1
UNIVERSITA’ DEGLI STUDI DI PISA
DIPARTIMENTO DI ECONOMIA E MANAGEMENT
Corso di Laurea Magistrale in
Strategia Management e Controllo
Tesi di Laurea Magistrale
Cyber Risk Management: un’analisi empirica sui comportamenti delle
aziende
Candidato Relatore
Alessandra Regoli Alessandra Rigolini
2 “E se diventi farfalla nessuno pensa più a ciò che è stato quando strisciavi per terra e non volevi le ali”.
3
RINGRAZIAMENTI
Voglio dedicare il mio elaborato alla mia famiglia, che in tutti questi anni mi ha supportato ed incoraggiato nel mio percorso con amore e dolcezza, permettendomi di concludere questo cammino, e a Manuel, che rappresenta la mia principale fonte di forza, che riesce a spronarmi ad andare avanti dimostrandosi sempre orgoglioso e soddisfatto di me. Grazie!
Un ringraziamento speciale va a alla mia relatrice, Prof.ssa Alessandra Rigolini per i suoi preziosi consigli, per gli insegnamenti forniti e per avermi guidata e sostenuta durante tutto il percorso di svolgimento della tesi.
Vorrei ringraziare inoltre i miei amici e compagni di università, che hanno reso divertenti e briosi anche i momenti più difficili.
Un grazie di cuore alle mie amiche da sempre, che il nostro legame di pura amicizia ci accompagni sempre e ci sostenga l’una con l’altra.
Infine vorrei ringraziare i colleghi incontrati durante il periodo di stage che sono riusciti, in poco tempo, ad insegnarmi importanti pillole di vita, permettendomi di crescere professionalmente e personalmente.
5
INDICE
INTRODUZIONE ... 7
CAPITOLO 1: IL RISCHIO ... 9
1.1 DEFINIZONE E CARATTERI DEL RISCHIO NELL’AZIENDA ... 9
1.2 GESTIONE DEL RISCHIO NEL SISTEMA D’AZIENDA ... 12
1.3 CLASSIFICAZIONE DEI RISCHI ... 15
CAPITOLO 2: RISK MANAGEMENT: CENNI INTRODUTTIVI ... 18
2.1 DEFINIZIONE DI RISK MANAGEMENT ... 18
2.2 OBIETTIVI DEL RISK MANAGEMENT ... 23
2.3 STANDARD ... 25
2.3.1 ISO 31000 ... 26
2.3.2 ENTERPRISE RISK MANAGEMENT ... 33
2.3.2.2 ATTORI CHIAVE NELL’ERM ... 44
2.3.2.3 VARI APPROCCI ORGANIZZATIVI ... 51
CAPITOLO 3: RISK MANAGEMENT E CYBER SECURITY ... 53
3.1 CYBERSPACE: ORIGINI E SVILUPPO ... 53
3.1.1 PRINCIPALI PUNTI DI DEBOLEZZA DEL CYBERSPACE ... 55
3.2 CYBERSECURITY: CONTESTUALIZZAZIONE DEL RISCHIO NEL CYBERSPACE ... 58
3.2.1 VALORE ECONOMICO DELL’INFORMAZIONE ... 60
3.2.2 MERCATO NERO DELL’INFORMAZIONE ... 61
3.2.3 RISCHI DELL’INTERNET OF THINGS ... 62
3.2.4 SICUREZZA DEL CLOUD ... 63
3.2.5 ATTACCHI RANSOMWARE, PHISHING E CYBER ESPIONAGE . 64 3.3 COME PROTEGGERSI DAI DANNI LEGATI AL CYBER RISK: ... 66
FRAMEWORK DA SEGUIRE ... 66
3.3.1 NIST Cybersecurity Framework... 66
3.3.2 FRAMEWORK CINI ... 70
CAPITOLO 4: ATTORI COINVOLTI NEL CYBER RISK MANAGEMENT: IL RUOLO DEL TOP MANAGEMENT ... 73
6
4.1 EVOLUZIONE DEL CYBER RISK MANAGEMENT... 73
4.2 FIGURE CHIAVE COINVOLTE NEL CYBER RISK MANAGEMENT: IL RUOLO DEL TOP MANAGEMENT... 77
4.2.1 RUOLO DEL CFO o Direttore Finanziario ... 80
4.2.2 RUOLO DEL CRO o Risk Manager ... 82
4.2.3 RUOLO DEL CIO o IT Manager ... 84
4.3 NASCITA DELLE NUOVE FIGURE PROFESSIONALI ... 85
4.3.1 CISO: Chief Information Security Officer ... 85
4.3.1.1 RUOLI DEL CISO ... 87
4.3.2 DPO Data Protection Officer ... 90
4.3.4 CDO o Chief Data Officer ... 91
4.4 MODELLO FERMA E ECIIA: CORPORATE GOVERNANCE & CYBER RISK ... 92
4.4.1 PILASTRI FONDAMENTALI DEL FRAMEWORK: PRINCIPI OECD E THREE LINES OF DEFENCE... 93
4.4.2 MODELLO DI GOVERNANCE NELL’ERA DIGITALE ... 99
CAPITOLO 5: CASI AZIENDALI ED I RISULTATI DELLA RICERCA .... 108
5.1 OBIETTIVI DELLA RICERCA ... 108
5.2 PIANO DI CAMPIONAMENTO E IL DATA COLLECTION ... 110
5.3 RISULTATI DELLA RICERCA ... 113
CAPITOLO 6: UNO SGUARDO AL FUTURO, DYNAMIC CYBER RISK MANAGEMENT ... 122
CAPITOLO 7: CONCLUSIONI ... 124
APPENDICE A: QUESTIONARIO ... 125
BIBLIOGRAFIA ... 130
7
INTRODUZIONE
Negli ultimi anni l’interesse per il cyber risk è cresciuto notevolmente a seguito di gravi attacchi subiti dalle aziende e dalle istituzioni pubbliche.
La continua evoluzione delle tecnologie, utilizzate sia come strumenti di lavoro che nella vita quotidiana attraverso l’uso di dispositivi mobili e servizi cloud, ha portato ad una maggiore esposizione e vulnerabilità del cyber space.
Di conseguenza quasi tutte le aziende hanno iniziato a considerare la cyber security come un rischio di impresa da monitorare per evitare gravi conseguenze che possono derivare a seguito di un attacco.
In questo elaborato sono stati presi in considerazione tutti gli aspetti principali inerenti al processo di gestione del cyber risk, facendo un focus sulle figure professionali coinvolte.
Per meglio studiare l’argomento è stata fatta una ricerca basata su un questionario autosomministrativo compilato dalle aziende.
Nel capitolo 1 è stato analizzato il concetto di rischio in tutte le sue caratteristiche all’interno dell’azienda e sono state prese in considerazione le varie classificazioni di rischi che possono adottare in azienda.
Nel capitolo 2 è stato preso in considerazione il cyber risk management e quindi il processo di gestione del rischio in azienda e sono stati analizzati i principali framework a cui le aziende fanno riferimento: ERM (Enterprise Risk Management) e ISO 31000.
Nel capitolo 3 si è affiancato il concetto di cyber security al risk management, andando in primis a descrivere il concetto di rischio cibernetico, le principali caratteristiche per poi passare a studiare modelli di gestione del cyber risk analizzando i principali Framework utilizzati.
Nel capitolo 4 sono stati analizzati nello specifico gli attori coinvolti nel cyber risk management, andando a studiare i rispettivi ruoli, le responsabilità e se questi sono cambiati con l’introduzione del cyber risk, infine viene esposto il Framework FERMA e EECIA il quale espone un framework in tema di cyber
8
risk management, nel quale vengono esposti i principali attori coinvolti e le relative responsabilità.
Nel capitolo 5 viene esposta la ricerca effettuata, spiegandone la metodologia utilizzata e i risultati ottenuti.
Nel capitolo 6 si espone un modello di gestione del cyber risk management, chiamato dynamic risk management, il quale analizza il sistema aziendale costantemente ed è quindi in grado di individuare possibili rischi in tempo reale. Nel capitolo 7 infine viene riportata la conclusione del lavoro.
9
CAPITOLO 1: IL RISCHIO
1.1 DEFINIZONE E CARATTERI DEL RISCHIO
NELL’AZIENDA
Il rischio deriva da un insieme di variabili che possono essere sia interne sia esterne all’azienda, difficili per l’uomo da prevedere e soprattutto da controllare. Il rischio è definito come la possibilità di danno economico che deriva da un evento futuro di incerta manifestazione e che può determinare uno scostamento negativo dagli obiettivi prestabiliti.
Il rischio è una condizione di danno potenziale1 e dal momento in cui si palesa,
perde l’aspetto stesso del rischio, poiché attraverso la manifestazione del danno si passa da una condizione di incertezza ad una di certezza.
Definendo il rischio come danno potenziale, si prende in considerazione solo gli eventi aleatori che possono produrre degli scostamenti negativi rispetto agli obiettivi prefissati.
Tuttavia è doveroso ricordare che negli studi esistono altre definizioni di rischio che accolgono nella definizione stessa anche scostamenti positivi rispetto ai risultati attesi e che prendono in considerazione il rischio come un’opportunità. Per danno economico intendiamo che il manifestarsi del rischio comporta un peggioramento dei risultati economici, finanziari e patrimoniali dell’azienda rispetto alle situazioni inizialmente previste (tali fenomeni possono non essere del tutto negativi, ma portano comunque a risultati positivi inferiori rispetto a quelli ipotizzati nel lungo periodo).
Il peggioramento delle performance può essere visto sotto numerosi aspetti, quali maggiori costi, depotenziamento competitivo, minori ricavi.
10
I rischi possono manifestarsi secondo natura diversa: economica, sociale, conseguente a eventi naturali; spetta al manager saper gestire nel migliore dei modi questi rischi, con l’obiettivo di contenere l’impatto.
Legata a questa eventualità di danno si giustificano i costi relativi all’attività di risk management.
Dobbiamo ragionare secondo una logica rischi-benefici, in cui il costo dell’attività di risk management è motivata solo qualora la riduzione della perdita attesa risulti minore del costo sostenuto per l’attuazione.
Quindi nell’analizzare l’eventualità di sostenere azioni di risk management dobbiamo guardare alcune variabili: la probabilità di manifestarsi dell’evento e l’impatto che provoca l’evento.
Il rischio è legato ad eventi futuri incerti nella loro manifestazione, è un fenomeno aleatorio in quanto dipende dall’incertezza che caratterizza il futuro della vita aziendale ed è causato a sua volta dall’imprevedibilità che connota l’ambiente e la dinamica interna della gestione aziendale.
Quindi il concetto di rischio e di incertezza sono intrinsecamente legati: il rischio dipende da eventi di incerta manifestazione.
Il grado di incertezza è differente da evento a evento, infatti possono manifestarsi eventi che sono facilmente prevedibili basandosi sull’esperienza passata, altri a cui è possibile avvicinarsi studiando il contesto di riferimento e l’esperienza ed altri che sfuggono completamente dalla capacità di essere predetti.
Una buona analisi del rischio si basa essenzialmente sul proiettare le analisi nel futuro, cercando di prevedere come cambierà il contesto di riferimento sia esterno sia interno.
Esiste quindi nell’analisi del rischio un margine di errore dipendente sia dall’aspetto soggettivo dell’analisi, quando il soggetto che la svolge ha lacune di conoscenze specifiche, sia dall’ aspetto oggettivo, ovvero dalle previsioni che riguardano fenomeni i cui andamenti non sono facilmente ipotizzabili.
11
Da tale valutazione risulta il primo aspetto del rischio, il suo essere ineliminabile2
è un fenomeno intrinseco alla gestione aziendale e cessa di esistere solo con il termine dell’attività.
Nel corso della dinamica gestionale un certo profilo di rischio è sempre presente in azienda e può variare a seguito delle varie fasi attraversate dall’azienda.
Da ciò deriva il secondo carattere del rischio: la dinamicità.
Esso infatti va a modificarsi a seconda delle circostanze in cui si trova l’azienda, per effetti di natura esterna e/o interna, che portano alla cessazione di alcuni e al sorgere di altri.
Infine un altro carattere che assume il rischio è la sistematicità, ovvero si ritiene che fra le varie manifestazioni vi sia una connessione e che ciò porti ad avere un complesso unitario di rischi.
Su questo argomento in dottrina ci sono numerose versioni; alcuni preferiscono vedere il carattere sistemico del rischio come un concatenarsi di eventi rischiosi, dal momento che si origina il primo, questo porta inevitabilmente al manifestarsi di un secondo e via dicendo.
Un’altra dottrina divide invece il rischio economico- generale dai rischi particolari e sostiene che quelli particolari siano parziali manifestazioni di quello economico-generale.
Dopo aver discusso dei suoi caratteri, il rischio nell’economia aziendale è un fenomeno intrinseco, dinamico ed avente carattere sistemico nel funzionamento dell’organizzazione stessa, che esprime la possibilità di raggiungere, in un arco temporale di lungo periodo, un risultato peggiore rispetto a quello ipotizzato.
12
1.2 GESTIONE DEL RISCHIO NEL SISTEMA
D’AZIENDA
I punti di contatto tra il risk management e gli altri elementi del sistema di controllo sono molteplici e di fondamentale importanza.
Tra essi si ritrovano: la strategia, i processi gestionali, il controllo interno ed infine la valutazione delle performance.
Lo scopo a livello strategico è quello di realizzare una strategia aziendale che sia efficace nel lungo periodo.
3Esistono due momenti nella strategia in cui il risk management entra in gioco:
quello della formulazione e quello della realizzazione.
Nel momento della formulazione si definiscono le alternative strategiche che derivano dall’analisi dell’ambiente esterno in cui opera l’azienda, ma anche di quello interno, cioè come è organizzata.
Il risk management in questa fase è importante anche per capire quante alternative creare, perché aziende che operano in contesti estremamente incerti tendono a definire più piani di azione in funzione dell’evoluzione dei fattori di rischio ritenuti più rilevanti.
Esiste una relazione che esiste tra rischio e le politiche gestionali: facendo riferimento a quest’ultime, le aziende devono formulare i processi di approvvigionamento, di produzione, di magazzinaggio, di vendita e della gestione delle risorse umane e così.
Parlando del legame tra gestione del rischio e politiche gestionali, si va ad analizzare il rapporto tra il risk management e la formulazione/definizione delle politiche gestionali che l'azienda deve fissare per regolare i rapporti con i fornitori, i cicli di produzione, i rapporti con i clienti e con i dipendenti.
Si fa riferimento quindi alle politiche che vanno a disciplinare i processi di approvvigionamento, di produzione, di vendita, di gestione delle risorse umane ed altri processi che caratterizzano l'operatività dell'azienda.
13
L'analisi del rischio deve fornire delle informazioni per poter strutturare le politiche gestionali di un'azienda.
Tra i rischi che caratterizzano gli approvvigionamenti, si può prendere come esempio la non consegna delle merci nei tempi prestabiliti o la consegna di materie che non rispettano i quantitativi o le caratteristiche ordinate.
Se dall'analisi emerge che la probabilità di rischio è elevata, bisognerà formulare delle politiche gestionali per fronteggiare tale rischio, ad esempio attraverso una selezione dei fornitori e ad una loro valutazione periodica.
Il sistema di controllo interno di un'azienda deve essere designato in base alla tipologia di esposizione ai rischi presenti nelle operazioni aziendali.
Per quanto riguarda i controlli interni, essi devono essere strutturati in base alla tipologia e al livello di esposizione ai rischi.
In altri termini quando si presentano i controlli devono essere disegnati considerando i rischi che i controlli stessi devono prevenire e considerando sempre il livello di propensione al rischio aziendale.
Il grado di approfondimento dei controlli dovrà dipendere dal grado di propensione al rischio: più alto, maggiori dovranno essere i controlli per poterlo prevedere.
Infine la relazione che esiste tra rischio e valutazione delle performance.
Quando si devono valutare i risultati di un'azienda, gli indicatori tradizionali di misurazione delle performance sono gli indicatori contabili.
Esistono però, nell'ambito degli studi sulla valutazione delle performance, anche studi i quali sostengono che se si vuole tener conto del rischio, è necessario misurare la capacità dell'azienda di creare valore.
Si crea valore, quando dato un certo capitale investito nell'azienda, il rendimento di tale capitale supera il costo del capitale investito.
Il rischio impatta sul costo del capitale proprio, più è elevato, maggiore dovrà essere la remunerazione da garantire agli azionisti, per far sì che qualora venga istituito un aumento di capitale sociale questo venga sottoscritto.
Da ciò possiamo dedurre che più alto è il rischio più alto sarà il costo del capitale proprio.
14
Nel caso in cui ci fossero due aziende che hanno la stessa performance in termini di utile, crea più valore quella che è meno rischiosa poiché ha un costo del capitale proprio più basso e quindi riesce ad attrarre più facilmente azionisti.
15
1.3 CLASSIFICAZIONE DEI RISCHI
Esistono numerose classificazioni dei rischi, la prima che si considera è quella in base al segno dell’impatto.
A seconda del segno dell’impatto possiamo distinguere tra rischi puri e rischi speculativi.
I rischi puri sono quegli eventi che possono unicamente generare danno per l'azienda, mentre ai rischi speculativi è possibile associare sia uno scostamento positivo che negativo dai risultati attesi.
Per classificare i rischi è possibile basarsi sull’obiettivo su cui può impattare un certo rischio e per fare questa classificazione ci si avvale della distinzione degli obiettivi definiti dall’Enterprise Risk management proposto dal COSO della Tradeway Commission.4
I rischi vengono così suddivisi: strategici, operativi, di reporting e di compliance. I primi, quelli strategici, sono tutti quei rischi che comportano un peggioramento della qualità della strategia a seguito di una riduzione della capacità competitiva di un’azienda a lungo termine.
I rischi operativi riguardano quegli eventi in grado di produrre una diminuzione in termini di efficacia/ efficienza ed economicità5 di un processo operativo.
I rischi di reporting riguardano l'attività di reporting sia esterna che interna e sono legati a problemi che possono riguardare ritardi, scarsa accuratezza, sovrabbondanza o assenza delle informazioni.
4Il "Committee of Sponsoring Organization of the Treadway Commission" è una Commissione
indipendente USA.
Nasce con lo scopo di fornire delle linee guida per il management sui seguenti temi: aspetti organizzativi, audit interno, enterprise risk management, e finanacial reporting.
Ha prodotto nel 1992 il "CoSO Report 1" (Internal Control over Finacial Reporting) e nel 2004 il "CoSO Report 2" (ERM, integrated framework), il cui modello include il CoSO 1 e offre una ricca sezione di tecniche applicative, talvolta alternative fra loro, a supporto dell'applicazione del modello. È uno standard internazionale di fatto fra i modelli ERM.
Enterprise Risk Management - Integrated Framework (2004).
5 Con economicità si intende ‘il perseguimento di finalità istituzionali, che per quanto possano
esserediverse, richiedono comunque che l’azienda stessa possa durare nel tempo in un ambiente mutevole e possa svolgere la sua azione in modo relativamente autonomo’. Sostero e Buttignon, Il modello economico finanziario
16
Infine per rischi di compliance si intendono tutti quegli eventi che possono determinare uno scostamento da ciò che regolamenti, leggi e disposizioni normative prevedono.
Esiste poi un'altra tipologia di rischio che negli ultimi anni sta assumendo un’attenzione maggiore: rischio reputazionale.
Esso deriva o meglio dipende, dal manifestarsi di altri rischi, principalmente da quelli di compliance.
Sono rischi legati alla possibilità che si possa verificare un danno di immagine dell'azienda portando a delle conseguenze negative in termini di risultati economici.
Un ulteriore classificazione è quella che distingue i rischi operativi da quelli finanziari.
I primi sono quelli che caratterizzano i processi operativi di un'azienda che impattano sui processi di approvvigionamento, di produzione, di vendita, legati alla gestione delle risorse umane e quindi principalmente sul Reddito Operativo. È possibile identificare tre tipologie di rischi operativi: rischio di settore, strategico e strutturale.
Quando si parla di rischiosità settoriale, si intendono le caratteristiche del settore all’interno del quale l’azienda opera e che potrebbero ovviamente comportare diversi rischi di natura operativa.
Il rischio strategico è legato al tipo di vantaggio competitivo che l’azienda persegue all’interno del settore ed infine per rischio strutturale intendiamo il grado di flessibilità dell’azienda.
I rischi finanziari influenzano la gestione finanziaria e sono: rischi di mercato, di credito e di liquidità.
Il rischio finanziario può essere inteso a sua volta in senso largo ed in senso stretto.
In senso ristretto, si riferisce alla possibilità che il reddito netto subisca una flessione a causa del grado di indebitamento dell’azienda, mentre in una prospettiva più larga, il rischio finanziario va ad impattare non solo sul livello di indebitamento dell’azienda ma anche su un’altra serie di strumenti finanziari.
17
In sintesi fa riferimento a tutti quegli eventi che possono portare un danno in quelle che sono le principali aree finanziarie.
Quando si parla di rischio di mercato si fa riferimento al rischio di cambio, di tasso o di prezzo.
Il rischio di credito si ha nel momento in cui una parte del contratto risulta inadempiente.
L’azienda che vorrà monitorare i rischi finanziari legati al credito dovrà cercare di diversificare il proprio portafoglio di clienti.
Il rischio di liquidità si riscontra quando l’azienda trova difficoltà nel reperire le fonti di finanziamento.
Come si può intuire questi rischi sono estremamente connessi tra di loro, ad esempio il rischio di credito può comportare come effetto il rischio di liquidità. L’ultimo criterio di classificazione che possiamo utilizzare è quello che distingue i rischi sulla base della loro universalità o specificità.
Seguendo questa distinzione, si può distinguere rischio sistematico e rischio specifico.
Il rischio sistematico influisce su tutto il sistema, è legato a variabili macroeconomiche e quindi non è facilmente governabile dall’azienda.
Questo tipo di rischio non si può eliminare neppure attraverso strategie di diversificazione, va a colpire tutte le aziende, ma ovviamente in modo differente a seconda della diversa attitudine.
Può dipendere infatti da dove l’azienda opera, dal modello di business, dal settore.
Il rischio specifico è collegato a variabili specifiche dell’azienda ed è in qualche modo eliminabile per esempio attraverso una diversificazione degli investimenti.
18
CAPITOLO 2: RISK MANAGEMENT, CENNI
INTRODUTTIVI
2.1 DEFINIZIONE DI RISK MANAGEMENT
Tutte le aziende, consapevolmente o inconsapevolmente, pongono in essere dei sistemi di gestione del rischio che variano fra loro, infatti non è possibile concepire tale sistema uguale per tutti.
Un sistema di risk management è un sistema complesso, formato da più elementi collegati tra loro, si sviluppa ai diversi livelli dell’organizzazione ed è composto da una serie di attività.
Fare risk management significa identificare, valutare e trattare i rischi; per implementare questo insieme di attività sono necessarie un insieme di risorse umane e finanziarie.
Nelle aziende di piccole dimensioni spesso non esiste una funzione di Risk management, non esiste una figura specializzata.
Il Risk Manager è una figura introdotta recentemente e che si trova spesso nelle grandi aziende quotate in borsa, sia perché la pressione normativa spinge verso questa direzione sia perché rappresentano le best practices.
In questo tipo di aziende si possono identificare le figure dedicate alla gestione del rischio, come il Risk Manager, ed inoltre è possibile trovare vari attori coinvolti direttamente nel sistema di gestione del rischio, come il consiglio di amministrazione.
Nelle piccole aziende spesso e volentieri è l’imprenditore che definisce il rischio, la soglia di accettabilità (risk appetite), decide lui eventualmente come correggere tale rischi e quali azioni implementare, mentre nelle grandi aziende è impensabile che l’azionista sia coinvolto nella gestione dei rischi, quindi risulta difficile identificare l’imprenditore che svolge tutto.
19
Nelle grandi aziende proprio per la grande dimensione, il Risk management avviene a diversi livelli: una funzione di Risk management che agisce a livello di entità su tutta l’azienda; oppure il risk management può essere declinato anche in quelle che sono le varie funzioni aziendali, ai vari livelli dell’organizzazione. Abbiamo rischi che vengono presi in considerazione a livello di vertice (strategici), a livello di SBU (Strategic Business Unit, ASA, Singola divisione), rischi che vengono presi in considerazione a livello di singole funzioni o addirittura di singole attività.
È importante capire che esistono queste diverse aree di Risk Management perché ad ognuna di esse sono associate responsabilità di persone differenti, ci saranno quindi figure coinvolte nella definizione di Risk management ai vertici, figure che avranno la responsabilità del Risk management a livello di divisione, a livello di funzione e di singola attività.
Nel processo di Risk Management così come è importante definire l’obiettivo sul quale il rischio va ad agire è fondamentale anche individuare il responsabile della gestione di quel rischio.
Esistono diversi approcci al risk management anche in base alla tipologia di azienda. Si distingue spesso tra aziende intermediarie finanziarie da quelle non finanziarie.
Le aziende finanziarie (banche) hanno sistemi di risk management che seguono regole differenti rispetto alle aziende industriali. Sono state le prime le banche ad introdurre sistemi di risk management formalizzati, le prime per le quali la normativa o i codici di condotta hanno richiesto un approccio formalizzato e quindi tutt’ora possono seguire delle logiche differenti rispetto a quelle che seguono le aziende industriali.
Non è possibile identificare un unico sistema di risk management che valga per tutti, questo deve essere adattato alle specifiche condizioni dell’azienda (grandezza, settore di riferimento, persone coinvolte).
Anche i modelli di gestione del rischio possono essere diversi.
Un primo approccio istituzionale al rischio è definito risk silo management: in questo caso non abbiamo un approccio integrato, prendiamo in considerazione
20
semplicemente il singolo rischio, quindi il singolo obiettivo, il singolo evento e decidiamo come mitigare il rischio, senza avere una natura sistematica. Ogni rischio viene considerato a sé stante.
Ciò può portare a pensare che il costo da sostenere per la gestione del rischio sia minore in quanto non viene implementato un sistema di risk management a livello aziendale e si interviene solo quando necessario; tuttavia si rischia di perdere la visione sistemica anche di quelle che sono le azioni correttive da poter porre in essere.
Una determinata azione correttiva con un certo rischio potrebbe, con un piccolo aggiustamento e con una piccola spesa aggiuntiva, andare a coprire un altro evento rischioso al momento non preso in considerazione.
Nonostante possa sembrare meno costoso, la visione non sistemica dell’approccio alla gestione dei rischi è sicuramente non efficace e non efficiente. Ovviamente questo dipende dal contesto in cui si dovrà adattare, aziende di piccole dimensioni non strutturate possono decidere di utilizzare questo approccio e di concentrarsi su un certo tipo di rischio.
Un secondo approccio è quello dell’Integrated risk management: ci spostiamo verso una visione più integrata quindi tra i rischi c’è un’interdipendenza, la necessità di andare a identificarli e a gestirli in maniera integrata.
Per identificare il rischio si parte sempre da un obiettivo, successivamente si individuano gli eventi ossia i rischi che possono andare a compromettere quell’obiettivo ed infine ad individuare le azioni correttive che possono mitigare il rischio. Spesso un’azione correttiva per un certo tipo di rischio vale anche per un altro, cioè nel momento in cui si corregge un rischio in realtà se ne stanno mitigando anche altri. L’approccio integrato è sicuramente più efficace ed efficiente.
Il mondo bancario utilizza questo tipo di approccio ed in particolare quando si parla di risk management nel sistema bancario si parla anche di Economic Capital cioè l’ammontare totale di capitale di cui l’impresa dovrebbe disporre per operare in business rischiosi. Le banche sono soggette a rating, l’ammontare di economic capital che queste hanno è un elemento che influisce anche sui rating
21
che le banche stesse possono ottenere, determinano la loro capacità di rispondere ai rischi e di contenere i rischi e quante risorse esse hanno messo a disposizione per il contenimento dei rischi specifici.
È dato da una parte legata al loro ammontare di attività (Operational Capital) e una parte legata al rischio della gestione delle attività; Economic capital è composto da Operational Capital, dato dall’operatività cioè parte di capitale bancario investito per la copertura dell’operazione e Risk Capital, parte del capitale che deve essere messa a disposizione per la copertura dei rischi associati a quell’operatività.
L’ammontare del Risk capital dipende dal risk appetite della banca, cioè dalla propensione al rischio, dalla valutazione che la banca fa di ogni rischio associato alla sua operatività.
Un altro sistema di gestione del rischio è quello del risk based capital in cui si vanno a valutare le performance utilizzando indicatori del grado di rischiosità, non si vanno cioè a prendere solo gli indicatori di redditività come il ROE, ma si cerca di prendere in considerazione performance che siano corrette per il rischio, come l’EVA.
Si tratta quindi di implementare un sistema di management che nella misurazione delle performance, tenga conto del rischio.
L’ultimo approccio al RM è quello dell’holistic risk management: il focus è su tutti i rischi, in tutti gli ambiti dell’organizzazione; abbiamo sicuramente un approccio sistemico ed integrato, si considerano i rischi sia di natura quantitativa sia di natura qualitativa, rischi che possono coinvolgere l’intera organizzazione al livello corporate, di singola SBU o di singola attività.
I problemi legati a questo modello di gestione del rischio riguarda quello di coordinamento tra le varie attività che devono essere implementate, il nostro obiettivo è quello di andare a correggere il rischio generale dell’azienda implementando anche azioni coerenti che vanno a soddisfare l’obiettivo.
Tuttavia si riscontra un problema di coerenza e di coordinamento tra tutte le attività che un sistema di gestione del rischio di tipo olistico può comportare,
22
perché è un approccio integrato e sistemico: tutti i rischi, tutta l’organizzazione e molti attori coinvolti.
23
2.2 OBIETTIVI DEL RISK MANAGEMENT
Come già detto sopra, per risk management si intende l'insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un'organizzazione con riferimento ai rischi.
L’obiettivo del processo di risk management, quindi, è la creazione del valore, o meglio, assicurarsi che il valore creato non sia distrutto perché intervengono dei rischi.
Gestire il rischio significa identificarlo e porre in essere azioni che siano preventive, che permettano di fronteggiare i rischi e ridurre le perdite che l’organizzazione può subire.
Si fa risk management sui rischi ineliminabili6 e gestire i rischi significa
identificare delle azioni che portano alla mitigazione del rischio.
Visto che il rischio è ineliminabile, è impensabile porre in essere delle azioni che eliminano il rischio altrimenti questo significherebbe che le azioni precedentemente svolte erano sbagliate; si tratta di individuare delle azioni che riportano il rischio ai livelli di accettabilità ovvero far sì che il rischio rientri entro una determinata soglia limite determinata dall’azienda (risk appetite). Quindi per i rischi che sono al di sotto di questa soglia, non importa porre in essere azioni correttive, si vanno a correggere solo i rischi che risultano essere al di sopra del livello di accettabilità cioè rischi che non si è disposti a correre. All’interno dell’organizzazione ognuno ha una responsabilità diversa nella gestione del rischio e questo dipende dal rischio che è chiamato a monitorare. Per esempio abbiamo visto che possono esistere rischi di natura strategica, per questi la responsabilità spetta a qualcuno collocato al vertice, il singolo dipendente difficilmente agirà su questi o ne avrà la responsabilità; esso sarà
6Si parla di rischi che sono ineliminabili, nel momento in cui è eliminato non è più un rischio, il
rischio per definizione compromette l’obiettivo e quando non lo compromette più non è un rischio.
24
chiamato a intervenire su rischi specifici sulla singola attività o singola funzione di natura operativa.
Per avere una buona gestione del rischio, esistono dei frame work di validità generale, nel prossimo paragrafo andremo ad analizzare l’Enterprise risk Management (o più semplicemente ERM) ed il frame work proposto dalla ISO 31000 all’interno del quale si trova una guida da seguire per l’implementazione del risk management.
Le aziende che hanno una funzione di risk management all’interno, devono seguire esattamente quello che è previsto dalla normativa, ovviamente specificando quale frame work seguono.
Oltre ai frame work generici ne esistono anche specifici per settore come quello bancario.7
7 Gli istituti finanziari sono soggetti a maggiori vincoli rispetto ad altri settori, proprio per
l’importanza del servizio che svolgono.
La gestione del rischio è stata introdotta in questi sistemi in modo radicato, un esempio possono essere gli accordi di Basilea.
25
2.3 GLI STANDARD
Sono stati sviluppati in tutto il mondo più standard di riferimento per aiutare le imprese nell’implementazione di un sistema di risk management che sia efficace e sistematicamente funzionante.
Questi standard cercano di stabilire una visione comune per quanto riguarda la struttura, i processi e le azioni da porre in atto e vengono generalmente stabiliti da organismi riconosciuti a livello internazionale o da gruppi industriali.
Ogni sistema di RM ha tre componenti fondamentali: la componente soggettiva formata dagli attori il processo, l’insieme di attività volte all’identificazione, valutazione e trattamento del rischio e la componente oggettiva che sono le tecniche e gli strumenti utilizzati per fare risk management.
Il risk management è in continuo cambiamento, per questo gli standard vengono regolarmente integrati e aggiornati.
Le differenze che intercorrono tra i vari standard riflettono le differenti motivazioni e le specifiche tecniche ritenute più importanti dai loro ideatori e risultano adattabili alle varie organizzazioni e situazioni.
Gli standard sono di volontaria applicazione anche se l’adesione ad uno può essere richiesta dalle autorità di regolamentazione.
I principali standard comunemente più applicati sono:
• ISO 31000- risk management Principles and Guidelines
• ISO/IEC 31010:2009- Risk Management- Risk Assessment Techniques • COSO8 2004- Enterprise Risk Management- Integrated Framework
• ISO GUIDE 73: 2009 che va a definire una serie di termini
In questo elaborato si analizza gli standard ISO 31000 e L’Enterprise Risk Management, maggiormente su quest’ultimo.
8Il "Committee of Sponsoring Organization of the Treadway Commission" è una Commissione
indipendente USA.
Nasce con lo scopo di fornire delle linee guida per il management sui seguenti temi: aspetti organizzativi, audit interno, enterprise risk management, e finanacial reporting.
Ha prodotto nel 1992 il "CoSO Report 1" (Internal Control over Finacial Reporting) e nel 2004 il "CoSO Report 2" (ERM, integrated framework), il cui modello include il CoSO 1 e offre una ricca sezione di tecniche applicative, talvolta alternative fra loro, a supporto dell'applicazione del modello. È uno standard internazionale di fatto fra i modelli ERM.
26
2.3.1 ISO 31000
A partire dal 2009 l’ISO (International Organization for Standardization)9 ha
introdotto degli standard specifici in ambito del risk management in particolare abbiamo lo standard 31000: 2009.
La ISO 31000 definisce il risk management come un processo il cui obiettivo è quello di fornire una ragionevole sicurezza che gli obiettivi definiti in fase di pianificazione siano raggiunti garantendo che il rischio residuale si collochi al di sotto di una soglia di accettabilità. 10
Nell’analizzare lo standard ISO 31000 possiamo individuare tre pilastri sui quali si basa il sistema di gestione del rischio:
1) Principi di gestione dei rischi
2) Framework per la gestione dei rischi 3) Processo per la gestione dei rischi Andiamo ad analizzarli uno ad uno.
Primo pilastro: principi di gestione del rischio
I principi che sorreggono il sistema, sono quelli sui quali dovrebbe basarsi un sistema efficace di gestione dei rischi, la loro presenza è fondamentale per fare in modo che gli altri due pilastri operino correttamente.
I principi gestionali indicano i criteri di guida che devono ispirare l’impostazione di un sistema di risk management in un’azienda.
Il sistema di risk management deve essere disegnato per permettere all’azienda di creare valore.
9 ISO, Organizzazione internazionale per la normazione (International Organization for
Standardization) è la principale organizzazione a livello mondiale per la definizione di norme
tecniche.
10 La ISO 31000, al contrario degli altri standard prodotti dal medesimo organismo, si pone come una guida da seguire, e non come una certificazione internazionale per le imprese che utilizzano determinati standard.
27
Un sistema di risk management crea valore se permette di evitare danni o costi attraverso le attività di gestione dei rischi quindi crea valore quando si previene il verificarsi di danni economici, finanziari, in modo da evitare danni reputazionali che colpiscono il patrimonio intangibile e che possono portare a minori ricavi in un’ottica temporale di lungo periodo.
I costi che sostengo con l’implementazione di un sistema di risk management devono essere compensati con i benefici derivanti dal sistema stesso.
Il processo di risk management deve svilupparsi in modo integrale e intrinseco con lo sviluppo dei processi organizzativi cioè dovrebbe essere una filosofia di gestione che caratterizza tutti i processi organizzativi; la gestione di un qualsiasi processo dovrebbe comprendere la gestione dei rischi.
Il risk management è parte integrante dell’attività di decision making cioè dell’attività di assunzione delle decisioni sia a livello strategico che operativo perché l’attività di identificazione dei rischi dovrebbe precedere la fase di assunzione delle decisioni.
L’attività di risk management ha come obiettivo quello di ridurre l’incertezza ovvero contenere le conseguenze e deve essere sistematico cioè ripetuto nel tempo; una volta che sono stati implementati i primi step quali identificazione, valutazione e risposta al rischio, periodicamente devo ripetere il processo e se l’azienda opera in un settore estremamente dinamico, il processo dovrà essere ripetuto più frequentemente.
Inoltre un buon sistema di gestione del rischio deve essere strutturato, cioè deve essere formalizzato, deve produrre informazioni e documenti poiché deve anticipare il manifestarsi degli eventi tempestivamente.
Per identificare, valutare e gestire il rischio mi servono molte informazioni, quindi la qualità del sistema informativo incide sulla qualità del sistema: più è efficace il sistema informativo più il risk management può essere efficace.
Di fondamentale importanza è che il sistema di risk management sia tailored ovvero fatto su misura.
Quando si scelgono le tecniche, si scelgono quelle più adatte nello specifico contesto; anche per quanto riguarda i rischi legati a fattori umani e culturali, se
28
l’azienda è una multinazionale che opera su più paesi devo tener conto dei fattori culturali che impattano sulla gestione del rischio.
Infine è bene ricordare che un efficace sistema di risk management chiede una cultura di trasparenza e di inclusione e cioè deve coinvolgere tutti i soggetti dell’azienda.
Secondo pilastro: framework per la gestione dei rischi
Il secondo pilastro è identificato dal mandate and commintment che rappresenta un sistema di gestione del rischio basato su un modello classico di gestione della qualità: il ciclo di Deming, Plan, Do, Check, Act.11
Da questa componente vengono individuate quattro fasi: Plan la fase di pianificazione; Do attuazione del piano; Check controllo del piano; Act azioni correttive che devono essere attuate per migliorare la gestione della qualità. Queste quattro fasi rappresentano il ciclo di Deming e che vengono contestualizzate in riferimento al concetto di risk management:
1) Plan: vuol dire pianificare, disegnare, progettare il nostro Framework, in questa fase ci sono tre componenti:
A. Analisi dell’organizzazione del contesto esterno B. Definizione della Risk Management Policy
C. Embedding Risk management dove embedding significa incorporare il risk management nella gestione dell’azienda
2) Do: implementare il Framework
3) Check: monitorare i risultati e confrontarli con il risk management rispetto a quelli definiti nella fase di pianificazione
4) Act: Dal precedente confronto obiettivi-risultati nascono le azioni correttive per migliorare il sistema di gestione dei rischi.
Graficamente andiamo così rappresentate le componenti del Framework:
11 È il modello predisposto per l’ottenimento del miglioramento continuo dei processi e
dell’allocazioneottimale delle risorse. È stato ideato in Giappone negli anni cinquanta, da W. Edwards Deming. Robert Kreitner. Management. Boston: Houghton Mifflin Harcourt Publishing Company, 2009
29
12
Il mandate and commintement riguarda il top management dell’azienda cioè il consiglio di amministrazione e il senior management e individua una serie di principi che stabiliscono rispetto ad un sistema di gestione dei rischi quale è il ruolo del C.d.A. e del Senior Management.
Il C.d.A. di un’azienda che intende sviluppare un sistema di risk management conforme alla ISO 31000 deve definire e approvare la RISK MANAGEMENT POLICY, inoltre dovrebbe assicurare che all’interno del sistema di gestione dei rischi vengano individuati degli indicatori i cosiddetti risk indicator.
Ovviamente il consiglio di amministrazione si avvale della figura del risk manager per monitorare i rischi.
Il C.d.A. deve altresì assicurare l’allineamento tra rischi e strategie cioè le strategie devono tener conto dei rischi specifici e la loro formulazione deve seguire l’identificazione dei rischi e la loro gestione.
Il C.d.A. deve assicurare che vengano gestiti i rischi legati ad aspetti normativi (compliance risk), deve assicurare agli azionisti e in generale a tutti gli interlocutori dell’azienda che tutti i rischi di una gestione che non rispetta gli aspetti normativi, sono stati individuati e gestiti con determinati strumenti di controllo interno.
12Slide Proiettate nel corso di Risk Management, Università di Pisa, Dipartimento di Economia
30
Il C.d.A. deve andare a disegnare la struttura organizzativa del risk management e cioè stabilire l’assetto organizzativo.
È sempre di competenza del consiglio di amministrazione stabilire se ci deve essere un’unità specifica di risk management o se viene svolto internamente e determinare le responsabilità e i ruoli e definire l’allocazione delle risorse nella funzione di risk management per la gestione del rischio.
Deve comunicare il sistema di gestione del rischio all’esterno, questa comunicazione è obbligatoria perché nella relazione sulla gestione che accompagna il bilancio è previsto che gli amministratori inseriscano informazioni relative al proprio sistema di risk management.
Il C.d.A. ha la responsabilità di garantire l’efficacia del sistema di gestione dei rischi quindi risponde nel caso in cui si verificasse un rischio non correttamente prevenuto dal sistema.
Gli amministratori ne rispondono verso gli azionisti ovvero gli azionisti possono fare azione di responsabilità nei confronti degli amministratori se non hanno impostato un sistema adeguato di gestione del rischio.
Nella fase di progettazione del Framework ovvero la fase Plan è necessario analizzare le caratteristiche dell’organizzazione e del suo contesto.
Bisogna analizzare il contesto esterno, ovvero l’ambiente normativo, poiché nei vari settori di attività possono esserci elementi della normativa del settore che impattano sul sistema di risk management (come le banche e le assicurazioni). Si devono altresì tener conto anche altre norme specifiche come per chi opera nel settore ambientale, dell’ambiente politico e finanziario e capire le tendenze future di questo ambiente.
È necessario guardare anche l’ambiente interno, in particolare la governance, la composizione del consiglio di amministrazione, la struttura organizzativa, dei ruoli, delle responsabilità e della strategia.
Come secondo step all’interno della fase Plan troviamo la definizione e approvazione del risk management policy.
Il risk management policy è un documento che deve essere definito e approvato dal consiglio di amministrazione.
31
La Policy deve stabilire quali sono gli obiettivi che l’azienda vuole raggiungere attraverso il sistema di risk management, ad esempio rispondere a disposizioni del codice di autodisciplina13, permettere di avere un sistema formalizzato di
gestione del rischio.
È molto importante capire come questi obiettivi di risk management si legano agli obiettivi di business dell’azienda, la quale deve stabilire quali sono le responsabilità interne in materia di risk management, quali sono i compiti di una nuova unità di risk management.
Il C.d.A. deve stabilire come devono essere gestiti i conflitti di interesse e decidere se la società è tenuta ad astenersi da quella operazione oppure definire che quella azione sia svolta da più persone in modo da avere un maggior controllo diretto.
Nella policy è necessario chiarire quante risorse alloco in una unità di risk management e chiarire gli indicatori di performance del risk management, indicatori che utilizzo per vedere se il sistema di gestione del rischio ha creato dei benefici.
Inoltre questo sistema deve essere migliorato nel tempo quindi la policy deve stabilire obiettivi pluriennali.
La policy può essere migliorata perché durante l’implementazione del sistema possono sorgere delle circostanze, dei fattori che richiedono una modifica della policy.
Infine viene analizzate l’ultimo componente della fase Plan: Embedding risk management.
Questo può essere diviso in:
• Accountabilty: in cui è necessario stabilire la responsabilità;
• Integration into organizational process: il risk management deve essere integrato con la pianificazione e con i sistemi di controllo e di audit; • Resources: persone impiegate nelle attività e il tempo impiegato dalle altre
per il sistema;
13Per ulteriori approfondimenti si rimanda al testo reperibile sul sito della borsa italiana Codice
di Autodisciplina. 2006. url: http://www.borsaitaliana.it/borsaitaliana/ufficio- stampa/comunicati-stampa/2006/codiceautodisciplina_pdf.htm
32
• Establishing internal and external communication and reporting mechanisms: definire meccanismi di comunicazione interna ed esterna.
Terzo pilastro: processo per la gestione dei rischi
Riguarda la fase del DO e cioè stabilire il processo di risk management.
Una volta chiarito che cosa vuol dire mandate and commitment e Design of Framework a questo punto bisogna impostare il processo e poi attuarlo.
Gli elementi del processo sono: definire il contesto di riferimento (stessi contenuti per l’analisi dell’ambiente interno ed esterno), valutazione del rischio, identificare, analizzare e ponderare i rischi (secondo la terminologia ISO).
L’identificazione dei rischi, l’analisi e la ponderazione sono necessarie per formalizzare le cause e le conseguenze.
Questo modello spiega due concetti importanti: le cause, grazie alle quali è possibile gestire al meglio il rischio; le conseguenze, qualora fossero minime è possibile accettare il rischio perché rientra dentro una determinata soglia.
Qualora vengano utilizzate scale valutative qualitative si avrà una migliore ponderazione del rischio.
Ci sono poi le due componenti trasversali: communication and consultation e monitoring and review.
33
2.3.2 ENTERPRISE RISK MANAGEMENT
L’ERM è uno dei frame work che si può seguire, proposto nel 2004 dal Coso, all’interno del Coso framework l’ERM è un’evoluzione.
Prima dell’ERM, era presente il COSO framework per il RM; da esso è nata l’evoluzione che è l’ERM, evoluzione della visione originaria, più dinamico e integrato rispetto alla versione del COSO.
L’enterprise risk management è un processo posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura, c’è il coinvolgimento di tutti gli attori dal vertice fino al bottom.
È un processo che può avvenire top-down o bottom-up.
All’interno della struttura e dell’ERM ogni attore ha delle responsabilità differenti e può essere utilizzato per la formulazione della strategia nell’organizzazione.
Quando viene formulata la strategia, si considerano i rischi partendo dall’analisi dello scenario interno ed esterno.
L’ERM è progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi aziendali. L’Enterprise Risk Management deve essere applicato a tutti gli obiettivi, quindi quando tale modello viene implementato la riflessione non deve essere fatta su un certo tipo di obiettivi ma su obiettivi strategici, operativi, di reporting e compliance.
Nel momento in cui viene effettuata la valutazione attraverso questo frame work per ogni progetto o per l’intera entità aziendale si devono prendere in considerazione tutti gli obiettivi.
L’ERM può essere implementato a livello di singola SBU, a livello di ASA, a livello di una singola divisione o a livello aziendale.
L’enterprise risk management permette altresì di allineare le strategie aziendali, gli obiettivi strategici con il risk appetite.
34
Nel caso in cui nel corso del raggiungimento dell’obiettivo intervengono degli eventi che vanno oltre il risk appetite, l’ERM permette di individuare dei piani di mitigazione del rischio in modo da riportare il rischio ad un livello accettabile. Questo framework permette anche di implementare specifiche azioni di controllo in maniera iterativa attraversi l’azione di monitoraggio che viene effettuata costantemente perché permette di valutare e di mettere in discussione ogni volta la valutazione del rischio.
2.3.2.1 I COMPONENTI DELL’ERM
Un’azienda che decide di implementare un sistema di risk management adottando l’enterprise risk management all’interno della propria organizzazione, è chiamata a fare una riflessione sulle sue componenti dello standard.
Questo rappresenta un livello generico, poi ovviamente l’azienda applicherà l’ERM alla singola strategia o alla singola SBU.
L’ERM è composto da sei componenti principali più due trasversali.
14
14Il modello ERM proposto da CoSO è rappresentato da un cubo le cui dimensioni sono
costituite da 8 componenti che corrispondono alle "righe" del cubo; 4 tipi di obiettivi, le "colonne"; 4 livelli organizzativi dell'impresa, le "sezioni".
35 La prima componente è l’ambiente interno: definire l’atteggiamento
dell’azienda nei confronti del rischio, i comportamenti che l’azienda intende seguire, il codice etico, il codice di condotta, la mission, la vision.
Sono tutti elementi che determinano l’ambiente interno all’interno del quale si sviluppa l’ERM.
È opportuno collegare il rischio all’obiettivo e per fare questo, l’ERM pone come punto di partenza l’ambiente interno in cui si sviluppano gli obiettivi; è in questa sezione che viene definito il risk appetite che rappresenta l’ammontare di rischio che colui che guida l’azienda è disposto ad accettare.
Si riportano altresì gli attori coinvolti, i ruoli di ciascuno e la modalità di svolgimento dell’intero processo.
La componente ambiente interno definisce le condizioni del contesto organizzativo all'interno del quale i progetti di RM sono sviluppati.
La seconda componente è la definizione degli obiettivi: nel framework non è
definito l’obiettivo, perché può cambiare da azienda ad azienda, da progetto a progetto, da strategia a strategia.
Prendendo un caso generico di applicazione dell’ERM quello che dovrà essere fatto, sarà identificare gli obiettivi generici, mentre in un caso specifico in questa sezione saranno riportati gli obiettivi specifici che riguardano una particolare attività (obiettivi per singoli progetti o per singole unità).
Gli obiettivi proposti dal modello ERM sono di quattro tipi: • Obiettivi strategici
• Obiettivi operativi • Obiettivi di reporting • Obiettivi di compliance
Quando si parla di obiettivi, si fa riferimento a traguardi che devono essere misurabili e ad ognuno dei quali corrisponderà una misurazione del suo raggiungimento.
36 La terza componente è l’identificazione degli eventi: si tratta di individuare
quali sono gli eventi che possono andare ad influenzare in modo negativo il raggiungimento dell’obiettivo.
Deve essere generato un documento all’interno del quale vengono riportati tutti i sistemi che l’azienda utilizza per identificare il rischio;
nel report specifico dell’ERM applicato all’azienda, al progetto o alla funzione specifica, ci saranno contenuti tutti gli eventi associati agli obiettivi che possono contrastare il loro raggiungimento e verranno identificati secondo la procedura generale.
Quindi il secondo passaggio è identificare i rischi che possono compromettere il raggiungimento degli obiettivi.
Per identificare gli eventi esistono diverse metodologie:
• Catalogo degli eventi: ossia una lista contenente gli eventi potenziali che possono accadere e che possono essere utilizzati per identificare i rischi associati ad ogni evento.
• Workshop: organizzati con responsabili di aree di diversi livelli organizzativi, in cui i partecipanti si riuniscono per identificare gli obiettivi ed i rischi ad essi associati.
Una delle tecniche utilizzate durante il workshop è il brainstorming cioè una discussione di gruppo il cui obiettivo è quello di far emergere tutti i rischi possibili, far sentire libere le persone coinvolte nel progetto di evidenziare secondo il loro punto di vista, secondo le loro responsabilità e la loro posizione in azienda quali sono i rischi.
• Checklist: n questo caso non abbiamo una lista di eventi ma direttamente una lista di rischi, un insieme di rischi che potrebbero impattare sugli obiettivi già definiti.
Si tratta quindi di esprimere un giudizio sull’esistenza o meno di un determinato rischio per l’azienda (valutazione di tipo “si/no” su una lista di rischi già individuata a priori).
• Interviste: nelle interviste ci interessa il punto di vista dell’intervistato sugli eventi e sui possibili rischi perché questo ci permette di evidenziare
37
in modo preciso e dettagliato in relazione alla specifica azienda quelli che sono tutti gli eventi e i rischi associati all’evento.
• Diagrammi di flusso: i processi sono scomposti in diverse attività o singole fasi per identificare i rischi che possono compromettere il raggiungimento dell’obiettivo e successivamente si procede ad individuare i rischi connessi a ciascuna fase.
• Key Risk Indicator: sono indicatori dei rischi chiave che hanno come finalità quella di monitorare l’esposizione ad eventuali rischi critici dell’azienda.
I KRI dovrebbero essere indicatori predittivi, cioè che vogliono predire una situazione critica che potrebbe causare dei danni economico-finanziari all’azienda.
Sono indicatori che vogliono predire un potenziale danno derivante da un rischio anticipando il manifestarsi di un danno futuro.
I KRI non vanno confusi con gli indicatori di performance che sono tipicamente indicatori che misurano a consuntivo il raggiungimento di certi risultati.
• Tabella delle vulnerabilità: è strumento di risk management molto diffuso nell’ambito del campo assicurativo perché permette di associare a degli asset materiali (immobilizzazioni materiali) di un’azienda quelli che possono essere i fattori di rischio.
• Rilevazione degli eventi che generano delle perdite: è uno strumento che va a misurare quelle che sono le perdite associate a degli eventi, cioè a dei rischi.
Con questa tabella più che prevenire le tecniche, si possono rilevare i dati delle perdite.
• Lista aperta: non contiene alcuna informazione dei rischi, è un foglio bianco in cui ciascun manager separatamente è chiamato ad identificare i rischi che possono impattare sul raggiungimento di un determinato obiettivo.
38 Quarta componente dell’ERM, la valutazione dei rischi:
La formula generale di valutazione dei rischi afferma che l'esposizione al rischio si ottiene dalla combinazione di due fattori: la probabilità che si verifichi un evento rischioso e l'impatto che questo evento rischioso ha sull'azienda.
È chiaro che l'esposizione crescerà quando a parità di impatto aumenta la probabilità di verificarsi dell'evento rischioso o viceversa l'esposizione cresce quando a parità di probabilità aumenta l'impatto.
Per quantificare più precisamente il potenziale danno esistono metodologie qualitative, quantitative e miste.
• Le tecniche qualitative sono quelle tecniche in cui probabilità ed impatto sono valutate in base a giudizi espressi da un soggetto o da più soggetti, basandosi esclusivamente su valutazioni sviluppate da manager singolarmente o insieme e che quindi risentono di giudizi soggettivi di chi compie le valutazioni (basate su conoscenza del processo ed esperienza soggettiva).
• Le tecniche quantitative invece sono tecniche che utilizzano strumenti statistici o matematici per poter arrivare alla quantificazione dell’esposizione. In questo caso il rischio, l’apprezzamento della probabilità e dell’impatto non sono frutto di un singolo soggetto, ma viene fuori da modelli di analisi statistica o matematica.
Nelle tecniche quantitative è solito fare una distinzione fra tecniche quantitative non probabilistiche e tecniche quantitative probabilistiche. Quest’ultime stimano l’esposizione al rischio attraverso l’utilizzo di modelli statistici basati sulla costruzione di intervalli (distribuzioni) di probabilità.
Tra le tecniche quantitative probabilistiche ricordiamo il Cash Flow At Risk, l’Earning At Risk ed il VAR (Value At Risk) che permette di calcolare la perdita massima potenziale che un’attività finanziaria o un portafoglio di attività finanziarie può subire in un certo orizzonte temporale considerato un certo livello di probabilità.
39
• Tecniche miste: sono una combinazione delle prime due in cui l’esposizione è frutto della combinazione di tecniche matematico-statistiche con i giudizi soggettivi delle persone che lavorano in azienda.
Le tecniche quantitative non probabilistiche è suggerito usarle qualora non siano presenti dati storici su cui poter basare l’analisi probabilistica.
Anche queste sono tecniche che vanno a misurare in particolare l’impatto che un certo evento può avere sull’obiettivo e sono:
1) Sensitivy anlysis: analisi del tipo what if cioè cosa succede se varia una determinata dimensione alla variabile obiettivo. Questo tipo di analisi può essere fatta sia su misure operative sia su titoli azionari.
2) Scenario analysis: questa analisi si utilizza nella fase di business plan dove viene fatto un piano industriale e valuta una strategia di crescita, in questo caso è quindi doveroso capire come variabili interne ed esterne all’azienda potrebbero impattare sulla strategia di crescita e quindi è opportuno a costruire possibili diversi scenari.
3) Stress testing: si fa su quegli eventi che potrebbero avere conseguenze estremamente gravi; si va a quantificare l’impatto che potrebbe avere questa variabile sull’obiettivo.
Il quinto componente dell’ERM è il risk response: cosa si dovrebbe fare per
rispondere al rischio, quali sono le azioni da porre in essere per rispondere al rischio.
Una serie di azioni correttive per mitigare il rischio riportandolo al livello di accettabilità (se rientra nel livello di accettabilità del rischio, è possibile decidere di non implementare alcuna azione (l’implementazione di questa comporterebbe dei costi superiori rispetto ai costi connessi al verificarsi dell’evento rischioso). L’attività di individuazione di risposta al rischio dipende da quanto è grave il rischio e quanto è grave l’impatto che questo rischio può avere sull’obiettivo.
40
Generalmente sono due i criteri sulla base dei quali si valuta un rischio: probabilità e impatto.
Non solo il rischio può essere più o meno dannoso (impatto), occorre considerare anche la probabilità che il rischio si verifichi.
Se si manifesta un evento che ha un grande impatto ma la probabilità che il rischio si manifesti è estremamente bassa, non ha senso prevedere azioni di risposta.
Per meglio interpretare si costruiscono infatti delle matrici che hanno come intersezione sugli assi probabilità e impatto.
Occorre implementare attività di risposta il cui costo è minore rispetto a quello che l’azienda dovrebbe sostenere nel caso in cui il rischio si verifica.
Quindi un’azienda accetta il rischio quando la valutazione è stata effettuata ed il valore del rischio è stato ritenuto basso e consapevolmente si è deciso di accettarlo.
Non si può parlare di accettazione del rischio nel caso in cui in azienda certi rischi non sono stati previsti e per caso sono stati accettati.
Si parla di accettazione come strategia di risposta quando è frutto di un’analisi a monte e sulla base di questa analisi si è deciso consapevolmente di accettare il rischio.
È anche vero che quando un rischio è stato comunque identificato e si decide di accettarlo, va comunque monitorato perché l’esposizione al rischio potrebbe variare nel corso del tempo e quindi è necessario monitorare attraverso delle tecniche necessarie da attuare.
Se si accettano i rischi che hanno una perdita attesa bassa cioè una probabilità di manifestazione contenuta ed un impatto contenuto, la situazione opposta è quella di stabilire qual è la strategia da attuare quando un rischio è caratterizzato da una probabilità di accadimento elevata ed un impatto elevato.
In quel caso la strategia migliore sarebbe quella di evitare, cioè cercare di eliminare la causa del rischio.
Un rischio che può essere evitato con costi inferiori e benefici è sempre la strategia migliore.
41
Un modo per poter evitare un rischio, è fare ricorso all’abbandono dell’attività. Il risk response può essere poi gestita attraverso delle clausole contrattuali che possono rappresentare o strumenti per evitare il rischio oppure strumenti per condividerlo (quindi una parte del rischio rimane a mio carico, l’altra alla controparte).
Esistono vari modi per mitigare il rischio: è possibile diversificare il rischio cercando di investire in attività che hanno un andamento opposto a quella, posso prepararmi attraverso la creazione di fondi o condividere il rischio.
Per fare ciò esistono vari strumenti o tecniche, tra cui factoring pro solvendo, clausole contrattuali, l’outsourcing di certe attività ed anche i contratti derivati. Con i contratti derivati attraverso operazioni di hedging, di copertura, operazioni che non eliminano il rischio, ma questo viene condiviso con terze parti attraverso la stipula di contratti come gli SWAPS, le OPZIONI, i FUTURE.
In particolare questi contratti possono essere utilizzati soprattutto per rischi finanziari, ma anche per quelli di prezzo, legati per esempio all’andamento delle materie prime o dei prodotti.
La sesta componente attività di controllo: è necessario effettuare attività di
controllo routinarie per verificare se il rischio c’è sempre.
È importante che la valutazione sia sempre coerente, ad esempio se il rischio è meno grave rispetto a quello previsto inizialmente allora la valutazione deve essere modificata di conseguenza, quindi i rischi devono avere la stessa probabilità di accadimento e lo stesso impatto.
L’attività di controllo consiste in quell’insieme di politiche, procedure, strumenti e tecniche che permettono di capire se le attività di risposta al rischio individuate portano ad un livello di rischio definito accettabile.
Possiamo individuare diverse tipologie di attività di controllo, così come era possibile individuare diverse tipologie di obiettivi (di natura strategica, operativa, di reporting e di compliance).
