la crisi globale del 2008 nonché i nuovi trend e le principali novità apportate all’attività economica, hanno richiesto un nuovo tipo di approccio ai rischi, spingendo verso un ampliamento dell’oggetto di analisi.
In letteratura sono state fornite nel corso degli anni numerose definizioni con l’obiettivo di riassumere le caratteristiche principali di questo tipo di approccio “innovativo”; di seguito sono riportate alcune tra le principali come spunto di riflessione:
“I would define ERM as follows: A comprehensive and integrated framework for managing
credit risk, market risk, operational risk, economic capital and risk transfer, in order to maximize firm value”20
“..enterprise risk management may be defined as a comprehensive and integrated
framework for managing company-wide risk in order to maximize a company’s value”21
“Enterprise risk management is the process of identifying major risks that confront an organization forecasting the significance of those risks in business processes, addressing the
20 Lam, J. (2003), Enterprise Risk Management. From Incentives to Controls, John Wiley & Sons, Hoboken,
New Yersey.
21 Chapman, R. J. (2006), Simple tools and techniques for enterprise risk management, John Wiley and
26
risks in a systematic and coordinated plan, implementing the plan, holding individuals responsible for managing critical risks within the scope of their responsibilities”22
“The purpose of enterprise risk management (ERM) programs, is to enable management to understand the organization’s risk environment and make decisions to optimize performance within that environment”23
In primo luogo, da queste definizioni risulta chiaro il richiamo ad un tipo di approccio completamente opposto a quello tradizionale, ovvero esteso e pervasivo di tutta l’azienda, prevedendo il coinvolgimento di tutte le unità organizzative e/o funzioni aziendali. Questo permette di andare a diffondere una nuova cultura del rischio, quindi una proattività necessaria ad identificare nuove tipologie di scenario grazie all’espansione verso l’analisi di eventi legati non solo alla sfera finanziaria ma anche all’operatività aziendale, al rispetto delle normative cogenti, ai cambiamenti del contesto competitivo e degli interessi degli stakeholders che consentiranno di individuare non solo le minacce da cui difendersi ma anche eventuali opportunità da sfruttare. In secondo luogo, presuppone la necessità di un pieno coinvolgimento delle figure responsabili della definizione delle strategie aziendali, quali amministratori e top management; saranno proprio gli obiettivi strategici declinati in obiettivi misurabili di lungo termine l’input fondamentale al Chief Risk Officer, quindi al processo di Enterprise Risk Management in generale, a mostrare il proprio contributo come strumento di creazione di valore, volto a favorire una ragionevole certezza circa il loro raggiungimento.
22 Hampton, J. J. (2009), Fundamentals of Enterprise Risk Management: How Top Companies Assess Risk, Manage Exposure, and Seize Opportunity, American Management Association AMACOM, Stati Uniti d’America.
23 Kimmel B.B., Anderson G.E., (2010), “ERM Myths & Truths”, Financial Executive, Vol. 1, December,
27
La seguente tabella riassume le principali differenze tra gli ultimi due approcci analizzati.
Tabella 1 - Le principali differenze tra TRM e ERM
Traditional Risk Management Enterprise Risk Management
Considera i soli rischi assicurabili Considera anche rischi non assicurabili Gestione singola del rischio Gestione correlata dei rischi Focalizzato su singole business unit (a silos) A livello aziendale (olistico) Approccio passivo e sporadico Approccio proattivo e continuo Focalizzato sulla mera prevenzione Focalizzato sulla creazione di valore
28
2 Framework di Riferimento per la gestione integrata
dei rischi
Con lo scopo di favorire la corretta applicazione di un sistema integrato di gestione dei rischi, sono stati prodotti nel corso degli anni numerosi schemi di riferimento. I principali framework internazionali, applicati dalla maggior parte delle aziende sono quelli proposti dall’International Organization for Standardization (ISO) e dal Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Per ognuna delle due organizzazioni vi sarà un’introduzione generale sulla storia della sua fondazione e sui principali schemi emanati nel corso degli anni; si entrerà poi nel merito dei framework dedicati specificatamente alla gestione dei rischi, alla luce dei loro recenti aggiornamenti. Un maggiore spazio e profondità di analisi saranno dedicati allo schema proposto dal COSO, che ha rappresentato fin dal 2004 la pietra miliare della gestione integrata dei rischi.
2.1 Gli standard ISO
L’Organizzazione Internazionale per la Standardizzazione (ISO) è un’organizzazione indipendente non governativa riconosciuta a livello mondiale per la definizione di norme e tecniche. Il termine “ISO” non è un acronimo ma deriva dal greco ἴσος (pronuncia: isos), il cui significato sta per "uguale", come abbreviazione di carattere universale. Infatti, fondata a Londra nel 1947, raccoglie intorno a sé numerosi esperti che, nel corso degli anni hanno portato alla pubblicazione di più di 22,144 tra standard e relativi documenti, andando a coprire quasi tutti i settori dell’attività economica. Oggi ha la sua sede a Ginevra e conta esperti provenienti da 161 nazioni24.
Con riferimento alla gestione dei rischi, l’organizzazione ha emanato nel corso degli anni i seguenti documenti ed i relativi aggiornamenti:
• “GUIDE 73:2002- Risk management (Vocabulary)” pubblicato nel 2002;
29
• “GUIDE 73:2009 - Risk management (Vocabulary)” pubblicato nel 2009, revisione del documento precedente;
• “31000:2009 - Risk management (Principles and guidelines)”; • “‘IEC 31010:2009 - Risk management (Risk assessment techniques)”;
• “31000:2018 - Risk management (Guidelines)”, revisione del documento emanato nel 2009.
L’ISO Guide 73 è rivolto agli accademici studiosi di risk management, ai legislatori o a tutti coloro preposti alla gestione dei rischi all’interno dell’azienda. Questo standard rappresenta una raccolta generica di definizioni e di termini relativi alle pratiche di risk management con lo scopo di andare a creare e diffondere un linguaggio comune condiviso, uniformando la terminologia da utilizzare nei processi di risk assessment. Questa guida è stata oggetto di revisione nel corso del 2016, tuttavia l’organizzazione ha confermato la sua valenza attuale senza la necessità di interventi di modifica.
Lo standard IEC 31010 invece, è stato emanato in collaborazione con l’International Electrotechnical Commission e rappresenta un documento di supporto alla ISO 31000, focalizzandosi sulla guida alla selezione e all’applicazione delle principali tecniche di risk assessment; l’ISO specifica che questo standard non ha valenza di certificazione e non è stato elaborato per avere un uso contrattuale. In questi mesi il documento è stato sottoposto a un accurato, e non ancora concluso, lavoro di revisione in conseguenza di quello già effettuato allo standard 31000, passando dallo stadio di Commitee Draft (CD) a quello di Draft International Standard (DIS): in questa fase importante, il testo ha trovato una sua forma più strutturata e definita. La pubblicazione nella sua nuova versione dovrebbe avvenire proprio nel corso del 2018.
La norma ISO 31000, infine rappresenta lo standard principale; tuttavia anch’esso non è utilizzabile ai fini del rilascio di alcuna certificazione; questo standard ha il compito di spiegare l’intero processo di gestione del rischio nonché di fornire una serie di suggerimenti sulla sua efficace applicazione all’interno di qualsiasi organizzazione a prescindere dal settore imprenditoriale in cui essa opera, fornendo supporto al management in tutte quelle attività che vanno dalla pianificazione alla gestione dei processi, tramite la diffusione di una cultura “Risk Based Thinking”.
30
Le principali novità apportate dalla recente modifica sono sia di tipo formale che sostanziale. Le prime sono relative all’utilizzo di un linguaggio più semplice e di più facile comprensione a tutti i potenziali lettori dei più disparati settori di attività, non perdendo di vista il giusto compromesso tra l’approfondimento della tematica e la necessità di sintesi; il risultato è stato quindi un documento più breve della precedente versione. Con riguardo alle novità di tipo sostanziale, queste sono riassumibili in quattro punti principali:
❖ Revisione dei principi chiave del risk management e dei criteri per il suo successo; ❖ Maggiore importanza affidata alla componente umana e culturale nel
raggiungimento degli obiettivi di lungo termine (andando ad integrare ancor più il risk management con il processo decisionale strategico-operativo e di governance); ❖ Enfasi maggiore sulla natura iterativa del processo di risk management e di come
nuove esperienze e nuove informazioni possono portare ad una revisione dei suoi principali elementi (processi, azioni e tecniche), sempre in ottica di un miglioramento continuo;
❖ Enfasi sul mantenimento di un sistema aperto e sempre reattivo alle nuove esigenze e ai cambiamenti del contesto di riferimento
31
2.2 Lo standard ISO 31000:2018
Lo standard ISO 31000:2018 emanato a febbraio 2018 riprende in parte la struttura della versione precedente25. Nell’introduzione della norma infatti si specifica che la gestione dei
rischi si basa su tre pilastri fondamentali: 1. Principi per la gestione dei rischi; 2. Framework per la gestione dei rischi; 3. Processo per la gestione dei rischi.
Gli otto principi per la gestione dei rischi rappresentano una guida fondamentale durante tutte le fasi di implementazione di un sistema di gestione dei rischi efficace ed efficiente, con lo scopo di comunicare in maniera chiara e decisa il fine principale di tutto il framework: la creazione e la salvaguardia del valore aziendale.
Il framework per la gestione dei rischi invece è focalizzato sull'integrazione, la progettazione, l'implementazione, la valutazione e il miglioramento della gestione dei rischi all'interno dell'organizzazione.
Il processo per la gestione dei rischi infine comporta l'applicazione sistematica di politiche, procedure e attività di comunicazione e consultazione, stabilendo il contesto e valutando, trattando, monitorando, rivedendo, registrando e segnalando i rischi.
25 Rielaborazione personale dei contenuti della norma emanata in lingua inglese, in attesa della versione
32 Figura 1 - Principi, Framework e Processo per la gestione dei rischi
Prima di entrare nel merito di ognuno dei tre pilastri è interessante ai fini della trattazione soffermarsi a riflettere su alcune definizioni fornite dallo standard in questione, in accordo con la ISO Guide 73:2009. Nella sezione dedicata alle linee guida infatti sono definiti:
Rischio; L’effetto dell’incertezza sugli obiettivi. La definizione fornita dalla ISO va a
descrivere l’effetto come una possibile deviazione, sia essa negativa o positiva, da quanto preventivato. La ISO sembra quindi allontanarsi dal concetto di esclusivo “Danno Economico” analizzato ad inizio della trattazione, propendendo verso l’approccio statistico-finanziario. Gli obiettivi invece, specifica la norma, possono riguardare differenti aspetti della gestione a differenti livelli, andando a richiamare implicitamente il concetto di categorie di rischio precedentemente analizzato.
Risk Management; Un insieme di attività coordinate al fine di dirigere e controllare un’organizzazione con riguardo al rischio. La definizione fornita dalla norma conferma il
33
concetto di risk management come strumento pervasivo di tutta l’azienda, da considerare in tutte le attività della gestione aziendale.
2.2.1 I principi per la gestione dei rischi
Analizzando il primo pilastro della norma si riscontrano già le principali modifiche rispetto al passato; in particolare, gli undici principi della versione del 2009 sono stati ridotti a otto nella corrente versione e rielaborati nel contenuto al fine di renderli più fruibili a tutti gli utenti. Per poter risultare uno strumento efficace, capace di creare e salvaguardare il valore aziendale, il risk management dovrà essere:
a) Integrato: parte integrante di tutte le attività organizzative;
b) Strutturato e Onnicomprensivo: al fine di produrre risultati coerenti e quindi comparabili;
c) Personalizzato: ovvero adattato in base alla natura e alle caratteristiche del contesto interno ed esterno all’organizzazione e relativamente ai suoi obiettivi;
d) Inclusivo: ovvero coinvolgendo tempestivamente ed in maniera appropriata tutti gli stakeholders, al fine di considerare le loro visuali e le loro percezioni;
e) Dinamico: al fine di intercettare l’insorgere di nuovi rischi e rispondere tempestivamente ai cambiamenti afferenti l’ambiente interno ed esterno all’organizzazione;
f) Basato sulle migliori informazioni disponibili: ovvero basato sia su informazioni di tipo storico sia su informazioni attuali, comprensivo anche di eventuali aspettative; g) Basato su fattori umani e culturali: ovvero influenzato su ogni aspetto e a ogni livello, a prescindere dallo stadio di avanzamento, dai comportamenti delle persone e dalla cultura aziendale;
h) Un processo di miglioramento continuo: ovvero continuamente aggiornato grazie all’apprendimento e all’esperienza.
Mentre i primi cinque principi sono delle linee guida su come dovrebbe essere progettata un’iniziativa di risk management, i principi sei, sette e otto invece fanno maggiormente da riferimento all’operatività dell’iniziativa.
34 Figura 2 - Principi per la gestione dei rischi
2.2.2 Framework per la gestione del rischio
Il precedente framework è stato sia rivisto nella forma sia aggiornato nel contenuto con l’aggiunta di un nuovo elemento, portando il totale delle componenti a sei. Dal punto di vista formale, oltre ad aver modificato leggermente i nomi di alcuni degli elementi, è stata rivista anche la rappresentazione grafica, adottando una nuova versione di tipo circolare, a dimostrazione della iteratività degli elementi.
Principi e Framework risultano essere molto correlati: mentre lo scopo dei principi sopra enunciati è quello di mostrare cosa dovrà essere raggiunto questo secondo pilastro darà informazioni su come raggiungerlo; il fine ultimo rimane quello di promuovere la diffusione del processo di risk management lungo tutta l’organizzazione andando ad integrarlo nelle funzioni e nelle attività significative.
Gli elementi che compongono il nuovo framework sono:
• Leadership e Impegno: il top management e gli organi di vigilanza devono assicurare l’integrazione del risk management in tutte le attività organizzative, predisponendo risorse adeguate, emanando opportune procedure e piani di azione e assegnando autorità e responsabilità in maniera appropriata ai vari livelli decisionali. Questo
35
elemento sarà il punto di partenza, una pedina fondamentale per andare ad allineare l’ERM agli obiettivi, alle strategie e alla cultura aziendale, stabilendo e comunicando in maniera chiara, a tutti gli stakeholders e all’organizzazione in generale, quale sia l’ammontare di rischio massimo che l’azienda può assumersi; • Integrazione: basata sulla la comprensione delle strutture e del contesto
organizzativo. In particolare, le strutture devono essere diverse in base allo scopo, agli obiettivi e alla complessità dell'organizzazione; il rischio dovrà essere gestito in ogni parte della struttura, ognuno avrà quindi una parte di responsabilità nella gestione del rischio;
• Progettazione: effettuata considerando
o Il contesto esterno, ovvero normative, trend economici, fattori sociali, politici, culturali ed il contesto interno, ovvero la vision, la mission, i valori aziendali, gli aspetti di governance, i sistemi informatici, la cultura organizzativa etc.;
o L’impegno del top management verso una completa integrazione della gestione dei rischi, mettendo a disposizione tutte le risorse necessarie, emanando procedure aziendali od ogni altro strumento utile, diffondendo gli obiettivi e gli indicatori di rischio con i quali monitorare il loro effettivo raggiungimento;
o La supervisione del top management sull’assegnazione di ruoli e delle responsabilità in maniera chiara, assicurando la loro effettiva comprensione lungo tutti i livelli dell’organizzazione;
o L’allocazione delle risorse quali persone, strumenti, corsi di formazione e sistemi di gestone, considerando i punti di forza e di debolezza delle risorse già presenti;
o L’instaurazione di sistemi di comunicazione e consultazione, promuovendo lo scambio delle informazioni e raccogliendo feedback in maniera tempestiva ed appropriata alle esigenze degli stakeholders.
• Applicazione: effettuata mediante lo sviluppo di un piano comprendente le risorse a disposizione, i tempi, gli snodi decisionali e modificando se necessario il processo decisionale preesistente in modo che sia in grado di includere anche i cambiamenti eventuali del contesto di riferimento;
