Il processo di gestione del rischio per gli appalti pubblici. Esperienza nell'Area Vasta

(1)

DIPARTIMENTO DI ECONOMIA E MANAGEMENT

Corso di Laurea in Strategia management e controllo

Tesi di Laurea

Il processo di gestione del rischio per gli appalti pubblici.

Esperienza nell’Area Vasta

Relatore:

Candidato:

Chiar. mo Prof. Vincenzo Zarone

Caterina Lupi

(2)

INDICE

INTRODUZIONE pag. 1

CAPITOLO 1: IL CONTROLLO AZIENDALE

1.1 La cultura del rischio nei sistemi di controllo interno pag. 3

1.2 Il sistema di controllo integrato per la gestione aziendale pag.4

1.3 Gli attori del controllo pag. 11

1.3.1 Il Consiglio di Amministrazione pag. 12

1.3.2 Comitato di Controllo e Rischi pag. 12

1.3.3 Il Collegio Sindacale pag. 13

1.3.4 L’Organismo di Vigilanza pag. 14

1.3.5 L’Internal Auditing pag. 16

1.3.6 Il Dirigente per i documenti societari pag. 16

1.3.7 Il Controller pag. 17

1.3.8 Risk Manager pag. 18

CAPITOLO 2: RISK MANAGEMENT COME FORMA DI

CONTROLLO INTERNO

2.1 La gestione del rischio pag. 21

2.2 Il rischio pag. 22

2.3 Campi di applicazione del risk management pag. 25

2.4 I modelli di gestione del rischio pag. 27

2.5 Il processo di gestione del rischio pag. 29

2.6 Enterprise Risk Management pag. 33

(3)

2.6.2 La definizione degli obiettivi pag. 38

2.6.3 L’identificazione degli eventi pag. 39

2.6.4 La valutazione dei rischi pag. 41

2.6.5 La Risk Response pag. 43

2.6.6 Le attività di controllo pag. 44

2.6.7 Le informazioni e la comunicazione pag. 45

2.6.8 Il monitoraggio pag. 45

2.6.9 Le tecniche applicative pag. 46

2.7 ISO 31000:2009 pag. 48

2.7.1 I principi gestionali per un efficace sistema di risk

management pag. 49

2.7.2 Il framework 31000 pag. 51

2.7.3 Il processo di risk management pag. 52

CAPITOLO 3: LA CORRUZIONE NEL SETTORE PUBBLICO

3.1 Perché parlare di corruzione? pag. 54

3.2 Le novità legislative: la legge 190/2012 pag. 57

3.3 L’approvazione del Piano Nazionale Anticorruzione pag. 63

3.4 Il Nuovo Codice degli appalti pag. 64

3.5 Lotta alla corruzione: gli articoli del Nuovo Codice che la

sostengono pag. 66

(4)

CAPITOLO 4: L’ESPERIENZA NELLA PUBBLICA

AMMINISTRAZIONE: ESTAR

4.1 Estar: struttura e mission pag. 72

4.2 La gestione del rischio in Estar pag. 75

4.3 Spunti di analisi del Piano Triennale di prevenzione della

corruzione e della trasparenza pag. 77

4.3.1 La gestione operativa del rischio pag. 79

4.3.2 Obbligo o volontà di trattamento pag. 87

CONCLUSIONI pag. 96

BIBLIOGRAFIA pag. 98

SITOGRAFIA pag. 100

(5)

1

Introduzione

In Italia di recente si sono manifestati scandali per corruzione dovuti ad appalti truccati a causa di tangenti (“bustarelle”) pagate per favorire singoli soggetti o aziende nell’attribuzione di lavori pubblici con conseguente spreco di denaro. Ciò ha portato lo Stato a istituire leggi sempre più stringenti e dettagliate, tutt’ora in fase di sviluppo, per garantire alla collettività il corretto impiego delle risorse pubbliche attraverso una giusta amministrazione e una trasparenza gestionale. Il tema di questa trattazione scaturisce dalla visione sopracitata della situazione del nostro Paese e dall’esperienza diretta svolta in una pubblica amministrazione del territorio. La visione operativa di ciò che l’ambiente pubblico si trova a implementare per aderire alle disposizioni di legge mi ha permesso di cogliere i vantaggi e le criticità del complesso processo di gestione del rischio.

Nel primo capitolo della trattazione si analizza il sistema di controllo interno che caratterizza sia l’ambiente privato che pubblico e che ha come priorità il governo dell’azienda attraverso l’individuazione, valutazione e mitigazione dei rischi coerentemente con il livello di rischio considerato accettabile dal vertice. Il sistema integrato rischi-controlli deve soddisfare le esigenze richieste dagli andamenti aziendali; a tale fine viene valutata l’aderenza alle norme in relazione al raggiungimento degli obiettivi sia strategici che operativi e il rispetto di condizioni di efficacia ed efficienza gestionale e delle informazioni aziendali.

L’argomento è poi approfondito con la trattazione del risk management e dei principali framework, impiegati come strumenti di gestione del rischio. I modelli analizzati sono tutti costruiti sul medesimo processo articolato in individuazione, valutazione e trattamento del rischio, ma possono essere valorizzati se adattati e personalizzati a seconda del contesto in cui vengono inseriti.

(6)

2

Nel terzo capitolo, focalizzando l’esposizione sul rischio corruttivo, sono individuati gli strumenti giuridici a sostegno del risk management per le pubbliche amministrazioni, quali la legge 190 del 2012 e il Codice Appalti. Sono state analizzate in particolare queste due disposizioni normative per ricondurre il discorso all’esperienza operativa svolta. La Legge 190/2012 ha rappresentato il punto di svolta per introdurre nell’ambito pubblico il fronteggiamento del rischio corruzione attraverso la redazione del Piano Triennale di Prevenzione alla Corruzione e Trasparenza e le misure idonee di prevenzione e di trattamento, rivoluzionando anche la struttura organizzativa e il modus operandi interno. Il Nuovo Codice Appalti nasce con l’obiettivo di definire le regole a cui attenersi per gestire in maniera chiara e trasparente i rapporti economici tra pubblici e privati; tenendo conto dei refusi dovuti alla lenta stratificazione di norme è auspicabile che il costrutto normativo funzioni da efficace strumento - guida.

Infine lo studio condotto è reso operativo nell’esperienza svolta, che mi ha permesso di analizzare in maniera ravvicinata un esempio di processo di gestione del rischio in una pubblica amministrazione in ambito sanitario. In quel contesto ho potuto verificare la reale applicazione del contenuto normativo sommata all’implementazione del processo di gestione dei rischi che ha portato ad individuare le misure idonee e personalizzate per ogni singola attività svolta. Il lavoro di prevenzione e monitoraggio del rischio, in particolare corruttivo che minaccia il processo di acquisto tramite appalto pubblico, rende l’amministrazione in linea con la norma e trasparente a livello comunicativo con i cittadini e gli utenti dei beni e servizi che si configurano come stakeholders/finanziatori.

(7)

3

Capitolo 1

Il controllo aziendale

1.1

La cultura del rischio nei sistemi di controllo interno

Negli ultimi anni, in letteratura e nella realtà professionale, il sistema di controllo interno e il sistema di gestione dei rischi sono diventati due meccanismi che convergono sempre più fino ad integrarsi per favorire l’efficacia dell’azione di governo. L’orientamento al rischio è divenuto parte integrante dei sistemi di controllo interno, delle attività di audit e di corporate governance. La gestione dei rischi permette di delineare le caratteristiche del controllo e al tempo stesso il risk management diventa una pratica costitutiva dei processi di controllo; inoltre il controllo interno è un elemento chiave del governo societario in quanto garantendo il rispetto di norme e regole istituite per lo svolgimento delle attività aziendali. Una delle più note definizioni di corporate governance1_{cita: ‘Corporate Governance is the system by which}

companies are directed and controlled’; nello specifico l’azienda si dota di un sistema di regole con un duplice scopo direzionale e di controllo. Nella gestione d’impresa esiste un legame imprescindibile tra gli obiettivi che l’organizzazione si prefigge di raggiungere, i rischi che possono incidere negativamente sul perseguimento degli obiettivi e i controlli ovvero le protezioni da mettere in atto per far fronte agli effetti negativi generati da eventi rischiosi. Esigenza prioritaria dell’azienda è pertanto quella di creare un sistema unico integrato di rischi-controlli che supporti le politiche gestionali efficaci a conseguire gli obiettivi e incrementare il valore per gli stakeholders, minimizzando i rischi. Poiché valore e rischio sono legati da una relazione inversa, un’azienda ha necessità di individuare il grado di rischio di un evento che potrebbe pregiudicare il processo di creazione di un

(8)

4

valore e stabilire le contromisure per mitigare tale rischio. Data l’ampiezza del campo di applicazione del controllo interno integrato al sistema di risk management, procederemo analizzando due dimensioni: la prima di carattere oggettivo riguardante le caratteristiche strutturali e le dinamiche del sistema mentre la seconda di carattere soggettivo incentrata sugli attori.

1.2 Il sistema di controllo integrato per la gestione aziendale

La valutazione della dimensione oggettiva può essere condotta partendo dall’analisi del sistema integrato rischi-controlli e approfondendo il tema del risk management nelle diverse tipologie di controllo individuate all’interno dell’azienda. In generale le attività di controllo possono essere considerate come le modalità con cui individuare e trattare i rischi riscontrati per ridurne la probabilità di manifestazione, oppure come azioni a consuntivo atte a mitigare l’impatto dell’intervento nei limiti considerati accettabili. Un sistema che non sia in possesso di tali meccanismi e non sia dotato degli strumenti idonei per garantire le finalità per cui è implementato, può risultare inefficace e penalizzante per l’economicità della gestione aziendale, il rispetto delle norme e l’attendibilità delle informazioni fornite. L’esigenza di un sistema di gestione dei rischi e dei relativi controlli accomuna tutte le aziende è auspicabile però che ogni singola azienda modelli l’architettura del proprio sistema secondo la sua dimensione, le attività che svolge, il settore di appartenenza e la forma giuridica che detiene. Le singole componenti del sistema devono essere tra loro integrate nell’assetto organizzativo, amministrativo e contabile rimanendo coordinate ed interdipendenti tra loro. I principali elementi che costituisco l’architettura del sistema rischi-controlli sono la separazione dei compiti e dei ruoli; pertanto le responsabilità e le mansioni di un processo devono essere suddivise tra soggetti diversi al fine di prevenire il rischio di frodi ed errori2_{; l’accountability di informazioni e}

2_{Gli errori sono costituiti da sbagli o emissioni non intenzionali relativi di solito a importi o} informazioni; mentre la frode è un errore che presenta carattere di intenzionalità. ‘Frodi

(9)

5

processi va intesa come attribuzione incondizionata di responsabilità in capo ad un soggetto (o ad un gruppo) per i risultati conseguiti, basandosi sulle proprie capacità, conoscenze, eticità e tracciabilità dei dati e delle informazioni in modo da rendere attendibile, ricostruibile e valutabile un’attività o un processo. Un sistema di controllo interno deve avere la finalità di supportare i responsabili delle aree aziendali, interessati ad un processo, nell’analisi dei rischi potenzialmente avversi al raggiungimento degli obiettivi e nella definizione di strategie e politiche gestionali. A tale scopo il top e middle management deve essere dotato di un sistema utile ad evidenziare i risultati conseguiti. Il contenuto di questi documenti può essere utilizzato per elaborare indicatori di analisi di eventi pericolosi o per misurare la creazione di valore.

Il sistema integrato rischi-controlli può essere segmentato in tre livelli di analisi. Il primo livello riguarda i controlli insiti nei processi predisposti e attuati dal management, nel rispetto di obiettivi e responsabilità, in questo livello rientra il controllo gestionale operativo e direzionale che descriveremo successivamente. Nel secondo livello invece rientrano i cosiddetti controlli trasversali sui rischi e le conformità, svolti da funzioni di staff con l’obiettivo di:

 concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati (Risk

Management);

 concorrere alla definizione delle metodologie di

misurazione/valutazione del rischio di conformità, individuare idonee

aziendali. Frodi amministrative, alterazioni di bilancio e computer crime.’ A cura di Allegrini M., D’Onza G., Garzella S. e Mancini D. Milano, FrancoAngeli 2003

(10)

6

procedure per la prevenzione dei rischi rilevati e richiederne l’adozione (Compliance);

 attestare l’informativa contabile societaria secondo quanto previsto dalla legge (Compliance)

 attestare l’efficienza e l’efficacia delle operazioni aziendali in relazione agli obiettivi strategici e porre le basi per la pianificazione (Controllo di gestione strategico)

Il terzo livello è l’Internal Audit che fornisce l’assurance (garanzia) sul disegno e sulla funzionalità complessiva del sistema, attraverso valutazioni indipendenti. Tale attività è condotta in via continuativa e sistematica, ma anche per eccezioni, da strutture diverse e indipendenti da quelle produttive ed elabora il piano di audit che deve tenere conto dei rischi rilevati e analizzati da altre funzioni aziendali a ciò preposte, della percezione del management, delle indicazioni degli organi di amministrazione e controllo. Il piano di audit deve avere caratteristiche tali da coprire adeguatamente i principali rischi aziendali e, in un arco di tempo ragionevole, tutto il perimetro aziendale rilevante.

Nel prosieguo del paragrafo la trattazione andrà ad approfondire il rapporto tra la gestione del rischio e le tre tipologie di controllo interno prese in esame:

 Controllo gestionale

 Controllo amministrativo-contabile

 Controllo di conformità

Il controllo gestionale è definito come l’attività di guida e di verifica delle operazioni svolte a livello strategico, direzionale e operativo. Al vertice del governo aziendale il controllo avviene sulla formulazione e implementazione della strategia e monitora che la realizzazione di essa avvenga in linea con quanto deliberato; tale meccanismo può quindi essere condotto a partire dal processo di pianificazione nel quale vengono definiti gli obiettivi strategici,

(11)

7

le linee di azione e le risorse necessarie per il periodo di esercizio. Il corretto funzionamento del controllo strategico ha un duplice vantaggio: contribuire, nel contesto aziendale, al raggiungimento degli obiettivi con un adeguato impiego delle risorse; nell’ambiente esterno di favorire la competitività dell’azienda, identificando i cambiamenti ambientali, le opportunità e le minacce. A livello direzionale il meccanismo di controllo permette un’analisi oculata sull’impiego efficiente ed efficace delle risorse e sui comportamenti dei singoli soggetti preposti alle diverse attività aziendali. Per l’azienda risulta pertanto indispensabile monitorare le attitudini, le caratteristiche e i comportamenti dei diversi operatori della struttura organizzativa al fine di creare una rete di relazioni tra i membri delle varie unità utile al raggiungimento degli obiettivi. A supporto di tale processo l’azienda può utilizzare la documentazione di cui dispone come i bilanci d’esercizio, i budget stanziati e i report di verifica per confrontare quanto preventivato con ciò che effettivamente è stato realizzato, l’assorbimento di risorse richiesto e i risultati conseguiti in termini di creazione o distruzione di valore. Il controllo operativo è connesso ai livelli di efficienza ed efficacia delle specifiche performance, in particolare dell’area tecnico-produttiva. Le caratteristiche strutturali e di funzionamento del controllo sono individuate in concomitanza con i fattori di rischio che possono intaccare l’efficacia e l’efficienza gestionale. Una volta stabilito il grado di rischio si procede con l’implementazione di controlli specifici su processi, attività e singole operazioni. L’orientamento al rischio nel controllo gestionale può essere sintetizzato in 3 passaggi:

 Individuazione degli obiettivi gestionali a partire dall’attività di pianificazione e programmazione

 Identificazione e valutazione dei relativi rischi connessi

 Definizione della priorità d’intervento e delle attività di controllo per mitigarli

(12)

8

Per arricchire il sistema possono essere utilizzati indicatori segnaletici di rischiosità (key risk indicator) per tenere sotto osservazione i fattori da cui propaga il rischio e stabilire gli interventi da porre in essere per salvaguardare l’economicità gestionale. Questi devono essere rilevanti e significativi per evitare informazioni inutili e ridondanti, prontamente disponibili per diminuire i costi di produzione dei dati, affidabili nel contenuto e coerenti con gli indicatori di performance rappresentativi di ciò che effettivamente è stato realizzato. Per migliorare il livello di qualità del sistema integrato rischi-controlli, negli ultimi 50 anni sono stati sviluppati numerosi investimenti tecnologici che hanno permesso di effettuare alcuni tipi di controlli in maniera automatizzata snellendo il lavoro umano, lasciando spazio all’individuazione di inefficienze e all’attuazione di azioni correttive in modo tempestivo.

La seconda tipologia di controllo, quella amministrativo-contabile, coinvolge una pluralità di soggetti e di strumenti informativi per soddisfare il duplice obiettivo di fornire informazioni contabili (derivanti dalla quotidiana amministrazione aziendale, attendibili per la comunicazione esterna) e di verificare l’efficacia e l’efficienza delle informazioni rispetto al raggiungimento degli obiettivi. Il contributo della letteratura italiana e straniera e le proposte del Consiglio Nazionale dei Dottori Commercialisti hanno elaborato un modello di riferimento utile per il controllo dei prospetti contabili e di tutti gli strumenti informativi disponibili. Il sistema di controllo amministrativo-contabile ha subito numerose modifiche nel corso del tempo dovute al cambiamento del contesto e delle regole vigenti (ad esempio l’automazione dei processi attraverso i sistemi informatici che hanno reso le procedure e i controlli più rapidi e standardizzati prevenendo errori e disfunzioni o il rilievo assunto dalle componenti immateriali della struttura organizzativa quali l’etica, i valori e la moralità che possono contribuire all’ottenimento di una rappresentazione economica, patrimoniale e

(13)

9

finanziaria veritiera). Nonostante ciò però permangono 3 elementi fondamentali del sistema, una buona struttura per il controllo amministrativo-contabile che dovrà essere basata sulla definizione dei compiti e delle responsabilità da attribuire ai soggetti, un insieme di regole e procedure formalizzate e continuamente aggiornate e in fine dotarsi di soggetti con le necessarie competenze per svolgere al meglio le mansioni. L’internal auditing risulta la principale funzione per il corretto svolgimento del controllo e si basa sull’analisi, la valutazione e il miglioramento dei controlli svolti sui processi di formazione del bilancio in virtù della Legge 262/2005 che richiede alle società di attestare l’esistenza e l’applicazione di adeguate procedure amministrativo-contabile3_{. I rischi insiti in questa attività sono}

associati alla possibilità, che a causa di fattori interni, si producano informazioni di bilancio non attendibili e incomplete, rendendo i documenti informativi non effettivamente rappresentativi di ciò che è stato realizzato in termini di obiettivi, impedendo la riconversione dei dati in andamenti economici ed alterando le valutazioni e i giudizi dei soggetti interni ed esterni. I fattori di rischio comprendono una vasta gamma di fenomeni che possono aver luogo nell’ambiente generale e competitivo in cui l’impresa è inserita, nei processi amministrativi, nei sistemi informativo-contabili oppure possono essere riferiti alla sfera personale di un individuo che interviene nel processo di rendicontazione. Per agevolarne l’individuazione è possibile partire dall’analisi degli obiettivi della rendicontazione:

 La rilevanza e la selettività delle informazioni in modo da renderle utili per gli scopi conoscitivi

 La tempestività con cui si rendono disponibili i documenti informativi

 La flessibilità con cui si mutano i caratteri delle informazioni secondo le esigenze dell’utente

3_{‘I processi di controllo interno sulla rendicontazione e la loro revisione: esperienza statunitense’} a cura di Venturelli F., Bari, Cacucci ed. 2007

(14)

10

 L’accuratezza con cui si elaborano i contenuti dei documenti contabili

 La completezza delle conoscenze fornite per l’analisi di un fenomeno In sintesi il ruolo del controllo amministrativo-contabile non deve essere limitato soltanto ad individuare e fronteggiare i rischi che possono compromettere la chiarezza, la veridicità e la correttezza del bilancio ma deve riguardare anche la comunicazione esterna dell’impresa e i processi informativi interni.

L’ultimo controllo è quello di conformità alle norme che si inquadra nel contesto generale della responsabilità sociale d’impresa, intesa come corretta adempienza alle responsabilità e ai doveri nei confronti degli stakeholders. Il controllo di conformità è volto a favorire il rispetto delle leggi, dei regolamenti e delle altre disposizioni normative che disciplinano l’attività aziendale, obiettivo fondamentale per salvaguardare il processo di creazione di valore evitando sanzioni e danni d’immagine che talvolta potrebbero essere assai penalizzanti. In senso generale, le imprese devono mandare ad effetto un complesso di norme che richiedono la costituzione di procedure, dispositivi, strumenti e processi di verifica e talvolta individuare delle figure specifiche che possano svolgere il ruolo di controllori sullo svolgimento di tali norme. I rischi sequenziali alla elusione delle norme, possono essere divisi in due principali macro-gruppi, quelli di compliance (mancato rispetto di leggi, regole e norme che causano l’assoggettamento dell’impresa a sanzioni e multe) e quelli reputazionali (determinanti) una perdita di fiducia da parte dei portatori d’interesse, generata a seguito di una scelta negativa o

di un errore operativo). Di fondamentale importanza risulta essere

l’integrazione tra i controlli sorti dalle normative specifiche e i controlli gestionali svolti internamente; tale integrazione si sviluppa su due direttrici:

 Una direttrice oggettiva che attiene alle procedure, le tecniche, gli strumenti, i protocolli e tutti quegli elementi (parte tangibile del controllo) che costituiscono il modello di organizzazione, gestione e

(15)

11

controllo idoneo a prevenire reati inerenti al campo di applicazione della norma. L’obiettivo sarà quello di rendere tutte le operazioni gestionali aderenti alle diverse norme in materia, andando a coinvolgere anche altri tipi di controlli;

 Una direttrice soggettiva che riguarda le responsabilità dei vari attori che si occupano dei controlli di conformità. Per questa si renderà necessario un coordinamento tra i vari soggetti affinché vi sia un team working senza nessun prevaricazione tra gli attori coinvolti.

All’argomento verrà dedicato il paragrafo successivo nel quale verranno analizzate le singole cariche all’interno di un sistema rischi-controlli.

1.3 Gli attori del controllo

All’interno della dimensione soggettiva rientrano gli attori delle attività di controllo e di risk management, dal vertice ai livelli esecutivi, dall’organo amministrativo a quello di controllo. Da questa “strutturazione” deve emergere il contributo dei diversi soggetti allo sviluppo del sistema rischi-controlli attraverso l’attribuzione di differenti ruoli e poteri a cui fanno capo secondo le conoscenze conseguite.Il quadro dei soggetti cambia in base alla forma giuridica, la dimensione o l’assetto che le si vuole attribuire in ogni azienda, per cui non può esistere un modello univoco. Generalmente al vertice abbiamo il Consiglio di Amministrazione e il Comitato di Controllo e Rischi, a seguire il Collegio Sindacale, l’Organismo di Vigilanza e l’Internal Auditor oltre a singole cariche come il dirigente preposto alla redazione dei documenti contabili, il Risk Manager e il Controller. Prima di procedere ad analizzare i singoli ruoli è necessario ricordare come la gestione della dimensione soggettiva sia una variabile critica per ottenere un efficace sistema rischi-controlli.Per non incorrere in un sistema frammentato e male articolato nel quale possono verificarsi sovrapposizioni o aree non potenzialmente sviluppate, sarà anche indispensabile favorire l’integrazione

(16)

12

di tutte le attività e la realizzazione di un disegno unitario che valorizzi le sinergie e migliori la funzionalità di tutto il sistema.

1.3.1 Il Consiglio di Amministrazione

Il Consiglio di Amministrazione (CdA) è il principale componente del governo aziendale. Il suo compito è quello di definire le condizioni contestuali nelle quali si attivano i meccanismi, gli strumenti ed i processi atti a favorire gli obiettivi aziendali. Essendo organo supremo determina l’indirizzo strategico dell’azienda, definisce gli obiettivi, valuta se i livelli di rischio siano accettabile e come gestirli indirizzando l’impostazione del sistema di controllo interno. Pertanto in prima battuta definisce quali organi o figure manageriali occorrono per supportare il sistema anche se la priorità rimane quella di indirizzare e valutare i meccanismi messi in atto per favorire le attività di controllo della gestione interna e di assegnare le linee guida alle diverse aree con l’obiettivo di guidare l’assetto organizzativo e ottenere una cultura aziendale orientata al rischio e al controllo. In sintesi il CdA contribuisce al sistema integrato rischi-controlli e determinando:

 La natura e il livello di rischio compatibile con gli obiettivi

 Le linee di indirizzo per identificare, misurare, gestire e monitorare i principali rischi

 Adeguatezza ed efficacia del sistema di controllo

 Nomina e revoca del responsabile della funzione di internal audit (al quale assicura le risorse adeguate all’espletamento delle proprie responsabilità)

 Approvazione del piano di audit

1.3.2 Comitato di Controllo e Rischi

Al proprio interno il CdA nomina il Comitato di Controllo e Rischi. Questa entità sarà formata da amministratori non esecutivi o indipendenti, che

(17)

13

possono supportare gli amministratori esecutivi nell’istruzione e nell’approfondimento propedeutico alle proprie decisioni relative al sistema di controllo interno. Il Codice di Autodisciplina riconosce al Comitato, come principali, le funzioni consultive e propositive per il CdA in materia di controlli e gestione dei rischi ed aggiunge l’approvazione del piano del lavoro predisposto dall’Internal Auditing. Il Comitato di Controllo e Rischi interagendo con altri attori aziendali risulta in grado di valutare l’adeguatezza dei controlli rispetto ai rischi che minacciano il contesto aziendale e ha la possibilità di proporre modelli di controllo idonei a fronteggiare i rischi e spunti di miglioramento per rendere più efficace la gestione degli eventi che potrebbero impattare sul processo di creazione del valore. Provvede inoltre alla nomina dell’Organismo di Vigilanza a cui attribuisce compiti, risorse e altri aspetti inerenti al suo funzionamento. Considerate le relazioni che intercorrono tra molti attori coinvolti nel processo all’interno dell’organico aziendale, è fondamentale rafforzare la comunicazione e la diffusione di informazioni su più livelli evitando inutili ripetizioni e sovrapposizioni cercando di far emergere sinergie e collaborazione. A tal fine viene redatto un report di rendicontazione annuale a seguito della pubblicazione del bilancio e una relazione semestrale sull’attività svolta e sull’adeguatezza del Sistema di Controllo destinati alla visione del CdA.

1.3.3 Il Collegio Sindacale

Il Collegio Sindacale rappresenta il vertice del sistema di vigilanza ed esercita un controllo di legalità poiché i sindaci verificano il rispetto

della legge e dello statuto; questi possono verificare l'adeguatezza

dell'organizzazione amministrativa e contabile e la corretta amministrazione della società segnalando all'assemblea fatti rilevanti. I sindaci possono denunciare anche direttamente al tribunale eventuali irregolarità riscontrate nella gestione. Inoltre il Collegio vigila sulla corretta applicazione del

(18)

14

sistema rischi-controlli studiando i flussi informativi ricevuti dai responsabili dei controlli di secondo e terzo livello, e ogni altra informazione ritenuta rilevante a garanzia di soggetti esterni al contesto aziendale. La vigilanza sul sistema di controllo si sviluppa sia attraverso controlli diretti sia tramite la supervisione indiretta esercitata da altri organi. Il Collegio non interagisce soltanto con il Consiglio ma instaura relazioni anche con attori interni (Comitato, Organismo di Vigilanza o Internal Auditing) o attori esterni (Società di Revisione o Autorità di Vigilanza), ponendosi da tramite tra i diversi flussi informativi. È evidente che risulta necessaria una cooperazione tra l’Organismo di Vigilanza e il Collegio Sindacale poiché vi sono molti punti di contatto nelle tipologie di controllo che esercitano. Si instaura così uno scambio di informazioni reciproco poiché i dati delle revisioni compiute dall’Auditing, per valutare lo stato di salute dei controlli e il fronteggiamento dei rischi, vengono monitorati dal Collegio che, a sua volta, fornisce informazioni su aspetti ritenuti critici che eventualmente l’Auditing può sviluppare. Infine nei confronti della Società di Revisione il Collegio, in accordo con il dirigente preposto alla redazione dei documenti contabili, valuta le procedure amministrativo-contabili adottate e ne dà informativa al pubblico mediante una dichiarazione. Pertanto il Collegio, interagendo con soggetti interni ed esterni, ha il compito di stimolare e favorire la capacità di controllare e prevenire i rischi di eventi illegali, informazioni non veritiere e di proporre modifiche negli aspetti strutturali e funzionali del sistema per salvaguardare l’interesse degli azionisti e degli stakeholders.

1.3.4 L’Organismo di Vigilanza

L’istituto dell’Organismo di Vigilanza è stato introdotto con il D. Lgs. 231/2001 ed offre un valido contributo per la creazione di un sistema di controllo che sia in grado di prevenire i rischi derivanti da reati di natura amministrativa ed evitare le sanzioni interdittive e pecuniare e i relativi danni

(19)

15

reputazionali4_{. Il decreto riconosce una diminuzione di responsabilità o}

forma di esonero qualora vengano accertate contemporaneamente le seguenti 4 condizioni:

 L’adozione da parte della società di un modello di organizzazione, gestione e controllo idoneo a prevenire i reati della stessa specie di quello verificatosi

 La costituzione di un Organismo, dotato di autonomi poteri di iniziativa e controllo, al quale affidare il compito di vigilare sul funzionamento e sull’osservanza del modello, curandone l’attuazione

 La prova che le persone abbiano commesso il reato eludendo in modo fraudolento il modello istituito

 La prova che l’Organismo abbia efficacemente vigilato sul modello che è stato istituito

La composizione dell’Organismo di Vigilanza può essere eterogenea e definita dal CdA con l’obiettivo di individuare la soluzione più idonea a favorire il rispetto dei principi di autonomia, indipendenza, professionalità e continuità di azione vigenti per i soggetti incaricati, secondo il decreto e le linee guida delle associazioni di categoria. I due principali compiti dell’Organismo risultano quindi essere l’applicazione del modello 231 previsto dal D. Lgs. 231/2001 e il continuo aggiornamento dello stesso nell’ottica di sviluppare il modello secondo un approccio al rischio che caratterizza l’attività aziendale. L’impulso è quello di contribuire, insieme con il Collegio Sindacale, a sviluppare dei protocolli di controllo nelle aree aziendali ritenute maggiormente soggette a rischio secondo i contenuti del decreto in materia di rischi di conformità e amministrativo-contabili.

4_{Il D. Lgs. prevede oltre alle sopracitate tipologie sanzionatorie anche la confisca del profitto} derivante dall’atto ritenuto illecito e la pubblicazione della sentenza di condanna con conseguenti danni reputazionali dell’opinione pubblica.

(20)

16

1.3.5 L’Internal Auditing

L’unità di Internal Auditing ha con il tempo assunto un ruolo sempre maggiore sia per le funzioni assegnatele sia per il ruolo di collante tra gli altri organi di controllo (Comitato Controllo e Rischi, Collegio Sindacale, Organismo di Vigilanza). La sua principale funzione risulta essere quella di valutare e migliorare i processi di gestione del rischio per cui risulta particolarmente rilevante la garanzia sull’indipendenza operativa e sull’obiettività dei soggetti e delle mansioni che essi svolgono affinché le valutazioni siano imparziali e libere da condizionamenti. I modelli di gestione dei rischi hanno lo scopo di garantire la compliance alle norme e al tempo stesso l’efficacia, l’efficienza e l’economicità dei processi nonché l’attendibilità delle informazioni di bilancio. Nell’ambito del risk management gli auditor supportano i manager e l’alta direzione nel processo di identificazione, valutazione e trattamento dei rischi, andando a ricoprire la carica di risk manager divenendo così figura chiave per la creazione di un sistema integrato rischi-controlli. L’Internal Auditing dipendendo dal CdA seppur con propria capacità decisionale, predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento, evidenziando eventi con particolare rilevanza da destinare all’organo superiori e agli altri attori del controllo.

1.3.6 Il Dirigente per i documenti societari

La figura del dirigente preposto alla redazione dei documenti contabili e societari ha il ruolo di predisporre le procedure amministrativo-contabili per la redazione del bilancio di esercizio e di ogni altro documento a carattere finanziario, attestando con un’apposita relazione l’effettiva applicazione e adeguatezza delle procedure. Per predisporre tali procedure si applicano i

(21)

17

principi di analisi del rischio al fine di ottenere modelli procedurali che possano controllare e monitorare eventi dannosi per l’attendibilità dei documenti di destinazione interna ed esterna. Nello svolgimento della sua attività il dirigente dovrà affiancarsi al CdA per la predisposizione dei documenti contabili e agli altri organi di controllo per quanto concerne i principi amministrativo-contabili. L’introduzione dell’istituto in esame parte dal presupposto di migliorare la qualità e la trasparenza dell’informazione societaria prevedendo due ordini di intervento; il primo, di carattere interno rappresentato dalla regolamentazione della qualità dell’informazione all’interno delle società; il secondo, di carattere “esterno”, teso ad una maggiore trasparenza delle informazioni rivolte agli stakeholders.

1.3.7 Il controller

Il controller è una figura, particolarmente rilevante, interna all’azienda che

presta un contributo fondamentale per il successo durevole

dell’organizzazione. Il controller esegue la progettazione della struttura contabile sia direzionale che strategica, la promozione di integrazioni e miglioramenti attraverso un monitoraggio continuo sull’effettiva redazione dei documenti, sulle le modifiche alle norme di legge e sulle esigenze conoscitive provenienti dal contesto aziendale o dall’ambiente esterno. Allo stesso tempo il controller affianca il manager in fase di budgeting, durante la gestione del sistema di controllo e in fine nella fase conclusiva di redazione del report, utile per l’analisi degli scostamenti tra preventivo e consuntivo. È possibile concentrare le attribuzioni del controller in 4 ambiti differenti:

1. Nella fase di implementazione il controller ha il ruolo di progettare e rendere funzionanti gli strumenti di contabilità.

2. In fase di approfondimento il soggetto in analisi può ricercare spunti di sviluppo del modello tecnico per accrescere la soddisfazione conoscitiva dei destinatari dei report, alta direzione e responsabili

(22)

18

delle aree funzionali. Il controller può raccogliere le varie richieste conoscitive in flussi informativi utili per valutare l’adeguatezza del sistema a quanto richiesto; inoltre può ricorrere ad indicatori di analisi sul livello di rischiosità che caratterizza il controllo strategico, direzionale e gestionale.

3. Nel terzo ambito il controller si trova ad orientare l’attività direzionale e ad indirizzare i manager verso un operato che renda raggiungibili gli obiettivi strategici stabiliti in fase di pianificazione, divenendo un elemento partecipativo dell’intero processo gestionale. Le informazioni che il controller assume rappresentano l’input di analisi e la linea di azione da fornire al top e middle management per dirigere la loro attenzione verso aspetti rilevanti dal punto di vista strategico. 4. Il controller potenzia le proprie conoscenze sugli applicativi aziendali,

per poi educare gli utenti aziendali sull’utilizzo dei sistemi informativi automatizzati. Quest’ultimi permettono di accedere direttamente alla base dei dati e di realizzare delle rielaborazioni in proprio. È importante non confondere il tecnico che è colui che progetta e crea lo strumento con la funzione del controller, che è quella di studiare lo strumento per trarne conoscenza sulle potenzialità da sfruttare, in quanto conoscitore dei fabbisogni informativi dei soggetti aziendali. Resta da aggiungere che la collocazione organizzativa di questo soggetto varia da azienda ad azienda, potendo essere un subordinato al direttore amministrativo oppure collocarsi al suo livello gerarchico o nello staff della direzione generale.

1.3.8 Risk Manager

Compito del Risk Manager è quello di individuare e analizzare i potenziali rischi in cui può incorrere l’azienda, per limitarne l’esposizione

(23)

19

Questa figura in Italia è molto diffusa nel settore finanziario mentre nelle aziende non finanziarie la diffusione è stata relativamente lenta, ma sempre più si è riscontrata la necessità di assimilare una figura che avesse

l’obiettivo di promuovere, a tutti i livelli, l'attività di gestione del rischio, facendo crescere la responsabilizzazione di tutto il personale riguardo specifiche politiche di presidio del rischio. Il rischio viene valutato secondo la gravità (impatto) e la frequenza (probabilità). Su queste basi viene

individuata la politica migliore per ottimizzare la gestione, in linea con le disponibilità e le capacità finanziarie dell’azienda.Una volta individuati i potenziali rischi, il Risk Manager definirà le misure di eliminazione o prevenzione degli stessi, controllando i risultati nel tempo. Per rendere questo meccanismo efficace il Risk Manager deve instaurare un dialogo con tutti i rappresentanti delle funzioni aziendali (tecniche, commerciali,

amministrative e logistiche) raccogliendo informazioni sui potenziali rischi ed elaborando istruzioni da fornire ai vari responsabili per prevenire o contenere il rischio. Le informazioni raccolte da Risk Manager nella loro attività permettono al Cda di effettuare scelte strategiche in piena

consapevolezza delle possibili criticità.A seconda del grado di

approfondimento di analisi di risk management che l’azienda decide di applicare, il Risk Manager può assumere diversi profili di responsabilità. La sua gestione può essere ristretta solo ad alcune tipologie di rischi, di solito finanziari, mediante il trasferimento assicurativo o facendo ricordo a tecniche di hedging, strumenti di copertura del rischio di variazione di parametri di riferimento. Un secondo livello di gestione riguarda casi in cui è possibile focalizzarsi su un numero limitato di rischi e sulle loro

potenzialità di danno conseguenti ad una specifica normativa. In questo caso il Risk Manager deve essere dotato di competenze tecniche su tematiche specifiche oltre ad avere una buona capacità di analisi della situazione aziendale e delle norme vigenti in quel determinato campo di azione. Un terzo ed ultimo profilo che si può determinare da al Risk

(24)

20

Manager un raggio di azione più ampio per l’eventuale implementazione di un progetto specifico focalizzato alla gestione di tutti i rischi aziendali (ad esempio ERM che tratteremo successivamente). Caratteristiche del Risk Manager, indipendentemente dal tipo di compito assegnatoli, devono essere: buona conoscenza dei processi aziendali, dell’organizzazione del lavoro e del settore merceologico di appartenenza, una costante

applicazione nell’analisi delle informazioni e capacità relazionali e di dialogo.

(25)

21

Capitolo 2

Risk Management come forma di controllo interno

2.1 La gestione del rischio

L’enfasi posta in quest’ultimi anni sull’aspetto del controllo e in particolare sulla gestione dei rischi caratterizzanti un sistema aziendale ha evidenziato come risultato fondamentale il contributo di questi strumenti a supporto efficace della direzione aziendale, specialmente in un contesto mutevole e complesso come quello attuale. Il sistema integrato rischi-controlli, come abbiamo visto, deve soddisfare le esigenze richieste dagli andamenti aziendali per quanto riguarda aderenza alle norme, raggiungimento degli obiettivi sia strategici che operativi, rispetto di condizioni di efficacia ed efficienza gestionale e delle informazioni aziendali. Il sistema attiene, come più volte affermato, a tutte le realtà a prescindere dalla dimensione, dal settore di appartenenza, dalla forma giuridica o dall’assetto proprietario. Non a caso il risk management è divenuto parte del management strategico di ogni azienda, nella consapevolezza che tutti i processi decisionali ai vari livelli organizzativi dovrebbero essere fondati, in modo più o meno strutturato, sull’identificazione e valutazione del rischio. Negli ultimi venti anni si è assistito ad un processo di inclusione dei sistemi di gestione dei rischi all’interno dei più ampi processi di pianificazione strategica e controllo gestionale. Di conseguenza è divenuta sempre più evidente anche la necessità di integrare strategia, performance e rischio, per permettere all’azienda di pianificare strategie competitive e le correlate attività manageriali, tenendo in considerazione le performance e i rischi che le minacciano per ottenere miglioramenti sia a livello del processo di raggiungimento degli obiettivi interno al contesto aziendale sia in relazione all’intero sistema organizzativo in cui l’impresa opera. Oltre alla diffusione di strumenti di controllo basati sul rischio, si è assistito anche ad una rivisitazione delle competenze e

(26)

22

funzioni dei responsabili del controllo di gestione poiché tali attività sono svolte dal risk manager con maggiore specificità. Pertanto possiamo dire che i processi di pianificazione, i rischi aziendali e la creazione del valore assumono oggi connotati molto più ampi; ormai l’analisi non riguarda i singoli elementi ma si estende a tutto il modello di business del quale questi elementi sono componenti trasversali rappresentativi del contesto ambientale, sociale ed economico-finanziario.

2.2 Il rischio

Nella letteratura economico-aziendale il rischio è un fenomeno che caratterizza tutte le fasi della vita di un’impresa ed è in grado di modificarne le condizioni di equilibrio economico, finanziario e patrimoniale. In generale può essere definito come la possibilità di un danno economico che deriva da un evento futuro di incerta manifestazione, a seguito del quale si può manifestare uno scostamento negativo rispetto agli obiettivi prestabiliti. Andando ad analizzare nel particolare il concetto, si parla di possibilità di danno potenziale in quanto il rischio è l’antefatto dell’evento a seguito del quale si manifesta il danno come effettiva conseguenza. Il termine danno ha in sé un’eccezione esclusivamente negativa poiché dal manifestarsi del rischio ci si aspetta conseguenze nocive per l’attività aziendale. In altre trattazioni il rischio viene definito incertezza misurabile essendo considerato come un evento incerto dal quale si possono ottenere conseguenze o positive o negative poiché non se ne può conoscere l’effettiva natura se non dopo l’accadimento stesso. Il danno è definito comunque economico perché determina ripercussioni di segno negativo evidenziate in Conto Economico. La natura del danno può essere economica, come il mancato rispetto di norme in materia di contabilità che sottopone l’azienda a sanzioni, oppure di natura

non economica (ad esempio un terremoto che distruggendo le infrastrutture

comporta costi di ricostruzione). Proseguendo nella definizione, si legge che l’evento ha carattere di incertezza nella manifestazione, di conseguenza

(27)

23

anche il rischio ha come parametro di valutazione la probabilità che esso si manifesti o meno. In fine per scostamento negativo dagli obiettivi prestabiliti si intende il minor guadagno o il maggior costo rispetto a quanto preventivato dopo il concretizzarsi del rischio. Una ulteriore importante distinzione va fatta tra il rischio lordo, definito come il rischio complessivo a cui un’azienda si assoggetta in assenza di misure di fronteggiamento e il rischio residuo cioè quello che risulta permanere a seguito dell’applicazione delle misure di mitigazione. Nel rischio è possibile individuare 4 attributi degni di nota:

 Eliminabilità: il rischio non può essere completamente eliminato, permane sempre un certo grado di rischio economico generale d’impresa, per cui la principale tecnica è la gestione attraverso l’utilizzo di strumenti idonei. Quando si valuta il grado di eliminabilità del rischio è necessario tener presente, non solo le caratteristiche dell’azienda e il suo modus operandi ma anche la limitata capacità indagatrice dell’uomo rispetto al mutevole manifestarsi di eventi futuri.

 Sistematicità: quando si parla di rischio ci riferiamo ad un sistema interdipendente di rischi particolari. Questi ultimi sono rischi semplici e specifici riferiti ad una certa attività o singola operazione che combinati tra loro a sistema formano il rischio economico generale ineliminabile, presente in tutte le aziende. Questa caratteristica porta a creare dei nessi causali tra i diversi rischi, generando nella peggiore delle ipotesi una concatenazione di eventi.

 Dinamicità: Il rischio si modifica nel corso delle varie fasi di vita dell’organizzazione per effetto di fattori interni ed esterni.

 Contenuto economico: Il rischio come abbiamo detto ha un contenuto economico, le conseguenze che scaturiscono da esso hanno sempre carattere negativo in termini economici.

(28)

24

È necessario approfondire la differenza tra rischio economico generale e rischio specifico. Il rischio economico generale è la configurazione più astratta del rischio che interessa la combinazione produttiva pesando moltissimo nella vita aziendale di cui ne influenza gli andamenti economici e finanziari: è l’incapacità dell’impresa di riuscire a remunerare congruamente i fattori produttivi di cui necessita per lo svolgimento della sua attività. Tale rischio è la sintesi di tutti i rischi specifici ed esprime l’incertezza della riuscita del progetto d’impresa e della remunerazione adeguata dei fattori produttivi vincolati all’impresa, alcuni esempi possono essere il rischio d’immagine, il rischio di mercato, il rischio di fedeltà del management o la rischiosità del quadro normativo. I rischi specifici sono normalmente presenti in tutte le transazioni con i terzi e sono configurazioni particolari del più generale rischio d’impresa. Seppur a diversi livelli tali rischi possono avere impatti sia sulle attività aziendali sia sul sistema di bilancio, alcuni esempi sono i rischi legati alla variabilità di tassi, prezzi e cambi, oppure i rischi finanziari che comprendono rischio di liquidità o di credito, rischio legale o contrattuale e il rischio ecologico.

I rischi possono poi essere classificati in base a differenti criteri di valutazione, i più noti utilizzano il segno del potenziale, gli obiettivi su cui impattano, la natura del rischio e il carattere di universalità o specificità. Secondo il primo driver distinguiamo in rischi puri quelli che vengono associati solo a perdite economiche (eventi occasionali naturali o causati dall’uomo, rischio di credito e di compliance) oppure in rischi speculativi ai quali si associa la possibilità di perdita o guadagno rispetto ad un risultato medio atteso di riferimento (ad esempio rischi di cambio, tasso e prezzo). Considerando invece gli obiettivi su cui i potenziali rischi impattano, possiamo suddividerli in strategici (qualora vadano ad impattare sull’effettiva realizzazione della strategia), operativi (quando provocano un peggioramento delle condizioni di efficacia, efficienza ed economicità dei

(29)

25

processi gestionali), di reporting (quando vengono fornite a destinatari interni o esterni informazioni non veritiere, poco accurate o non in maniera tempestiva) e di compliance (deviazione dalle norme di legge o regole interne). La terza classificazione suddivide i rischi che possono impattare su un’azienda secondo la loro natura. Si distinguono in rischi finanziari, i quali generano oneri o proventi di natura finanziari (tra questi rischio di credito, di liquidità e di mercato) oppure operativi se impattano sulla dinamica del reddito operativo e derivano da variabili strategiche, settoriali o strutturali. Da ultimo consideriamo il carattere di universalità, tipico dei rischi derivanti da variabili macroeconomiche che coinvolgono tutte le imprese con impatti diversi; o di specificità se sono eventi riconducibili ad un solo operatore economico che ha quindi anche la possibilità di eliminarli. In sostanza il rischio è un evento dannoso che può essere determinato dai seguenti fattori:

 Una situazione di incertezza in cui opera l’impresa che può essere, conosciuta o prevedibile, o nella maggioranza dei casi non conosciuta né tanto meno prevedibile

 Il dinamismo dei fattori ambientali interni ed esterni influenti sul sistema di azienda (nuove tecnologie, leggi e regolamenti, turbolenze nel mercato, variabilità dei tassi, concorrenza ecc. ecc.)

 L’inadeguatezza dell’organizzazione o dei mezzi patrimoniali e finanziari posseduti dall’azienda o delle risorse umane

 L’errore causato dalla disattenzione o incompetenza dell’uomo In via generale i rischi o le opportunità si generano sempre nell’ambiente esterno dell’azienda, dove trovano poi gli elementi interni alla stessa che ne condizionano lo sviluppo e la dinamica.

2.3 Campi di applicazione del risk management

Il sistema di risk management come abbiamo visto precedentemente è uno strumento di supporto al controllo gestionale che coinvolge tutte le aree

(30)

26

aziendali con il fine di ottenere una visione generale del livello di rischio che caratterizza l’impresa. Il carattere di generalità permette l’implementazione in diversi ambiti aziendali, andando a contribuire su di ognuno al conseguimento degli obiettivi stabiliti mantenendo un livello di rischio considerato accettabile per il management. In fase di formulazione e controllo della strategia parliamo di Strategic Risk Management; in questo ambito si procede ad analizzare tutti i potenziali rischi che possono essere generati dalle diverse alternative strategiche. Gli strumenti di valutazione a cui è possibile ricorrere sono swot analysis o analisi di scenari ipotetici. Si compie un confronto tra i rischi e l’effettivo rendimento e si seleziona l’alternativa più vantaggiosa, dopo di che si forniscono gli strumenti necessari alla gestione dei rischi riscontrati per quella strategia. I parametri che contribuiscono a determinare la strategia sono: punti di forza, di debolezza, opportunità e minacce che caratterizzano il campo di azione dell’impresa e altri fattori individuali derivanti dalla propensione o meno al rischio da parte dei singoli individui. Una volta deliberata la strategia, l’azienda è cosciente di aver assunto dei rischi e di dover attivare delle azioni di mitigazione e monitoraggio degli stessi attraverso sistemi di controllo diagnostico sull’evoluzione dello stato di rischiosità. Un segno di sviluppo può essere quello di impegnarsi nella ricerca di nuovi fattori di rischio, in particolare provenienti dall’ambiente esterno, per valutare se rivedere l’impostazione strategica in atto. Il risk management a livello operativo (Operational Risk Management) viene applicato ai processi gestionali per individuarne i rischi tipici; le aree d’interesse sono la produzione, il magazzino e le risorse umane e dal processo è possibile scrutinare anche i subprocessi e le singole azioni. Ciò che si evince da un’analisi sui rischi di processo può essere utilizzato come input per andare a sviluppare o migliorare le politiche gestionali al fine di prevenire i rischi riscontrati. La gestione del rischio è una componente insita nel controllo di gestione per cui quando un’impresa va a delineare il proprio sistema di controllo dovrà tenere

(31)

27

di conto dei rischi aziendali e delle caratteristiche che saranno necessarie ai controlli per rivelarsi efficaci, maggior è il livello di rischiosità, più frequenti, numerosi e approfonditi saranno i controlli. Concludendo la finalità ultima del risk management è quella di valutare le performance aziendali attraverso il valore del capitale economico. L’indicatore EVA risulta essere l’unico dato numerico che permette di misurare il livello di rischiosità, analizzando il processo di creazione di valore per gli stakeholders. È calcolato come differenza tra il rendimento del capitale al netto delle imposte (NOPAT) e il costo medio ponderato del capitale investito (WACC). Il WACC definito come media ponderata tra il costo del capitale proprio e di credito, rappresenta lo stato di rischiosità delle fonti di finanziamento5_{. In generale si}

può dedurre che un incremento del rischio, aumenta il costo del capitale investito e riduce a parità l’entità dell’EVA, il rischio pertanto può incidere negativamente sulla creazione di valore sia attraverso il capitale proprio che di credito.

2.4 I modelli di gestione del rischio

Con il diffondersi nelle aziende dell’esigenza di tutelarsi dai numerosi rischi che caratterizzano le attività e il mercato, si sono sviluppati diversi modelli (framework) di gestione del rischio con connotati diversi a seconda della tipologia di impresa in cui devono essere implementati. Tale gestione permette di aumentare la probabilità di raggiungere gli obiettivi dell’organizzazione grazie alla prevenzione e al fronteggiamento degli eventi rischiosi con conseguente riduzione delle perdite. In generale gli intermediari finanziari e le aziende medio grandi necessitano di modelli formalizzati attraverso la stesura di documenti richiesti dalla normativa in materia e un soggetto di riferimento, di solito il Risk Manager; al contrario le piccole

5_{Nel dettaglio il rischio del capitale proprio viene calcolato come Beta, confrontando la}

rischiosità del capitale in relazione all’andamento del mercato; mentre la rischiosità del capitale di terzi viene valutata secondo il tasso di onerosità del debito applicato (maggiore il rischio, maggiore sarà il tasso).

(32)

28

imprese non hanno modelli formalizzati né tanto meno un soggetto specializzato poiché la gestione e la responsabilità ricade unicamente sull’imprenditore.

I framework più accreditati sono 4 e variano in base al grado di approfondimento e di accuratezza dell’analisi:

 Risk Silo Management: l’analisi viene condotta esclusivamente su

rischi specifici senza arrivare ad avere una visione sistemica del livello di rischiosità. Le modalità di trattazione sono semplici, si tende a quantificare i rischi, si valutano e si applicano misure per eliminarli o in alcuni casi per monitorarli.

 Integrated Risk Management: è un modello che riconosce le

interdipendenze che si creano tra i rischi di una stessa azienda, questi vengono gestiti aggregandoli e trattandoli secondo una visione integrata.

 Risk Based Management: questo modello porta a sviluppare un

sistema di gestione dei rischi nell’ottica di creare valore per gli stakeholders e non solo come forma di tutela per l’azienda. Il buon operato in materia di rischiosità deve garantire anche una percezione del valore presso soggetti interni o esterni congrua agli interessi che detengono nei confronti dell’impresa.

 Holistic Risk Management: nasce come unione dei due modelli

precedenti perché ha come duplice scopo riuscire ad avere una visione completa di tutti i rischi che possono caratterizzare il governo e la gestione aziendale e trattarli in maniera tale da garantire continuità all’impresa e rilevanza nel giudizio formulato dagli stakeholders. Questo modello ha il vantaggio di svilupparsi ad ogni livello organizzativo permettendo un controllo approfondito ed è utile per contenere il rischio residuo nei limiti considerati accettabili. In questa

(33)

29

categoria rientra il framework più accreditato l’ERM che tratteremo nel paragrafo successivo.

2.5 Il processo di gestione dei rischi

I modelli di risk management sono tutti composti dal medesimo sistema complesso costituito da un processo articolato in tre attività: identificazione, valutazione e trattamento. A queste attività partecipano soggetti di diverse aree con l’obiettivo di salvaguardare il valore creato dalla combinazione produttiva attraverso l’utilizzo di tecniche e strumenti adeguati. A questo primo sistema si affiancano sia un sistema di comunicazione interno, di cui i beneficiari sono i soggetti operanti nell’organizzazione, sia uno esterno rivolto ad interlocutori non coinvolti direttamente nella combinazione produttiva.

Gli attori sono soggetti interni impiegati nei vari livelli organizzativi, che vanno dal vertice a quelli operativi, ai quali vengono attribuite funzioni direzionali o esecutive a seconda della carica che ricoprono.

Il processo, che rappresenta la componente più corposa del sistema, può essere definito come l’insieme delle decisioni ed azioni finalizzate a mitigare le potenzialità di danno che gravano sull’azienda. Le fasi principali del processo come abbiamo detto sono l’identificazione, la valutazione e il trattamento; a queste va aggiunto il reporting, che integra tra loro le fasi grazie alla comunicazione interna. Procediamo con analizzare le singole attività citate; l’identificazione dei rischi consiste nella ricerca di eventi rischiosi, nell’individuazione dei fattori causali e nell’analisi delle causalità e delle relative conseguenze. L’obiettivo dell’azienda è cogliere il maggior numero di eventi rischiosi da trattare per non incorrere in situazioni sconvenienti determinate appunto dalla mancanza di soluzioni utili a fronteggiare questi rischi eventualmente non individuati. Il processo prevede

(34)

30

che, una volta identificati i rischi connessi agli obiettivi prestabiliti in fase di programmazione e pianificazione, si proceda con identificare i fattori in grado di innescarli e le conseguenze a cui l’impresa va incontro. Questa è la fase più delicata di tutto il processo poiché rappresenta il punto di partenza per la realizzazione dei successivi passaggi; per quanto riguarda la valutazione essa si baserà sulle cause scatenanti dei fenomeni rischiosi e sul calcolo delle probabilità con cui si potranno manifestare, mentre per la formulazione delle azioni di trattamento queste saranno tanto più efficace quanto la diagnosi sarà precisa, tempestiva e affidabile. A questa fase, fa seguito la valutazione degli eventi rischiosi finalizzata all’apprezzamento dell’entità del rischio procedendo al calcolo della probabilità e alla valutazione dell’impatto relativo al rischio. La probabilità è definita come la possibilità con la quale l’evento rischioso si possa manifestare mentre l’impatto è il danno derivante dallo scostamento negativo rispetto agli obiettivi provocato dal manifestarsi del rischio; il prodotto tra queste due variabili permette di ottenere l’esposizione dell’azienda rispetto al rischio. Per il calcolo di entrambe le variabili si possono utilizzare metodi quantitativi, basati sull’applicazione di modelli matematico-statistici, oppure metodi qualitativi che si concretizzano in valutazioni soggettive. Come già detto, la stima della probabilità si baserà principalmente sulle cause e le conseguenze dell’evento sfavorevole mentre per l’impatto si andranno ad osservare gli effetti diretti o indiretti sugli obiettivi, la capacità di reazione per arginare le conseguenze negative, le tempistiche con cui si manifesta il danno, la durata dello stato di rischiosità e il grado di coinvolgimento dei fattori aziendali coinvolti. Le prime due fasi permettono di acquisire gli elementi conoscitivi utili per la definizione delle azioni volte a contenere i rischi associati alle attività aziendali. Gli elementi chiave per le politiche di mitigazione dei rischi sono la coscienza dei rischi e la soglia di accettabilità degli eventi rischiosi, il primo riguarda la presa di coscienza da parte del management dei fenomeni che posso pregiudicare il raggiungimento degli

(35)

31

obiettivi aziendali e quindi avere un impatto negativo sulla creazione di valore mentre la soglia di accettabilità rappresenta il limite entro il quale un rischio può essere tollerato e per il quale non saranno intraprese azioni di fronteggiamento. La combinazione di questi due elementi mi porta a classificare le decisioni aziendali in tre gruppi: azioni di rinuncia al trattamento del rischio, azioni per ridurne la probabilità di accadimento e azioni per contenerne l’impatto. Nel primo caso l’azienda in maniera consapevole e razionale, si assume la responsabilità di non porre in essere nessun’azione di fronteggiamento ritenendo che il rischio considerato possa non essere rilevante e l’azienda capace di conseguire i propri obiettivi pur incorrendo in tale evento dannoso. Nel secondo gruppo rientrano le attività volte ad eliminare le cause di eventi dannosi o a ridurne la probabilità di accadimento mentre nel terzo abbiamo le tecniche di riduzione del danno, assicurazione dai rischi, gli strumenti di copertura e il trasferimento del rischio. Per concludere le azioni di trattamento devono essere tra loro coerenti e rientrare in una politica generale chiara e ben definita volta a contenere il rischio complessivo entro il limite di tolleranza definito dal vertice. Per favorire l’efficacia del sistema di risk management è necessario pertanto verificare che le azioni di gestione dei rischi particolari realizzate nelle unità organizzative siano in armonia e coerenti con il disegno generale definito a livello complessivo d’azienda.

La terza componente del sistema di gestione dei rischi è costituita dalle tecniche e dagli strumenti che gli attori utilizzano per l’efficace svolgimento del processo; questi nel loro insieme definiscono la parte oggettiva del sistema stesso poiché si basano per lo più sull’applicazione di standard di analisi. Gli strumenti e le tecniche differiscono a seconda della fase in cui vengono applicati e delle finalità che devono conseguire. Per la fase di identificazione l’azienda potrà applicare: tecniche di analisi delle attività utili a comprendere le peculiarità del contesto operativo e organizzativo, modelli

(36)

32

di rischio o strumenti di segnalazione utili a mappare i rischi potenziali connessi alla combinazione produttiva e tecniche di analisi delle cause. Come precedentemente detto, nella fase di valutazione, si applicheranno tecniche quantitative, qualitative e quando possibile miste mentre in quella di trattamento si procede ad attuare azioni in linea con la coscienza di rischio acquisita e il livello di rischiosità accettabile.

Gli ultimi elementi del sistema, trasversali al sistema stesso, sono la comunicazione interna ed esterna che contribuiscono al corretto funzionamento permettendo la diffusione delle informazioni conoscitive progressivamente acquisite. Le finalità del reporting interno sono quelle di monitorare le informazioni provenienti dalle diverse attività in modo da metterne a conoscenza l’alta direzione in maniera tempestiva, chiara e accurata per il corretto coordinamento del processo (bottom up). La comunicazione può assumere anche una logica top down, quando il vertice comunica le linee guida e gli obiettivi da raggiungere nell’esercizio attuando il processo di gestione dei rischi. Il Reporting esterno pertanto risulta assai importante per tutti gli interlocutori che intrattengono relazioni con l’azienda e possiedono determinati bisogni conoscitivi da soddisfare. Un’informativa di questo tipo può contenere informazioni generali o specifiche a seconda del destinatario a cui è rivolta; in generale l’informativa sui rischi permette agli interessati di concepire il livello di rischiosità ma anche apprezzare la qualità del sistema manageriale e di governo dell’azienda. Non è sempre detto però che le imprese siano disponibili a divulgare all’esterno queste informazioni perché così facendo si possono esporre a costi competitivi dovuti all’immagine reputazionale che si configura con la diffusione delle informazioni all’esterno. Nel quadro delle comunicazioni economico-finanziarie delle aziende italiane il reporting sui rischi è stato collocato, nel corso del tempo, sempre al confine tra documento obbligatorio e facoltativo. Fino al 2005 le informazioni sui fattori di rischio potevano essere rinvenute