3
CAP. 1
INTRODUZIONE AL RISK MANAGEMENT
1.1. PERCHÉ PARLARNE?
Con il termine “Risk Management” intendiamo la gestione del rischio, ovvero la capacità di identificare, valutare e controllare il rischio, da sempre considerata un pilastro del successo aziendale: non esiste business infatti, senza rischio, la cui corretta gestione è quindi un tratto caratteristico dell’azione imprenditoriale e un elemento essenziale del management.
Ciò nonostante, solo in tempi recenti la letteratura manageriale ha manifestato un significativo interesse sul tema, anche “sull’onda emotiva” di clamorosi scandali finanziari e fallimenti, che hanno investito numerose grandi imprese, danneg-giando investitori, personale dipendente e altri stakeholder. I recenti e imprevisti scandali finanziari, che hanno coinvolto grandi imprese quotate come Enron, Worldcom e Parmalat, hanno infatti contribuito ad innalzare l’attenzione sulla gestione dei rischi, facendolo diventare tema di grande attualità.
Le principali motivazioni che hanno indotto a considerare in modo approfondito tale disciplina sono essenzialmente quattro:
• l’evoluzione dei modelli organizzativi adottati dalle imprese;
• i cambiamenti intervenuti nei contesti economico-politico-sociali in cui le imprese operano;
• le modifiche del rapporto tra stakeholders e management aziendale; • le implicazioni del cambiamento sulle dinamiche competitive dei
busi-ness.
Innanzitutto, il rischio in passato veniva gestito all’interno di strutture aziendali abbastanza semplici, governate secondo una logica accentrata, con una forte
pre-4
senza del vertice/imprenditore nel processo decisionale (aziende “imprenditoria-li”). Un tale modello organizzativo e di governo implicava una gestione del ri-schio integrata, in quanto accentrata, anche se relativamente poco formale. Oggi le aziende sono invece realtà complesse, con una struttura organizzativa molto articolata e fortemente decentrata (aziende “manageriali”). Il manager oggi man-ca quindi di una visione sistemiman-ca del rischio al quale l’azienda è esposta, essen-do focalizzato principalmente su singoli segmenti di attività. A sua volta, ciò spesso contribuisce a creare una gestione del rischio non coordinata all’interno dell’azienda, impattando negativamente anche sull’effettiva efficacia dell’azione di contrasto.
In secondo luogo è opportuno considerare i mutamenti di varia natura verificatesi nello scenario economico-politico-sociale in cui le aziende operano: l’apertura della Comunità Europea ai paesi dell’Europa dell’est; l’emergere nei mercati ternazionali di nuove economie; l’invecchiamento della popolazione nei paesi in-dustrializzati e la crescente immigrazione proveniente dai paesi più poveri; i cambiamenti intervenuti nei vari contesti normativi (tutela dell’ambiente, prote-zione dei consumatori). Fondamentale è stato inoltre l’avvento dell’ ICT (Infor-mation and Communications Technology), che ha determinato nel tempo l’espansione del mercato, da locale a globale. L’apertura ai mercati globali ha aggravato il problema individuato dalla teoria dell’agenzia1, per effetto della se-parazione tra proprietà e controllo.
1
Si fonda sulla separazione tra proprietà e controllo dell'azienda. Le relazioni contrattuali sono quelle tra “principals” (i “mandanti”, titolari del capitale di rischio) e gli “agents” (i managers assunti dai principals per la direzione dell'azienda). La discrezionalità nell'operare degli agents, pone in risalto il difficile allineamento degli interessi dei dei due soggetti. Per ovviare a questo problema si deve far fronte ai cosiddetti “costi d'agenzia”:
1.COSTI DI CONTROLLO: per controllare, valutare, regolare ed incentivare i comportamenti del management;
2.COSTI DI RASSICURAZIONE: sostenuti dagli agents per convincere i mandanti che le decisioni intraprese sono nell'interesse di questi ultimi;
3.COSTI DI AGENZIA RESIDUALI: derivanti da qualsiasi altra discordanza, non rimovibile tramite le due azioni precedenti;
tale teoria, in sintesi, mette in luce tutti quei costi aggiuntivi necessari alle aziende caratteriz-zate da una forte distinzione tra proprietà e controllo (governo economico)
5
Vi è stato quindi un progressivo mutamento nelle relazioni tra azionisti, stake-holders e management, con la conseguente sempre maggiore richiesta di traspa-renza sulle modalità di gestione. Allo stesso tempo, la concortraspa-renza sempre più agguerrita ha contribuito ad aumentare le attese degli investitori nei riguardi della redditività e produttività degli investimenti fatti, cambiando l’orientamento della gestione verso misure in grado di creare valore per gli azionisti nel lungo perio-do.
Gli attacchi terroristici dell’11 settembre 2001 hanno poi provocato un immedia-to crollo delle Borse e una crisi economica a livello mondiale, di cui si subiscono gli effetti ancora oggi. La turbolenza ambientale e la volatilità dei mercati sono aumentate vertiginosamente, determinando un clima di generale incertezza che condiziona fortemente gli investimenti e il modo di governare le imprese.
Lo scenario attuale ha delle componenti sempre più interconnesse e sono emersi nuovi fattori di rischio, sconosciuti in passato, che contribuiscono ogni giorno ad innalzare l’incertezza del sistema economico, rendendo il metodo “tradizionale” di gestione delle imprese sempre più inadeguato.
Questo elevato dinamismo ha determinato evoluzioni continue nei modelli di bu-siness, provocando così una strutturale instabilità dei modelli cognitivi del management, che devono continuamente essere rimessi in discussione e adattati alle nuove condizioni di contesto. Ciò dà luogo ad ulteriori difficoltà nei processi interni di comunicazione che sono alla base dell’agire coordinato e contribuisce ad accrescere l’incertezza all’interno della quale si svolge la gestione.
In conclusione, sono due i fattori che hanno contribuito ad incrementare l’interesse per le tematiche della gestione del rischio negli ultimi anni: da un lato, l’intensità e la rapidità con cui i cambiamenti si manifestano; dall’altro, la qualità e l’importanza del loro effetto sui modelli di business.
Tutto questo ha concorso a creare un ambiente in cui il rischio diventa un fattore ineliminabile nell’azione del management, che richiede di essere gestito attiva-mente, in modo continuativo (attraverso un’integrazione della gestione del ri-schio all’interno dei generali processi decisionali del management) e
formalizza-6
to (attraverso l’utilizzo di metodologie chiare e condivise), impiegando idonee soluzioni organizzative.
Si spiega quindi la crescente attenzione che negli ultimi anni al letteratura mana-geriale e la prassi aziendale hanno rivolto al tema della gestione dei rischi. Atten-zione che nasce dalla consapevolezza che i processi di creaAtten-zione di valore sono sempre più influenzati dall’incertezza che caratterizza il contesto economico-politico-sociale, i mercati e le tecnologie.
Ciononostante questi stessi fattori di cambiamento che, generando incertezza, o-stacolano il raggiungimento degli obiettivi fissati in sede di pianificazione delle strategie aziendali, possono anche rappresentare fonti di opportunità per coloro che sono in grado di anticiparli e governarli.
Ne consegue che, la capacità di individuare, gestire e monitorare i rischi diventa una fonte di vantaggio competitivo: attraverso essa l’azienda è infatti in grado di sventare le minacce e sfruttare tutte le opportunità di business, migliorando le performances e creando valore, in linea con il profilo di rischio prestabilito e concordato dagli organi di governo con gli stakeholder.
Il risk management si presenta quindi come uno strumento a disposizione del management per la gestione efficace ed efficiente dell’impresa nel nuovo conte-sto economico e per soddisfare, allo stesso tempo, le crescenti attese degli inve-stitori, in termini di rendimento e di trasparenza.
1.2 LE NOZIONI ALTERNATIVE DI RISCHIO
Il rischio è una elemento comune, ma allo stesso tempo molto complesso, che è parte dell’esperienza di ogni giorno e di cui ognuno ha una propria idea intuitiva. Quando però si cerca di formulare una definizione puntuale del concetto di ri-schio, emerge di solito una pluralità di prospettive. In letteratura e nel linguaggio corrente non vi è quindi unanimità sul significato da attribuire a tale termine. In-fatti ogni soggetto interessato a darne una definizione, esaminerà il rischio
enfa-7
tizzando certi aspetti rispetto ad altri, adottando di conseguenza una definizione di volta in volta differente, in quanto conforme allo specifico problema che in-tende risolvere. Il concetto di rischio viene utilizzato in numerose discipline, an-che molto lontane da quelle economico-aziendali quali, per esempio, la statistica, la matematica, la fisica, la psicologia e la filosofia. E’ quini impossibile tentare di formulare una definizione universalmente condivisibile di tale fenomeno, anche con riguardo al solo settore economico-aziendale.
Ciononostante, è possibile individuare tre principali orientamenti ai quali fanno riferimento quasi tutte le nozioni presenti in letteratura: “approccio tradizionale-assicurativo; approccio statistico-finanziario; approccio manageriale.” (Floreani, 2005). Ciascun approccio nasce per motivazioni storiche ben precise ed è appli-cabile in determinati contesti mentre presenta dei limiti di applicazione in altri ambiti.
1.2.1 L’approccio tradizionale-assicurativo
Tale approccio è caratterizzato da una visione esclusivamente negativa del ri-schio, il quale è interpretato come l’insieme delle possibili minacce.
Tale concezione trae origine dal forte interesse che fino a pochi decenni fa veniva prestato esclusivamente nei confronti dei rischi puri.
Nel linguaggio corrente il termine rischio viene generalmente ricollegato a mani-festazioni negative (minacce). In realtà, “se valutati rispetto a una situazione atte-sa, tutti gli eventi rischiosi possono dar luogo a manifestazioni negative (minac-ce), a cui corrispondono dei risultati peggiori rispetto alle aspettative, e a manife-stazioni positive (opportunità), a cui corrispondono dei risultati migliori rispetto alla situazione attesa” (Floreani, 2005). In particolare, quando la minaccia ha bassa probabilità di realizzarsi ma con effetti economici fortemente negativi e, viceversa, l’opportunità ha alte probabilità di prodursi ma con effetti economici modesti/nulli, si parla di rischi puri.
La percezione solo negativa del rischio che caratterizza tale approccio è giustifi-cata dal fatto che, nel caso in cui si manifesti lo scenario positivo (opportunità),
8
questo produrrà effetti economici quasi nulli sull’azienda, tendendo quindi a con-fondersi con lo scenario in cui non accade nulla.. Al contrario, il manifestarsi del-la minaccia produce invece dei danni molto elevati e molto lontani dalle aspetta-tive.
L’approccio tradizionale-assicurativo è perfettamente applicabile nel caso di ana-lisi e gestione di tutti i rischi puri.
Esso presenta al contrario dei limiti di applicazione in presenza di rischi specula-tivi che si caratterizzano per la presenza di opportunità, oltre che di minacce. Si può infatti sbagliare stimando esclusivamente gli scenari negativi di un fenome-no, trascurando così le opportunità che esso offre e giungendo irrimediabilmente a conclusioni errate.
1.2.2 L’approccio statistico-finanziario
Secondo tale approccio il rischio è inteso come “aleatorietà stocastica, cioè come il possibile scostamento di una variabile aleatoria rispetto alle aspettative.” (Flo-reani, 2005). Una variabile aleatoria aziendale in particolare, è definita come l’insieme delle possibili conseguenze economiche di un evento rischioso e delle corrispondenti probabilità di manifestazione.
Questa concezione trae origine dallo sviluppo delle scienze statistiche e può esse-re adattato a tutte le tipologie di rischio anche se può risultaesse-re di più complessa applicazione ai rischi puri.
1.2.3 L’approccio manageriale
Secondo l’approccio manageriale il rischio è visto come uno scostamento rispetto agli obiettivi prefissati dal soggetto che si trova a farvi fronte. E’ stato chiamato “manageriale” in quanto una tale definizione di rischio utilizza un linguaggio più facilmente comprensibile al management delle imprese.
In tale orientamento può essere fatta confluire ad esempio la definizione, riferita ai rischi di un istituto, secondo cui “i rischi sono eventi futuri e incerti che
pos-9
sono influenzare il raggiungimento degli obiettivi strategici, operativi e finanziari di un’istituzione” (PricewaterhouseCoopers, 1999).
Sia l’approccio manageriale che quello statistico-finanziario valutano minacce e opportunità, ma il primo esamina gli scostamenti rispetto agli obiettivi prefissati, mentre il secondo quelli rispetto al valore atteso.
Ovviamente se gli obiettivi corrispondessero ai valori attesi non vi sarebbero dif-ferenze.
Tale approccio presenta un importante vantaggio rispetto agli altri analizzati, ov-vero quello della adattabilità. Infatti esso è applicabile sia alla gestione dei rischi puri che alla gestione dei rischi speculativi.
1.3 EVENTI, RISCHI, OPPORTUNITÀ
Accogliendo l’approccio manageriale possiamo considerare un evento come un fatto avente origine esterna o interna, che influenza il raggiungimento degli o-biettivi.
Esso può inoltre avere un effetto negativo, un effetto positivo o entrambi: nel primo caso l’evento costituisce un rischio, che può quindi essere definito come “la possibilità che un evento si verifichi e influisca in senso negativo sul conse-guimento degli obiettivi” (PricewaterhouseCoopers, 2006). Gli eventi con impat-to negativo ostacolano la creazione di valore o intaccano quello già esistente (es. incendi, guasti agli impianti, crediti inesigibili,etc..).
Un evento con effetto positivo può invece neutralizzare eventuali impatti negativi o costituire un’opportunità, che può essere quindi definita come “la possibilità che un evento si verifichi e influisca in senso positivo sul conseguimento degli obiettivi” (PricewaterhouseCoopers, 2006). Contrariamente ai rischi, le opportu-nità contribuiscono alla creazione di valore o alla conservazione di quello esi-stente.
10
1.4 EVOLUZIONE STORICA DEL RISK MANAGEMENT
Il primo contributo riconducibile al risk-management viene fatto risalire ad uno studioso europeo, Henry Fayol che, nel suo lavoro sull’approccio funzionale all’organizzazione del lavoro del 1916, fra le funzioni attribuite al management cita esplicitamente la funzione di sicurezza, intesa come protezione dei beni dell’impresa e delle risorse umane che operano al suo interno da eventi naturali o comportamenti in grado di ostacolare il corretto funzionamento dell’attività. La moderna teoria del risk-management è riconducibile alla scuola americana, che inizia a fornire i propri contributi nella seconda metà degli anni ’50. Il mondo aziendale americano ha sempre rappresentato una guida nell’evoluzione della materia grazie all’anticipata sperimentazione, rispetto ad altri paesi avanzati, di determinati fenomeni tecnologici, economici, sociali che hanno reso particolar-mente evidente il vantaggio per le società di adottare adeguate tecniche di gestio-ne dei rischi. La scuola americana considera il risk-management come un insie-me di soluzioni finalizzate a gestire i rischi in modo diverso dalla tradizionale sottoscrizione del contratto di assicurazione, al fine di rendere più efficiente il rapporto tra compagnia assicurativa e impresa, consentendo a quest’ultima un ri-sparmio sulle quote di premi assicurativi. In pratica, in una prima fase, la gestio-ne del rischio in azienda coincide con l’attività di ricerca di idogestio-nee coperture as-sicurative.
Già negli anni trenta il tema della gestione del rischio aveva ricevuto un ricono-scimento ufficiale presso l’ American Management Association, che aveva creato una divisione “Insurance”, proponendosi come punto di riferimento per lo scam-bio di esperienze fra manager interessati alle problematiche assicurative. La poli-tica di gestione dei rischi era tuttavia di tipo esclusivamente reattivo ed era volta verso una copertura tecnica dei rischi (si può parlare infatti di “insurance-management”), attraverso l’utilizzo di formule assicurative di vario tipo.
Gli studi di risk-management appartengono quindi inizialmente ad un filone assi-curativo: nascono infatti dalla ricerca sull’economia delle imprese assicurative e
11
sono orientati alla gestione dei « rischi puri » tipicamente assicurabili tramite co-perture danni (incendio, furto, responsabilità civile, etc.).
Dalla fine degli anni ’60 il risk-management si diffonde progressivamente anche in Europa e principalmente in Gran Bretagna.
Negli anni ’70 negli Stati Uniti si verifica un rinnovamento degli studi e la nasci-ta di un nuovo filone di ricerca che mette in relazione il risk-management con la più generale teoria dell’impresa. Comincia quindi a svilupparsi la convinzione che l’assicurazione contro i rischi non debba necessariamente essere la norma, e che, in certe circostanze, l’assunzione di rischi possa essere una soluzione conve-niente.
Si intende cioè verificare se l’introduzione del risk-management nell’impresa, come funzione manageriale, può o meno massimizzare il valore della stessa im-presa e in quale modo ciò accada.
In Europa tuttavia, tale filone di studi non trova grande sviluppo continuando a prevalere l’analisi dei soli « rischi puri ».
La gestione del rischio si trasforma quindi progressivamente nel processo di i-dentificazione e valutazione dei diversi rischi cui l’azienda è esposta, per deci-derne poi la strategia di fronteggia mento, tramite l’utilizzo di adeguate valuta-zioni costi/benefici.
Questo filone di studi acquista via via considerazione e si diffonde largamente presso il management. Si arriva così al 1975, anno in cui l’associazione profes-sionale degli insurance managers (buyer di polizze assicurative) avvia la pubbli-cazione della rivista “Risk Management”.
Si compie in tal modo il percorso che porta dall’ “insurance management” (che vede l’assicurazione come soluzione normale e la ritenzione o la non copertura del rischio come fatto eccezionale), al “risk management”, approccio che da un lato affronta esplicitamente la gestione dei rischi non assicurabili (la cui gestione richiede l'uso di strumenti diversi dal contratto di assicurazione, quali la ritenzio-ne in proprio dei rischi stessi e la loro riduzioritenzio-ne attraverso la prevenzioritenzio-ne),
12
dall’altro considera l’assicurazione non come soluzione necessaria, ma come al-ternativa da valutare in termini di convenienza economica.
Negli anni più recenti emerge la tendenza ad una visione globale del risk management, basata sulla considerazione che esso debba occuparsi di "tutti i ri-schi dell'azienda", politici, finanziari, di mercato, siano essi assicurabili o meno. Oggi, almeno nelle grandi aziende, il risk manager sta allargando il suo campo d'azione, affiancando alle tradizionali competenze di gestione assicurativa altre competenze, dall'analisi dei rischi alle tecniche di controllo fisico, agli strumenti di controllo finanziario. Nell'ambito delle medie e piccole imprese la cultura del risk management è tuttavia attualmente ancora poco diffusa, sia per una generale carenza di un'adeguata cultura della prevenzione e della sicurezza, sia per la dif-ficoltà per questo tipo di imprese di sopportare i costi fissi di una struttura interna di risk management. La tendenza più recente è la gestione del risk management in outsourcing, l'affidamento cioè ad un soggetto esterno specializzato dell'attivi-tà di risk management dell'azienda. Questo approccio, per ora scarsamente prati-cato in Italia, potrebbe però trovare nel nostro Paese potenzialità assai ampie di sviluppo per la forte diffusione delle imprese medio-piccole.
1.5 DIVERSI APPROCCI ALLA GESTIONE DEL RISCHIO
Il management ha la responsabilità di gestire il sistema dei rischi che possono pregiudicare la capacità dell’impresa di conseguire gli obiettivi prefissati e, più in generale, è responsabile del soddisfacimento delle aspettative dei diversi gruppi di stakeholder.
La gestione degli eventi incerti che gravano sull’impresa si può realizzare attra-verso metodi di risk management definiti, opportunamente predisposti e forma-lizzati, a seconda degli specifici contesti culturali e operativi in cui le diverse or-ganizzazioni operano. L’universo dei rischi che ciascuna azienda si trova a fron-teggiare è infatti lo specchio del suo modello di business, rappresentato da
strate-13
gie, obiettivi, organizzazione, processi, flussi informativi e regolamentazione di mercato.
Il manifestarsi di un rischio non adeguatamente sorvegliato può pregiudicare la corretta realizzazione, a tutti i livelli, delle diverse strategie aziendali, impattando negativamente sulla crescita del valore dell’impresa. Per questa ragione le impre-se sono spinte a implementare processi di risk management, con l’obiettivo di i-dentificare i rischi, valutarne la criticità e predisporre adeguate azioni e strategie di gestione e fronteggia mento degli stessi.
La sempre maggiore complessità del contesto in cui l’azienda opera e le crescenti aspettative delle varie categorie di stakeholders hanno contribuito ad accrescere l’attenzione dei vertici aziendali verso i processi di risk management, che hanno ormai acquisito un valore strategico per l’impresa e che, se efficacemente pro-gettati e implementati, possono costituire un reale elemento di vantaggio compe-titivo.
In questa ottica si spiega l’evoluzione che il concetto di risk management ha su-bito negli anni. E’ possibile in particolare individuare tre tappe fondamentali di questa evoluzione, non ancora conclusa, che corrispondono ad altrettante filoso-fie di gestione dei rischi (Fig. 1):
14
• Risk Management : approccio focalizzato sui rischi finanziari e su quelli rela-tivi ad eventi assicurabili (rischi puri). L’obiettivo di questo tipo di filosofia è quello di evitare le perdite attraverso la stipulazione di appositi contratti di assi-curazione, la predisposizione di interventi di copertura e l’effettuazione dell’attività di controllo. Le modalità di gestione del rischio più utilizzate sono quindi le misure di prevenzione, protezione, copertura (tramite assicurazioni). Il legame tra rischi e opportunità risulta quindi trascurato dato che il rischio viene visto esclusivamente in chiave negativa.
• Business risk management : si tratta di un approccio focalizzato sui rischi di business. Qui il legame tra rischi e opportunità è più esplicito. L’obiettivo è quel-lo di responsabilizzare il management nella gestione dei rischi specifici ad esso attribuibili.
• Enterprise risk management : è un approccio focalizzato sui rischi di business e sui controlli interni. Può essere visto come la naturale evoluzione del tradizio-nale risk management. Si tratta di un approccio integrato, che cioè si riferisce a tutti i rischi d’impresa sia puri che speculativi, concentrando l’attenzione sia sui rischi che sulle opportunità che possono scaturire da un evento incerto. Il legame tra rischio e opportunità viene dunque chiaramente esplicitato. L’obiettivo di questo approccio è la creazione di un vero e proprio portafoglio di rischi che permetta ai vertici aziendali una visione dell’intero sistema di rischi gravanti sull’organizzazione e una conseguente valutazione del profilo reale di rischio dell’azienda complessivamente considerata.
Per implementare efficacemente tale processo le aziende devono evolvere la loro filosofia di gestione dei rischi in due direzioni. E’ innanzitutto necessario abban-donare un’ottica cost based , finalizzata a salvaguardare il valore creato evitando i rischi, adottando invece un’ottica value based , finalizzata alla creazione di nuovo valore attraverso la gestione dei rischi e delle opportunità connesse. In se-condo luogo le aziende devono passare da un approccio reattivo al ri-schio,caratterizzato dall’ introduzione meccanismi di controllo del rischio e
si-15
stemi di protezione solo come risposta diretta al manifestarsi di eventi rischiosi, ad un approccio proattivo, focalizzato sull’anticipazione dei fenomeni futuri.
1.6 RISK MANAGEMENT E CORPORATE GOVERNANCE
La gestione del rischio è un problema di governance, prima che una questione di tecniche manageriali di copertura del rischio. E come tale deve essere uno dei primari commitment dei vertici aziendali.
Con l’espressione «Corporate Governance» innanzitutto, si fa riferimento al si-stema attraverso il quale un’impresa viene gestita e controllata. Tale termine, in particolare, identifica l’insieme delle istituzioni e delle regole, giuridiche e tecni-che, finalizzate a salvaguardare ed accrescere nel tempo il valore per gli azionisti e gli stakeholder, attraverso la corretta gestione dell’impresa in termini di gover-no e controllo.
Da alcuni anni i sistemi di corporate governance delle imprese sono stati oggetto di un attento esame da parte di numerosi studiosi, finalizzato ad individuare gli elementi di debolezza che sembrano aver originato comportamenti manageriali eticamente condannabili, che spesso hanno anche leso l’interesse di alcune cate-gorie di stakeholders.
Negli anni Ottanta si è quindi sviluppato un intenso dibattito per tentare di porre rimedio e dare una risposta a inaspettati e disastrosi casi di crack finanziari gene-rati anche da carenze nei controlli, alla crescita vertiginosa del numero di società quotate in borsa e alla conseguente necessità di tutelare gli interessi degli azioni-sti di minoranza.
Di conseguenza, dalla fine degli anni Ottanta, si è registrato un progressivo svi-luppo e approfondimento degli studi di Corporate Governance in tutti i paesi in-dustrializzati, per tentare di capire come far sì che vertici delle imprese gestisca-no effettivamente l’impresa nell’interesse dei suoi stakeholders e nel rispetto
del-16
le norme che regolano l’ambiente (economico, politico, sociale) all’interno del quale si svolge l’azione imprenditoriale.
Tuttavia, data la necessità di mantenere flessibili i modelli di governance adottati dalle aziende, risultava impossibile regolamentare gli stessi attraverso norme co-genti.
Conseguentemente, la materia è stata regolamentata, fin dall’origine e nei vari paesi, attraverso Codici di Comportamento (cosiddetti Code of Conduct), non a-venti carattere obbligatorio, ma elaborati nella maggior parte dei casi da Com-missioni speciali costituite da organizzazioni private (come le Borse Nazionali, le principali società quotate, gli investitori istituzionali, le associazioni degli indu-striali, ecc.). Obiettivo dei vari Codici è stato quello di definire le linee guida di un modello di organizzazione societario adeguato a gestire il corretto controllo dei rischi d’impresa e i potenziali conflitti di interesse fra “gestione” (Top Management) e “controllo” (Proprietà).
I principali Codici sono stati emanati alla fine degli anni Novanta da parte di nu-merosi paesi (inclusa l’Italia) e anche da parte di alcune organizzazioni interna-zionali (ICGN Statement on Global Corporate Governance Principles , Inter-national Corporate Governance Network -1999; Corporate Governance Guideli-nes 2000, European Shareholders Association -2000).
Tutti i Codici di Comportamento e le Raccomandazioni fanno più o meno riferi-mento agli stessi principi base di Corporate Governance, indipendentemente dal background storico e culturale.
Gli argomenti trattati nella maggior parte dei Codici riguardano la struttura e re-sponsabilità del Consiglio di Amministrazione, la remunerazione degli Ammini-stratori, i diritti degli azionisti e il loro uguale trattamento, la divulgazione e la trasparenza, i sistemi di controllo interno e la gestione dei rischi. Proprio il Risk Management, data la sua rilevanza nei processi decisionali di allocazione delle risorse e nei sistemi di valutazione delle performance di business, ha ricevuto particolare attenzione all’interno dei diversi Codici e linee guide elaborati.
17
Ad esempio, il Combined Code, elaborato nel 1998 in Gran Bretagna, riconosce-va i direttori delle imprese quotate come “responsabili dell’introduzione di un si-stema di controllo interno efficace nell’identificazione e nel controllo dei rischi aziendali e della sua periodica revisione, con obbligo di periodica comunicazione agli azionisti” (Beretta, 2004).
In particolare, riferendosi al tema dei rischi, il codice prevedeva che “nelle sue periodiche delibere il Consiglio di Amministrazione prendesse in considerazione la natura e l’estensione dei rischi che interessano l’impresa, la tipologia dei rischi accettati e la loro probabilità di materializzazione, la capacità dell’impresa di ge-stione dei rischi assunti e il costo dei sistemi posti in essere per il loro controllo” (Berretta, 2004).
1.6.1 La Regolamentazione in Italia
Con riferimento alla realtà italiana, dalla fine degli anni Novanta, è possibile ri-scontrare, grazie alla spinta degli sviluppi dottrinali e di orientamento professio-nale emersi soprattutto nei paesi anglosassoni, una maggiore applicazione dei principi condivisi di Corporate Governance sia nel mondo delle imprese, sia nelle norme emanate al riguardo dalle autorità competenti (con particolare riferimento alle società quotate in Borsa).
L’intervento più rilevante in materia è rappresentato dal Progetto di Corporate
Governance per l’Italia (PCGI), elaborato nel 1995 da un comitato scientifico operativo in collaborazione con la Coopers & Lybrand2, che offre un importante contributo nell’identificazione degli elementi fondamentali per assicurare il buon governo dell’impresa. Tale progetto nasce con l’intento di realizzare un avvici-namento al documento statunitense noto come “CoSO Report”, riguardante il si-stema di controllo interno (SCI), e approfondisce i temi relativi ai ruoli, alle re-sponsabilità e ai processi che caratterizzano azionisti, amministratori, organi di controllo, società di revisione ed altri stakeholders.
2
Coopers & Lybrand was an accounting firm which mergedin 1998with Price Waterhouse to form PricewaterhouseCoopers, www.wikipedia.com
18
Questi principi di governo economico dell’impresa trovano una prima applica-zione nelle disposizioni Consob del 1997 che attribuiscono al Consiglio di Am-ministrazione delle società quotate, nell’ambito dei controlli di propria compe-tenza, l’obbligo di vigilanza sul generale andamento della gestione, evidenziando il controllo sull’esercizio delle deleghe assegnate agli amministratori delegati. Le aspettative create dal Progetto Corporate Governance per l’Italia portano all’emanazione del D.lgs. n. 58/1998- legge Draghi- il quale tratta, in particolare, il tema della Corporate Governance e fissa alcuni principi e norme generali di comportamento degli organi sociali di gestione e controllo.
Un ruolo rilevante nell’ambito del controllo dei rischi d’impresa è svolto dal primo codice di comportamento in materia di Corporate Governance (Codice Preda), indirizzato alle società quotate, emanato nel 1999 (e poi rivisto nel 2002 e nel 2006) dal Comitato per la Corporate Governance delle Società Quotate, isti-tuito da Borsa Italiana Spa3. Il Codice è stato redatto da un Comitato coordinato da Stefano Preda (Presidente della Borsa Italiana S.p.A.) e da rappresentanti di industrie, banche, assicurazioni ed associazioni degli emittenti e degli investitori, con l’obiettivo di “rassicurare gli investitori internazionali sull’esistenza, nelle società quotate, di un modello organizzativo che preveda adeguate ripartizioni di responsabilità e poteri ed un corretto equilibrio fra gestione e controllo” (Stefano Preda).
Il Codice si articola in 13 regole di comportamento per il governo delle imprese, flessibili, non cogenti, ma proposte alla volontaria accettazione delle società co-me modello di riferico-mento. Alle imprese è quindi concesso di personalizzare il proprio modello di governo societario in base alle proprie specifiche caratteristi-che ed esigenze, mentre poi spetterà al mercato premiare, tramite gli investimen-ti, gli strumenti e i modelli più tutelanti.
Diventava in tal modo possibile fornire alle società uno strumento capace di ren-dere ancora più conveniente alle imprese quotate italiane l’accesso al mercato dei
3
Borsa Italiana Spa, Comitato per la Corporate Governance delle Società Quotate, Codice di autodiscipli-na, Milano, 1999-2002.
19
capitali, e un modello di organizzazione societaria adeguato a gestire corretta-mente i rischi di impresa ed i potenziali conflitti di interesse.
Le tematiche trattate dal Codice riguardavano principalmente l’organizzazione e gli strumenti di controllo. Da un lato quindi la composizione del Consiglio di Amministrazione (amministratori esecutivi, non esecutivi e indipendenti); la no-mina, la responsabilità e la remunerazione degli Amministratori, i diritti degli a-zionisti e i rapporti con i soci; l’ istituzione di Comitati di varia natura (es.: Co-mitato per il Controllo Interno, CoCo-mitato per la Remunerazione degli Ammini-stratori, Comitato per le proposte di nomina, ecc.); i rapporti con gli investitori istituzionali e con gli altri soci.
Dall’altro, aspetti riguardanti il sistema di controllo interno e la gestione dei ri-schi (Risk Management).
Il Codice colloca la responsabilità del governo della gestione dei rischi ai massi-mi livelli aziendali e si presenta come un modello di organizzazione societaria adeguato a gestire il controllo dei rischi d’impresa e i potenziali conflitti di inte-resse, che sempre possono interferire nei rapporti fra amministratori e azionisti e fra maggioranze e minoranze. Esso è, comunque, uno strumento di autoregola-mentazione che offre un modello di best practice che non è obbligatorio né vin-colante.
Tutti i Codici di Condotta, pur non essendo impositivi, sollecitano le società quo-tate in Borsa ad aderire pubblicamente ai principi ed alle raccomandazioni conte-nute nei Codici medesimi. La loro pubblicazione ha quindi contribuito a incre-mentare l’interesse generale sul tema, creando un dovere morale nelle imprese quotate a seguire le indicazioni in essi contenute.
Altro provvedimento rilevante nel contesto italiano è il D.lgs. n.231/2001, che ha introdotto nel nostro ordinamento una forma di responsabilità a carico di società ed altri enti associativi con riferimento ad alcuni reati contro la Pubblica Ammi-nistrazione (primi fra tutti la corruzione e la truffa ai danni dello Stato) e ai reati societari (primi fra tutti il falso in bilancio e le false comunicazioni sociali).
20
Presupposto per questa responsabilità (diretta, propria, autonoma e non solidale con quella dell’autore del reato) è il non avere predisposto misure idonee ad evi-tare che il fatto illecito venisse commesso. E’previsto quindi che la società non sia responsabile se l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione, gestione e controllo ido-nei a prevenire reati oggetto del Decreto4.
Le linee guida elaborate da Confindustria (come previsto dal Decreto), nell’indicare le caratteristiche essenziali del Modello di organizzazione e gestio-ne, fanno riferimento al sistema di gestione dei rischi e alla progettazione di un sistema di controllo (c.d. “protocolli”) 5.
I modelli organizzativi devono quindi essere fondati sulla preventiva identifica-zione dei processi a rischio (inventariaidentifica-zione/mappatura), sull’individuaidentifica-zione dei rischi potenziali per processo, sull’analisi del sistema di controllo preventivo esi-stente, sulla valutazione se i rischi residui siano o meno “accettabili”, sull’adeguamento del sistema di controllo qualora i rischi residui non siano accet-tabili.
4
Art. 6, co. 1, del D.Lgs. n. 231/2001:
“L’Ente non risponde dei reati commessi(…) se prova che: a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione, gestione e controllo (“modelli organizzativi”) idonei a prevenirei reati oggetto del De-creto;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli, di curare il loro aggiornamento è
stato affidato ad un“organismo”dotato di autonomi poteri di iniziativa e controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e
gestio-ne;
d) il reato è stato commesso senza che vi fosse omessa o insufficiente vigilanza da parte dell’organismo”
5
Art. 6, co. 2, del D.Lgs. n. 231/2001
“In relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i modelli devono
ri-spondere alle seguenti esigenze: a)individuare le attività nel cui ambito possono essere commessi i reati;
b)prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni
dell’ente in relazione ai reati da prevenire; c)individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d)prevedere obblighi di informazioni nei confronti dell’Organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli; e)introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.
21
1.7 PRIME CONCLUSIONI
Alla luce delle suddette considerazioni, il crescente interesse manifestatosi nei confronti del Risk Management è da considerarsi non come una tendenza pas-seggera, ma come un’inevitabile sviluppo dei sistemi di management.
In un’ottica di corporate governance, in particolare, il tema della valutazione e gestione dei rischi aziendali finisce per intrecciarsi strettamente con quello della progettazione e implementazione di sistemi di controllo interno, a garanzia dell’efficienza ed efficacia aziendale, della salvaguardia dei beni aziendali e della conformità alle leggi e ai regolamenti.
L’instaurazione dei sistemi di controllo nelle aziende e la nascita delle prime ri-flessioni sulla gestione dei rischi avvengono anche per risolvere un problema di Corporate Governance e per rispondere alle esigenze di tipo normativo e di con-formità.
L’integrazione dei sistemi di gestione del rischio con il sistema di controllo in-terno risulta quindi decisivo affinché l’azione manageriale risulti efficace.
