Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
POLITECNICO DI MILANO
Facoltà di Ingegneria dei Sistemi
Corso di Laurea Magistrale in Ingegneria
Gestionale
L’implementazione dell’Enterprise Risk
Management: una rassegna dei principali
framework e best practice
Relatore: Professor Marco Giorgino
Correlatore: Dottoressa Barbara Monda
Tesi di Laurea di:
Deborah RAVASI 784372
Anno Accademico 2013 - 2014
Εἰπέ, πόθεν σὺ μετρεῖς κόσμον καὶ πείρατα γαίης
ἐξ ὀλίγης γαίης σῶμα φέρων ὀλίγον.
Σαυτὸν ἀρίθμησον πρότερον καὶ γνῶθι σεαυτόν,
καὶ τότ᾽ ἀριθμήσεις γαῖαν ἀπειρεσίην.
Εἰ δ᾽ ὀλίγον πηλὸν τοῦ σώματος οὐ καταριθμεῖς,
πῶς δύνασαι γνῶναι τῶν ἀμέτρων τὰ μέτρα;1
(Pallada, Antologia Palatina, xi 349)
1 Trad. “Dimmi, come puoi misurare l’universo e i limiti della terra, tu con un piccolo corpo fatto di poca
terra? Prima misura e conosci te stesso. Potrai così misurare la terra infinita. Se non sai misurare
nemmeno il poco fango del tuo corpo, come puoi conoscere la misura delle cose che non hanno misura?”
INDICE
i
INDICE
Indice delle figure ……………………………………………………………….....vi
Indice delle tabelle ………………………………………………….........................x
Sommario .……...……………………………………………………………………xi
Abstract ……………………………………....……………………………….……xiii
Capitolo 1 - Introduzione al rischio e all’Enterprise risk
management ………………………………………………………………..........pag.1
1. Il concetto di rischio …………………………………………………………...pag.1
2. Tassonomia dei rischi …………………………………………........................pag.3
2.1. Rischi connessi al contesto esterno ………………………...…….………..pag.3
2.2. Rischi interni all’impresa ………………………………………………......pag.4
2.2.1. Rischi strategici ……………………………………………….…….pag.4
2.2.2. Rischi operativi ……………………………………………………..pag.5
2.2.3. Rischi finanziari …………………………………………………….pag.6
2.2.4. Rischi connessi al conferimento di responsabilità ………………….pag.7
2.2.5. Rischi di information processing/technology ……………………….pag.7
2.2.6. Rischi legati all’informazione nei processi aziendali ……………….pag.8
2.3. Altre tipologie di rischi ………………………………………………….…pag.8
3. La gestione dei rischi aziendali: il risk management …………………..........pag.9
3.1. Origini ed evoluzione storica del risk management ……………….............pag.9
3.2. Il passaggio dal traditional risk management all’ERM ……………………pag.9
3.3. Le principali differenze tra l’approccio tradizionale e l’ERM ……….......pag.12
3.4. Obiettivi e fasi del processo di ERM ……………………………………..pag.13
3.5. Gli attori coinvolti nel processo di ERM ……………………………........pag.18
3.6. I benefici e gli ostacoli all’ERM ………………………………………….pag.2o
Capitolo 2 – Presentazione dei principali standards e framework di
Enterprise Risk Management ……………………………………………..pag.23
1. Introduzione ………………………………………………………………….pag.23
INDICE
ii
2. BS 6079-3:2000 ……………………………………………………………….pag.24
2.1. Introduzione ………………………………………………………………pag.24
2.2. Processo di risk management …………………………………………….pag.27
2.2.1. Definizione del contesto e degli obiettivo …………………………pag.28
2.2.2. Risk identification …………………………………………………pag.32
2.2.3. Risk analysis ……………………………………………………….pag.34
2.2.4. Risk evaluation …………………………………………………….pag.35
2.2.5. Risk treatment ……………………………………………………..pag.36
2.2.6. Monitoraggio ………………………………………………………pag.37
2.3. Gestione del processo ………………………………………………….....pag.38
2.4. Reporting e comunicazione ………………………………………………pag.38
3. IEEE Standard for Software Life Cycle Processes – Risk Management …pag.39
3.1. Introduzione ………………………………………………………………pag.39
3.2. Processo di Risk management ……………………………………………pag.40
3.2.1. Plan and implement risk management …………………………….pag.41
3.2.2. Manage the project risk profile ……………………………………pag.43
3.2.3. Perform risk analysis ………………………………………………pag.44
3.2.4. Perform risk treatment ……………………………………………..pag.45
3.2.5. Perform risk monitoring …………………………………………...pag.47
3.2.6. Evaluate the risk management process ……………………….........pag.48
4. Standard di Risk Management (FERMA, 2002) ...........................................pag.48
4.1. Introduzione ……………………………………………………………....pag.48
4.2. Il processo di Risk Management ................................................................pag.49
4.2.1. Analisi del rischio .............................................................................pag.50
4.2.2. Valutazione del rischio .....................................................................pag.54
4.2.3. Trattamento del rischio .....................................................................pag.54
4.2.4. Reporting e comunicazione del rischio ............................................pag.54
4.3. Controllo e revisione del processo di risk management ……………….....pag.55
4.4. La struttura e l’amministrazione di risk management …………………....pag.56
4.4.1. Il consiglio ………………………………………………………....pag.56
4.4.2. Le unità operative ……………………………………………….....pag.56
4.4.3. La funzione di risk management ………………………………......pag.57
INDICE
iii
4.4.4. L’audit interno …………………………………………………......pag.57
5. AZ/NZS 4360:2004 ……………………………………………………….......pag.57
5.1. Introduzione ……………………………………………………………....pag.57
5.2. Il processo di Risk Management …………………....…………………....pag.58
5.2.1. Communicate and consult ………………………………………....pag.61
5.2.2. Establish the context ……………………………………………….pag.62
5.2.3. Risk identification …………………………………………………pag.66
5.2.4. Risk analysis ……………………………………………………….pag.66
5.2.5. Risk evaluation …………………………………………………….pag.70
5.2.6. Risk treatment ……………………………………………………..pag.72
5.2.7. Monitoring and review …………………………………………….pag.79
5.3. Recording the risk management process …………………………………pag.80
5.4. Establishing effective risk management ………………………………….pag.87
6. ISO 31000:2009 ……………………………………………………………....pag.88
6.1. Introduzione ……………………………………………………………....pag.88
6.2. Framework ………………………………………………………………..pag.93
6.2.1. Mandate and commitment …………………………………………pag.93
6.2.2. Design of framework for managing risk …………………………..pag.94
6.2.3. Implementing the framework and the risk management process .....pag.95
6.2.4. Monitoring and review of the framework……………………….....pag.96
6.3. Process ……………………………………………………………………pag.96
6.3.1. Communication and consultation ………………………………….pag.97
6.3.2. Establishing the internal and external context …………………..…pag.97
6.3.3. Risk Assessment …………………………………………….……..pag.98
6.3.4. Risk treatment ………………...………………………………….pag.101
6.3.5. Monitoring and review …………………………………………...pag.103
6.3.6. Recording the risk management process ………………………....pag.103
7. CAN/CSA – Q850: 2010, Implementation of CAN/CSA – ISO31000 …...pag.103
7.1. Introduzione …………………………………………………………......pag.103
7.2. Framework for managing risk …………………………………………..pag.105
7.2.1. Mandate and commitment ………………………………………..pag.107
7.2.2. Design of framework for managing risk …………………………pag.107
INDICE
iv
7.2.3. Implementing risk management ………………………………….pag.108
7.2.4. Monitoring and review of framework ……………………………pag.109
7.2.5. Continual improvement of the framework ……………………….pag.109
7.2.6. Governance and the risk management framework ……………….pag.109
7.2.7. Frameworks for public risk organizations ………………………..pag.110
7.3. Process for managing risk ……………………………………………….pag.110
7.3.1. Risk communication and consultation ………...…………………pag.111
7.3.2. Establish the internal and external context ……………………….pag.112
7.3.3. Risk assessment …………………………………………………..pag.113
7.3.4. Risk treatment ……………………………………………………pag.115
7.3.5. Monitoring and review …………………………………………...pag.115
7.3.6. Recording the risk management process …………………………pag.118
8. COSO ………………………………………………………………………..pag.118
8.1. Introduzione al framework ……………………………………………...pag.118
8.2. Internal environment …………………………………………………….pag.120
8.3. Objective setting …………………………………………………….......pag.121
8.4. Event identification ……………………………………………………...pag.122
8.5. Risk assessment …………………………………………………………pag.124
8.6. Risk response ………………………………………………………........pag.125
8.7. Control activities …………………………………………………….......pag.126
8.8. Information and communication ………………………………………..pag.126
8.9. Monitoring ………………………………………………………………pag.128
8.10. Roles and responsibilities ………………………………………...…...pag.129
8.11. Limitations on enterprise risk management ……………………….….pag.131
Capitolo 3 – Analisi comparata dei principali standard e framework di
Risk Management …………………………………………..……….............pag.132 1. Introduzione …………………………………………………………….......pag.132
2. Principali differenze e affinità tra i diversi standards e frameworks di Risk
Management ………………………………………………………………...pag.132
3. Conclusioni ……………………………………………………………….....pag.143
Capitolo 4 – Best practices di Enterprise Risk Management ….....pag.146
1. Introduzione ………………………………………………………………...pag.146
INDICE
v
2. Best practices di ERM ……………………………………………………...pag.146
2.1. Risk culture ………………………………………………………….....pag.146
2.2. Organization …………………………………………………………....pag.165
2.3. Process ……………………………………………………………….....pag.171
Capitolo 5 – L’Enterprise Risk Management nel settore bancario
italiano ………………………………………………………………………....pag.185
1. La crisi finanziaria e l’evoluzione dell’enterprise risk management nel settore
bancario ……………………………………………………………..............pag.186
2. La normativa in tema di gestione del rischio ……………………………..pag.188
2.1. Da Basilea I a Basilea III ………………………………………………..pag.188
2.2. La circolare n.263 della Banca d’Italia ……………………………….....pag.197
2.3. La circolare n.285 e la ricezione della direttiva CRR e CRD IV …….....pag.202
2.4. Il rischio di Compliance: il D. Lgs 231/01 ……………………………...pag.205
3. L’Enterprise Risk Management nel gruppo UNICREDIT ……………....pag.207
3.1. L’assetto organizzativo ……………………………………………….....pag.207
3.2. La gestione del rischio di credito ……………………………………......pag.211
3.3. La gestione del rischio di mercato …………………………………........pag.217
3.4. La gestione del rischio di liquidità ………………………………….......pag.220
3.5. La gestione dei rischi operativi ……………………………………….....pag.223
3.6. Altri rischi …………………………………………………………….....pag.224
3.7. Aspetti essenziali della governance del rischio ………………………....pag.225
Capitolo 6 – Enterprise Risk Management Survey ………………....pag.230
1. Introduzione ………………………………………………………………...pag.230
2. Analisi delle survey ……………………………………………………........pag.230
3. Conclusioni …………………………………………………………….........pag.251
CONCLUSIONI …………………………………………………………......pag.254
BIBLIOGRAFIA ………………………………………………………........pag.257
INDICE DELLE FIGURE
vi
Indice delle figure
Figura 1.1 – The value proposition of the ERM [Protiviti, Guide to Enterprise Risk
Management, 2006]
Figura 1.2 - I principali componenti del processo di enterprise risk management
Figura 1.3 - Matrice probabilità-impatto [M. Giorgino & F. Travaglini, Il risk management
nelle imprese italiane, 2008]
Figura 1.4 - Gli attori coinvolti nel processo di ERM
Figura 2.1 - Il processo di risk management [BS 6079-3:2000, pag.2]
Figura 2.2 - Business level risk management steps [BS 6079-3:2000, pag.8]
Figura 2.3 - Project and sub-project level risk management step [BS 6079-3:2000, pag.9]
Figura 2.4 - Esempi di rischi globali e di progetto [BS 6079-3:2000, pag.21]
Figura 2.5 - Processo di risk evaluation [BS 6079-3:2000, pag.13]
Figura 2.6 - Risk management process model [IEEE Std 1540-2001, pag. 6]
Figura 2.7 - Risk management plan [IEEE Std 1540-2001, pag.14-15]
Figura 2.8 - Risk action request [IEEE Std1540-2001, pag.16-17]
Figura 2.9 - Risk treatment plan [IEEEStd 1540-2001, pag.18-19]
Figura 2.10 - Il processo di risk management [FERMA, Standard di Risk Management,
2002, pag.5]
Figura 2.11 - Fattori di stimolo dei principali rischi [FERMA, Standard di Risk
Management, 2002, pag,4]
Figura 2.12- Risk Management Process [AS/NZS 4360:2004, pag.15]
Figura 2.13 - Processo di risk management in dettaglio [AS/NZS 4360:2004, pag.17]
Figura 2.14 - Range di rischi [AS/NZS 4360:2004, pag.56]
Figura 2.15 - Modello ALARP [AS/NZS 4360:2004, pag.66]
Figura 2.16 - Il Processo di trattamento dei rischi [AS/NZS 4360:2004, pag.73]
Figura 2.17 - Schema per l'individuazione di cause e conseguenze nel trattamento dei rischi
Figura 2.18 - Processo di gestione degli eventi critici [AS/NZS 4360:2004, pag.76]
Figura 2.19 - Trade-off tra livello di rischio e costi di riduzione [AS/NZS 4360:2004,
pag.83]
Figura 2.20 - Livelli di monitoraggio [AS/NZS 4360:2004, pag.90]
Figure 2.21, 2.22 - Esempi di risk register [AS/NZS 4360:2004, pag.99-100]
INDICE DELLE FIGURE
vii
Figure 2.23, 2.24 - Esempio di risk treatment plan [AS/NZS 4360:2004, pag.101-102]
Figura 2.25 - Diagramma delle responsabilità [The Institute of Internal Auditors, The role of
the Internal Audit in Enterprise risk management, 2009]
Figura 2.26 - The relationship between the risk management principles, framework and
process [ISO 31000:2009, vii]
Figura 2.27 - The relationship between the components of the framework for managing risk
[ISO 31000:2009, pag.9]
Figura 2.28 - Risk management process [ISO 31000:2009, pag.14]
Figura 2.29 - Relationship between the risk management framework and the process
[CAN/CSA-Q850:2010, xi]
Figura 2.30 - Relationship between the risk management framework and the process
[CAN/CSA-Q850:2010, xi]
Figura 2.31 - COSO cube [COSO Enterprise Risk Management-Integrated Framework,
2004, pag.7]
Figura 2.32 - Risk appetite [COSO Enterprise Risk Management-Application techniques,
2004, pag.17]
Figura 2.33 - Categorie di eventi [COSO Enterprise Risk Management-Integrated framework,
2004, pag.46-47]
Figura 2.34 - Rappresentazione di probabilità e impatto in una tecnica qualitativa [COSO
Enterprise Risk Management-Apllication techniques, 2004, pag.36]
Figura 2.35 - Alcuni esempi di risk response [COSO Enterprise Risk Management-
Application techniques, 2004, pag.55]
Figura 2.36 - Flussi informativi all’interno del processo di risk management [COSO
Enterprise Risk Management-Application techniques, 2004, pag.69]
Figura 4.1 - Deloitte risk culture framework [Deloitte, Cultivating a risk intelligent culture,
2012, pag.3]
Figura 4.2 - Road map for continuous cultural improvement [Deloitte, Cultivating a risk
intelligent culture, 2012, pag.4]
Figura 4.3 - Overview of considerations affecting Risk Appetite [Rittenberg, Martens,
Understanding and Communicating Risk Appetite, 2012, pag.4]
Figura 4.4 - Relazione tra risk tolerances, risk appetite e obiettivi [Rittenberg, Martens,
Understanding and Communicating Risk Appetite, 2012, pag.11]
INDICE DELLE FIGURE
viii
Figura 4.5 - ERM-BSC process cycle [Kaplan & Norton, 1996, Nagumo, 2005, e Segal,
2005]
Figura 4.6 - Critical incident management [AS/NZS 4360:2004]
Figura 5.1 - La ponderazioni per il rischio nel nuovo approccio standard [Basel Committee
on banking supervision, 2004]
Figura 5.2 - Fasi di applicazione dei nuovi requisiti [Basilea III, Schema di
regolamentazione internazionale per il rafforzamento delle banche e dei sistemi bancari,
Dicembre 2010, Allegato 4]
Figura 5.3 - Stilizzazione dei livelli di controllo interno [Renato Maino, Banche e corporate
governance: un passaggio critico verso Basilea 3, pag.69]
Figura 6.1 - Livello di maturità dell’ERM process [COSO’s Report on ERM, pag.2]
Figura 6.2 - Livello di maturità dell’enterprise risk management [AICPA, Current State of
Enterprise Risk Oversight 2012, pag.15]
Figura 6.3 - Current stage on ERM [COSO’s Report on ERM, pag.3]
Figura 6.4 - ERM Adoption Rates [2013 RIMS Enterprise Risk Management Survey, pag.4]
Figura 6.5 - ERM program in place [Deloitte, Global risk management survey, eighth
edition 2013, pag.14]
Figura 6.6 - The adoption of ERM [AICPA, Current State of Enterprise Risk Oversight,
2012]
Figura 6.7 - Principali barriere [AICPA, Current State of Enterprise Risk Oversight 2012
Figura 6.8 - Fattori motivazionali [FERMA, Risk Management Benchmarking Survey 2012]
Figura 6.9 - Primary implementation motivations [2013 RIMS Enterprise Risk Management
Survey, pag.6]
Figura 6.10 – Fattori esterni di spinta all’ERM [AON, Global Risk Management Survey
2013, pag.70]
Figura 6.11 - Percentuali relative alle percezioni riguardanti l’aumento dei rischi [AICPA,
Current State of Enterprise Risk Oversight 2012, pag.7]
Figura 6.12 - Percentuali delle organizzazioni che hanno sviluppato dei risks inventories
[AICPA, Current State of Enterprise Risk Oversight 2012, pag.20]
Figura 6.13 - Top ten risks [FERMA, Risk Management Benchmarking Survey 2012,pag.10]
Figura 6.14 - Principali categorie di rischi inserite nel Risk Model [KPMG, Enterprise Risk
Management survey 2013, pag.17]
INDICE DELLE FIGURE
ix
Figura 6.15 – Adesione a Standard e framework di ERM [2013 RIMS Enterprise Risk
Management Survey, pag.7]
Figura 6.16 - Department primarily responsible for directing ERM activities [2013 RIMS
Enterprise Risk Management Survey, pag.5]
Figura 6.17 - Risk functions included in ERM activities [2013 RIMS Enterprise Risk
Management Survey, pag.5]
Figura 6.18 - Cooperation between Risk Management and other functions [FERMA, Risk
Management Benchmarking Survey 2012, pag.9]
Figura 6.19 - Percentuali delle organizzazioni in cui è presente la figura del CRO [Deloitte,
Global risk management survey 2013, pag.11]
Figura 6.20 - Principali attività in cui è coinvolta la funzione centrale [KPMG, L’Enterprise
Risk Management in Italia, 2012, pag.11]
Figura 6.21 - Coinvolgimento del board nell’ERM [AON, Global risk management survey
2013, pag.77]
Figura 6.22 - Attività svolte dal Consiglio di Amministrazione o dalle board risk
committees [Deloitte, Global risk management survey 2013, pag.9]
Figura 6.23 - Principali ruoli e responsabilità degli attori coinvolti nel processo di
assunzione e gestione dei rischi, in linea con il modello di Risk Governance [KPMG,
L’Enterprise Risk Management in Italia, 2012, pag.13]
Figura 6.24 - Livelli di efficacia nella gestione dei principali rischi [Deloitte, Global risk
management survey 2013, pag.24]
Figura 6.25 - Reportistica [2013 RIMS Enterprise Risk Management Survey, pag.10]
Figura 6.26 - Tipologia di informazioni oggetto di reportistica [Deloitte, Global risk
management survey 2013, pag.16]
Figura 6.27 - Modalità di comunicazione [AICPA, Current State of Enterprise Risk
Oversight, 2012, pag.23]
Figura 6.28 - Types of risk monitoring and reporting [2013 RIMS Enterprise Risk
Management Survey, pag.12]
Figura 6.29 - Periodicità della reportistica nelle imprese in Italia [KPMG, L’Enterprise Risk
Management in Italia 2012, pag.18]
Figura 6.30 - Primary value [2013 RIMS Enterprise Risk Management Survey, pag.8]
Figura 6.31 - Correlazione positiva tra risk management maturity e EBITDA/reddito
[FERMA, Risk Management Benchmarking Survey 2012, pag.11]
INDICE DELLE TABELLE
x
Indice delle tabelle
Tabella 1.1 - Principali differenze e affinità tra il risk management tradizionale e l’ERM
[Spinard, Enterprise risk management, 2002]
Tabella 2.2 - The relationship between decision making focus, and decision making levels
in the context of the risk management [BS 6079-3:2000, pag.6]
Tabella 2.3 - Analisi quanlitativa di base [BS 6079-3:2000, pag. 12]
Tabella 2.4 - Misure di risk treatment [BS 6079-3:2000, pag. 13]
Tabella 2.5 - Misure di opportunità [BS 6079-3:2000, pag. 14]
Tabella 2.5 - Tabella di descrizione del rischio [FERMA, Standard di Risk Management
2002, pag.7]
Tabella 2.6 - Conseguenze - Minacce ed opportunità [FERMA, Standard di Risk
Management 2002, pag.8]
Tabella 2.7 - Probabilità dell'evento- Minacce [FERMA, Standard di Risk Management]
Tabella 2.8 - Probabilità dell'evento - Opportunità [FERMA, Standard di Risk Management
2002, pag.9]
Tabella 2.9 - Criteri per lo sviluppo di un progetto [AS/NZS 4360:2004, pag.34]
Tabella 2.10 - Criteri per lo sviluppo di un piano di business [AS/NZS 4360:2004]
Tabella 2.11 - Matrici per determinare il livello di rischio [AS/NZS 4360:2004, pag.54]
Tabella 2.12 - Opportunità [AS/NZS 4360:2004, pag.59]
Tabella 2.13 - Matrice di assegnazione delle priorità [AS/NZS 4360:2004, pag.65]
Tabella 2.14 - Fattori decisionali da valutare [AS/NZS 4360:2004, pag.82]
Tabella 2.15 - Applicabilità delle tecniche alle diverse fasi di risk assessment
Tabella 2.16 - Esempio di risk maturity model [CAN/CSA-Q850:2010, xxxiii]
Tabella 3.6 - Definizioni di rischio
Tabella 3.2 - Definizioni di risk management process e risk management framework
Tabella 3.3 - Testi a supporto degli Standard di risk management
Tabella 3.4 - Scopo e livello di applicazione degli Standards
Tabelle 3.5 a, b, c - Confronto tra le diverse fasi del processo di ERM
Tabella 3.6 - Tecniche più diffuse di risk assessment
Tabella 3.7 – Questioni di rilievo nei differenti standards
SOMMARIO
xi
Sommario
Negli ultimi decenni, e in particolare in questi ultimi anni a seguito della recente crisi che ha
interessato il sistema economico globale, la disciplina del Risk Management, intesa nella
sua accezione più ampia come l’insieme di attività, metodologie e risorse coordinate per
individuare, valutare, gestire e monitorare i rischi, attraverso un processo continuo,
graduale, proattivo e integrato nella cultura aziendale, ha acquisito un’importanza sempre
maggiore ed è diventata uno strumento indispensabile per proteggere e incrementare il
valore d’impresa.
Al concetto di rischio, all’evoluzione, alle fasi e ai benefici/limiti del processo di enterprise
risk management è dedicato il primo capitolo, cui segue il secondo con lo scopo di
comprendere e analizzare i diversi Standards e Frameworks, sviluppati con l’obiettivo di
fornire linee guida nella gestione dei rischi a supporto del Management e dei processi
decisionali, che hanno contribuito in maniera sostanziale alla sua evoluzione, segnando in
modo definitivo il passaggio da una logica funzionale (a silo) ad una integrata.
Il terzo capitolo propone uno studio comparato dei principali Standards e dei Frameworks,
oggetto del secondo capitolo, con l’obiettivo di individuare le principali affinità e differenze
e comprendere se via sia o meno un elevato grado di somiglianza, tale da evidenziare lo
sviluppo di un consenso mondiale ormai diffuso riguardo alle modalità di realizzazione
della gestione dei rischi.
Il quarto capitolo offre una trattazione ampia e completa delle principali best practices in
materia di gestione dei rischi, derivate in parte dallo studio degli Standards/Frameworks di
ERM e dalle letture accademiche, in parte da relazioni e articoli redatti da professionisti e
da società di consulenza.
Il quinto capitolo affronta il tema del risk management limitatamente al settore finanziario,
nello specifico quello bancario, di particolare interesse a causa della presenza di una forte
regolamentazione Comunitaria e nazionale. L’obiettivo è quello di analizzare le recenti
disposizioni in tema di gestione dei rischi e valutare, in riferimento al gruppo bancario
UniCredit, i livelli di compliance alla normativa e le modalità di realizzazione
dell’enterprise risk management.
SOMMARIO
xii
L’ultimo capitolo, infine, si propone di identificare il livello di diffusione e integrazione
dell’ERM all’interno delle imprese europee ed extraeuropee, attraverso uno studio
approfondito di alcune survey, relative all’anno 2013 e agli anni precedenti, condotte da
società di consulenza o associazioni attive in questo campo.
ABSTRACT
xiii
Abstract
As a result of the recent crisis that has affected the global economic system, the discipline
of Risk Management has become an indispensable tool to protect and enhance enterprise
value, as the set of activities, methods and resources used to coordinate identify, assess,
manage and monitor risks through continuous and proactive processes.
Chapter one introduces the concept of risk. Here we deal with the evolution, the benefits
and the limitations of the process of enterprise risk management. In the second chapter, we
aim to understand and analyze the various Standards and Frameworks developed to support
the Management and decision-making processes. These processes have substantially have
become ever more apparent, marking a definitive shift from a functional to an integrated
view.
The third chapter offers a comparative study of risk management Standards and
Frameworks. Here we aim to identify the main similarities and differences between various
processes. We investigate the development of a various processes to identity whether a
widespread global consensus regarding the implementation of risk management has arisen.
Chapter four provides a wide and comprehensive discussion of the main best practices of
risk management. This discussion derived from the study of the ERM
Standards/Frameworks as well as academic lectures, reports and articles written by
professionals and consulting firms.
The fifth chapter deals with the topic of risk management limited to the financial sector,
specifically the banking industry. This topic is of particular interest due to the presence of
strong European and national regulation. Our objective is to analyze the recent provisions
concerning risk management. Setting our focus on the banking group UniCredit, we assess
the levels of compliance with the rules and the procedures for the implementation of
enterprise risk management within these groups.
Finally, in chapter six we seek to identify the level of diffusion and integration of ERM
within European and Extra European firms. We do this through a detailed study of specific
surveys taken throughout the year 2013 and previous years, that were conducted by
consulting firms or active associations in this relevant field.
CAPITOLO 1
1
Capitolo 1
Introduzione ai rischi e all’Enterprise Risk
Management
1. Il concetto di rischio
Il rischio è un'espressione dell'incertezza, che ha origine principalmente a causa della
limitata razionalità umana e dalla natura stocastica degli eventi, ed è una componente
fondamentale nel processo della vita. Ciascuno di noi, infatti, deve valutare ogni giorno il
contesto in cui vive, raccogliere informazioni e determinare quale sia il modo migliore per
adattarsi alle situazioni e ai cambiamenti che si presentano.
Il rischio può essere definito come “an uncertain future event which could influence the
achievement of the organization’s objective, including strategies operational, financial and
compliance objective” (Australian Standard, 1995).
In ogni caso la maggior parte delle definizioni fa riferimento ai concetti di incertezza e
variabilità dei risultati, i quali implicano che il decisore sia posto di fronte ad un numero
elevato di possibili scenari ambientali, di cui però non è in grado di conoscere in anticipo né
la probabilità di accadimento, né l’entità dei risultati potenziali, e possa solo proporre delle
stime soggettive del valore di tali variabili, facendo ricorso alla propria esperienza e
capacità previsionale.
Tuttavia, in ogni caso, è necessario operare una distinzione tra rischio e incertezza.
Knight2 sosteneva che fosse possibile distinguere tra “incertezza misurabile” o “quantità
suscettibile di misurazione” e “incertezza non misurabile”, associando quindi alla prima il
concetto di rischio e alla seconda quello di incertezza.
Sebbene in entrambi i casi non si possa essere certi dei risultati finali, in condizioni di
rischio il decisore è tuttavia in grado di associare impatti e probabilità di accadimento ai
diversi scenari, stimando oltretutto le perdite attese, mentre in condizioni di incertezza
rendimenti e probabilità non possono essere noti.
2 Frank Knight, economista dell’Università di Chicago (1885-1972), autore del libro Risk, uncertainty and
profit
CAPITOLO 1
2
Si richiamano quindi i concetti di probabilità oggettiva, secondo cui la funzione di
probabilità che raffigura gli eventi in questione è nota o è stimabile attraverso un’analisi
empirica, e soggettiva, che prevede invece un processo di valutazione soggettiva in quanto
la situazione trattata si caratterizza per le condizioni di singolarità e non ripetitività.
Anche se nella mentalità comune il concetto di rischio ha soprattutto una accezione
negativa, la prospettiva più coerente con le odierne dinamiche competitive suggerisce
invece di guardare il rischio nella sua naturale ambivalenza di opportunità (upside) e
minaccia (downside).
Esso, infatti, può costituire una forte spinta al cambiamento e al rinnovamento, per cogliere
opportunità emergenti che in precedenza non erano state individuate, né prese in
considerazione, e che potenzialmente sarebbero in grado di creare valore.
Negli ultimi decenni, a causa di un contesto ormai sempre più dinamico, caratterizzato da
una continua evoluzione dei sistemi economici, la rilevanza del concetto di rischio è
cresciuta notevolmente e l’indiscutibile proiezione aziendale nel futuro implica che il
rischio venga assunto come ineliminabile condizione di esistenza di qualsiasi impresa che è
soggetta incessantemente alle forze del mondo economico.
Qualsiasi organizzazione è soggetta non solo ai rischi derivanti da eventi indipendenti dalla
propria volontà, ma anche da quelli che scaturiscono dalle proprie scelte e decisioni.
Possiamo quindi affermare che “il rischio è un elemento tipico dell’impresa che opera in
un’economia di mercato e non solo un elemento accidentale” (Domenica Lamanna Di
Salvo, 2004) e l’imprenditore è colui che non si adatta passivamente a situazioni createsi sul
mercato o nell’ambiente (reazione adattiva), ma interviene con un’azione tesa a far volgere
le forze avverse a proprio favore (reazione creativa) (Shumpeter, 1932).
Egli si configura come consapevole assuntore del rischio, alla ricerca di quel profitto
“dinamico”, il cui scopo è quello di remunerare la specifica attività imprenditoriale di
assunzione del rischio (Knight, 1942).
È dunque in questo contesto che si afferma la disciplina del Risk Management come
strumento efficace ed efficiente per ridurre l’incertezza e soddisfare le crescenti aspettative
di shareholders e stakeholders.
CAPITOLO 1
3
2. Tassonomia dei rischi
Per comprendere al meglio il contesto ed identificare con certezza le diverse opportunità, è
necessario distinguere e classificare i diversi tipi di rischio, evidenziandone causa, effetti e
raggio di azione.
Di seguito viene proposta un possibile tassonomia dei rischi che le imprese sono, sempre
più spesso, chiamate a gestire.
2.1. Rischi connessi al contesto esterno (rischi dinamici)
Questi rischi si manifestano quando si verificano eventi esterni all’azienda che esulano dal
controllo dell’impresa stessa e sono connessi al cambiamento del contesto economico,
politico e sociale.
Tra questi possiamo trovare:
rischio di concorrenza: riguarda principalmente le azioni dei concorrenti o dei potenziali
entranti sul mercato, che possono compromettere il vantaggio competitivo dell’impresa
o minacciarne la sopravvivenza;
rischio connesso alle nuove tecnologie: deriva dal mancato sfruttamento delle
tecnologie esistenti o emergenti per migliorare le proprie performance in termini di
tempo, qualità, costi;
rischio connesso alle esigenze della clientela: si manifesta quando l’azienda non riesce a
comprendere appieno i bisogni dei propri clienti o non si accorge delle mutate necessità
o dei mutati desideri di questi ultimi;
rischio di sensibilità: si verifica quando l’impresa diviene fortemente sensibile ai
cambiamenti del contesto ambientale (ad esempio tassi d’interesse, cambiamenti
legislativi, ecc.) al di fuori del suo controllo;
rischio connesso alla disponibilità dei capitali: fa riferimento all’insufficiente accesso o
all’impossibilità di accedere ai capitali, che minaccia la crescita dell’impresa e la sua
sopravvivenza;
rischio connesso ai rapporti con gli azionisti: riguarda il deterioramento dei rapporti tra
managers e azionisti, che influenza la capacità dell’impresa di realizzare efficaci
aumenti di capitale e sostenere il valore delle sue azioni;
rischio legale: legato a mutamenti legislativi, può portare l’impresa all’impossibilità di
completare transazioni, far rispettare accordi contrattuali o implementare strategie;
CAPITOLO 1
4
rischio politico: connesso al contesto politico in cui l’impresa opera, può comportare
perdite in termini di risorse e cash flow attesi e minacciare l’esistenza stessa
dell’impresa;
rischio di settore: legato a congiunture del settore in cui l’impresa opera, può minare la
presenza dell’impresa nel settore stesso;
rischio connesso ai mercati finanziari: dovuto a cambiamenti dei tassi, dei prezzi o di
indici e può influenzare il valore degli asset finanziari dell’impresa;
rischio ambientale: legato ad una maggiore attenzione ai vincoli delle normative
ambientali;
rischio di perdite catastrofiche: riguarda la possibilità che si verifichino eventi
catastrofici naturali.
2.2. Rischi interni all’impresa (rischi statici)
In questo caso i rischi riguardano fattori interni all’impresa, prevedibili, e sui quali
l’impresa può esercitare un discreto controllo.
2.2.1. Rischi strategici
Si fa riferimento al rischio attuale o prospettico di flessione degli utili o del capitale,
derivante da: cambiamenti del contesto operativo, decisioni aziendali errate, attuazione
inadeguata di decisioni e scarsa reattività a variazioni del contesto competitivo.
Tra questi troviamo:
Rischio di concentrazione: legato alla presenza dell’impresa in un mercato “ristretto”
dove non è possibile realizzare margini soddisfacenti;
Rischio di controparte: relativo alla possibilità che la controparte risulti inadempiente
alle condizioni di un contratto e inaffidabile;
Rischio di reputazione: comprende il rischio attuale o futuro derivante da un
peggioramento dell’immagine della società;
Rischio di partnering: legato a inefficienti o inefficaci partnership e joint venture.
CAPITOLO 1
5
2.2.2. Rischi operativi (legati ai processi aziendali)
Questa tipologia di rischi fa riferimento all’inadeguatezza o alla disfunzione di procedure,
risorse umane e sistemi interni. Essi ineriscono esclusivamente alla dinamica operativa
dell’impresa. Si suddividono in:
Rischio connesso alla customer satisfaction: la mancata attenzione al cliente e ai suoi
bisogni determinano l’incapacità dell’impresa di soddisfare le sue aspettative;
Rischio connesso alle risorse umane: riguarda l’inadeguatezza del personale
operativo in termini di conoscenze, esperienze e abilità;
Rischio relativo al capitale di conoscenze: si distingue dal precedente in quanto
riguarda l’inadeguatezza o l’inesistenza dei processi di apprendimento;
Rischio connesso allo sviluppo dei prodotti: inefficace restyling di prodotti esistenti
o progettazione di nuovi;
Rischio di capacità: riguarda l’insufficiente capacità produttiva dell’impresa, che
rende difficile soddisfare le richieste dei clienti;
Rischio di efficienza: la mancata efficienza porta l’impresa ad avere costi più alti
rispetto ai suoi competitor;
Rischio connesso ai tempi dei cicli produttivi: legato allo svolgimento di azioni NVA
(not value added);
Rischio di performance: impossibilità di operare secondo gli standard previsti o ad
alti livelli di qualità, costi e tempi;
Rischio di sourcing: legato alla limitatezza delle risorse operative in termini di
infrastrutture, macchinari, energia e commodities;
Rischio relativo all’efficacia dei canali: dovuto all’inefficace posizionamento dei
canali distributivi;
Rischio di conformità: causa la mancata corrispondenza con le procedure richieste;
Rischio di fallimento di prodotti/servizi
Rischio di erosione del marchio: la possibilità che la forza del marchio possa venire
meno nel tempo costituisce una minaccia per la domanda di prodotti o servizi
dell'impresa e riduce la capacità di crescita futura della stessa.
CAPITOLO 1
6
2.2.3. Rischi finanziari
In questo caso i rischi incidono sulla liquidità aziendale e sono legati all’equilibrio tra flussi
monetari in entrata e in uscita. Questa tipologia di rischi è a sua volta suddivisibile in tre
diverse categorie.
2.2.3.1. Rischi di prezzo
Fanno parte di questa categoria di rischio:
Rischio connesso ai tassi di interesse: dovuto a movimenti significativi nei tassi di
interesse che espongono l’azienda a un più oneroso indebitamento, a minori ritorni
dagli investimenti e ad una riduzione del valore degli asset;
Rischio connesso ai tassi di cambio: la volatilità dei tassi di cambio espone l’azienda a
possibili perdite economiche;
Rischio relativo al prezzo delle commodities: fluttuazioni nei prezzi delle commodity
espongono a più bassi margini o a perdite;
Rischio connesso a strumenti finanziari: eccessivi costi di gestione o perdite derivanti
dalla tipologia di strumenti finanziari utilizzati;
Rischio inflazionistico: variazioni nel livello dei prezzi portino ad una perdita del
potere di acquisto della moneta detenuta e una perdita di valore dei crediti.
2.2.3.2. Rischi di liquidità
Questa categoria riunisce, invece, tutti i rischi che compromettono la capacità dell’impresa
di adempiere alle proprie obbligazioni alla loro scadenza. Essa comprende:
Rischio connesso ai cash flow: riguarda la possibile flessione dei ritorni e la
conseguente necessità di prendere a prestito capitale;
Rischio connesso a perdite di opportunità: riguarda l’utilizzo inefficiente e inefficace di
risorse liquide.
2.2.3.3. Rischi di credito
Questa categoria riguarda fondamentalmente il rischio che un debitore non assolva, anche
solo in parte, ai suoi obblighi di rimborso del capitale e di pagamento degli interessi.
CAPITOLO 1
7
2.2.4. Rischi connessi al conferimento di potere
Essi riguardano i rischi legati all’inadeguata attribuzione di ruoli e responsabilità ad ogni
livello della gerarchia aziendale.
Possono essere così suddivisi:
Rischio di leadership: comprende mancanza di direzione, scarsa motivazione o scarsa
fiducia;
Rischio di autorità/limiti: deriva dal fatto che un mancato esercizio dell’autorità o una
forte imposizioni di limiti, ostacolino il raggiungimento degli obiettivi;
Rischio connesso alla concessione di incentivi: dipende dal fatto che il personale possa
essere spinto ad operare senza tener conto di regole o standard etici;
Rischio connesso alle esternalizzazioni: possibilità che terzi, a cui sono state assegnate
responsabilità riguardanti alcune attività, possano agire in modo incoerente con gli
obiettivi e le strategie dell’azienda;
Rischio di comunicazione: inefficaci canali e modalità di comunicazione, determinano
criticità nell’assegnazione di responsabilità o di misurazione delle performance.
2.2.5. Rischi di information processing/technology
Questa tipologia di rischi è legata alla sicurezza fisica e alla trasparenza dei dati e, più in
generale, al fatto che il sistema informatico non sia affidabile sia in termini di strutture, di
risorse e modalità tecnologiche.
Include:
Rischio d’accesso: dovuto al libero accesso ad informazioni, che porterebbe ad una
conoscenza non autorizzata e ad un uso di informazioni riservate;
Rischio d’integrità: deterioramento dei dati stessi;
Rischio di disponibilità: riguarda l’effettiva accessibilità dei dati per garantire la
continuità dei processi aziendali;
Rischio di rilevanza: ogni dato immesso nel sistema deve essere rilevante ai fini
decisionali.
CAPITOLO 1
8
2.2.6. Rischi legati all’informazione nei processi aziendali
Si tratta sostanzialmente di rischi che intercorrono quando le informazioni che supportano il
processo decisionale sono incomplete, non aggiornate, poco accurate o del tutto irrilevanti
per il decision maker.
Questa categoria di rischi comprende tutti i rischi connessi ad informazioni su processi ed
operazioni, quelli connessi ad informazioni relative al reporting aziendale e quelli connessi
ad informazioni strategiche e ambientali.
2.3. Altre tipologie di rischi
Oltre a quelle sopra citate vengono identificate altre tipologie di rischi:
Rischi diversificabili: comprende il caso in cui la variabilità complessiva può essere
ridotta attraverso la compensazione dei rischi, quando cioè i rischi assunti non sono
direttamente correlati tra loro;
Rischi sistematici: sono rischi non diversificabili, poiché comuni all’intero sistema;
Rischi puri: derivano da eventi che hanno una connotazione esclusivamente negativa e
non presentano alcuna possibilità di profitto o opportunità;
Rischi speculativi: sono rischi che possono essere sia favorevoli (upside risk) che
sfavorevoli (downside risk);
Rischi core: riguardano da vicino il core-business dell’azienda. Se gestiti in modo
appropriato possono costituire opportunità, fonti di profitto e garantire un vantaggio
competitivo;
Rischi non-core: sono rischi non connessi al core-business dell’azienda, ma conseguenti
all’attività aziendale;
Rischi inerenti: comprende tutti i rischi che riguardano l’impresa non diretta
conseguenza di azioni di management e su cui sono concentrate le azioni di risk
management;
Rischi residui: sono i rischi che interessano l’impresa in via residuale, che rimangono
cioè per incapacità di gestirli o perché semplicemente non sono stati individuati.
CAPITOLO 1
9
3. La gestione dei rischi aziendali: il risk management
3.1. Origini ed evoluzione storica del risk management
Le origini di questa disciplina, dal punto di vista strettamente teorico, risalgono al 1918,
quando l’ingegnere francese Henry Fayol3 incluse tra le sei funzioni primarie del
management di un’impresa la gestione dei rischi.
Tuttavia la nascita vera e propria del risk management, nella sua accezione moderna, va
ricondotta agli inizi degli anni ’60 negli USA quando due professori, Robert Mehr e Bob
Hedges, pubblicarono un libro con il titolo “Risk management and the business enterprise”,
affermando che “il risk management doveva servire a migliorare l’efficienza produttiva
dell’impresa, concentrandosi esclusivamente sui rischi puri e su quelli speculativi”.
In ogni caso, in origine, la gestione dei rischi, relativa quasi ed esclusivamente ai rischi puri,
faceva riferimento alla gestione dei rapporti assicurativi, portando così a farla coincidere
con la ricerca in azienda di idonee coperture assicurative (insurance management).
E’ solo in seguito, tra gli anni ’80 e ’90, che, poiché la ricerca di coperture assicurative
come unico approccio al risk management forniva soluzioni sempre più inadeguate e
insoddisfacenti, la gestione del rischio si sviluppò come vera e propria disciplina autonoma
e coinvolse rischi attinenti alla sfera della finanza aziendale (rischio di cambio, rischio di
oscillazione dei tassi di interesse, rischio di rendimento del portafoglio titoli, ecc.) o del
credito commerciale, fino ad includere i rischi operativi, di mercato e di innovazione.
3.2. Il passaggio dal traditional risk management all’ERM4
Il risk management può essere definito come un processo di identificazione e valutazione
dei rischi cui l’azienda è esposta, al fine di decidere la migliore strategia di trattamento
degli stessi sulla base di adeguate valutazioni.
Esso comprende un insieme di azioni intraprese dalle aziende nel tentativo di modificare il
livello di rischio proveniente dalle principali aree di business.
Tuttavia secondo questa definizione il risk management si occupa di gestire esclusivamente
i rischi puri d’impresa (Forestieri, 1996). Un ulteriore passo in avanti portò invece il risk
management a svilupparsi secondo una logica integrata, ossia a considerare e prediligere gli
3 Ingegnere minerario francese, il primo a sviluppare un teoria generale della gestione aziendale 4 Enterprise risk management
CAPITOLO 1
10
interessi dell’azienda nel suo complesso, piuttosto che a guardare agli obiettivi delle singole
funzioni o unità operative.
La CAS5 individuò sei fattori fondamentali, di varia natura, che contribuirono allo sviluppo
di questo nuovo approccio.
L’aumento della molteplicità e della complessità dei rischi è sicuramente il più rilevante. Le
imprese, infatti, si trovavano a dover affrontare rischi, legati al progresso tecnologico, alla
globalizzazione e alla maggior sofisticazione degli strumenti finanziari, che
precedentemente non erano assolutamente contemplati.
La crescita delle pressioni esterne derivanti da regolamentazioni e normative, Comunitarie e
nazionali, da società di rating e da investitori istituzionali, rappresenta un altro importante
fattore di stimolo insieme alla nascita della “portfolio point of view”, alla tendenza cioè a
valutare il rischio secondo una logica integrata e non più funzionale o “a silos”, e alla
crescente necessità di quantificarlo, per valutarne l’impatto sul business dell’impresa, non
più solo in termini economici e finanziari, evidenziando eventuali correlazioni con altri
rischi con l’obiettivo di facilitare il processo di decision making.
Il “boundary-less benchmarking factor” fa invece riferimento al fatto che lo sviluppo di
questo approccio, non più correlato alle sole organizzazioni che forniscono servizi
assicurativi o finanziari, ma comune ad ogni attività di tipo imprenditoriale, abbia permesso,
grazie anche al progressivo sviluppo tecnologico, l’agevolazione degli scambi interaziendali
di informazioni relative ai rischi.
Grande rilevanza infine deve essere data alla rinnovata concezione di rischio, che non si
limita più alla sola accezione negativa della parola, ma ne accredita anche quella positiva,
sviluppando quindi una ambivalenza minaccia-opportunità.
Le definizioni proposte nel corso degli anni per delineare al meglio questo nuovo approccio
sono state diverse.
De Loach (2000) afferma che “l’ERM è un approccio metodologico strutturato, proattivo e
disciplinato che prende in considerazione, in un’ottica di conoscenza e valutazione dei
rischi, tutti gli aspetti della gestione aziendale: strategie, mercato, processi, risorse
finanziarie, risorse umane e tecnologie”.
5 Casualty Actuarial Society
CAPITOLO 1
11
Meulbroek (2002) parla di Integrated risk management e lo definisce come “un processo
continuo, proattivo e sistematico per capire, gestire e comunicare il rischio da una
prospettiva globale di impresa”.
La Casualty Actuarial Society (CAS) nel 2003 definisce l’ERM come “la filosofia di
gestione dei rischi secondo la quale un’impresa di qualsiasi settore valuta, controlla,
finanzia e monitora i rischi da tutte le possibili fonti con lo scopo di incrementare il valore
di breve e lungo periodo per i suoi stakeholder”.
Il Committee of Sponsoring Organizations of the Threadway Commission (COSO) nel 2000
afferma che “l’ERM è un processo svolto dal personale dell’impresa, a qualunque livello in
essa operante, che interessa l’impresa sin dalla fase di elaborazione della strategia,
disegnato allo scopo di evidenziare e gestire quegli eventi potenziali che possono colpire
l’impresa e con la finalità di fornire ragionevole supporto al conseguimento degli obiettivi
aziendali”.
J. Lam (2000) definisce l’ERM come “an integrated framework for managing credit risk,
market risk, operational risk, economic capital, and risk transfer in order to maximize firm
value”, mentre la federazione delle associazioni europee di risk management (FERMA,
2002)) propone la definizione secondo cui “risk management is a central part of any
organization’s strategic management. It is a process whereby organizations methodically
address the risks attached to their activities with the goal of achieving sustained benefit and
understanding the potential downside and upside of all the factors that can affect the
organization”.
La definizione più recente, e forse anche la più completa, è quella proposta da Alviunessen
e Jankensgard (2009) per cui “the ERM concerned about a holistic, company-wide
approach in managing risk, and centralized the information according to the risk
exposures. Questi due autori utilizzano il termine risk universe per identificare tutti i
possibili rischi che potrebbero impattare sui cash flow attesi dell’impresa, sulla sua
profittabilità e minare l’esistenza dell’impresa stessa.
È possibile osservare che la maggior parte delle definizioni sopra citate risultano essere
concordi nell’affermare che l’ERM svolge un ruolo fondamentale nell’integrare, coordinare
e gestire, tramite un unico approccio, tutti i tipi di rischio che riguardano l’impresa. Questo
approccio rende infatti più agevole la scelta della strategia di gestione migliore, in accordo
con gli obiettivi dell’impresa, e si dimostra essere uno strumento essenziale per la creazione
di valore.
CAPITOLO 1
12
3.3. Le principali differenze tra l’approccio tradizionale e l’ERM
Diversi autori hanno cercato di delineare le differenze che intercorrono tra una gestione
integrata del rischio e quella tradizionale.
Spinard (2005) ha proposto, al riguardo, la tassonomia più esaustiva, identificando sette
dimensioni di analisi (sintetizzate nella tabella seguente) rispetto alle quali posizionare
un’impresa lungo il continuum che va dal risk management tradizionale a quello integrato.
Dimensione di analisi Approccio tradizionale ERM
Relazione RM-Strategia
Influenza limitata del RM
nella definizione dei piani
strategici
Supporto effettivo del RM
alla definizione dei piani
strategici
Focus della gestione del
rischio
RM orientato a gestire le
minacce
RM proattivo orientato a
identificare i rischi da
evitare e quelli da gestire
Valutazione del rischio
Effettuata con bassa
frequenza, reattiva,
frammentata, focalizzata
su esposizioni di breve
periodo
Effettuata con continuità,
proattiva, focalizzata su
esposizioni di breve e
lungo periodo
Gestione del rischio
A “silo”, ossia affidata
alla funzione aziendale
interessata direttamente
dal rischio
Integrata, ossia trasversale
all’intera azienda
Reporting del rischio Report sul rischio assente
Report sul rischio
completo e consolidato a
livello di società
Comunicazione del
rischio e coordinamento
organizzativo
Comunicazione e
coordinamento limitati o
assenti
Comunicazione e
coordinamento diffusi in
azienda per ogni categoria
di rischi
Responsabilità
Limitata: assenza di
responsabilità specifiche
per la gestione di alcune
categorie di rischi
Diffusa: assegnazione
delle responsabilità della
gestione dei rischi in fase
di definizione dei piani
strategici (risk ownership)
Tabella 1.7- Principali differenze e affinità tra il risk management tradizionale e l’ERM [Spinard,
Enterprise risk management, 2002]
CAPITOLO 1
13
La svolta che segna dunque il passaggio definitivo dal traditional risk management
all’enterprise risk management risiede nell’implementazione trasversale di quest’ultimo
all’intera impresa, preferendo quindi ad una gestione a silos una logica integrata, fondata su
un RM proattivo, orientato ad identificare le opportunità, i rischi da evitare e quelli da
gestire, rispetto al tradizionale approccio reattivo di gestione delle minacce.
Secondo questa nuova visione l’ERM diviene uno strumento efficace e di supporto effettivo
nella definizione dei piani e degli obiettivi strategici, il cui processo di valutazione
continuo, focalizzato sia sul breve che sul lungo periodo, e di reporting completo e
consolidato, assicura all’intera impresa una gestione efficace dei rischi.
Rispetto all’approccio tradizionale, in cui comunicazione e coordinamento erano limitati o
assenti e non vi era una chiara definizione dei ruoli e delle responsabilità, il nuovo
paradigma nasce e si sviluppa con l’obiettivo di diffondere la cultura del rischio a tutti i
livelli d’impresa, attraverso l’assegnazione di responsabilità specifiche e la creazione di un
sistema di reporting e comunicazione efficiente.
3.4. Obiettivi e fasi del processo di ERM
Come affermato in precedenza l’enterprise risk management è un processo finalizzato alla
gestione integrata dei rischi. Tale strumento nasce come risposta all’esigenza di valutare in
modo sistematico il profilo di rischio associato al business di un’impresa, per consentire di
pianificare e migliorare le performance aziendali attraverso l’analisi della relazione tra
rischio e rendimento, orientata al perseguimento degli obiettivi aziendali.
Nel perseguire il suo obiettivo più importante, e cioè quello di proteggere e aumentare il
valore dell’organizzazione, l’ERM supporta l’impresa nella creazione di un vantaggio
competitivo sostenibile, fornendole gli strumenti necessari per diventare più preventiva ed
efficace nel valutare e gestire le incertezze, e il Management nello sviluppo di competenze
essenziali e nel miglioramento continuo delle performance aziendali.
Esso inoltre permette di ottimizzare i costi di gestione del rischio, attraverso l’eliminazione
di attività e procedure non necessarie o ridondanti e all’allineamento tra il risk appetite e le
strategie.
CAPITOLO 1
14
In sostanza un approccio ERM differenzia il modello di business dell'impresa e contribuisce
a costruire la propria immagine e reputazione con clienti, fornitori, dipendenti e mercati dei
capitali, chiavi indiscusse di un business di successo.
Figura 2.1 – The value proposition of the ERM [Protiviti, Guide to Enterprise Risk Management, 2006]
Affinché il processo di ERM supporti efficacemente l’impresa nel perseguire i suoi obiettivi
strategici, deve tuttavia possedere alcuni caratteristiche essenziali.
Prima tra tutte l’ERM deve configurarsi come un processo a sé, deve cioè esistere al di là
della struttura di governance dell’impresa, e deve disporre di risorse fisiche, umane e
tecnologiche e sistemi di reporting e di accountability propri, con il supporto però dalle
funzioni di Audit e di Compliance. In secondo luogo si rende necessaria la presenza di un
Chief Risk Officer (CRO), incaricato di assistere l’organizzazione per quanto concerne gli
aspetti di rischio legati alle diverse scelte strategiche.
CAPITOLO 1
15
Infine deve consistere in un processo iterativo, che consenta cioè di apportare modifiche al
processo in qualsiasi momento e sia orientato ad una logica di miglioramento continuo.
Andiamo ora a riportare in dettaglio le componenti principali del processo di risk
management.
Figura 1.2 - I principali componenti del processo di enterprise risk management
La fase iniziale di risk identification è finalizzata alla definizione del profilo di rischio
attuale dell’azienda e quello desiderato dagli stakeholders (risk appetite) e prevede il
RISK CONTROL
&
OPTIMIZATION
RISK
GOVERNANCE
& OVERSIGHT
RISK
IDENTIFICATION
RISK SCREENING RISK REGISTER
&
RISK CATALOG
RISK ASSESSMENT
RISK VALUTATION
RISK QUANTIFICATION
RISK AGGREGATION
REPORTING
RISK TREATMENT
RISK MONITORING
ERM
RISK ASSESSMENT & REPORTING DEI
RISCHI RESIDUALI
CAPITOLO 1
16
coinvolgimento del CdA, che vigila sul governo societario e fa in modo che vengano
rispettati gli obiettivi desiderati dagli azionisti, trasferendo il profilo di rischio di questi
ultimi all’impresa, e soprattutto del Risk manager che lo assiste, fornendo una maggiore
comprensione dell’impatto delle decisioni sul profilo di rischio desiderato.
Non vi è una metodologia unica e comune da utilizzare per la mappatura di ogni possibile
esposizione, bensì una molteplicità di tecniche, la cui scelta, basata fondamentalmente su
considerazioni di carattere economico, dipenderà dall’impresa in particolare e dal contesto
operativo in cui essa opera.
Rientrano in questa categorie analisi SWOT, che facilitano la comprensione dei punti di
forza interni (Strenghts), dei punti di debolezza interni (Weaknesses), delle opportunità
esterne (Opportunities) e delle minacce esterne (Threats), dell’esperienza passata, interviste
ai manager, checklists, brainstorming o workshop (Giorgino e Travaglini, 2008), per
identificare i fattori essenziali, interni ed esterni, che influiscono sullo sviluppo e sul valore
dell’azienda
I rischi così identificati vengono sottoposti al risk screening e inseriti, con una loro attenta
e precisa descrizione, in un risk register o risk catalog.
Potendo ora disporre di un registro completo ed esaustivo di tutte le possibili minacce cui
l’impresa dovrà far fronte, il processo prevede la classificazione dei rischi e la definizione
di un elenco di quelli giudicati accettabili dall’impresa e di quelli giudicati invece
inaccettabili, per i quali sarà necessario intervenire con opportune misure di trattamento,
passando attraverso un processo di valutazione (risk valutation), quantificazione (risk
quantification) e aggregazione (risk aggregation) degli stessi.
Il fine ultimo della fase di risk assessment è quindi quello di valutare le minacce
precedentemente individuate e stimarne la probabilità di accadimento e la magnitudo,
ovvero la severità dell’impatto sull’impresa, effettuando una netta distinzione tra eventi rari
e quelli che potrebbero facilmente verificarsi e comprendere se siano gestibili oppure no.
I metodi utilizzati per perseguire questo scopo sono sostanzialmente tre:
1. metodi quantitativi volti a determinare sia la distribuzione di probabilità delle
variabili aleatorie obiettivo, sia le misure di rischio vere e proprie. Essi a loro volta
si suddividono in:
a. modelli non probabilistici, che utilizzano cioè ipotesi soggettive per stimare
l’impatto di eventi senza quantificare la probabilità associata a ciascun
evento (ad es. le analisi di sensitività e di scenario);
CAPITOLO 1
17
b. modelli probabilistici, che associano invece all’impatto degli eventi una
probabilità di accadimento, sulla base però di ipotesi oggettive (ad es. il
Value at Risk, il Cash Flow at Risk, l’Earning at Risk);
2. metodi qualitativi, i quali utilizzano parole o scale descrittive per rappresentare
impatti e probabilità di accadimento. Il più famoso tra questi metodi è quello della
matrice probabilità-impatto, che fornisce una stima dei rischi come combinazione
di probabilità di accadimento e severità delle conseguenze e fornisce una
indicazione sommaria della tipologia di interventi necessari;
Figura 1.3 - Matrice probabilità-impatto [M. Giorgino & F. Travaglini, il risk management nelle imprese
italiane, 2008]
3. metodi semi-quantitativi, i quali assegnano, alle categorie individuate tramite la
tecnica qualitativa, dei numeri o risk core, che non rappresentano una
quantificazione degli effetti economici o delle probabilità di accadimento, ma
servono a perseguire un ordinamento delle diverse tipologie di rischi (risk
prioritization).
I principali risultati della fase di assessment dovranno a questo punto essere evidenziati e
raccolti in report (risk reporting) per realizzare una sintesi integrata dei dati, permettendo
così, a chi ne ha la responsabilità, di prendere delle decisioni.
Questo tipo di operazione non dovrà riguardare solo il consiglio di amministrazione, ma
interessare tutti i livelli d’impresa.
Supportato dalla robusta analisi frutto delle fasi precedenti, il processo di risk treatment si
focalizza sulla definizione degli interventi e delle modalità di gestione dei rischi, con
l’obiettivo di selezionare e implementare le misure più efficaci per la modifica del profilo di
CAPITOLO 1
18
rischio dell’impresa e l’allineamento di quest’ultimo agli obiettivi strategici di risk
management. Una delle classificazioni più diffuse distingue tra:
strategie di risk avoidance, non accettazione del rischio;
strategie di risk reduction, riduzione del rischio;
strategie di risk transfer, trasferimento del rischio ad un soggetto che si rende
disponibile a sopportarlo in cambio di un premio;
strategie di risk retention, mantenimento del rischio al proprio interno;
strategie di risk sharing, condivisione del rischio.
Tuttavia, al fine di rendere esaustiva e completa l’analisi, sarà necessario un ulteriore
assessment e reporting dei rischi residui, che continuano ad interessare l’impresa
nonostante gli interventi realizzati.
L’ultima fase di pianificazione del monitoraggio (risk monitoring), contempla un insieme
di attività finalizzate alla definizione di un livello di guardia, mediante l’utilizzo di Key
Risk Indicator (KRI) dotati di opportune soglie di allarme per la valutazione ex-ante di
eventi potenzialmente rischiosi, e alla realizzazione di un reporting per il controllo
continuo, assicurando così una risposta al rischio tempestiva ed efficace.
Questo lungo processo viene affiancato da due importanti componenti.
La prima è quella di Risk & Control Optimization per l’ottimizzazione dei controlli e il
miglioramento delle performance, la seconda è invece quella di Risk Governance &
Oversight per l’implementazione di una struttura organizzativa a supporto della definizione
ed attuazione delle politiche di risk management.
3.5. Gli attori coinvolti nel processo di ERM
Data la pervasività e la natura integrata di tale disciplina gli attori coinvolti in questo
processo sono molto numerosi.
Primo tra tutti, e che solo recentemente ha acquisito grande importanza, è il Consiglio di
Amministrazione, cui spetta la definizione degli obiettivi e degli indirizzi strategici, della
politica di gestione dei rischi e dei controlli interni, in accordo con il risk appetite
dell’impresa.
Il Management, nella sua accezione più ampia, responsabile di tutte le attività
dell’organizzazione, deve garantire un’esposizione coerente con il livello di rischio
accettato e supportare il CdA nella gestione dei rischi più critici. Deve inoltre promuovere
la cultura del rischio, assicurandone un’adeguata consapevolezza a tutti i livelli.
CAPITOLO 1
19
In particolare il CRO, introdotta solo di recente dalla maggior parte delle organizzazioni
come figura di coordinamento centrale delle attività di risk management, collabora con i
responsabili di tutte le funzioni per garantire una efficace implementazione di questo
processo.
Tale figura solitamente è posta a capo di una funzione specifica di risk management, con
l’obiettivo di definire ruoli e responsabilità, favorire l’integrazione della gestione del rischio
in tutta l’azienda e facilitare l’allineamento tra obiettivi e strategie di gestione del rischio.
Essa svolge un ruolo fondamentale nella gestione e realizzazione del risk assessment e nel
consolidamento delle informazioni sui rischi, riportando direttamente al CdA circa la
necessità di eventuali interventi.
Solo recentemente questa funzione è stata inserita all’interno del cosiddetto Sistema di
Controllo Interno (Sci), cui riferiscono anche:
la Funzione Compliance, incaricata della corretta applicazione e del rispetto del
framework normativo di riferimento, della sua coerente interpretazione a livello di
gruppo e dell'identificazione, valutazione, prevenzione e monitoraggio dei rischi
complessivi di Compliance;
l’Internal Audit, struttura finalizzata alla valutazione e verifica periodica della
completezza, della funzionalità e dell'adeguatezza del sistema dei controlli interni,
che partecipa attivamente al processo di gestione dei rischi e collabora con la
funzione di RM in fase di consolidamento delle informazioni e di stesura dei report,
verificando la corretta implementazione della procedura di RM e supportando il
Management stesso nella fase di risk assessment.
Di seguito viene riportato uno schema riassuntivo degli attori coinvolti nel processo di
enterprise risk management e delle loro principali funzioni.
CAPITOLO 1
20
Figura 1.4 - Gli attori coinvolti nel processo di ERM
3.6. I benefici e gli ostacoli all’ERM
I benefici legati all’implementazione dell’approccio integrato al risk management sono
molteplici.
Innanzitutto l’ERM consente di utilizzare un linguaggio comune che agevola la
comunicazione all’interno e all’esterno dell’azienda portando alla distruzione delle barriere
tra funzioni, nonché tra impresa e contesto esterno.
Configurandosi come un approccio sistematico, esso consente di identificare tutti i rischi a
cui l’azienda è esposta, favorendo una maggiore comprensione globale degli stessi e
permettendo di sviluppare strategie che migliorino la redditività, grazie all’allineamento tra
rischi e strategia.
La riduzione del rischio, in tutte le sue forme, porta ad una riduzione del costo del capitale
per l’impresa e della volatilità dei flussi di cassa.
CAPITOLO 1
21
Inoltre migliora i sistemi di monitoraggio, facilitando così il controllo continuo
dell’andamento dei rischi e della gestione aziendali, e migliorando notevolmente il processo
di misurazione delle performance, quello di incentivazione e di allocazione delle risorse,
attraverso l’attribuzione di priorità ai rischi.
Esso crea un business model in grado non solo di cogliere le potenziali opportunità, ma
anche di implementare strategie per sfruttarle al meglio, comunicando così agli stakeholders
e agli shareholders che l’impresa utilizza strumenti di gestione e controllo volti alla
creazione di valore aziendale, nel rispetto delle normative e del livello di rischio desiderato.
Tuttavia a fronte di tali benefici è necessario valutare anche gli ostacoli all’ERM.
Innanzitutto vanno osservati i costi. Infatti è necessario considerare che la prima
implementazione e il successivo esercizio dell’ERM comporta costi molto elevati e
nonostante gli evidenti benefici molto imprese potrebbero non essere disposte a sostenere
tale investimento.
Altri ostacoli fanno riferimento all’assenza di una adeguata cultura del rischio e di
competenze per sintetizzare ed integrare in modo corretto le informazioni raccolte, per non
parlare della grande complessità di questo approccio dovuta in gran parte alla necessità di
un forte coordinamento organizzativo e dell’esistenza di metodologie eterogenee di analisi e
valutazione dei rischi.
CAPITOLO 2
23
Capitolo 2
Presentazione dei principali standards e
frameworks di Enterprise Risk Management
1. Introduzione
La complessità nella gestione aziendale e la sempre maggiore necessità di integrare la
valutazione del rischio all’interno del processo decisionale, hanno spinto le organizzazioni
che si occupano di risk management a realizzare standards finalizzati ad una più chiara e
precisa formalizzazione della funzione di risk management, dei suoi contenuti e quindi alla
definizione del ruolo degli attori che vi partecipano.
Negli ultimi decenni inoltre, l’introduzione e lo sviluppo di norme per una corretta gestione
del rischio da parte delle autorità di regolamentazione e vigilanza hanno portato a tracciare
linee guida comuni e a individuare standard di processo adottabili da qualsiasi
organizzazione in qualsiasi settore.
Questi standard non rappresentano una rigida imposizione di regole e di norme da seguire,
quanto piuttosto uno strumento che delinea i principi base, lasciando spazio agli adattamenti
necessari affinché il suo impiego possa essere efficace (Prandi, 2012).
Alcuni di essi forniscono raccomandazioni molto dettagliate, mentre altri definiscono solo
un approccio generale che le imprese potranno personalizzare sulla base delle proprie
caratteristiche, esigenze e aspettative specifiche definite dal Management.
Il fine ultimo è quello di supportare i soggetti coinvolti nell’identificazione, nella
valutazione e nel controllo di eventi potenzialmente rischiosi, facilitando la comunicazione,
intra ed inter aziendale, di informazioni e la condivisione delle percezioni ad essi relative.
Nei paragrafi seguenti verranno riportati e analizzati tre dei più importanti standard
nazionali ed internazionali attualmente utilizzati e quattro altrettanto importanti standard
sviluppati da organizzazioni professionali operanti nel campo del risk management.
La prima categoria include il British Standard pubblicato nel 2000, che si focalizza sul
processo di gestione del rischio legato ai progetti, lo standard australiano AZ/NZS 4360 del
2004 che definisce un framework molto generico per permettere alle diverse organizzazioni
di implementarlo secondo le proprie necessità, i propri obiettivi, prodotti e servizi, i propri
processi e le pratiche specifiche, e quello canadese CAN/CSA – Q850 del 2010, guida
CAPITOLO 2
24
nell’implementazione dei principi, del framework e dei processi di risk management
delineati dalla ISO 31000.
Quest’ultimo per l’appunto rientra nella seconda categoria come frutto del lavoro
dell’International Organization for Standardization, insieme all’IEEE Standard for Software
Life Cycle Processes, specifico per prodotti software e servizi, allo standard europeo di risk
management adottato dalla FERMA e al framework proposto dalla COSO (Committee of
Sponsoring Organizations of the Treeadway Commission).
2. British Standard
2.1. Introduzione
Lo standard britannico BS 6079:2000 fu pubblicato dalla British Standard Institution (BSI)
nel 2000, grazie al lavoro della commissione tecnica MS/2.
E’ suddiviso in tre parti: la prima con titolo ”Part 1: Project Management- Guide to project
management”, la seconda “Part 2: Project Management – Vocabulary” e la terza “Part 3:
Project Management – Guide to the management of business relate project risk”, che sarà
oggetto di questo capitolo e contiene linee guida e raccomandazioni per l’identificazione e il
controllo di rischi legati all’implementazione di progetti. Questo standard è applicabile ad
un vasto numero di organizzazioni operanti nel settore industriale e dei servizi ed è diretto
ai project managers.
I progetti, infatti, sono visti in questo caso come “the principal means by which a business
moves forward” ed è proprio per questo motivo che i rischi che li riguardano devono essere
identificati e gestiti, poiché “managing business related project risk involves taking account
of business risks that affect its projects and project risk that affect the business” (BS6079-3,
2000).
Il modello proposto si fonda su due concetti fondamentali:
a. definire le relazioni tra attività svolte dall’impresa e progetti, valutando la
compatibilità degli obiettivi e i rischi da esse derivanti;
b. modellare il processo decisionale delle diverse attività all’interno di ciascun
progetto a tutti i livelli.
Il primo si basa sull’assunto secondo il quale ciascun progetto può essere visto come una
piccola impresa. Quest’ultima, infatti, opera all’interno di un contesto ambientale esterno,
CAPITOLO 2
25
da cui estrae input, con cui produce prodotti o servizi e altri output (come ad esempio
l’inquinamento) e influenza però il contesto esterno.
Allo stesso modo un progetto prende degli input dall’impresa che lo ha implementato, e che
in questo caso rappresenta l’ambiente esterno, restituendo degli output che la condizionano.
Gli effetti di ciascuna decisione, che riguardino il business dell’azienda o un particolare
progetto, hanno di solito conseguenze molto importanti sull’intero sistema aziendale e non
devono essere considerate in modo isolato.
Per questo è essenziale che vi sia una comunicazione attiva tra i diversi livelli dell’impresa,
tra questa e i progetti. Ed è questo il significato del secondo concetto.
Il processo di decision making relativo al risk management si sviluppa su tre diversi livelli:
il primo è quello strategico, in cui vengono modificati i vecchi obiettivi, ne vengono
identificati nuovi, vengono prese decisioni riguardo a cambiamenti nel business o nei
progetti, definite le modalità con cui raggiungere tali obiettivi e vengono individuati i
rischi chiave legati al business dell’impresa, in un’ottica di lungo termine. Solitamente
questo livello decisionale getta le basi su cui verranno poi prese le decisioni tattiche;
il secondo è quindi quello tattico, in cui vengono identificate le risorse da utilizzare per
raggiungere gli obiettivi richiesti, nel rispetto dei vincoli imposti, e vengono gestiti i
rischi connessi a queste attività;
il terzo, quello operativo, che implementa le scelte tattiche sopra definite e gestisce i
rischi operativi.
Di seguito viene riportata una tabella che sintetizza la relazione tra obiettivi e livello
decisionale, in ottica di risk management.
CAPITOLO 2
26
Tabella 2.8 - Tthe relationship between decision making focus, and decision making levels in the context
of the risk management [BS 6079-3:2000, pag.6]
CAPITOLO 2
27
2.2. Processo di risk management
Il processo di risk management delineato dal British Standard può essere sintetizzato nello
schema seguente.
Figura 2.3 - Il processo di risk management [BS 6079-3:2000, pag.2]
Il British Standard individua due macro-fasi all’interno di questo processo:
la prima consiste nell’identificazione del rischio e del suo raggio di azione e
comprende la definizione del contesto e la risk identification;
CAPITOLO 2
28
la seconda nella valutazione (risk assessment) e gestione di questo e comprende
la risk analysis, la risk evaluation e il risk treatment.
Non vi è tuttavia una rigida distinzione tra di esse in quanto deve essere possibile
ripercorrere iterativamente i propri passi qualora venga evidenziato, in una qualsiasi delle
fasi, un nuovo rischio.
2.2.1. Definizione del contesto e degli obiettivi
La definizione del contesto consiste nel delimitare l’ambiente esterno, valutare cioè il
contesto legislativo, politico, sociale, competitivo, finanziario e culturale entro cui l’impresa
opera.
In questa prima fase devono essere coinvolte tutte quelle persone le cui attività saranno
influenzate dalle decisioni prese in questo momento, con l’intento di individuare
chiaramente gli obiettivi relativi al business, ai progetti e ai sotto progetti, e comprendere se
questi siano effettivamente compatibili.
Questa prima fase è fondamentale per alcuni motivi:
il risk management agisce nel contesto degli obiettivi definiti ed entro i limiti stabiliti al
livello superiore;
il fallimento nell’individuazione e comunicazione di obiettivi chiari e di progetto,
costituisce di per se una fonte di rischio;
la definizione delle caratteristiche del business, del progetto o dei sotto progetti è
necessaria per il processo di risk management;
senza una chiara visione degli obiettivi, la fase di risk identification risulterà essere
molto limitata e porterà al verificarsi di eventi sfavorevoli all’impresa.
Per queste ragioni la prima fase viene articolata in due steps:
1. definizione degli obiettivi a livello di business: quelli cioè che riguardano l’intero
business dell’azienda nonché quelli relativi ai progetti in cui l’impresa è già coinvolta o
ha intenzione di investire.
CAPITOLO 2
29
È importante, infatti, valutare la compatibilità tra questi e la conformità alle restrizioni e
alle politiche imposte, al fine di garantire il successo dell’impresa;
Figura 4.2 - Business level risk management steps [BS 6079-3:2000, pag.8]
A differenza del traditional risk management, il nuovo paradigma associa grande
importanza al fattore umano e a quello organizzativo, come maggiori fonti di rischio,
ed è per questo che deve essere condotta un’approfondita stakeholders analysis.
In questo caso si tratta di considerare tutti gli individui, gruppi e organizzazioni che
hanno degli interessi nei confronti dell’impresa e del progetto stesso, sia in termini di
processi che di outcomes.
Un primo passo consiste nel valutare attentamente la risk perception, ossia
comprendere il modo in cui ciascuno percepisce le situazioni, i relativi fattori critici e il
modo in cui si pone nei confronti di essi e che influenza il processo di decision making.
Ciò contribuisce ad aiutare i managers a capire quali soluzioni utilizzare per
controllare i rischi derivanti dall’incapacità di essere totalmente obiettivi e
reazionali.
CAPITOLO 2
30
Il modo in cui ciascuno percepisce qualcosa non ha solo effetti sulle decisioni, ma
influenza anche le previsioni future e le aspettative. Ed è proprio per questo motivo
che è necessario tenere conto che managers e stakeholders non sempre hanno una
stessa visione delle cose.
Possono infatti individuare rischi, priorità, soluzioni di gestione e soprattutto avere
aspettative molto differenti e il fatto che abbiano degli interessi li rende potenziali,
se non addirittura certe, fonti di rischio.
Non prendere in considerazione all’interno del project risk management la
particolare percezione dei rischi da parte degli stakeholders potrebbe dunque
rendere questi ultimi ostili al progetto.
La stakeholders analysis supporta il processo di risk management in quattro diversi
modi:
- nell’identificazione dei rischi e delle fonti di rischio;
- nell’identificazione più precisa dei confini del business e di progetto;
- nell’identificazione più accurata degli obiettivi di business e di progetto;
- nell’identificazione delle relazioni tra i differenti tipi di rischio.
Infatti maggiori saranno le conoscenze possedute dai managers, soprattutto per
quanto riguarda uno specifico progetto, maggiore sarà la loro abilità
nell’identificare i possibili fattori di rischio.
Comprendere dunque chi sono gli stakeholders, quali sono i loro interessi,
aspettative e percezioni, permette ai mangers di individuare le potenziali aree di
conflitto, definire ruoli e responsabilità, identificare chiaramente obiettivi e
performance a cui mirare e implementare strategie per minimizzare possibili
minacce e massimizzare invece le opportunità.
Per tutti questi motivi la stakeholders analysis non deve essere assolutamente
sottovalutata e deve essere rivista nel caso in cui vengano effettuati dei
cambiamenti o vengano individuati e coinvolti nuovi stakeholders;
2. definizione degli obiettivi a livello di progetto/sotto progetto: consiste nel
confermare l’analisi precedente e nell’aggiungere agli obiettivi evidenziati, quelli
derivanti da un’attenta analisi e dalla programmazione delle attività relative al
progetto da implementare.
CAPITOLO 2
31
Questo ulteriore livello di analisi porterà inoltre in evidenza nuove parti interessate,
come risultato di decisioni prese dai project managers.
Figura 2.3 - Project and sub-project level risk management step [BS 6079-3:2000, pag.9]
I managers alla fine dovranno essere in grado di distinguere tra obiettivi e relativi rischi, di
cui possono essere direttamente responsabili e quelli invece che non possono essere da loro
gestiti.
Qualora non siano stati dati loro i mezzi necessari per gestirli, deve essere presente un
sistema di comunicazione in grado di far circolare le informazioni relative ad essi, verso
l’alto o verso il basso, a seconda del livello gerarchico di management più appropriato. La
responsabilità per la gestione dei singoli rischi, infatti, deve spettare al livello decisionale
più adatto a svolgere tale compito.
L'importanza relativa di ogni fase del processo di identificazione può variare con il livello
di business/progetto. A livelli più elevati è più probabile che l’enfasi sia data alle fasi
iniziali, garantendo in questo modo chiarezza di obiettivi e ampia comprensione delle
potenziali opportunità e delle minacce.
CAPITOLO 2
32
A livelli inferiori invece, l’attenzione verrà posta sull'attuazione della strategia di gestione
del rischio.
Tuttavia, deve esservi sempre la possibilità di poter comunicare potenziali minacce
impreviste o opportunità sia top-down che botton up. Una volta completata questa fase, si
procede all’individuazione dei singoli e specifici rischi e all’implementazione di una
strategia di gestione del rischio a ciascun livello gerarchico.
2.2.2. Risk identification
La fase di risk identification prevede un’attenta valutazione e una comprensione
approfondita dei rischi globali e di quelli correlati a ciascun progetto, con l’obiettivo di
evidenziare fonti/cause comuni di rischio.
CAPITOLO 2
33
Figura 2.4 - Esempi di rischi globali e di progetto [BS 6079-3:2000, pag.21]
Una volta identificati si procede quindi a verificare in che modo questi influenzino gli
obiettivi desiderati. Poiché in questo caso, spesso, si procede per ipotesi e assunzioni, è
necessario una modellizzazione efficace attraverso una comprensione delle cause e delle
relazioni causali tra i possibili eventi o processi stessi, e tra questi eventi o processi e gli
obiettivi desiderati. Qualora infatti venissero identificate cause comuni il trattamento potrà
essere diretto a queste, una soluzione sicuramente più cost effective rispetto alla valutazione
dei singoli rischi.
CAPITOLO 2
34
Come risultato di questa analisi vi sarà la creazione di un registro o database, all’interno del
quale saranno elencati e descritti, con diversi livelli di dettaglio, tutti i rischi identificati,
ordinati per importanza secondo indicatori quantitativi.
Esso costituisce la base su cui fondare la strategia di risk management inziale e rappresenta
uno strumento appropriato per continuare a valutare l’accettabilità dei rischi e la
compatibilità di questi con gli obiettivi d’impresa e di progetto.
2.2.3. Risk analysis
Questa fase contribuisce a definire la probabilità di accadimento e le potenziali conseguenze
dei singoli rischi o di un set di rischi, precedentemente individuati.
Sono quindi principalmente due le variabili da considerare:
i. le probabilità che questi si verifichino;
ii. le potenziali conseguenze sull’impresa e sui progetti.
Alcune fonti di informazioni includono dati storici, esperimenti con prototipi, test di
mercato, dati derivanti dall’applicazione di modelli matematici, finanziari ed economici e
esperti. Alcune delle tecniche più utilizzate comprendono brainstorming, checklists,
decision analysis, la tecnica Delphi, analisi ad albero degli eventi, analisi ad albero dei
guasti ecc. Le modalità con cui condurre la risk analysis sono essenzialmente due e
dipendono dalla natura dei dati a disposizione.
Il primo è il metodo qualitativo che utilizza parole e scale descrittive per mettere in
relazione la probabilità che un rischio si verifichi e le potenziali conseguenze.
Tabella 2.9 - Analisi quanlitativa di base [BS 6079-3:2000, pag. 12]
Qualora invece siano disponibili dati affidabili è possibile applicare un modello di tipo
quantitativo, che utilizza dei valori numerici per dettagliare le due variabili. L’affidabilità di
questa analisi dipenderà ovviamente dalla qualità dei dati utilizzati.
E’ necessario tenere conto che effettuare delle stime soggettive, che potrebbero essere errate
o prevedere presupposti inesatti, è rischioso, sebbene sia necessario in questo processo.
CAPITOLO 2
35
E poiché il passato raramente è un buon predittore, le conclusioni che emergono da questa
analisi devono essere usate con cautela più per informare che per decidere.
Qualora infatti i rischi siano essi stessi combinazioni di altri rischi, analisi di questo tipo
possono essere difficili da applicare.
Può accadere che la risk analysis evidenzi rischi con scarsa probabilità di accadimento e
impatto minimo che il management potrebbe decidere di non considerare perché non degni
di nota. Tuttavia, poiché già individuati, potranno essere riesaminati, qualora si verifichino
dei cambiamenti o nuove circostanze lo richiedano.
2.2.4. Risk evaluation
Questa fase mira a distinguere tra rischi ad alta priorità, che richiedono uno studio
approfondito e dettagliato, in quanto possono seriamente danneggiare l’impresa o il
progetto, e quelli invece a più bassa priorità, che necessitano quindi di minori attenzioni.
Il processo da seguire in questo caso viene illustrato nella figura seguente.
Figura 2.5 - Processo di risk evaluation [BS 6079-3:2000, pag.13]
Il primo step prevede di classificare minacce ed opportunità ciascuna in tre differenti
categorie:
a) minacce inaccettabili, come eventi catastrofici per il business dell’azienda o per il
progetto;
b) minacce trascurabili e che, se necessario, possono essere poi rivalutate;
c) minacce accettabili, che possono essere gestite;
d) opportunità critiche, che possono aumentare significativamente il valore
dell’impresa;
CAPITOLO 2
36
e) opportunità desiderabili, che facilitano il raggiungimento degli obiettivi;
f) opportunità trascurabili, che non comportano miglioramenti significativi.
Tutti i rischi che non sono accettabili o trascurabili devono essere oggetto di ulteriori analisi
al fine di comprendere se siano effettivamente gestibili o meno e il modo migliore per farlo.
Nel caso in cui questo non sia possibile si renderà necessaria una revisione degli obiettivi o
in casi estremi la cancellazione del progetto.
2.2.5. Risk treatment
Il processo di risk treatment prevede l’identificazione e la valutazione di un significativo
range di opzioni di trattamento dei rischi e la accurata preparazione ed implementazione di
un risk management plan.
Il primo passo consiste nel comprendere se le minacce e le opportunità necessitino di
trattamenti speciali ad hoc o possano essere gestiti con le normali procedure e attività di
management. Le possibili soluzioni di risk treatment sono evidenziate nella tabella
seguente.
Tabella 2.10 - Misure di risk treatment [BS 6079-3:2000, pag. 13]
Esistono anche strategie che permettono di aumentare le probabilità che le opportunità si
verifichino, come evidenziato dalla tabella 2.4.
CAPITOLO 2
37
Tabella 2.11 - Misure di opportunità [BS 6079-3:2000, pag. 14]
Ovviamente ciascuna soluzione dovrà essere attentamente valutata, tenendo in
considerazione alcuni fattori, quali il rapporto costi/benefici, la tipologia di azioni coinvolte
e l’efficacia nel contenere il rischio. Per ciascun rischio da trattare dovrebbero inoltre essere
identificati e monitorati degli indicatori di occorrenza.
A questo punto il piano di risk management è ultimato. Si procede quindi a sottoporlo ai
managers e ai più importanti stakeholders e ad allocare sufficienti risorse per
l’implementazione delle azioni previste.
La natura del piano dipenderà dalle misure di trattamento adottate; si avrà un piano di
prevenzione nel caso in cui le strategie siano finalizzate a prevenire eventuali rischi, uno di
mitigazione nel caso in cui le misure vengano attuate solo qualora si verifichi il rischio.
Fondamentale in questa fase di definizione del risk management plan è la comunicazione tra
i managers che implementano le strategie e coloro che sono soggetti direttamente ai rischi
individuati.
2.2.6. Monitoraggio
E’ necessario un monitoraggio continuo di tutte le fasi del processo di risk management e in
particolare di quella di risk treatment, poiché, qualora le strategie adottate si rivelino
inadeguate, sia possibile implementarne di nuove. Ciò consente un feedback continuo per
individuare quali attività di valutazione e di trattamento siano più efficaci.
In particolare le azioni di monitoraggio riguarderanno i rischi individuati, gli indicatori
selezionati e l’utilizzo delle risorse per il risk management plan.
CAPITOLO 2
38
2.3. Gestione del processo
Data la complessità del processo sopra descritto, è necessario prestare attenzione ad alcuni
fattori che giocano un ruolo decisivo al suo interno:
lo sviluppo di una politica integrata di risk management;
la definizione di un’infrastruttura organizzativa;
la creazione di un programma di risk management a livello organizzativo, cross-
organizzativo, di progetto e di sotto progetto;
il monitoraggio continuo e la revisione del processo di gestione dei rischi per
valutarne l’efficacia.
Nel facilitarne la comprensione e la gestione svolge un ruolo fondamentale la figura del risk
manager, il cui compito è quello di coinvolgere tutte le persone interessate.
Egli dovrà considerare con attenzione alcuni fattori, quali:
la possibile duplicazione o sovrapposizione di funzioni e compiti;
la diffusione e l’incoraggiamento di una cultura di risk management in tutta
l’impresa;
una comunicazione a tutti i livelli, per facilitare la comprensione e il
coinvolgimento di tutti il personale;
la creazione di una chiara gerarchia di responsabilità con un processo decisionale
decentrato per consentire risposte rapide e flessibili;
favorire un approccio “learning organisation” per una maggiore comprensione e
consapevolezza delle conseguenze dei propri errori.
Allo luce di tutto questo si evidenzia come il processo di risk management debba essere
interamente integrato con i processi relativi all’impresa e i progetti, sottolineando la
necessità di combinare una centralizzazione funzionale, al fine di garantire una corretta
visione panoramica e una gestione del rischio complessivo, con un adeguato livello di
decentramento decisionale, affinché ciascun individuo o gruppo possa gestire attivamente i
propri rischi.
2.4. Reporting e comunicazione
Come più volte sottolineato, la comunicazione è un fattore fondamentale nel risk
management e il più delle volte critico. Una scarsa comunicazione, infatti, può costituire di
per sé un rischio e minare l’efficacia del processo di risk management. Realizzare quindi
un’efficiente comunicazione richiede cura e attenzione ad alcuni fattori fondamentali.
CAPITOLO 2
39
Tuttavia, prima di definire gli aspetti più tecnici, i managers devono valutare lo scopo della
comunicazione e i destinatari di essa. Solo allora potranno stabilire quale sia la
communication strategy più appropriata da implementare e integrare con l’intero processo
di risk management.
Fatto ciò dovranno occuparsi di verificare che i giusti messaggi vengano inviati ai giusti
destinatari e che questi siano in grado di interpretarli correttamente.
La comunicazione non riguarderà solo ed esclusivamente i rischi, ma tutto ciò che potrebbe
avere degli effetti sul business o suoi progetti dell’impresa.
Questo processo dipenderà in gran parte dalla struttura organizzativa.
E’ fondamentale quindi che le strutture formali e fattori, come la paura di essere valutati
severamente o non ascoltati, non impediscano una upward communication al fine di evitare
la mancata o tardiva individuazione di rischi.
3. IEEE Standard for Software Life Cycle Processes – Risk
Management
3.1. Introduzione
La IEEE è la più grande associazione professionale al mondo impegnata a promuovere
l’innovazione tecnologia e a ricercare l’eccellenza per il bene dell’umanità.
Gli IEEE Standards sono documenti redatti all’interno delle società IEEE, dai Comitati di
Coordinamento Standards della IEEE Standards Association Standards Board (IEEE-SA).
Il metodo attraverso il quale vengono sviluppati è quello del consenso, approvato
dall’American National Standards Institute, che riunisce volontari con punti di vista e
interessi differenti per ottenere il prodotto finale.
Questo standard di gestione del rischio supporta l'acquisto, la fornitura, lo sviluppo, il
funzionamento e la manutenzione di prodotti software e servizi ed è stato sviluppato per
essere usato in combinazione con gli esistenti processi di gestione dei rischi organizzativi.
Ovviamente il contesto in cui verrà usato, la fase del ciclo di vita del software di progetto o
di prodotto e le specifiche caratteristiche dell’organizzazione ne influenzeranno le modalità
di implementazione.
CAPITOLO 2
40
Questo standard definisce un processo di gestione del rischio continuo, adatto sia a livello di
organizzazione, sia a livello di progetto, per diversi tipi, dimensioni e fasi del ciclo di vita di
progetti, e per sostenere diverse le prospettive degli stakeholders.
E poiché sarà adottato da singole organizzazioni per soddisfare esigenze specifiche, non
definisce l’uso di tecniche o strutture specifiche di risk management, ma ne supporta
implicitamente l'uso affinché possano rendere la gestione del rischio processo continuo,
incoraggiando la raccolta di informazioni in “forma elettronica” da parte di tutte le risorse
coinvolte.
Il fine ultimo è quindi quello di supportare acquirenti, sviluppatori e fornitori software
nell’individuazione e gestione dei rischi, attraverso la definizione di un processo all’interno
del quale qualsiasi delle diverse tecniche di management possano essere applicate.
Questo standard inoltre potrà essere applicato indipendentemente o in congiunzione con
l'IEEE/EIA 12207, che riguarda l'acquisto, la fornitura, lo sviluppo e la manutenzione di
software e riconosce che una gestione attiva del rischio è un fattore chiave di successo nella
gestione di un progetto software.
3.2. Processo di Risk management
In questo standard il risk management è “an organizational life cycle process” e le attività e
i compiti di tale processo sono diretta responsabilità delle organizzazioni che li svolgono.
La gestione dei rischi software sarebbe dunque più efficace qualora fosse implementata e
integrata con i processi di gestione del rischio organizzativo, come mostrato nella figura
seguente.
CAPITOLO 2
41
Figura 2.6 - Risk management process model [IEEE Std 1540-2001, pag. 6]
3.2.1. Plan and implement risk management
La fase di plan and implement individua le politiche riguardanti gli orientamenti generali in
base ai quali condurre la gestione del rischio. Include le procedure da utilizzare e le tecniche
da applicare. Questa attività dovrà essere svolta nella fase iniziale di qualsiasi progetto e i
suoi risultati dovranno essere evidenziati in un risk management plan modellato come
segue.
CAPITOLO 2
42
Figura 2.7 - Risk management plan [IEEE Std 1540-2001, pag.14-15]
Questa fase include la definizione di risk management policies, le quali dovrebbero
discutere di come implementare, amministrare, supportare e coordinare tramite il
CAPITOLO 2
43
management e lo staff questo processo, di come ottenere e mantenere l’impegno di tutti i
soggetti interessati, nonché di come formare e allocare il personale necessario e sviluppare
un efficiente sistema di comunicazione.
La valutazione delle procedure da implementare per definire in modo chiaro e preciso il risk
management process deve includere alcuni fattori quali:
la frequenza di analisi e monitoraggio dei rischi;
la tipologia di analisi richiesta (quantitativa/qualitativa);
i parametri utilizzati per stimare le priorità, le probabilità di accadimento, le
conseguenze e i valori soglia;
le categorie di rischio considerate.
I soggetti responsabili della gestione del rischio, i loro ruoli e responsabilità devono essere
esplicitamente identificati e a loro vanno assegnate le risorse necessarie per il corretto
funzionamento del processo, che verrà poi delineato e descritto in modo esplicito al fine di
migliorare le attività di risk management e la raccolta di informazioni, quali anche risultato
di gestioni precedenti.
3.2.2. Manage the project risk profile
La gestione del profilo di rischio del progetto deve includere la valutazione della somma
totale di tutti i profili relativi ad ogni singolo rischio, individuati nel tempo, e del contesto in
cui l’organizzazione opera. La definizione del contesto consiste principalmente nel
riconoscimento degli obiettivi, assunzioni e vincoli tecnici e di gestione, nonché delle
prospettive dei diversi stakeholders.
Di grande rilevanza per la definizione di un corretto risk profile è l’individuazione di valori
soglia/limite (risk thresholds) che si sostanzia nella definizione dei criteri attraverso cui
determinare sia l’accettabilità che lo stato del rischio, da associare a costi, tempi,
conseguenze rilevanti e al valore dell’esposizione. Inoltre sarà necessario sviluppare un
sistema di allarme che si attivi qualora una di queste soglie venga superata.
La definizione di un profilo di rischio deve includere le informazioni riguardanti l’intera
organizzazione o progetto e i profili di ogni singolo rischio, attuali e storici.
Dovrà quindi tenere conto:
del contesto di risk management;
del registro cronologico dello stato, delle probabilità, delle conseguenze, dei valori
soglia e dei metodi di trattamento individuati per ciascun rischio;
CAPITOLO 2
44
della priorità ad essi assegnata.
Questo profilo dovrà inoltre essere continuamente aggiornato, per valutare eventuali
cambiamenti o ripensamenti posti in essere, e soprattutto comunicato affinché lo stato di
ciascun rischio sia chiaro a qualsiasi livello decisionale e le informazioni rilevanti siano rese
disponibili per tutte le parti interessate.
3.2.3. Perform risk analysis
Lo scopo della fase di risk analysis è quello di:
identificare gli eventi scatenanti, i pericoli o in generale quelle situazioni che
potrebbero costituire dei rischi;
stimarne la probabilità, le conseguenze e la tempistica;
confrontare ciascun rischio con la sua soglia di accettabilità, generare alternative per
trattare quelli che la superano e associare delle priorità.
Il primo step prevede l’identificazione (risk identification) dei rischi cui è esposta
l’organizzazione, la verifica delle interazione tra essi e il loro ordinamento secondo precise
categorie, tenendo conto che i rischi non identificati in questa fase verranno implicitamente
considerati accettabili. Gli approcci possibili sono diversi: dai questionari, alle tassonomie,
ai brainstorming e alle analisi di scenario.
Successivamente verrà condotta una stima delle probabilità di accadimento e delle
conseguenze di ogni singolo rischio (risk estimation), a discrezione di chi svolge l’analisi,
mediante l’utilizzo di tecniche quantitative o qualitative.
Ogni rischio individuato dovrà essere quindi confrontato con la rispettiva soglia di
accettabilità (risk evaluation), al fine di valutarne l’accettabilità e determinare le diverse
alternative di trattamento, volte a ridurre o eliminare il rischio.
Le tecniche da utilizzare sono diverse: alberi di decisioni, pianificazione degli scenari,
teoria dei giochi, analisi probabilistica e programmazione lineare.
I rischi e le misure di gestione individuate dovranno quindi essere comunicate a tutte le parti
interessate, per la loro approvazione o modifica, con una “risk action request”, secondo lo
schema seguente.
CAPITOLO 2
45
Figura 2.8 - Risk action request [IEEE Std1540-2001, pag.16-17]
3.2.4. Perform risk treatment
Le finalità della fase di risk treatment sono principalmente due:
1) determinare se il rischio sia o meno accettabile per tutte le parti interessate;
2) implementare azioni per ridurre i rischi ad un rischio accettabile.
La scelta della strategia di gestione di ciascun rischio (selecting risk treatment) deve essere
effettuata tenendo conto di alcuni fattori, quali costi, benefici, tempi di implementazione, e
soprattutto del giudizio degli stakeholders.
CAPITOLO 2
46
Nonostante infatti un rischio possa superare la sua soglia limite, e qualora le parti
interessate lo ritengano comunque accettabile, si procederà ad individuare la modalità di
gestione più appropriata, supportandola con risorse adeguate.
Oltre a ciò, nel caso in cui una strategia fallisca, dovranno essere previste anche azioni di
emergenza.
Una volta quindi individuate e selezionate, queste strategie dovranno essere inserite in un
risk treatment plan, strutturato come segue.
CAPITOLO 2
47
Figura 2.9 - Risk treatment plan [IEEE Std 1540-2001, pag.18-19]
3.2.5. Perform risk monitoring
A questo punto si renderà necessario riesaminare e aggiornare lo stato dei ciascun rischio,
accertare l’efficacia delle strategie di gestione selezionate ed evidenziare nuovi potenziali
rischi.
La fase specifica di monitoraggio (monitor risk) deve riguardare il contesto di analisi, il risk
profile individuato per ogni singola minaccia e le priorità associate, al fine di individuare
eventuali cambiamenti, individuare nuovi rischi e procedere ad una loro rivalutazione.
Monitorare inoltre le modalità di gestione (monitor risk treatment) è fondamentale, per
assicurarne l’efficacia o individuare eventuali cause di inefficienza, e rimediare
prontamente.
CAPITOLO 2
48
3.2.6. Evaluate the risk management process
Lo scopo della fase di valutazione complessiva del risk management process è quello di
fornire un feedback agli stakeholders che riguardi non solo la qualità del processo di risk
management, ma anche l’individuazione delle aree interessate dalle procedure e dalle
politiche di risk management nonché l’identificazione di opportunità per modificare e
migliorare i processi e eliminare i rischi sistematici.
A tale scopo le informazioni acquisite durante tutte le fasi devono essere selezionate e
raccolte in forma elettronica al fine di ottimizzare la revisione sistematica del risk
management process e facilitare l’individuazione di lessons learned utili per la gestione dei
rischi sistemici.
4. Standard di Risk Management (FERMA, 2002)
4.1. Introduzione
Questo standard di risk management, distribuito dalla FERMA (Federation of European
Risk Management Association), è il frutto del lavoro di un team composto dalle più
importanti organizzazioni di risk management del Regno Unito, quali l’IRM6, l’AIRMIC7 e
l’ALARM8 e del contributo di altri organismi professionali attivi in questo campo.
Lo scopo di questo Standard è quello di rappresentare la migliore procedura, grazie ai
continui aggiornamenti, con la quale le organizzazioni possono misurarsi.
Esso si sviluppa a partire dalla concezione del risk management come attività legata non
solo agli aspetti negativi del rischio, ma anche a quelli positivi, valutando così entrambe le
prospettive.
Infatti, secondo questo standard, “il risk management è il processo attraverso il quale le
organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici
durevoli nell’ambito di ogni attività e permette la comprensione dei potenziali aspetti
positivi e negativi di tutti i fattori che possono influenzare l’organizzazione, incrementando
le probabilità di successo e riducendo sia le probabilità di fallimento, sia l’incertezza sul
raggiungimento degli obiettivi generali dell’organizzazione”(FERMA, 2002).
6 The Institute of Risk Management 7 The Association of Insurance and Risk Managers 8 The National Forum for Risk Management in the Public Sector
CAPITOLO 2
49
È chiaro quindi che debba coinvolgere tutta l’organizzazione e affrontare in modo
sistematico tutti i rischi che circondano le attività nel passato, nel presente e soprattutto nel
futuro. Deve trasformare la strategia in obiettivi e assegnare le responsabilità ad ogni livello
dell’organizzazione, misurando e premiando le performance, promuovendo a tutti i livelli
l’efficienza operativa. In sostanza deve “proteggere e dare valore all’organizzazione e ai
suoi stakeholders sostenendo gli obbiettivi dell’organizzazione”, tutto questo con:
la creazione di un quadro metodologico per il controllo di ogni attività;
il miglioramento del processo decisionale attraverso una comprensione approfondita
delle attività;
il contributo ad un’allocazione più efficiente di risorse e capitale;
la riduzione della volatilità;
la protezione e il potenziamento dell’immagine aziendale;
l’ottimizzazione dell’efficienza operativa.
4.2. Il processo di risk management
Il processo di risk management può essere rappresentato chiaramente nel seguente schema.
Figura 2.10 - Il processo di risk management [FERMA, Standard di Risk Management 2002, pag.5]
CAPITOLO 2
50
4.2.1. Analisi del rischio9
La fase di analisi del rischio ha lo scopo di misurare quanto un’organizzazione sia esposta
all’incertezza, cosa che richiede un’approfondita conoscenza dell’organizzazione stessa e
delle sua attività, del mercato in cui opera, dell’ambiente sociale, politico, culturale e legale
di riferimento, nonché una comprensione dei fattori critici di successo, degli obiettivi
strategici precedentemente definiti, e delle minacce ed opportunità ad essi connessi.
Fornendo la seguente classificazione lo standard identifica le principali attività e decisioni
aziendali che possono essere cause/fonte di minacce (risk identification) e sottolinea che i
rischi agenti su un’organizzazione possono avere origine non solo da fattori interni, ma
anche da fattori esterni ad essa.
a) Strategiche: riguardano gli obiettivi di lungo periodo e sono influenzate da variabili
quali la disponibilità del capitale, modifiche a regolamenti e leggi, rischi di reputazione
e cambiamenti dell’ambiente naturale;
b) Operative: inerenti problematiche quotidiane;
c) Finanziarie: relative alla gestione e al controllo delle finanze dell’organizzazione e
degli effetti di fattori esterni ad essa;
d) Di gestione della conoscenza: riguardano l’efficacia della gestione e del controllo delle
risorse della conoscenza;
e) Di conformità.
Tra le più diffuse tecniche di identificazione del rischio lo standard propone brainstorming,
questionari, analisi di benchmarking, studi interni, workshop di verifica del rischio, indagini
su incidenti avvenuti, attività di auditing e ispezioni e analisi HAZOP (studi di Hazard &
Operability).
9 La fase di definizione degli obiettivi strategici dell’organizzazione non viene dettagliata, ma viene
lasciata piena libertà di gestione alle organizzazioni.
CAPITOLO 2
51
Figura 2.11 - Fattori di stimolo dei principali rischi [FERMA, Standard di Risk Management 2002,
pag,4]
Una volta identificati i rischi, si procede a descriverli e dettagliarli accuratamente (risk
description) grazie all’ausilio di una struttura appositamente progettata, che garantisce un
processo esauriente di identificazione, descrizione e valutazione.
Lo studio della probabilità e delle conseguenze di ognuno di essi permette di associare una
priorità a quelli chiave che richiedono un’analisi più dettagliata.
Uno strumento particolarmente utile per questo tipo di analisi è la tabella di descrizione del
rischio.
CAPITOLO 2
52
Tabella 2.5 – Tabella di descrizione del rischio [FERMA, Standard di Risk Management 2002, pag.7]
Una volta descritti, la stima dei rischi (risk exstimation) può avvenire su base quantitativa,
semi-quantitativa e qualitativa. In ogni caso dovranno essere valutate le probabilità e le
possibili conseguenze associate a ciascun evento come mostrato nelle seguenti tabelle.
Tabella 2.6 - Conseguenze - Minacce ed opportunità [FERMA, Standard di Risk Management 2002,
pag.8]
CAPITOLO 2
53
Tabella 2.7 - Probabilità dell'evento- Minacce [FERMA, Standard di Risk Management 2002, pag.8]
Tabella 2.8 - Probabilità dell'evento – Opportunità [FERMA, Standard di Risk Management 2002, pag.9]
Alcune delle più importanti metodologie per l’analisi del rischio sono indagini di mercato,
prospezioni, test marketing, analisi delle minacce, analisi ad albero dei guasti, analisi
FMEA (analisi dei modi e degli effetti dei guasti), modelli di interdipendenza, analisi
CAPITOLO 2
54
SWOT, analisi ad albero degli eventi e analisi PESTLE (politica, economica, sociale,
tecnica, legale e ambientale).
Le fasi precedenti associano un voto di significatività ad ogni rischio, generando un profilo
di rischio (risk profile) utile per assegnare delle priorità di trattamento.
Ciascuno dei rischi identificati viene quindi classificato con lo scopo di determinarne
l’importanza relativa. Tutto ciò consente la mappatura del rischio nell’area interessata e
l’individuazione delle responsabilità, che garantisce la verifica della “proprietà” del rischio
e lo stanziamento di risorse adeguate per la sua gestione.
4.2.2. Valutazione del rischio
Una volta completato il processo di analisi sarà necessario confrontare i rischi stimati e i
criteri di rischio stabiliti dall’organizzazione quali ad esempio costi e benefici associati,
requisiti legali, fattori socioeconomici ed ambientali, questioni riguardanti gli stakeholder,
ecc, per definirne rilevanza e accettabilità (risk evaluation).
4.2.3. Trattamento del rischio
Identificati quindi quei rischi che richiedono attenzione da parte dell’organizzazione e le
priorità in base al beneficio potenziale, il processo di trattamento (risk treatment) ha lo
scopo di controllarli e mitigarli e comprendere se sia necessario eliminarli, trasferirli o
finanziarli (per esempio attraverso un’assicurazione), per garantire il funzionamento
efficace ed efficiente dell’intera organizzazione.
La convenienza di un controllo interno dovrà dipendere ovviamente dal rapporto tra i costi
di implementazione e i benefici attesi dalla riduzione del rischio in termini di effetti
economici potenziali. La strategia di effettuare tale controllo dovrà essere poi confrontata
con quella di assenza di iniziative.
Fondamentale in questa fase è la conformità dei sistemi di controllo alle leggi e ai
regolamenti esistenti.
4.2.4. Reporting e comunicazione del rischio
Il reporting avviene secondo due diverse modalità:
1) il reporting interno, che fa riferimento alla necessità di fornire informazioni differenti a
differenti livelli dell’organizzazione, quali:
CAPITOLO 2
55
Consiglio di Amministrazione. Questa istituzione deve poter conoscere i rischi più
significativi e i possibili effetti sul valore dell’organizzazione, sapere in quale
modo si intende affrontare le crisi ed essere certa che il processo di risk
management sia efficace e infine, consapevole dell’importanza della fiducia degli
stakeholders, sapere gestire le comunicazioni;
Unità operative che devono avere un’idea chiara dei rischi all’interno della loro
area responsabilità e delle possibili conseguenze che questi possono avere, valutare
con attenzione gli indicatori al fine di poter monitorare le attività chiave
dell’organizzazione e sviluppare un sistema di comunicazione che permetta uno
scambio efficiente di informazioni;
Singoli individui che devono comprendere le loro responsabilità nei singoli rischi
al fine di migliorare i risultati di risk management e comprenderne l’importanza
all’interno della cultura dell’organizzazione.
2) il reporting esterno, che fa riferimento alla necessità di informare regolarmente gli
stakeholders, i quali richiedono prove di una gestione efficace delle attività.
Il risultato di questo processo sarà un reporting ufficiale, messo a disposizione degli
stakeholders, e dovrà indicare le diverse metodologie di controllo applicate, i processi
utilizzati per identificare i rischi e le modalità in cui vengono affrontati, i sistemi primari di
controllo e revisione esistenti.
4.3. Controllo e revisione del processo di risk management
Un’efficace ed efficiente gestione del rischio richiede quindi una struttura di reporting e di
revisione che assicuri l’identificazione e la valutazione dei rischi e l’esistenza di controlli e
risposte appropriate. Questa revisione deve essere attuata attraverso controlli regolari di
conformità, agli standard aziendali e alla politica aziendale, e attraverso un monitoraggio
continuo delle attività e delle procedure, data la natura mutevole dell’organizzazione e del
sistema in cui essa opera.
Lo scopo ultimo sarà quindi quello di stabilire se le procedure adottate e le informazioni
raccolte per intraprendere la verifica erano adeguate, se le misure implementate hanno
prodotto i risultati attesi e se conoscenze maggiori avrebbero contribuito a far prendere
decisioni migliori e a trarre insegnamenti utili per future gestioni dei rischi.
CAPITOLO 2
56
4.4. La struttura e l’amministrazione di risk management
Il processo di risk management “fa parte di un insieme integrato di strumenti e tecniche da
utilizzare nelle sue varie fasi” (FERMA, 2002). Affinché dunque sia efficace esso richiede
l’impegno e l’attenzione del direttore generale e dei managers dell’organizzazione, una
chiara assegnazione delle responsabilità e una adeguata allocazione delle risorse, per lo
sviluppo di una maggiore consapevolezza del rischio a tutti i livelli decisionali.
Sono diverse quindi le strutture che il processo di risk management coinvolge.
È importante inoltre sottolineare che, al di là delle singole funzioni, ciascuna risorsa
all’interno dell’organizzazione deve conoscere con chiarezza il suo ruolo di coordinamento
della politica e della strategia di risk management.
4.4.1. Il consiglio
Il consiglio ha il compito di individuare e definire gli obiettivi strategici dell’organizzazione
e di creare un ambiente e delle strutture che permettano l’implementazione e il corretto
funzionamento del sistema di gestione del rischio.
Per queste ragioni sarà necessario istituire un gruppo esecutivo, o un comitato non
esecutivo, o in collegio di revisori o un’altra funzione analoga, con il ruolo di “garante” del
risk management. Questo organo deve valutare con attenzione:
la natura e l’estensione dei rischi;
le probabilità che questi si verifichino;
le modalità di gestione;
la capacità della società di minimizzare le probabilità e l’impatto sulle attività;
i costi e i benefici associati al rischi e all’attività di controllo;
l’efficacia del processo di risk management;
le implicazioni delle sue decisioni sul rischi d’impresa.
4.4.2. Le unità operative
Le unità operative hanno una responsabilità primaria nella quotidiana gestione del rischio.
Esse, infatti, hanno il compito di promuovere la consapevolezza del rischio e favorire
discussioni riguardanti il risk management, per consentire l’esame continuo
dell’esposizione al rischio e la modifica delle priorità, non solo nella fase concettuale di
definizione dei progetti, ma anche in quelle successive.
CAPITOLO 2
57
4.4.3. La funzione di risk management
La funzione di risk management, a seconda delle dimensioni dell’organizzazione, può
essere svolta da un singolo responsabile, da un risk manager part-time o da un intero reparto
dedicato. L’esercizio di questa funzione prevede:
di determinare una politica e una strategia di gestione del rischio e di creare strutture
interne atte a supportarle;
di progettare, implementare e revisionare i processi di risposta al rischio, grazie al
supporto di report destinati al consiglio e agli stakeholders;
di sviluppare una cultura consapevole del rischio a tutti i livelli decisionali, mediante
un’adeguata formazione delle risorse.
4.4.4. L’audit interno
Il ruolo dell’audit interno, come funzione indipendente, varia a seconda dell’organizzazione
e può quindi comprendere una parte o la totalità dei seguenti compiti:
sostenere la funzione di risk management nelle fasi di identificazione e verifica del
rischio;
concentrarsi sui rischi più significativi e verificare i processi di gestione del rischio;
favorire la cultura di risk management e coordinare il reporting sul rischio a tutti i
livelli dell’impresa.
5. AZ/NZS 4360:2004
5.1. Introduzione
Lo standard AS/NZS 4360:2004 - Risk Management è una revisione dello standard
AS/NZS 4360:1999 - Risk management ed è stato pubblicato dalla Joint Standards
Australia / Standards New Zeland Committee OB-007 - Risk Management.
Alcuni cambiamenti rispetto alla versione del 1999 includono:
una particolare enfasi sull'importanza di radicare la disciplina del risk management
nei processi e nella cultura dell'impresa;
l'enfasi sulla gestione non solo dei profitti, ma anche delle perdite.
CAPITOLO 2
58
In aggiunta a questo è stata pubblicata una guida, intitolata Risk Management Guidelines -
Companion to AS/NZS 4360:2004, che contiene principi specifici per l'implementazione di
questo Standard.
Questi due testi, insieme, costituiscono una guida generale per la gestione del rischio e
possono essere applicati ad una grande varietà di organizzazioni e ad ogni stadio del ciclo di
vita di un'attività, di una funzione, di un progetto o di un prodotto.
Al loro interno vengono specificati soprattutto gli elementi che compongono il processo di
risk management, delineando tuttavia un framework molto generico per permettere alle
diverse organizzazioni di implementarlo secondo le proprie necessità, i propri obiettivi,
prodotti e servizi, i propri processi e le pratiche specifiche.
L'obiettivo di questo Standard è quello di:
facilitare l'identificazione di opportunità e di minacce;
trarre profitto dalle situazioni incerte e variabili,
implementare un approccio proattivo, piuttosto che reattivo;
migliorare l'allocazione delle risorse;
migliorare la corporate governance e la compliance alle normative;
creare un rapporto di fiducia e di collaborazione con gli stakeholders;
promuovere la realizzazione di un processo di risk management che contribuisca a
supportare la corporate governance e che sia in grado di assicurare agli stakeholders
e ai managers il raggiungimento degli obiettivi con un livello di rischio accettabile.
5.2. Il processo di risk management
Le fasi principali del processo di risk management sono illustrate nelle figure seguenti.
CAPITOLO 2
59
Figura 2.12- Risk Management Process [AS/NZS 4360:2004, pag.15]
CAPITOLO 2
60
Figura 2.13 - Processo di risk management in dettaglio [AS/NZS 4360:2004, pag.17]
CAPITOLO 2
61
5.2.1. Communicate and consult
La fase di communicate and consult prevede il coinvolgimento e la consultazione di tutti
gli stakeholders, sia interni che esterni all'impresa.
Il loro punto di vista infatti può impattare significativamente sulle decisioni prese e la loro
percezione del rischio deve quindi essere integrata nel processo decisionale.
Solitamente un'assemblea consultiva è lo strumento più adatto per definire in modo
appropriato il contesto in cui si opera, evidenziare eventuali rischi, riunire insieme per un
confronto differenti aree di competenza e considerare le diverse modalità di gestione e
trattamento di questi.
Per migliorare questo processo, infatti, è necessario considerare tutte le diverse prospettive
e assicurarsi che ciascuno abbia perfettamente compreso il proprio ruolo e le proprie
responsabilità.
Il concetto di risk communication viene definito “as an interactive process of exchange of
information and opinion, involving multiple messages about the nature of risk and risk
management” (AS/NZS 4360, 2004).
Due sono i principali modelli di comunicazione proposti:
comunicazione one-way finalizzata alla semplice circolazione di informazioni (report
annuali, newsletter, meeting);
comunicazione two-way che mira invece a favorire la condivisione di prospettive,
opinioni e posizioni tra tutte le parti interessate.
La risk communication è un elemento essenziale all’interno di qualsiasi organizzazione e
soprattutto all’interno del processo di risk management poiché facilita la comprensione
della dimensione positiva e negativa del rischio, portando alla luce questo stesso processo e
sottolineandone l’importanza.
La condivisione di informazioni e di prospettive e la creazione di opportunità di dialogo,
non solo all’interno dell’organizzazione stessa, ma anche all’esterno, facilita
l’individuazione di aree critiche e porta alla nascita di una associazione, fondata su interessi
comuni, le cui relazioni si fondano sulla fiducia.
Tuttavia questa fase è tutt’altro che semplice.
Il primo passo consiste nell’identificare i diversi stakeholders, ossia ”who may affect, be
affected by, or perceive themselves to be affected by the organization or the risk
management process” (AS/NZS 4360, 2004).
CAPITOLO 2
62
Il secondo consiste nella realizzazione di un communication and consultation plan, ossia un
documento formale o una checklist, che includa:
a) gli obiettive della comunicazione;
b) i partecipanti a questo piano (stakeholders, specialisti, communication team);
c) le diverse prospettive da tenere in considerazione;
d) i metodi di comunicazioni e il processo di valutazione utilizzato.
5.2.2. Establish the context
Definire il contesto significa individuare quei confini entro i quali gestire i rischi e
comprendere, quindi, il background dell’organizzazione, le finalità delle attività e la
struttura più appropriata di risk management.
L’obiettivo ultimo è quello di fornire un quadro chiaro di tutti i fattori che possono
influenzare un’organizzazione e la sua capacità di raggiungere gli scopi prefissati.
L’output di questa fase sarà una dichiarazione concisa degli obiettivi organizzativi e dei
criteri specifici per la valutazione dei rischi, degli obiettivi della gestione del rischio, degli
attori coinvolti all’interno del processo di risk management e un insieme di elementi
fondamentali per la strutturazione dell’attività successiva di identificazione del rischio.
5.2.2.1. Establish the external and internal context
La definizione del contesto esterno include l’ambiente sociale, culturale, competitivo,
finanziario, politico e legale in cui l’organizzazione opera, i punti di forza, di debolezza, le
opportunità e le minacce e gli stakeholders esterni.
Definire il contesto esterno significa comprendere la struttura e i processi che danno vita ad
un’organizzazione complessa come insieme di cultura, strutture, processi, risorse e obiettivi.
Questa fase appare essere la più critica in quanto, proprio perché le attività di risk
management devono essere integrate con l’organizzazione stessa, il fallimento
nell’individuazione di un chiaro quadro del contesto interno, degli obiettivi e delle strategie,
potrebbe portare allo sviluppo di un processo inefficiente ed inefficace.
Il primo step consiste quindi nell’identificare gli obiettivi dell’organizzazione e l’ambiente
all’interno del quale dovranno essere perseguiti.
Il secondo consisterà nell’individuare i confini delle attività di risk management e il legame
tra la strategia aziendale e gli obiettivi di business.
CAPITOLO 2
63
Fondamentale sarà in questa fase il supporto di documenti quali piani strategici, di business,
budgets, reports annuali e analisi economiche e strategiche, come l’analisi SWOT, e
soprattutto regolamenti legislativi.
La stakeholders analysis è una fase fondamentale e non deve mai essere sottovalutata.
Questa grande categoria include infatti una grandissima moltitudine di attori, quali ad
esempio il Consiglio di Amministrazione e i soci di maggioranza, i dirigenti e i responsabili
delle unità organizzative, il personale e le istituzioni sindacali, i legislatori e i regolatori, i
clienti, le istituzioni finanziarie, gli appaltatori e i fornitori.
L’output generato è un completo profilo di tutti gli stakeholders, che faciliti la
comprensione delle loro esigenze e prospettive.
5.2.2.2. Establish the risk management context
Si tratta dunque di individuare quali parti dell’organizzazione saranno coinvolte nel
processo di risk management. Per questo sarà necessario individuarne confini e limiti,
valutando quali attività di progetto e quali funzioni includere, quali ruoli e responsabilità
coinvolgere e le interrelazioni tra le attività, i progetti e l’organizzazione stessa.
5.2.2.3. Develop risk criteria
Lo scopo di questa fase è invece quello di determinare dei criteri in base ai quali misurare il
rischio. Esso infatti potrà essere valutato secondo criteri operativi, tecnici, finanziari, legali,
sociali, ambientali, che dovrebbero riflettere il contesto sopra definito e che spesso
dipendono da politiche e obiettivi interni all’organizzazione, da interessi e percezioni degli
stakeholders e da regolamenti e leggi esterne.
I criteri in base ai quali viene valutato il livello di rischio avranno un ruolo fondamentale
nella definizione dei metodi da utilizzare per l'analisi del rischio. Ed è per questo che
devono essere individuati fin dall'inizio.
Non è indispensabile valutare a questo punto tutti gli aspetti dei criteri definiti, ma solo i più
critici in quanto possono essere influenzati dalle percezioni degli stakeholder e da
disposizioni di legge o regolamenti.
Tali misure critiche di performance forniranno perciò dei criteri in base ai quali, grazie
all’utilizzo di scale specifiche, valutare il rischio nelle fasi successive.
La gamma può essere ampia. Esempi riguardanti le fasi iniziali di pianificazione di un
progetto e un piano di business vengono riportati nelle tabelle seguenti.
CAPITOLO 2
64
Tabella 2.9 - Criteri per lo sviluppo di un progetto [AS/NZS 4360:2004, pag.34]
CAPITOLO 2
65
Tabella 2.10 - Criteri per lo sviluppo di un piano di business [AS/NZS 4360:2004, pag.35]
5.2.2.4. Define the structure
Si tratta ora di evidenziare e suddividere le attività, i processi, i progetti in una serie di
elementi al fine di fornire un framework logico, che aiuti a garantire che i rischi significativi
non vengano trascurati.
Lo scopo è quindi quello di individuare tutti gli elementi chiave e le questioni di interesse
per l'organizzazione e le altre parti interessate e stabilire delle priorità. La scelta della
struttura più appropriata dipenderà dalla natura dei rischi e dalla portata del progetto,
processo o attività e porterà a non tralasciare elementi significativi che potrebbero causare
conseguenze potenzialmente gravi.
CAPITOLO 2
66
5.2.3. Risk identification
La fase di risk identification consiste nell’identificazione di tutti i rischi che possono essere
posti o meno sotto il controllo dell’organizzazione e che saranno oggetto di successive
analisi e valutazioni.
Lo scopo è quello di costruire una lista delle fonti rischio e degli eventi che potrebbero
avere conseguenze significative sul business e sul perseguimento degli obiettivi sopra
definiti. Fondamentale sarà indentificarne le cause e individuare i possibili scenari.
Il processo di identificazione richiede di rispondere ad alcune domande:
a) qual è la fonte di ogni rischio?
b) cosa potrebbe accadere che potrebbe:
i. aumentare o diminuire l’effettivo raggiungimento degli obiettivi?
ii. realizzare il conseguimento più o meno efficiente degli obiettivi?
iii. fare sì che le parti interessate intraprendano azioni che possano influenzare
il raggiungimento degli obiettivi?
iv. produrre benefici aggiuntivi?
c) quale sarebbe l’effetto sugli obiettivi definiti?
d) quando, dove, perché e come sono questi rischi?
e) chi potrebbe esserne coinvolto o influenzato?
f) quali controlli sono attualmente effettuati su questi rischi?
Per garantire l’efficacia di questa fase, di fondamentale importanza sarà reperire
informazioni di alta qualità. Le principali fonti di tali informazioni possono essere
esperienze, valutazioni di esperti, interviste strutturate, interviste e questionari, liste di
controllo, documenti storici e database.
È essenziale che le persone siano sempre informate e coinvolte in questo processo per
garantire l’individuazione del maggior numero di rischi.
L'approccio utilizzato per l'identificazione rischio dipende tuttavia dal contesto in cui è
applicato.
5.2.4. Risk analysis
Lo scopo della risk analysis quello di fornire una maggiore comprensione del rischio. Essa
costituisce l’input per decidere quali siano le più appropriate e convenienti strategie di risk
treatment.
CAPITOLO 2
67
Questa analisi comporta la considerazione delle fonti di rischio, delle conseguenze positive
o negative e delle probabilità che queste si verifichino.
Un'analisi preliminare può essere effettuata in modo che rischi simili siano combinati, o
rischi di basso impatto siano esclusi dallo studio dettagliato.
5.2.4.1. Evaluate existing controls
Il primo passo consiste nell’identificare i processi, le procedure o gli strumenti esistenti, che
agiscono per minimizzare i rischi negativi o massimizzare rischi positivi, e valutare i loro
punti di forza e di debolezza.
5.2.4.2. Determine consequences and likelihood
Il secondo step consiste nel valutare l’entità delle conseguenze che un determinato evento
potrebbe avere sull’intera organizzazione e le probabilità che queste si verifichino per
misurare l’efficacia delle strategie e dei controlli esistenti.
Un evento può avere più conseguenze e impattare su diversi obiettivi.
Conseguenze e probabilità sono combinati per produrre un determinato livello di rischio,
che può essere stimato grazie all’utilizzo di tecniche statistiche. Qualora non vi siano dati
storici attendibili o rilevanti è possibile fare affidamento su stime soggettive che riflettono
la prospettiva di un singolo o di un gruppo.
L’analisi del rischio deve procedere attraverso diversi livelli di dettaglio a seconda del tipo
di rischio individuato, dello scopo dell’analisi e delle informazioni disponibili. Mentre a
livello strategico infatti sarà necessario individuare ampie categorie di rischi, a livello
operativo la priorità sarà evidenziare rischi specifici che minacciando il raggiungimento
degli obiettivi.
Le tecniche utilizzate saranno di tipo qualitativo, semi-quantitativo e qualitativo a seconda
dei rischi e delle variabili da considerare.
5.2.4.3. Determine level of risk
Il modo in cui verrà descritto il livello di rischio dipenderà quindi dal tipo di analisi
effettuata e dalla combinazione delle due variabili. Per questa ragione si avrà una
descrizione qualitativa qualora sia stato utilizzato un approccio di questo tipo, come
evidenziato nella seguente tabella.
CAPITOLO 2
68
Tabella 2.11 - Matrici per determinare il livello di rischio [AS/NZS 4360:2004, pag.54-55]
Le categorie sviluppate possono essere collegate con il livello di gestione più appropriato.
Per esempio:
(a) categoria alto rischio o molto alto: riferimento al senior management esecutivo per la
definizione di piani d'azione e la gestione delle responsabilità;
(b) categoria medio: risposta tramite il monitoraggio continuo e procedure specifiche;
(c) categoria Basso rischio: gestita con procedure di routine.
Molti eventi possono però verificarsi in molteplici modi, con una gamma estesa di risultati.
Solitamente, si individua un range di rischi, compresi tra quello a impatto minor, ma con
una maggiore provabilità di accadimento, e quello a impatto maggiore, ma con minori
probabilità, evidenziando eventuali outlier.
CAPITOLO 2
69
Figura 2.12 - Range di rischi [AS/NZS 4360:2004, pag.56]
I rischi sono inoltre caratterizzati da incertezza, pertanto grande attenzione dovrà essere data
ai dati utilizzati per eseguire l’analisi. Spesso una disponibilità maggiore di informazioni
può aiutare a ridurre l’incertezza, tuttavia è importante trovare un equilibrio tra lo sforzo
richiesto per ottenere tali informazioni e il loro valore per il processo decisionale.
Qualora queste non siano disponibili sarà fondamentale per il decisore stimarne il grado di
incertezza e l’effetto sull’analisi.
Tuttavia non solo i rischi negativi dovranno essere oggetto di analisi, ma anche quelli
positivi che andranno valutati come opportunità.
Come specificato in precedenza, le diverse categorie di opportunità evidenziate potranno
essere collegate con il livello di gestione più appropriato:
(A) molto alta: pianificazione dettagliata ad alti livelli per preparare e catturare l'occasione;
(B) Alta opportunità: attenzione a livello esecutivo;
(C) Media opportunità: gestita dal monitoraggio specifico o da procedure definite;
(D) basso/possibile: procedure di routine, improbabile bisogno di una specifica applicazione
delle risorse.
CAPITOLO 2
70
Tabella 2.13 – Opportunità [AS/NZS 4360:2004, pag.59]
Per quanto riguarda i metodi di analisi è possibile proporne un ampio elenco, che include
interviste e questionari strutturati, analisi delle conseguenze, analisi statistica dei dati
storici, albero dei guasti e analisi ad albero degli eventi, analisi delle probabilità, test
marketing e ricerche di mercato.
5.2.5. Risk evaluation
L’obiettivo della fase di valutazione è quello di prendere decisioni riguardanti la necessità
di definire opportune misure di trattamento dei rischi e stabilire le loro priorità, attraverso la
comparazione tra il livello di rischio rilevato durante la fase di analisi e i criteri
precedentemente definiti.
L’assegnazione di precise priorità e delle diverse modalità di azione è fondamentale per
garantire l’efficacia del processo e può essere supportata dall’utilizzo di matrici, come
evidenziato nella figura seguente.
CAPITOLO 2
71
Tabella 2.14 - Matrice di assegnazione delle priorità [AS/NZS 4360:2004, pag.65]
L’approccio più semplice per catalogare i diversi rischi e associare loro una giusta priorità è
il metodo ALARP10, illustrato nella figura 2.15.
Figura 2.15 - Modello ALARP [AS/NZS 4360:2004, pag.66]
10 “As Low As Reasonably Practicable”
CAPITOLO 2
72
Il primo passo consiste nel suddividere i rischi in tre gruppi e valutare la loro collocazione
in modo oggettivo:
1) rischi intollerabili, che necessitano assolutamente di misure di riduzione sebbene i
costi di tale intervento superino di gran lunga i benefici;
2) rischi tollerabili, di cui bisogna attentamente valutare costi e benefici;
3) rischi accettabili, che non richiedono alcun trattamento.
I criteri, secondo i quali decidere se un rischio debba essere trattato o meno, sono spesso
individuati grazie al confronto con esperienze o eventi passati.
Tuttavia i dati disponibili possono essere distorti da:
grandi incidenti, catastrofi inattese che dominano il set di dati;
un livello decrescente di rischio, causato da maggiori controlli;
una variazione delle attività o delle circostanze.
Impostare quindi questi criteri di valutazione partendo da stime di rischio storiche introduce
non pochi problemi, come ad esempio considerare accettabile un rischio accettato in
passato, ma che ora non lo è più, e spinge sempre di più ad aggiornare i criteri di
valutazione sulla base di circostanza attuali.
5.2.6. Risk treatment
La fase di trattamento ha l’obiettivo di valutare e identificare un range abbastanza ampio di
opzioni per la gestione di quei rischi individuati nella fase di risk evaluation
Tuttavia, affinché le misure prese siano appropriate ed efficaci, si rende necessario
revisionare ed approfondire le analisi precedentemente effettuate e comprendere le cause di
ciascun rischio.
Questo processo può essere rappresentato in modo chiaro dal seguente schema.
CAPITOLO 2
73
Figura 2.16 - Il Processo di trattamento dei rischi [AS/NZS 4360:2004, pag.73]
5.2.6.1. Identify options
Il primo passo consiste nell’identificare le diverse alternative a disposizione, spesso
revisionando quelle già esistenti, qualora siano disponibili.
Un’opzione consiste nell’evitare interamente il rischio, eliminandolo del tutto, decidendo di
non procedere con o interrompere un'attività. Questo rimuoverà le possibilità di eventuali
danni, ma potrebbe comportare anche il mancato sfruttamento di opportunità.
Le altre alternative di gestione solitamente comportano la modifica della probabilità che
l’evento si verifichi o delle sue conseguenze, o di entrambi, come illustrato in figura 2.17.
Figura 2.17 - Schema per l'individuazione di cause e conseguenze nel trattamento dei rischi
[AS/NZS 4360:2004, pag.74]
Il processo di risk treatment include la comprensione non solo delle cause immediate di un
determinato evento, ma anche e soprattutto dei fattori sottostanti, che potrebbero
notevolmente influenzare l’efficacia del trattamento proposto. Questi fattori sono chiamati
CAPITOLO 2
74
root cause e possono includere aspetti di una cultura organizzativa come processi, pratiche
o paradigmi radicati che hanno bisogno di essere modificati per garantire il successo della
gestione del rischio.
Fonti di rischio possono essere trattate attraverso meccanismi di rimozione, riduzione o
valorizzazione, a seconda che l'esito sia positivo o negativo.
Nel caso in cui ci si trovi di fronte a eventi esterni, non controllabili, la soluzione ottimale
sarà ridurre la vulnerabilità dell’organizzazione.
Qualora invece siano generati internamente, potranno essere prevenuti o incoraggiati,
modificandone le probabilità di accadimento (pre-event consequences).
In alcune situazioni, infatti, può risultare possibile ridurre l’esposizione ad un rischio
negativo grazie a meccanismi di rilevazione e di allarme che aumentano le possibilità di
azione.
L'analisi in questo caso ha lo scopo di comprendere le potenziali opportunità e i fattori che
amplificano le probabilità di raggiungere i propri obiettivi.
Le conseguenze possono anche essere modificate attraverso la pianificazione di azioni post-
evento (post-event treatment), quali piani di emergenza (progettati per le opportunità così
come per le perdite), piani di business continuity, o attraverso assicurazioni e strumenti
finanziari.
Affinché tutto questo sia possibile, l’organizzazione deve potere agire rapidamente per
approfittare dei guadagni inattesi o prevenire e contenere le perdite. Ciò richiede che i
principi di gestione del rischio siano ben presenti all’interno dell’organizzazione e, qualora
determinati eventi non possano essere gestiti dai normali processi di gestione, sia
implementato un approccio sistematico alla gestione degli incidenti critici.
CAPITOLO 2
75
Figura 2.18 - Processo di gestione degli eventi critici [AS/NZS 4360:2004, pag.76]
Al centro della gestione di eventi critici c’è il Business Continuity Management (BCM), che
fornisce all’organizzazione un framework per ridurre l’esposizione ai rischi in modo
efficace, efficiente e tempestivo.
5.2.6.2. Evalutate options
In generale, verrà selezionata una combinazione di opzioni di trattamento rispetto alle
alternative individuate. Queste dovranno ovviamente essere compatibili con gli obiettivi
generali dell’organizzazione e con i criteri di valutazione del rischio.
Lo Standard AS/NZS 4360:2004 propone 5 steps da seguire:
1) revisione delle cause e dei controlli: comporta una revisione dell’analisi dei rischi,
assicurando una piena comprensione dei fattori e delle misure di trattamento
esistenti;
2) obiettivi di gestione: l’obiettivo principale è quello di portare la gestione del rischio
ad un livello tale per cui il beneficio superi il costo totale. Gli obiettivi individuati
dovranno includere:
a. le fonti di rischio e i rischi stessi;
CAPITOLO 2
76
b. i meccanismi di gestione ottimali;
c. il livello di prestazioni richiesto in termini di efficacia, affidabilità e
disponibilità;
3) design dei meccanismi di gestione: il progetto dettagliato dei trattamenti dovrebbe
prendere in considerazione la loro praticità e manutenibilità. Molti dei rischi cui
l’organizzazione deve far fronte, infatti, possono essere modificati e mitigati
attraverso una diagnosi precoce. La chiave per la progettazione di un controllo
efficace è quella di coinvolgere nel processo tutte le parti interessate e, dove
possibile, progettare le misure all’interno delle normali attività e procedure
aziendali;
4) revisione: l’esame di controllo delle misure attuate si propone di verificare:
a. che siano soddisfatti gli obiettivi di gestione;
b. che il progetto attuato sia realistico;
c. che il livello di controllo sia accettabile;
d. che le misure proposte non introducano nuovi rischi;
5) comunicazione e implementazione: per garantire il successo e l’efficacia del
processo è necessaria una comprensione piena e profonda di tutti i meccanismi di
trattamento implementanti. A tale scopo, un piano di comunicazione deve essere
parte integrante di questo processo.
5.2.6.3. Selectiong options for treatment
Nella fase di selezione delle opzioni di trattamento devono essere valutate alcune questioni
fondamentali riassunte nella tabella seguente.
CAPITOLO 2
77
Tabella 2.14 - Fattori decisionali da valutare [AS/NZS 4360:2004, pag.82]
Le decisioni prese dovranno tenere però conto dell’analisi di trade off costi/benefici che
metterà in evidenza l’opportunità di sviluppare soluzioni soddisfacenti, ma non ottimali,
soluzioni convenienti o normalmente accettate e soluzioni best.
CAPITOLO 2
78
Figura 2.19 - Trade-off tra livello di rischio e costi di riduzione [AS/NZS 4360:2004, pag.83]
L’analisi costi-benefici (CBA) fornisce un confronto oggettivo tra i costi e i benefici
derivanti dalla scelta di trattare o meno un rischio. Può essere condotta in modo puramente
quantitativa, anche se, nella maggior parte dei casi, è importante tenere conto dei costi e dei
benefici meno tangibili e non quantificabili effettuando un’analisi qualitativa.
Il processo da seguire in questo ultimo caso è quello di:
a) elencare tutti i tipi di costi e benefici;
b) suddividere i costi e benefici in hard e soft;
c) valutarli quantitativamente;
d) presentare i risultati.
Se vi è notevole avversione o preferenza nei confronti di alcuni costi o benefici, allora
questo dovrà essere chiarito nella presentazione dei risultati al decisore.
Quando vi è incertezza circa le spese da sostenere o i vantaggi da ottenere, inoltre, i valori
utilizzati possono essere ponderati tenendo in considerazione la probabilità di accadimento
dell’evento, e, qualora i costi o i benefici non risultino attuali, sarà necessario attualizzarli.
Tra le soluzioni più adottate vi è quella del risk sharing che comporta la condivisione di
alcuni o di tutti i rischi, di solito tramite un contratto. Le più comuni forme di condivisione
dei rischi sono il sub-appalto, l’outsourcing e le assicurazioni.
I contratti sono accordi tra le parti per lo svolgimento di azioni specifiche o funzioni, in
cambio di una retribuzione concordata. Sono destinati spesso al trasferimento o alla
condivisione dei rischi e, data la loro natura incerta, sono anch’essi oggetto di un’analisi
costi/benefici in quanto portatori di ulteriori rischi.
CAPITOLO 2
79
Poche organizzazioni hanno adeguate risorse finanziarie interne in grado di coprire il costo
di gravi perdite. L'assicurazione è un mezzo per finanziare tali perdite in cambio del
pagamento di un premio.
Non tutti i rischi però sono assicurabili, come ad esempio danni all’immagine o alla
reputazione, ed è per questo che devono essere valutate con attenzione tutte le diverse
possibili soluzioni di gestione.
5.2.6.4. Preparing risk treatment plan
Una volta selezionate le opzioni di trattamento, esse dovrebbero essere riassunte in un risk
treatment plan, al fine di confrontare le diverse soluzioni, individuare ed eliminare
eventuali conflitti e ridondanze.
In particolare, un piano di gestione dei rischi dovrebbe:
identificare le responsabilità, la tempistica, i risultati attesi di ciascuna soluzione
applicata, tramite misure di performance;
includere sistemi di monitoraggio dell’efficacia dei trattamenti;
documentare come, in pratica , le opzioni scelte saranno implementate;
includere la valutazione e il monitoraggio del rischio residuo.
5.2.7. Monitoring and review
Cambiamenti nel contesto ambientale e nel livello di rischio potrebbero avere conseguenze
importanti, per questo motivo un monitoraggio continuo è fondamentale per valutare la
situazione corrente e verificare che le performance attuali siano in linea con quelle attese,
data la dinamicità del processo di risk management.
Le priorità andranno date al monitoraggio di alti rischi, probabili fallimenti di strategie di
gestione, attività con alta incidenza futura di cambiamento e progresso tecnologico.
L’attività di monitoraggio dovrà essere svolta a differenti livelli come mostrato in figura.
CAPITOLO 2
80
Figura 2.20 - Livelli di monitoraggio [AS/NZS 4360:2004, pag.90]
La creazione di Performance Indicators (PIs), ossia di misure quantitative che riflettono
l’andamento degli obiettivi chiave dell’organizzazione, faciliterà inoltre il processo di
monitoraggio.
5.3. Recording the risk management process
Ciascuna fase del processo risk management dovrà essere registrata nel modo più opportuno
per diverse ragioni:
per dimostrare agli stakeholders che il processo viene condotto in modo
appropriato;
per mettere in evidenza l’approccio sistematico di analisi e identificazione del
rischio;
per facilitare la revisione delle decisioni e dei processi e la costruzione di database
relativi all’organizzazione;
per agevolare la condivisione e la comunicazione di informazioni;
per dimostrare il rispetto della regolamentazione.
CAPITOLO 2
81
Per questi motivi ciascuna fase dovrà avere una documentazione di riferimento esaustiva ed
esauriente.
Spesso una dichiarazione di conformità e di due diligence è necessaria affinché i managers
riconoscano formalmente la loro responsabilità nel rispettare le politiche di gestione del
rischio e le procedure.
Per ogni rischio individuato verrà inoltre creato un risk register, che conterrà una
descrizione del rischio, incluse cause e impatti, informazioni riguardanti l’esistenza di
controlli efficaci, la priorità, la sua valutazione (risk rating) e le modalità di gestione, data la
sua probabilità di verificarsi.
Alcuni esempi sono riportati nelle seguenti figure.
CAPITOLO 2
82
CAPITOLO 2
83
Figure 2.21, 2.22 - Esempi di risk register [AS/NZS 4360:2004, pag.99-100]
Di fondamentale importanza sarà la stesura di un risk treatment schedule e di un action plan
con informazioni rilevanti circa le azioni di trattamento prese in considerazione, le
CAPITOLO 2
84
responsabilità e le risorse allocate, il budget disponibile, la tempistica, i meccanismi e la
frequenza di revisione.
Un esempio viene riportato in figura 2.23 e 2.24.
CAPITOLO 2
85
CAPITOLO 2
86
Figure 2.23, 2.24 - Esempio di risk treatment plan [AS/NZS 4360:2004, pag.101-102]
La produzione di record per la fase di monitoraggio e verifica sarà finalizzata a
documentare dettagli del meccanismo e della frequenza del riesame dei rischi e del processo
di gestione nel suo complesso, i risultati degli audit e delle altre procedure di monitoraggio
e, infine, informazioni su come precedenti raccomandazioni di revisione siano state seguite
e attuate.
CAPITOLO 2
87
È utile, inoltre, sviluppare un database di incidenti che consenta il rilevamento di modelli o
l’analisi di sequenze causali che possono fornire degli input per la progettazione o la
valutazione delle misure di controllo e che identifichino automaticamente insiemi di dati di
interesse e li comunichino automaticamente alle persone responsabili.
Il piano di Risk Management, infine, fornisce una visione complessiva del processo di
gestione del rischio all'interno dell'organizzazione e di come esso sia stato integrato. Questo
documento deve contenere:
a) una dichiarazione della politica di gestione del rischio dell'organizzazione;
b) una descrizione del contesto esterno ed interno in cui si opera, delle modalità di
governo societario e della vigilanza;
c) gli obiettivi della gestione del rischio e i criteri per valutare se i rischi siano
tollerabili;
d) l’allocazione delle responsabilità;
e) un elenco dei rischi identificati, la loro analisi e una sintesi dei piani per il loro
trattamento.
5.4. Establishing effective risk management
Lo scopo di questo paragrafo è quello di descrivere come sviluppare e sostenere la gestione
sistematica dei rischi in un'organizzazione in modo efficace, grazie allo sviluppo di un
piano per incorporare il risk management nei sistemi, nei processi e nelle pratiche
dell'organizzazione.
Fondamentale in questo senso è la consapevolezza e l'impegno dei livelli decisionali più
alti. L'attuazione di programmi di gestione del rischio efficaci a tutti livelli infatti, è
difficile. Il suo successo dipenderà in larga misura dal sostegno e dalla sponsorizzazione del
top manager e del team esecutivo.
Gli amministratori e dirigenti sono infatti, in ultima analisi, responsabili della gestione del
rischio nell'organizzazione, sebbene comunque tutto il personale ne sia responsabile nelle
proprie aree di controllo.
E poiché la filosofia del risk management deve penetrare all’interno della cultura stessa
dell’impresa, una leadership efficace deve essere quindi in grado di plasmare la cultura,
incoraggiando la gestione dei rischi attraverso l’allocazione efficiente delle responsabilità e
l’implementazione di sistemi di riconoscimento e ricompensa.
CAPITOLO 2
88
Le infrastrutture necessarie dovranno fornire sostegno e competenze per il personale,
acquisire le conoscenze e le competenze necessarie per gestire il rischio e integrarle nella
formazione del personale, integrare i principi di risk management nelle procedure già
esistenti, favorire la comunicazione e il dialogo in tutta l'organizzazione e programmi di
revisione interna e di valutazione delle prestazioni.
Gestire attivamente il rischio offre l’opportunità ai manager e al personale di ogni livello di
migliorare continuamente le prestazioni, fornire un approccio strutturato per il processo
decisionale, incoraggiando l'analisi di una vasta gamma di opzioni possibili, promuovere
l'identificazione di nuove opportunità e sostenere un uso più efficace, efficiente ed adeguato
delle risorse.
Lo standard AS/NZS 4360:2004 descrive un processo logico e sistematico che porterà
naturalmente al miglioramento continuo del processo di risk management di
un'organizzazione. Per questo motivo i manager dovranno segnalare costantemente
l’impegno di tutti nella gestione dei rischi come parte integrante del business dell’impresa.
6. ISO 31000:2009
6.1. Introduzione
La norma ISO 31000 del 2009 rappresenta l’evoluzione della cultura e delle pratiche, a
proposito di gestione del rischio, a partire da quelle contenute nello standard AS/NZS
4360del 2004, ed è stata redatta dalla ISO (International Organization for Standardization)
Technical Management Board Working Group on risk management.
Lo scopo è quello di mettere a disposizioni di tutti i principi e le linee guida generali sulla
gestione del rischio, tenendo conto dei punti di vista più accreditati, tanto da poter essere
utilizzata da ogni tipo di organizzazione pubblica o privata, da gruppi di persone associate
in qualsiasi forma o da singoli individui, in qualsiasi settore di attività.
Può essere infatti applicata a qualsiasi tipo di rischio, di qualsivoglia natura e con
conseguenze positive o negative, lungo tutta la vita di un’organizzazione, e ad un’ampia
gamma di attività, processi (operativi, di supporto, gestionali, strategici), funzioni, progetti,
prodotti e servizi.
Viene qui sottolineata la necessità di sviluppare, attuare e migliorare continuamente una
struttura di riferimento (framework) di risk management, il cui scopo è integrare il processo
di gestione del rischio nella governance complessiva dell’organizzazione, nella strategia e
CAPITOLO 2
89
nella pianificazione, nei processi di reporting, nelle politiche, nei valori e nella cultura, al
fine di assicurare un’efficace gestione del rischio, coerente in tutta l’organizzazione.
L’esigenza di promuovere, assistere, facilitare, coordinare, consolidare i risultati, le prassi, i
meccanismi, le strategie e gli strumenti che sostengono e alimentano il processo integrato a
tutti i livelli aziendali, viene affidata al Chief Risk Officer, come evidenziato nel seguente
diagramma delle responsabilità, che unisce a quelle del chief risk officer anche quelle della
funzione di Audit e quelle distribuite a tutti i livelli di management dell’organizzazione.
Figura 2.25 - Diagramma delle responsabilità [The Institute of Internal Auditors, The role of the Internal
Audit in Enterprise risk management, 2009]
L’implementazione di questa norma, in aggiunta alla ISO Guide 73:2009 – Vocabulary e
alla ISO/IEC 31010, Risk Management – Risk assessment techniques, garantisce alcuni
vantaggi, quali:
l’aumento della probabilità di raggiungere gli obiettivi;
l’incoraggiamento di una gestione proattiva, volta a favorire le opportunità, a
migliorare la prevenzione delle minacce e la gestione degli incidenti, per
minimizzare i danni;
il miglioramento dell’identificazione delle opportunità e delle minacce;
la promozione della consapevolezza della necessità di identificare e trattare il
rischio nell’intera organizzazione;
CAPITOLO 2
90
il miglioramento del reporting, della governance, dell’efficacia e dell’efficienza
operative, i controlli e l’assegnazione delle risorse per il trattamento dei rischi;
l’incremento la fiducia degli stakeholders;
lo sviluppo della resilienza organizzativa, intesa come capacità di sopportare le
avversità e reagire prontamente.
La ISO 31000:2009 è destinata a soddisfare le esigenze di una vasta gamma di stakeholders,
tra cui:
i responsabili dello sviluppo della politica di gestione del rischio all'interno
dell’organizzazione ;
coloro che devono assicurare che il rischio sia effettivamente gestito
dell'organizzazione nel suo complesso o all'interno di una determinata area ,
progetto o attività ;
coloro che hanno bisogno di valutare l'efficacia di una organizzazione nella gestione
del rischio.
Qualora sia già stato adottato un processo di questo tipo, l'organizzazione potrà decidere di
effettuare una revisione critica delle pratiche e dei processi esistenti alla luce della presente
norma internazionale. Affinché la gestione del rischio sia efficace, è necessario conformarsi
ad alcuni principi, quali:
a) risk management creates and protects value, in quanto contribuisce al
raggiungimento degli obiettivi e al miglioramento delle performance;
b) risk management is an integral part of all organizational processes;
c) risk management is part of decision making, poiché contribuisce ad associare una
priorità alle azioni e a distinguere tra le diverse opportunità di scelta;
d) risk management explicitly addresses uncertainty, tenendo conto della sua natura e
di come sia possibile affrontarla;
e) risk management is systematic, structured and timely, in quanto un approccio
strutturato, sistemico e puntuale contribuisce all’efficienza e all’ottenimento di
risultati coerenti, comparabili ed affidabili;
f) risk management is based on the best available information, tenendo conto di
eventuali limitazioni dei dati o dei modelli utilizzati;
g) risk management is tailored, allineata con il contesto e il profilo di rischio propri
dell’organizzazione;
CAPITOLO 2
91
h) risk management takes human and cultural factors into account, riconoscendo che
le capacità e per percezioni delle persone possono influenzare in maniera
significativa il raggiungimento degli obiettivi;
i) risk management is transparent and inclusive, poiché prevede il coinvolgimento di
tutte le parti interessati, a tutti I livelli dell’organizzazione;
j) risk management is dynamic, iterative and responsive to change, qualora si
verifichino cambiamenti nel contesto interno o esterno, o emergano nuovi rischi;
k) risk management facilitates continual improvement of the organization.
CAPITOLO 2
92
Figura 2.26 - The relationship between the risk management principles, framework and process [ISO
31000:2009, vii]
CAPITOLO 2
93
6.2. Framework
Il successo della gestione del rischio dipenderà in gran parte dall’efficacia del quadro di
gestione (framework) e dal suo livello di integrazione con l’intera organizzazione.
La figura seguente illustra come le componenti principali del framework siano in relazione
sequenziale tra loro, sottolineando l’importanza dell’applicazione del ciclo PDCA11 (Plan,
Do, Check, Act), che sta alla base del miglioramento continuo di qualsiasi processo.
Figura 2.27 - The relationship between the components of the framework for managing risk [ISO
31000:2009, pag.9]
6.2.1. Mandate and commitment
La norma sottolinea come un forte e continuo impegno da parte di tutta l’organizzazione sia
fondamentale per realizzare un’efficace gestione del rischio. A tal fine il management dovrà
garantire che la cultura, gli obiettivi dell’organizzazione, la politica e gli obiettivi di
gestione del rischio siano allineati a tutti i livelli, definendo degli indicatori di performance
11 Il ciclo di Deming o Deming Cycle (ciclo di PDCA - plan–do–check–act) è un modello studiato per il
miglioramento continuo della qualità in un'ottica a lungo raggio. Serve per promuovere una cultura della
qualità che è tesa al miglioramento continuo dei processi e all'utilizzo ottimale delle risorse.
CAPITOLO 2
94
di risk management che siano adeguati a quelli dell’organizzazione, assicurando conformità
alle normative esistenti.
Avrà inoltre il compito di allocare le responsabilità, definire i ruoli ai livelli appropriati ed
assegnare le risorse necessarie, assicurando che il quadro di gestione del rischio continui ad
essere adeguato.
6.2.2. Design of framework for managing risk
6.2.2.1. Understanding of framework for managing risk
Prima di procedere con il design e l’attuazione del framework di risk management, è
importante comprendere quale sia il contesto interno ed esterno dell’organizzazione e
quanto effettivamente possano influenzarne la progettazione.
Ciò significa comprendere variabili quali il contesto sociale, culturale, politico, giuridico,
normativo, finanziario, tecnologico, economico, naturale, competitivo, nazionale e
internazionale, i valori e le percezioni degli stakeholders esterni ed interni, la governance, la
struttura organizzativa, i ruoli e le responsabilità, le politiche, gli obiettivi e le strategie in
atto, i sistemi informativi e la cultura dell’organizzazione.
6.2.2.2. Establishing risk management policy
La risk management policy dovrebbe indicare chiaramente la logica dell’organizzazione per
la gestione del rischio, i collegamenti con gli obiettivi e le politiche dell'organizzazione, le
responsabilità e l'impegno a rendere disponibili le risorse necessarie, le modalità di misura
delle prestazioni del processo e l’impegno a rivedere e migliorare la politica e il framework
di gestione del rischio periodicamente e in risposta a un evento o un cambiamento delle
circostanze.
6.2.2.3. Accountability
Fondamentale sarà la corretta allocazione delle responsabilità grazie all’individuazione dei
risk owner, ovvero dei proprietari del rischio, dei responsabili per lo sviluppo,
l’implementazione e la manutenzione del framework, di tutti i ruoli a tutti i livelli
dell’organizzazione per una corretta misurazione delle prestazioni e reporting del processo
di gestione dei rischi.
CAPITOLO 2
95
6.2.2.4. Integration into organizational processes
La gestione del rischio deve diventare parte integrante dei processi organizzativi, e non un
processo stand-alone. In particolare, dovrebbe essere incorporata nella politica di sviluppo,
nella pianificazione aziendale e strategica, nei processi di revisione e cambiamento.
A supporto di tale scopo dovrebbe essere sviluppato un organization-wide risk management
plan, che includa lo stanziamento delle risorse adeguate per la gestione del rischio, tenendo
conto del personale a disposizione, delle competenze e dell’esperienza richiesta, dei
processi e degli strumenti da utilizzare, delle informazioni e dei sistemi di gestione della
conoscenza necessari.
6.2.2.5. Establishing the internal and external communication and
reporting mechanism
L'organizzazione deve definire dei meccanismi di comunicazione e di reporting interno al
fine di sostenere e incoraggiare la responsabilità e la titolarità del rischi.
Deve inoltre assicurare che le eventuali modifiche al framework di gestione e le
informazioni necessarie siano comunicate in modo tempestivo e adeguato ai livelli
appropriati, e che siano stati previsti momenti di consultazione con gli stakeholders interni.
Di fondamentale importanza è il coinvolgimento degli stakeholders esterni che assicura un
efficace scambio di informazioni, soprattutto in caso di crisi o emergenza, e promuove la
costruzione di un rapporto di fiducia tra questi e l’organizzazione.
Inoltre il reporting esterno aiuta a soddisfare requisiti legali, normativi e di governance.
6.2.3. Implementing the framework and the risk management process
Nell'attuazione del framework, l'organizzazione dovrà valutare i tempi e la strategia di
implementazione, verificando la conformità ai requisiti legali e normativi e assicurarsi che il
processo decisionale, compreso lo sviluppo e la definizione di obiettivi, sia allineato con i
risultati dei processi di gestione del rischio, grazie ad una consultazione continua con tutte
le parti coinvolte. Il processo di risk management dovrebbe essere implementato attraverso
un piano di gestione del rischio per tutti i livelli e le funzioni dell’organizzazione come sue
parti integranti.
CAPITOLO 2
96
6.2.4. Monitoring and review of the framework
Al fine di garantire supporto continuo si renderà necessaria una continua misura delle
prestazioni del framework attraverso l’analisi di indicatori appropriati e la valutazione di
eventuali scostamenti, e la revisione periodica dell’intero quadro di gestione al fine di
garantirne l’efficacia e l’efficienza. Sulla base dei risultati ottenuti dovranno essere prese
decisioni riguardanti l’eventuale miglioramento del framework, delle politiche e del piano
di risk management.
6.3. Process
In linea generale il processo di risk management deve essere parte integrate del
management, incorporato nella cultura e nelle pratiche dell’organizzazione e adattato ai
processi già esistenti. La figura seguente illustra le diverse fasi che compongono questo
processo.
Figura 2.28 - Risk management process [ISO 31000:2009, pag.14]
CAPITOLO 2
97
6.3.1. Communication and consultation
La fase di comunicazione e consultazione con gli stakeholders interni ed esterni è
fondamentale ed è per questo motivo che dovrebbe interessare anche tutte le fasi successive
del processo di gestione del rischio.
Essa pone infatti l’attenzione sulla necessità di valutare le diverse percezioni dei rischi
dovute a valori, bisogni, ipotesi e conoscenze degli stakeholders, che possono avere un
impatto significativo sulle decisioni prese.
I communication and consultation plans dovrebbero affrontare questione relative al rischio
stesso, alle sue cause e conseguenze, e alle misure per gestirlo.
Una efficace comunicazione interna ed esterna dovrebbero fornire, alle parti interessate, una
chiara visione del contesto in cui si opera, degli interessi e dei punti di vista da considerare,
garantendo quindi che i rischi siano adeguatamente identificati e gestiti dalle rispettive aree
di competenza, in un’ottica di miglioramento continuo, e facilitando lo scambio di
informazioni rilevanti.
6.3.2. Establishing the external and internal context
Come sottolineato in precedenza, la fase di definizione del contesto permette
all’organizzazione di delineare i propri obiettivi e individuare quei fattori interni ed esterni
che dovranno essere considerati in maggior dettaglio per un’efficacie gestione dei rischi.
Il contesto esterno è rappresentato dall’ambiente sociale, culturale, politico, giuridico,
normativo, finanziario, tecnologico, economico, naturale e competitivo in cui
l’organizzazione si propone di raggiungere i suoi obiettivi, e include l’analisi delle
percezioni degli stakeholder esterni.
Quello interno invece include una serie di fattori, quali:
la governance, la struttura organizzativa, i ruoli e le responsabilità;
le politiche, gli obiettivi e le strategie in atto per la loro realizzazione;
la capacità, in termini di risorse e di conoscenza;
le percezioni degli stakeholders interni;
la cultura dell’organizzazione e i sistemi informativi disponibili.
6.3.2.1. Establishing the context of the risk management process
Il contesto del processo di gestione del rischio varia a seconda delle necessità di
un’organizzazione e include la definizione degli obiettivi di risk management, delle attività,
CAPITOLO 2
98
processi, funzioni, progetti, prodotti o servizi coinvolti, delle responsabilità e delle risorse
allocate e delle metodologie di valutazione del rischio adottate.
L'attenzione a questi fattori dovrebbe contribuire a garantire che l'approccio di gestione del
rischio adottato sia adatto alle circostanze, all'organizzazione e ai rischi che condizionano il
raggiungimento dei suoi obiettivi.
6.3.2.2. Defining risk criteria
L’organizzazione dovrebbe infine definire e riesaminare continuamente dei criteri da
utilizzare per valutare la significatività dei rischi, che riflettano i valori e gli obiettivi
dell’organizzazione, sebbene questi, talvolta, possano derivare da requisiti legali e
normativi imposti. Alcuni fattori da prendere in considerazione in questo caso sono:
le cause e le conseguenze di eventi verificabili e le modalità con cui saranno misurati;
il livello di rischio affinché sia considerato accettabile o tollerabile;
le combinazioni di molteplici rischi e le loro interazioni.
6.3.3. Risk Assessment
Il processo di risk assessment include le fasi di identificazione, analisi e valutazione dei
rischi, a livello organizzativo, di progetto e di singole attività e aiuta a comprendere come
massimizzare un’opportunità, a scegliere quali rischi debbano essere tenuti in
considerazione e quali siano le più appropriate strategie di trattamento, associando delle
priorità. Esso fornisce una base per le decisioni assicurando una migliore comprensione dei
rischi, che potrebbero pregiudicare il raggiungimento degli obiettivi, e dei controlli già in
atto.
6.3.3.1. Risk identification
Lo scopo di questa fase è quello di generare un elenco completo dei rischi sulla base di
quegli eventi che potrebbero creare, migliorare, prevenire, degradare, accelerare o ritardare
il raggiungimento degli obiettivi.
L’identificazione completa è un’attività critica, perché mira ad individuare le sorgenti di
rischio e le cause che possono anche non risultare evidenti.
CAPITOLO 2
99
6.3.3.2. Risk analysis
La risk analysis fornisce una comprensione più approfondita dei rischi e delle strategie più
appropriate di trattamento, attraverso l’analisi delle cause, delle fonti, delle conseguenze
positive o negative e delle probabilità che questi si verifichino ed di eventuali
interdipendenze.
I rischi devono essere qui sottoposti ad uno screening preliminare per identificare quelli più
significativi e quelli che invece non necessitano di ulteriori analisi, al fine di garantire che le
risorse siano focalizzate su quelli più importanti.
La definizione e la combinazione di conseguenze e probabilità determina, poi, il livello di
rischio, che deve essere in linea con gli obiettivi e i criteri stabiliti dall’organizzazione.
L'analisi può essere qualitativa, semi- quantitativa, quantitativa, o una combinazione di
queste, a seconda delle circostanze.
Il grado di dettaglio necessari dipenderà dalla particolare applicazione, dalla disponibilità di
dati affidabili e dalle esigenze decisionali dell’organizzazione.
Valutazioni qualitative utilizzano termini come “medio”, “alto”, “basso” per indicare gli
impatti degli eventi e le loro probabilità di accadimento, mentre analisi semi-quantitative si
avvalgono di scale di valutazione numeriche a cui però non è possibile associare valori
economici reali.
L'analisi quantitativa, qualora siano disponibili dati affidabili e completi, si affida a stime di
valori reali che rappresentano gli impatti economici e le effettive probabilità.
Il livello di rischio così individuato, dipenderà, inoltre, dall’adeguatezza e dall’efficacia dei
controlli in atto.
Lo studio delle conseguenze mira a determinare la natura e l’importanza dell’impatto di un
evento su uno o più obiettivi dell’organizzazione.
In alcuni casi sarà necessario concentrarsi su rischi con impatti potenzialmente elevati, ma
con basse probabilità di accadimento, mentre in altre occasioni può risultare importante
analizzare quelli con un basso impatto, ma con un’alta frequenza e con grandi effetti
cumulativi nel lungo periodo.
La stima delle probabilità può essere invece condotta attraverso tre diversi approcci, che
possono essere utilizzati singolarmente o congiuntamente:
l’utilizzo di dati storici per identificare eventi che si sono verificati nel passato ed
estrapolare la loro probabilità di verificarsi nel futuro;
CAPITOLO 2
100
le previsioni di probabilità, utilizzando tecniche predittive quali l'analisi dell'albero
dei guasti e l’albero degli eventi;
il giudizio di esperti attraverso il metodo Delphi.
Per interpretare efficacemente i risultati ottenuti bisognerà tenere conto dell’incertezza
associatavi e procedere con un’analisi di sensitività, che contribuisce a chiarire l’entità e il
significato di eventuali variazioni nei parametri individuali registrati.
6.3.3.3. Risk evaluation
Lo scopo della valutazione dei rischi è quello di supportare i decision makers nella scelta
delle strategie di trattamento e nell’assegnazione delle priorità.
Essa comporta il confronto tra il livello di rischio rilevato durante il processo di analisi e i
criteri di rischio definiti nella fase di definizione del contesto.
Le decisioni dovranno tener conto del più ampio contesto del rischio e includere la
considerazione della gestione del rischio da parte di soggetti esterni all’organizzazione, in
conformità con i requisiti legali, normativi e di altro tipo.
In alcune circostanze questo processo può spingere i managers ad effettuare ulteriori analisi
o a trattare il rischio con i controlli esistenti.
6.3.3.4. Risk assessment techniques
Nella tabella seguente vengono elencate e valutate le diverse tecniche di risk assessment,
osservando il loro grado di applicabilità ai diversi step di questo processo.
CAPITOLO 2
101
Tabella 2.15 - Applicabilità delle tecniche alle diverse fasi di risk assessment [IEC/FDIS 31010:2009,
pag.22]
6.3.4. Risk treatment
Il trattamento del rischio comporta la selezione di una o più opzioni per la modifica rischi e
l'attuazione di tali opzioni.
Esso implica un processo ciclico che include:
valutare il trattamento scelto;
CAPITOLO 2
102
decidere se i livelli di rischio residuo sono tollerabili;
qualora non lo siano, generare una nuova strategia di gestione;
valutarne l'efficacia.
Le opzioni disponibili non si escludono necessariamente a vicenda, né sono risultato essere
efficaci in ogni circostanza e possono comprendere:
a) di evitare il rischio, decidendo di non iniziare o perseguire l’attività che lo causa;
b) di assumere il rischio, al fine di perseguire una opportunità;
c) di rimuovere la fonte del rischio;
d) di modificarne la probabilità;
e) di modificarne gli effetti;
f) di condividerlo;
g) di mantenerlo, sviluppando un’adeguata consapevolezza.
La selezione delle opzioni di trattamento più appropriate, da applicare singolarmente o in
combinazione, comporta il bilanciamento tra i costi e gli sforzi di attuazione, e i benefici.
Esistono tuttavia rischi che necessitano di essere gestiti, sebbene questo non sia
giustificabile dal punto di vista economico, perché ritenuti di grande importanza.
Quando si selezionano le opzioni di gestione del rischio, l'organizzazione dovrebbe
considerare i valori e le percezioni di tutti gli stakeholders coinvolti e le modalità più
adeguate per comunicare con loro.
Il treatment plan deve identificare chiaramente l'ordine di priorità con cui implementare i
trattamenti individuati ed essere monitorato continuamente per garantire che le misure
applicate rimangano efficaci.
Lo scopo di tale piano è quello di documentare le modalità con cui saranno attuate le
opzioni scelte. Le informazioni fornite all’interno di questi piani dovrebbero includere:
le ragioni della selezione;
i costi e i benefici attesi;
i responsabili dell'approvazione e dell'attuazione del piano;
le azioni proposte;
il fabbisogno di risorse;
le misure di performance;
i meccanismi di monitoraggio.
CAPITOLO 2
103
I piani di trattamento dovrebbero inoltre essere integrati con i processi di gestione
dell'organizzazione e discussi con le parti interessate, che dovranno essere informate circa la
natura e la portata del rischio residuo e la necessità di valutare ulteriori opzioni.
6.3.5. Monitoring and review
Fondamentale è la fase di monitoraggio e revisione, che dovrebbe riguardare tutti gli aspetti
della gestione del rischio, garantire che tutti i controlli siano efficaci ed efficienti e rilevare
cambiamenti nel contesto interno ed esterno, che evidenzino la necessità di revisionare le
priorità o i trattamenti o identificare rischi emergenti.
I risultati di questa fase dovranno essere opportunamente registrati e comunicati
internamente ed esternamente alla parti interessate.
6.3.6. Recording the risk management process
Ogni attività del processo di risk management deve essere tracciata mediante report, che
forniscano le basi per migliorare le strategie e gli strumenti utilizzati nella gestione dei
rischi.
La decisione riguardante la creazione di record dovrebbe tenere conto delle necessità
dell’organizzazione di reperire facilmente le informazioni, di rispettare vincoli normativi e
legali, di riconoscere i costi sostenuti per l’implementazione di questo processo e di
migliorarsi in modo continuo.
7. CAN/CSA – Q850: 2010, Implementation of CAN/CSA – ISO 31000
7.1. Introduzione
Lo Standard CAN/CSA-Q850:2010, Implemention of CAN/CSA-ISO 31000 è la seconda
edizione dello Standard pubblicato nel 1997 con il nome CAN/CSA-Q850 Risk
Management: Guideline for Decision-Makers e deve essere utilizzato congiuntamente allo
CAN/CSA ISO 31000 Risk Management – Principles and Guidelines.
È stato redatto dalla CSA Tchnical Committee on Risk Management e sottoscritto dallo
Standards Council of Canada.
CAPITOLO 2
104
Esso pone l’enfasi sulla necessità di integrare trasversalmente il risk management con
processi chiave di qualsiasi organizzazione e si pone come guida nell’implementazione dei
principi, del framework e dei processi di risk management delineati dalla ISO 31000.
Lo scopo è quello di migliorare l’efficacia e l’efficiente delle attività di gestione del rischio
attraverso tutta l’organizzazione e comprendere il modo in cui il rischio viene considerato
all’interno del processo decisionale.
È destinato ad un pubblico che include:
coloro che istituiscono la gestione del rischio all’interno dell’organizzazione;
i responsabili del supporto, della sorveglianza e della gestione del rischio di tutta
l’organizzazione o di un’area specifica;
coloro che devono valutare l’impegno dell’organizzazione nella realizzazione del
risk management.
Si fonda su alcuni principi delineati nella ISO 31000, sottolineandone alcuni, quali:
il risk management crea e protegge valore: la gestione proattiva del rischio, infatti,
permette di raggiungere gli obiettivi proposti e di massimizzare il valore per gli
stakeholders;
il risk management è parte integrante dei processi dell’organizzazione: integrare la
gestione del rischio nei processi chiave contribuisce a fornire un approccio globale
valido per l’intero sistema, consentendo l’utilizzo di strumenti e meccanismi che
assicurino una pratica e un programma di monitoraggio e reporting costanti e
integrati;
il risk management è parte del processo decisionale: l’organizzazione deve
garantire che la gestione del rischio sia parte del processo decisionale al fine di
garantire un’analisi e una valutazione più efficace delle decisioni;
la gestione del rischio aiuta a far fronte all’incertezza;
l’approccio di risk management deve essere sistematico, strutturato e tempestivo;
il risk management deve basarsi sulle migliori informazioni disponibili: che siano
complete e rilevanti;
la gestione del rischio deve essere fatta su misura: rispettando gli obbiettivi, i valori
e l’etica dell’organizzazione stessa e dei suoi stakeholders;
il risk management deve tenere in considerazione i fattori umani e culturali:
riconoscendo l’importanza degli interessi e delle percezioni degli stakeholders,
dell’ambiente culturale in cui si opera.
CAPITOLO 2
105
la gestione del rischio è trasparente e documentata: affinché si instauri un rapporto
di fiducia tra gli stakeholders e i decision-makers;
il risk management è dinamico, iterativo e reattivo;
la gestione del rischio facilita il miglioramento continuo dell’organizzazione.
Inoltre il risk management necessita di un forte supporto da parte del senior management
che aiuti i managers a comprendere che la gestione dei rischi è una delle loro responsabilità
fondamentali.
7.2. Framework for managing risk
Un’organizzazione può migliorare la sua capacità nella gestione dei rischi, definendo e
mantenendo un framework che fornisca le basi per l’integrazione del risk management
all’interno di tutti i processi, come evidenziato in figura.
CAPITOLO 2
106
Figura 2.29 - Relationship between the risk management framework and the process [CAN/CSA-
Q850:2010, xi]
CAPITOLO 2
107
7.2.1. Mandate and commitment
L'impegno è dimostrato quando il senior management integra la gestione del rischio nella
governance e nei processi di pianificazione, esecuzione e valutazione delle performance
esistenti, specificando come e quanto il rischio sarà gestito a tutti i livelli
dell'organizzazione e sottolineando il proprio impegno nel monitoraggio e nella
comunicazione continui. Ai vertici spetta anche stabilire la propensione al rischio e
verificare che il livello definito sia in linea con quello desiderato.
7.2.2. Design of framework for managing risk
Il framework per la gestione del rischio deve essere progettato su misura, secondo le
dimensioni e la natura dell’organizzazione ed è essenziale che l'organizzazione identifichi e
valuti i fattori del contesto interno ed esterno che possono influenzare il livello rischio.
Alcune metodi che possono essere utilizzati per comprendere tali fattori includono la
scansione ambientale e la considerazione dei gruppi chiave di stakeholders.
Come parte integrante del framework di risk management, l'organizzazione deve stabilire
una politica di gestione del rischio, in accordo con le esigenze organizzative e con
caratteristiche ben precise:
deve essere scritta in un linguaggio semplice e utilizzare termini ben definiti;
essere quanto più breve e concisa possibile;
indicare come gli obiettivi, così come i processi, i ruoli e le responsabilità siano
legati alle strutture di governance, reporting e monitoraggio;
definire i rischi da includere o escludere dalla valutazione e la relazione con le altre
politiche esistenti, che si occupano di gestire rischi specifici;
essere regolarmente riesaminata e aggiornata per garantire il miglioramento
continuo;
garantire l’allineamento con le politiche, le procedure e le norme
dell’organizzazione.
Il quadro di risk management dovrebbe supportare l’organizzazione nell’identificazione e
nell’allocazione dei ruoli e delle responsabilità, garantendo una giusta formazione. e
individuare un responsabile della promozione della gestione del rischio in tutta
l'organizzazione, al fine di garantire che i piani strategici e gli obiettivi siano perseguiti.
Possono quindi essere definiti tre ruoli chiave:
CAPITOLO 2
108
il “risk management champion” che si occupa di integrare la gestione del rischio nelle
attività dell’organizzazione;
il “framework owner” responsabili delle politiche, dei processi, degli strumenti di risk
management;
il “risk owner” responsabile dell’implementazione al livello adeguato.
Tuttavia, sebbene la responsabilità specifica possa essere delegata, quella globale è
associata al senior management e all'organo di governo.
Le organizzazioni devono garantire che la gestione del rischio non sia mai un'attività
distinta, ma pienamente integrata con tutti i processi decisionali, dalla pianificazione
strategica a quella operativa, dalle strutture di governance a quelle di gestione delle risorse.
Per garantire il pieno funzionamento di tale sistema è fondamentale una comunicazione
interna efficiente, che preveda il dialogo con gli stakeholders e la segnalazione attiva dei
rischi, e una comunicazione esterna che tenga conto della normativa di settore, della
regolamentazione e della concorrenza di mercato.
Generalmente la realizzazione di questo framework dipende dalla propensione al rischio
dell’organizzazione, determinata sulla base della strategia aziendale, delle preferenze degli
stakeholders e del contesto interno e esterno.
Potrà essere espressa formalmente o informalmente, in termini quantitativi o qualitativi,
come documento stand-alone o come parte di altri documenti di governance, che devono
essere approvati dalla dirigenza e dall'organo di governo.
7.2.3. Implementing risk management
Condizioni di successo nell’implementazione del risk management includono:
l’adattamento e l’integrazione delle metodologie di gestione dei rischi all’interno dei
processi esistenti;
il supporto da parte del senior management;
il coinvolgimento di tutte le parti interessate fin dall’inizio del processo;
un feedback e un monitoraggio continuo.
Fondamentale è la stesura di un implementation plan che crei valore, individui obiettivi e
criticità e risponda ad alcuni requisiti fondamentali quali ad esempio l’allineamento con la
strategia aziendale e il coinvolgimento dell’organizzazione a tutti i livelli.
CAPITOLO 2
109
7.2.4. Monitoring and review of framework
Vi è la necessità di programmare revisioni ad intervalli regolari e pianificati, al fine di
garantire l’efficacia del processo tramite la valutazione di appositi indicatori di
performance, sotto forma di auto-valutazioni, revisioni dei dipendenti e verifiche
periodiche.
7.2.5. Continual improvement of the framework
La revisione del framework di gestione del rischio dovrebbe includere una valutazione delle
opportunità e del loro valore a sostegno del miglioramento continuo, che si traduce spesso
in una modifica della cultura del rischio, come ad esempio il passaggio da un crisis
management ad un risk management, da un approccio reattivo ad uno proattivo dove
l’organizzazione non si limita più a reagire semplicemente, ma a prevenire e ad apprendere.
7.2.6. Governance and the risk management framework
L'organo di governo è responsabile della gestione del rischio e deve essere in grado di
cogliere le opportunità e di proteggere l’organizzazione dalle minacce, allineando il
framework di risk management con gli obiettivi desiderati e i processi esistenti.
La governance può essere migliorata attraverso la gestione del rischio assicurandosi che:
siano dedicati tempo e risorse per la gestione dei rischi;
tutte le decisioni siano documentate, comunicate e monitorate al fine di garantire il
miglioramento continuo;
sia fatta attenzione nella formulazione e conciliazione degli obiettivi;
si sviluppi una cultura organizzativa che abbracci il risk management coerentemente
con la propria propensione al rischio e le aspettative degli stakeholders;
i responsabili incoraggino l’innovazione e il miglioramento continuo;
le decisioni prese siano testate, valutate con attenzione per assicurare che tutti i
rischi siano stati presi in considerazione e rispettino i valori fondamentali
dell’organizzazione.
CAPITOLO 2
110
7.2.7. Frameworks for public risk organizations
Alcune organizzazioni, come agenzie di regolamentazione, istituzioni governative,
organismi internazionali e no-profit hanno responsabilità primarie che comportano la
gestione di rischi legati alla qualità della vita e hanno quindi forti impatti sulla società.
All'interno del loro mandato, possono identificare e valutare i rischi pubblici e sviluppare
dei criteri di rischio all'interno di un framework di governance di “public risk management”.
Il loro ruolo è quello di gestire i rischi attraverso regolamenti, sensibilizzazione, formazione
e l’utilizzo di sistemi di gestione del rischio standardizzati.
Affinché questa gestione sia efficace, le organizzazioni dovranno:
stabilire il contesto all’interno del quale agire;
nominare un supervisore indipendente;
creare una struttura di governance e un framework che riconosca l’importanza dei
rischi pubblici, il ruolo delle “public risk organizations” e di quelle organizzazioni
che possono avere effetti significativi;
sviluppare metodi per individuare, valutare, gestire e monitorare i rischi pubblici;
comunicare e consultarsi con la popolazione per valutare i livelli di rischio e il costo
dei controlli .
fornire relazioni pubbliche periodiche sulle attività di gestione.
7.3. Process for managing risk
Il processo di risk management è una componente fondamentale per la realizzazione di un
risk management framework efficace e deve essere integrato e allineato con i processi e le
procedure stabilite nel piano di governo dell’organizzazione.
Le tre fasi di definizione del contesto, valutazione e gestione del rischio, dovranno essere
seguite in sequenza, mentre quelle di risk communication e di monitoring and review
dovranno essere eseguite continuamente per garantire il trattamento dei rischi prioritari e il
coinvolgimento degli stakeholders, come illustrato nella figura seguente.
CAPITOLO 2
111
Figura 2.30 - Process for managing risks [CAN/CSA-Q850:2010, xx]
7.3.1. Risk communication and consultation
Come già evidenziato nello standard ISO 31000, la comunicazione tra l’organizzazione e i
suoi stakeholders è un elemento fondamentale nel processo di identificazione dei rischi.
Per questa ragione dovrebbe essere istituito un “consultative team”, che faciliti lo scambio e
la raccolta di informazioni utili a comprendere le diverse percezioni dei rischi.
7.3.1.1. Developing a risk communication plan
Il primo step prevede lo sviluppo di un risk management plan che tenga conto di elementi
interni, come la mission, i valori, le strategie di business, i processi, la cultura organizzative,
ed esterni, come i cambiamenti sociali e culturali, per identificare gli obiettivi e i contenuti
della comunicazione.
CAPITOLO 2
112
I canali utili a questo scopo possono essere diversi ed è quindi necessario scegliere, a
seconda dei casi, quale sia il più appropriato. Tutti però devono poter garantire un
collegamento costante e continuo tra le parti interessate.
7.3.1.2. Stakeholder identification and analysis
Una volta individuati gli obiettivi e sviluppato il piano, il passo successivo consiste
nell’identificare tutte le parti interessati attraverso l’analisi degli stakeholders, affinché i
decision-makers abbiano una precisa comprensione delle loro prospettive e necessità.
L' analisi deve includere informazioni riguardanti le opinioni e le aspettative degli
stakeholder esistenti, le percezioni e gli atteggiamenti che possono influenzare la loro
disponibilità a prendere in considerazione nuove informazioni, e deve essere documentata
in un apposito registro, utile nelle fasi di monitoraggio e controllo dei rischi.
Affinché questa fase abbia successo l’organizzazione dovrà garantire agli stakeholders,
attraverso la completa condivisione delle informazioni riguardanti i rischi, un appropriato
livello di trasparenza, affinché si generi un rapporto di completa fiducia.
Il piano di comunicazione del rischio messo in atto dovrà avere obiettivi chiari e misurabili,
attraverso i quali sia possibile valutare quando una particolare fase possa essere ritenuta
completata e i risultati raggiunti.
L’effettivo successo della comunicazione dovrebbe essere misurato, utilizzando misure
predefinite, e valutato attraverso discussioni one-to-one o di gruppo, forum aperti e surveys.
7.3.2. Establish the context
Stabilire il contesto significa evidenziare tutti quei fattori che possono influire sulla gestione
del rischio e influenzare la capacità dell’impresa di raggiungere degli obiettivi prefissati.
Fallire nella sua individuazione potrebbe quindi incidere pesantemente sull’efficacia delle
decisioni prese e suoi risultati attesi.
L'analisi e la definizione delle priorità dei fattori esterni sono fondamentali per il successo
della gestione del rischio in qualsiasi organizzazione. Alcuni fattori saranno più importanti
di altri, a seconda della natura, degli obiettivi, della cultura dell'organizzazione e dei
principali stakeholders esterni.
Fattori interni possono invece includere:
la cultura, la missione e i valori dell'organizzazione;
le priorità, le politiche, le procedure e i processi in atto;
CAPITOLO 2
113
la disponibilità delle risorse umane;
le tecnologie applicate.
I processi e le procedure previste dal piano di risk management dovrebbero essere
pienamente integrati con quelli esistenti una volta verificata la loro conformità alle esigenze
dell’organizzazione e dei suoi stakeholders interni.
7.3.2.1. Establishing context of the risk management process
Per definire il contesto del processo di gestione del rischio è necessario tenere conto di
alcuni fattori quali:
la disponibilità di personale qualificato, in termini di conoscenze e competenze;
l’adeguatezza del programma di gestione del rischio in termini di risorse;
l’allineamento con gli obiettivi dell’organizzazione;
la compatibilità con la cultura organizzativa.
Affinché tali variabili siano considerate tale processo dovrà essere implementato fin dalla
fase iniziale di pianificazione strategica e operativa.
7.3.2.2. Defining risk criteria
Criteri di rischio sono utilizzati per valutare la significatività del rischio e supportano il
processo di valutazione del rischio nel determinare se esso sia accettabile o meno.
Essi dovrebbero basarsi sul contesto esterno ed interno precedentemente identificati,
dovrebbero riflettere la propensione al rischio dell'organizzazione ed essere aggiornati e
riesaminati periodicamente per garantire che riflettano gli obiettivi e i valori
dell’organizzazione.
7.3.3. Risk assessment
La fase di valutazione dei rischi è fondamentale per il processo di risk management perché
fornisce ai decision-makers una migliore comprensione dei rischi, della loro probabilità e
del potenziale impatto sugli obiettivi e minare la capacità dell’impresa di raggiungerli.
L'organizzazione, inoltre, può scegliere di valutare un portafoglio di rischi piuttosto che
rischi specifici, preferendo un approccio olistico per il trattamento dei rischi.
La guida CAN/CSA-IEC 31010 fornisce indicazioni circa le tecniche specifiche di
valutazione del rischio.
CAPITOLO 2
114
7.3.3.1. Risk identification
Il punto di partenza consiste nell’identificare, grazie ad una chiara comprensione del
contesto in cui l’organizzazione opera, i rischi che possono influenzare positivamente o
negativamente il raggiungimento degli obiettivi e quelli che possono derivare dal mancato
sfruttamento di un’opportunità.
Lo scopo di questa fase è quello di generare un elenco completo di potenziale minacce
grazie alla raccolta di informazioni attraverso interviste strutturate, brainstorming, analisi
delle fonti di rischio, liste di controllo e analisi di scenario, che assicurano la partecipazione
di tutti i processi e gli attori coinvolti.
I rischi individuati grazie a questa analisi devono essere significativi e soprattutto realistici e
una volta identificati devono essere in un register risk che ne faciliti la gestione e il
monitoraggio continuo.
7.3.3.2. Risk analysis
Come specificato nella norma ISO 31000, l'obiettivo della risk analysis è quello di
comprendere l’impatto e le probabilità che un rischio si verifichi e come questo possa
influenzare il raggiungimento degli obiettivi.
Questa fase aiuta a sviluppare una migliore comprensione dei rischi identificati e dei
controlli attualmente in vigore per gestirli, grazie alla raccolta di ulteriori informazioni
attraverso analisi delle prestazioni e dei dati storici, report su cambiamenti del contesto
interno ed esterno, interviste e questionari periodici.
Fondamentale è evidenziare i controlli già in vigore, per valutarne l’efficacia e verificare se
vi sia la necessità di modificarli o migliorarli a causa di progressi tecnologici, di variazioni
dei requisiti di legge, miglioramenti e cambiamenti nei processi e nelle politiche
dell’organizzazione.
7.3.3.3. Risk evaluation
Lo scopo di questa fase è quello di supportare i decision-makers nella scelta delle priorità e
delle modalità di trattamento dei rischi. Si tratta infatti, di valutarne l’accettabilità sulla base
dei criteri precedentemente determinati e determinare l’efficacia del trattamento richiesto
considerando i controlli esistenti e il costo di un ulteriore trattamento. La consultazione con
gli stakeholders interni ed esterni dovrebbe avvenire nel corso di questo fase per assicurarsi
che le interdipendenze e le priorità siano pienamente comprese e considerate.
CAPITOLO 2
115
I risultati di questa valutazione possono evidenziare, inoltre, la necessità di rivedere la
propensione al rischio o prendere in considerazione trattamenti alternativi, ed è per questo
motivo che la risk evaluation deve essere considerato un processo iterativo.
7.3.4. Risk treatment
Per ogni rischio individuato, il risk owner dovrebbe assumersi la piena responsabilità della
la sua gestione, indipendentemente dalle modalità di trattamento selezionate.12
Egli dovrò garantire che i rischi siano periodicamente rivisti, verificando che i controlli
siano efficaci.
Alcuni rischi tuttavia sono orizzontali per natura e possono estendersi al di là di una
specifica unità di lavoro. In questo caso saranno presenti più risk owners che dovranno
curare diversi aspetti del rischio.
È possibile che a questo punto si evidenzi la necessità di modificare le priorità di lavoro
attuali e l'assegnazione del personale, nonché di definire nuovi ruoli e riassegnare le
responsabilità.
7.3.5. Monitoring and review
Lo scopo del processo di monitoraggio è quello di garantire che il profilo di rischio
dell'organizzazione sia mantenuto costante e che le modalità di gestione siano efficaci, per
prevenire eventuali deterioramenti delle prestazioni, attraverso la valutazione continua di
parametri di performance.
L’impresa deve regolarmente monitorare e rivedere il processo di risk management per
assicurare che esso sia in linea con il framework di gestione del rischio, segnalare eventuali
cambiamenti nel contesto interno ed esterno e misurare gli indicatori di rischio per
anticipare e rispondere attivamente ai cambiamenti.
A livello di framework la fase di monitoring and review deve evidenziare modifiche
nell’implementazione organizzativa del processo di gestione del rischio, in particolare
nell'attuazione delle strategie di trattamento, affrontare i rischi emergenti e sviluppare una
comprensione globale dei sistemi e dei processi di gestione per poter apportare
miglioramenti continui.
12 Per quanto riguarda la scelta delle opzioni di trattamento dei rischi la standard canadese rimanda ai
contenuti riportati nella norma ISO 31000.
CAPITOLO 2
116
A livello di processo, invece, rilevare cambiamenti nel profilo di rischio
dell'organizzazione, modifiche, scostamenti o novità nell'attuazione delle misure di
trattamento dei rischi.
La segnalazione dei risultati del monitoraggio, per quanto riguarda un rischio specifico,
dovrebbe essere destinata al risk owner e la sua frequenza dipenderà dalla natura, dalla
dimensione e dalla portata del rischio.
Il processo di rendicontazione assicura inoltre che i registri di rischio e i portafogli di
rischio siano costantemente aggiornati.
Utile in questa fase è stimare la maturità del rischio, ossia il livello di sofisticazione delle
pratiche di gestione del rischio dell'organizzazione, per valutare i progressi fatti e se vi sia la
necessità di intervenire per realizzare miglioramenti.
La tabella seguente fornisce un esempio con tre livelli generali di maturità e possibili criteri
per misurare il livello di maturità.
CAPITOLO 2
117
Tabella 2.16 - Esempio di risk maturity model [CAN/CSA-Q850:2010, xxxiii]
Un adeguato monitoraggio dovrebbe quindi migliorare la capacità dell'organizzazione di
anticipare e rispondere ai cambiamenti non appena questi si presentano e incoraggiare il
miglioramento continuo.
CAPITOLO 2
118
7.3.6. Recording the risk management process
L'organizzazione deve documentare il processo di gestione del rischio per diversi motivi:
può aiutare il decisore a prendere decisioni e spingerlo a comprenderne le
motivazioni;
può fornire un riferimento per futuri processi di gestione del rischio, in modo da
facilitare il miglioramento continuo;
costituisce una risorsa per l’apprendimento e la formazione delle risorse;
aiuta la comunicazione tra le parti interessati.
L'organizzazione dovrebbe quindi fare uno sforzo ragionevole per documentare il processo
di gestione del rischio al fine di supportare attivamente il processo decisionale.
8. COSO
8.1. Introduzione al framework
La Committee of Sponsoring Organizations of the Treeadway Commission (COSO)
sviluppò il report Internal Control – Integrated Framework con lo scopo di supportare le
organizzazioni sviluppare e migliorare i sistemi di controllo interni e integrarli con i
processi, le politiche e i regolamenti esistenti.
A seguito dei drammatici eventi del Settembre 2001 e del periodo di scandali finanziari e
dei clamorosi fallimenti, che avevano provocato una grave crisi, sviluppò l’Enterprise Risk
Management – Integrated Framework che non intendeva sostituire il framework
precedente, ma incorporarlo al suo interno.
Il concetto di controllo infatti risulta essere strettamente collegato a quello di rischio, poiché
quest’ultimo non coinvolge solo l’area finanziaria, ma tutti i processi e i soggetti attivi
nell’impresa e deve essere quindi percepito come parte integrante delle attività.
Il report si compone di due volumi: il primo è suddiviso in due parti, intitolate Executive
Summary e Framework, mentre il secondo, Application Techniques, illustra le tecniche utili
nell’applicazione del framework.
L’enterprise risk management viene definito come “a process, effected by an entity’s board
of directors, management and other personnel, applied in strategy setting and across the
enterprise, designed to identify potential events that may affect the entity, and manage risk
to be within its risk appetite, to provide reasonable assurance regarding the achievement of
entity objectives”.
CAPITOLO 2
119
La premessa di base è che ogni organizzazione esiste per dare valore ai propri stakeholders.
Tale valore è massimo quando le strategie e gli obiettivi sono perfettamente allineati ai
sistemi di gestione e ciò garantisce un equilibrio tra crescita e rischi connessi ad essa.
La gestione del rischio d’impresa comprendere quindi l’allineamento tra la propensione al
rischio e la strategia, l’identificazione e la selezione di risposte per la copertura, la
riduzione, la condivisione e l’accettazione dei rischi, la massimizzazione delle opportunità e
la minimizzazione delle perdite, attraverso il miglioramento dell’allocazione delle risorse e
del capitale in generale.
L’enterprise risk management framework proposto mira a facilitare il raggiungimento degli
obiettivi dell’organizzazione, suddivisi in quattro categorie:
strategici, di alto livello per supportare la mission;
operativi, per un uso efficiente ed efficace delle risorse;
di reporting;
di compliance, per il rispetto delle leggi e dei regolamenti.
Tra questi e le diverse componenti della gestione del rischio d’impresa vi è una relazione
diretta che può essere rappresentata in una matrice tridimensionale, sotto forma di un cubo.
Figura 2.31 - COSO cube [COSO Enterprise Risk Management-Integrated Framework, 2004, pag.7]
Le quattro categorie di obiettivi sono rappresentati nelle colonne verticali, le otto
componenti nelle righe orizzontali, mentre tutte le dimensioni aziendali compongono la
terza faccia del cubo.
CAPITOLO 2
120
Il quadro di gestione qui proposto promuove quindi il paradigma di una gestione organica
ed integrata di tutte le tipologie di rischio, facilitando il coinvolgimento di tutti i livelli
aziendali nella realizzazione di questo processo.
8.2. Internal environment
L’ambiente interno rappresenta la base sulla quale sviluppare tutte le componenti del
sistema di gestione di rischio. Esso influenza la definizione degli obiettivi e delle strategie,
la struttura delle attività, l’identificazione, la valutazione del rischio e delle modalità di
gestione, la progettazione e il funzionamento delle attività di controllo, comunicazione e
monitoraggio.
È importante sottolineare che la filosofia di gestione del rischio di una determinata
organizzazione è l'insieme di atteggiamenti, credenze condivise e valori che caratterizza il
modo in cui il rischio viene considerato e influenza lo stile operativo.
Ovviamente anche la propensione al rischio, ossia il livello di rischio che l’impresa è
disposta ad accettare per massimizzare il proprio valore, influenza le modalità con cui
verranno sviluppate le varie componenti di risk management.
La rilevanza di questo fattore sarà fondamentale nella fase di definizione e valutazione delle
strategie di gestione del rischio, in quanto strategie differenti possono esporre
l’organizzazione a diversi livelli di rischio e occorrerà perciò selezionare quella allineata
con i valori aziendali predefiniti.
Il Consiglio di amministrazione è una componente significativa dell'ambiente interno. La
sua esperienza e rilevanza, il suo coinvolgimento nelle attività di definizione degli obiettivi
e di controllo assicura un’efficace gestione del rischio.
Va considerato tuttavia, che l’efficacia dell’enterprise risk management non potrà mai
essere al di sopra dell’integrità e dei valori etici delle persone che creano, gestiscono e
monitorano le attività.
Altri fattori da tenere in considerazione sono il livello di conoscenze e di competenze
necessarie per svolgere i compiti assegnati, le modalità con cui sono assegnate le diverse
responsabilità e gli individui sono incoraggiati ad utilizzare l’iniziativa per affrontare
questioni e risolvere problemi e la struttura organizzativa che fornisce il quadro generale per
pianificare, eseguire, controllare e monitorare tutti i processi.
CAPITOLO 2
121
8.3. Objective setting
La condizione necessaria per garantire l’efficacia delle fase di event identification, risk
assessment e risk response, è l’individuazione chiara e precisa della mission e degli obiettivi
da raggiungere.
A partire da ciò il management fissa degli obiettivi strategici, formula una strategia e le
attività ad essa correlate.
Gli obiettivi strategici sono di alto livello, in linea con la vision dell’impresa, generalmente
più stabili rispetto agli altri, e rifletto la scelta del management relativa alle modalità di
creazione di valore per i propri stakeholders.
Per perseguire questo scopo l’organizzazione dovrà considerare le diverse alternative,
identificare i rischi connessi al raggiungimento degli obiettivi strategici e valutare le loro
implicazioni.
Stabilire obiettivi giusti che sostengano e siano allineati con la strategia selezionata, è
fondamentale per il successo.
La priorità ovviamente andrà associata alla definizioni di quelli di tipo strategico, tuttavia
questi dovranno poi essere integrati con obiettivi più specifici, che andranno identificati a
cascata per tutti i livelli dell’organizzazione e per tutte le attività.
La gestione del rischio richiede che il personale, a tutti i livelli, una comprensione chiara e
precisa degli obiettivi dell’impresa e di quelli di cui è direttamente responsabile.
Oltre agli obiettivi strategici, dunque, è necessario prendere in considerazione altre tre
categorie:
obiettivi operativi, riguardano l’efficacia e l’efficienza delle attività;
obiettivi di reporting, supportano il processo decisionale e riguardano l’affidabilità
del reporting interno ed esterno;
obiettivi di compliance, riguardano la conformità alle leggi e ai regolamenti
specifici.
Nell'ambito della gestione del rischio, il management non determina sono gli obiettivi a
sostegno della mission, ma assicura anche che questi siano allineati e coerenti con il risk
appetite dell’organizzazione.
Il disallineamento potrebbe comportare il mancato raggiungimento degli obiettivi, a causa
della presenta di rischio troppo o non sufficientemente elevanti.
CAPITOLO 2
122
Figura 2.32 - Risk appetite [COSO, Enterprise Risk Management-Application techniques, 2004, pag.17]
La propensione al rischio guida quindi le scelte del management e del Consiglio di
Amministrazione e rappresenta l’equilibrio accettabile tra rischio e rendimento.
L’impresa dovrà inoltre tenere conto di un intervallo di tolleranza, ossia della possibilità che
si verifichino variazioni accettabili relative al raggiungimento degli obiettivi proposti.
8.4. Event identification
Un evento è “an incident or occurrence emanating from internal or exgternal sources that
effects implementation of strategy or achievement of objective” e può avere conseguenze
negative, e quindi rappresentare un rischio, oppure positive, e va considerato quindi
un’opportunità.
Il ruolo dell’enterprise risk management è quello di supportare l’organizzazione
nell’individuazione di tutti gli eventi potenziali, che potrebbero influenzare
significativamente la capacità dell’impresa di perseguire i propri obiettivi, e dei fattori
interni ed esterni, quali: il contesto economico, politico e sociale, l’ambiente naturale, le
infrastrutture, il personale, le risorse, i processi e la tecnologia.
Spesso, tuttavia, gli eventi non si verificano in modo isolato. Per questa ragione il
management dovrebbe cercare di comprendere le diverse interdipendenze e valutare
attentamente dove concentrare i propri sforzi.
Può essere quindi utile raggruppare tutti gli eventi in categorie, migliorando così la
comprensione delle diverse relazioni che li legano e la valutazione dei rischi.
CAPITOLO 2
123
Figura 2.33 – Categorie di eventi [COSO Enterprise Risk Management-Integrated framework,2004,
pag.46-47]
Tra le tecniche consigliate vi sono inventari di eventi, facilitated workshop, interviste,
questionari e surveys, process flow analysis, leading event indicators and escalation
triggers, loss event data tracking e tree diagrams o Fishbone diagrams.
CAPITOLO 2
124
8.5. Risk assessment
Il risk assessment considera tutte le possibili combinazioni di eventi futuri rilevanti per
l’organizzazione e per le sue attività, tenendo conto sia di quelli attesi che di quelli
imprevisti, e delinea il profilo di rischio complessivo dell’impresa, in modo continuativo.
L’incertezza legata ai rischi viene valutata attraverso la stima di due variabili, la probabilità
e l’impatto, e l'orizzonte temporale utilizzato dovrebbe essere coerente con quello relativo
alla strategia e agli obiettivi.
Queste analisi spesso sono effettuate utilizzando dati storici, che forniscono una base più
oggettiva rispetto alle stime del tutto soggettive, generate sulla base delle propria
esperienza, e che possono riflettere pregiudizi e convinzioni personali.
Le metodologie di valutazione utilizzate comprendono una serie di tecniche qualitative e
quantitative e la scelta di quelle più appropriate dipenderà in gran parte dalla disponibilità,
dall’accuratezza dei dati e dalla natura e dal livello di correlazione esistente tra gli eventi da
considerare.
Il testo distingue tra:
a) Nominal measurement: si tratta di un semplice raggruppamento di eventi secondo
diverse categorie (economici, tecnologici, naturali) a cui vengono assegnati dei
numeri al solo scopo identificativo;
b) Ordinal measurement: in questo caso gli eventi sono ordinate per importanza
secondo una scala di valori bene definita;
c) Interval measurement: utilizzano una scala numerica di distanze uguali;
d) Ratio measurement: assegna dei valori numerici agli eventi che rappresentano la
potenza dell’impatto.
Figura 2.34 - Rappresentazione di probabilità e impatto in una tecnica qualitativa [COSO, Enterprise
Risk Management-Apllication techniques, 2004, pag.36]
CAPITOLO 2
125
All’interno delle diverse tecniche quantitative possiamo distinguere tra:
Tecniche probabilistiche che includono Value at risk (VAR), Cash flow at risk,
Earnings risk, Loss distributions e Back-testing.
Tecniche non probabilistiche che comprendono analisi di sensitività, analisi di
scenario, stress testing e benchmarking.
8.6. Risk response
Le possibili risposte al rischio rientrano nelle seguenti categorie:
non accettazione, consiste nell’evitare il rischio poiché non sono state individuate
opzioni di gestione utili a ridurre gli impatti e le probabilità di verificarsi;
riduzione, mira a ridurre le conseguenze negative e ad allineare il rischio residuo con
i livelli di tolleranza desiderati;
condivisione, si tratta di trasferire/condividere completamente o in parte un
determinato rischio, attraverso prodotti assicurativi o operazioni di copertura;
accettazione, per cui non viene intrapresa nessuna azione per modificare le probabilità
che un evento si verifichi, in quanto il livello di rischio è allineato con il profilo di
rischio dell’impresa.
Figura 2.35 - Alcuni esempi di risk response [COSO Enterprise Risk Management-Application
techniques, 2004, pag.55]
CAPITOLO 2
126
Nel determinare la soluzione più appropriata l’organizzazione dovrà considerare:
gli effetti potenziali delle strategie scelte su probabilità e impatti, valutando i diversi
possibili scenari, per determinare se il rischio residuo sia in linea con il livello di
tolleranza o siano necessarie azioni supplementari ed evidenziando la presenza di
possibili rischi aggiuntivi;
i costi e i vantaggi delle soluzioni;
le possibili opportunità, per individuare risposte innovative qualora quelle esistenti
non siano più efficaci o garantiscano solo risultati marginali.
Una volta eseguite queste valutazioni l’organizzazione seleziona una risposta o una
combinazione di risposte atte a portare la probabilità di rischio e l’impatto al livello di
tolleranza richiesto e sviluppa un implementation plan.
La visione che ne deriva è una visione complessiva (portfolio view), che tiene conto
dell’insieme dei rischi relativi alle singole unità e lo confronta con il livello di rischio
desiderato dall’organizzazione.
8.7. Control activities
La fase successiva a quella di risk response ha l’obiettivo di individuare le attività di
controllo, necessarie a garantire che le strategie di trattamento, risultanti della fase
precedente, siano implementate correttamente e tempestivamente.
Queste attività possono essere classificate in base alla natura degli obiettivi a cui si
riferiscono e riguardare più rischi.
A causa del continuo e orami consueto ricorso a sistemi di informazione per operare e
raggiungere obiettivi di reporting e di conformità, sono necessari dei controlli significativi,
generali, per garantire il corretto funzionamento di questi sistemi, applicativi per verificare
la correttezza del processo di elaborazione dei dati.
È necessario precisare che, poiché ogni organizzazione ha il proprio set di obiettivi e ci
strategie, ci sarà ovviamente delle differenze nelle risposte al rischio selezionate e nelle
attività di controllo ad esse connesse.
8.8. Information and communication
Ogni impresa individua e raccoglie una vastissima gamma di informazioni, relative agli
eventi esterni e alle attività interne, rilevanti per la sua gestione.
CAPITOLO 2
127
Tali informazioni devono essere disponibili a tutti i livelli, per garantire l’identificazione, la
valutazione, la gestione il controllo dei rischi e il raggiungimento dei propri obiettivi.
Per queste ragioni è necessario sviluppare un’infrastruttura di sistemi informativi, che
supportino i diversi obiettivi, catturino le informazioni necessarie, le elaborino e le
comunichino in modo chiaro e tempestivo.
Tale architettura deve essere sufficientemente flessibile da garantire l’integrazione efficace
di tutti i dati, sia che provengano da fonti interne o esterne.
Inoltre, deve essere integrata con tutti i processi e le attività, facilitando l’accesso alle
informazioni in tempo reale e promuovendone un utilizzo diffuso.
Il successo ovviamente dipenderà in gran parte dalla qualità dei dati inseriti nei sistemi.
Sarà necessario quindi verificare che i dati siano aggiornati, accurati, significativi e
tempestivi.
La comunicazione, tuttavia, non deve essere limitata all’utilizzo dei sistemi
precedentemente descritti.
Ciascun soggetto deve comprendere in che modo l’attività che svolge influenza quella degli
altri e i rischi che ciò comporta.
Si rendono quindi necessari canali di comunicazioni interni aperti e diretti, che favoriscano
la circolazione di informazioni, lo scambio di idee e il confronto.
Di fondamentale importanza è anche la comunicazione esterna con i propri stakeholders,
grazie alla quale i soggetti forniscono informazioni circa le loro esigenze e preferenze e
aiutano l’organizzazione nella comprensione e determinazione di tutti i potenziali rischi.
CAPITOLO 2
128
Figura 2.36 - Flussi informativi all’interno del processo di risk management [COSO, Enterprise Risk
Management-Application techniques, 2004, pag.69]
8.9. Monitoring
Per far fronte ad un contesto interno ed esterno in continuo mutamento, sono necessarie
misure di controllo e monitoraggio continuative, integrate all’interno delle normali attività,
che assicurino la validità degli obiettivi stabiliti e l’efficacia delle strategie selezionate.
CAPITOLO 2
129
La portata e la frequenza di tali controlli dipenderanno ovviamente dalla significatività del
rischi trattati, dall’importanza delle azioni intraprese per gestirli e dalle categorie di obiettivi
(strategici, operativi, di reporting, di compliance) da raggiungere.
Spesso, le valutazioni assumono la forma di autovalutazioni, dove le persone responsabili di
una particolare unità o la funzione si impegnano a valutare costantemente l'efficacia della
gestione del rischio relativamente e limitatamente alle loro attività.
In altri casi, tuttavia, è il compito è affidato ad un evaluator, il cui obiettivo è quello di
comprendere il funzionamento di tutti i processi e di ciascun componente dell’enterprise
risk management per valutarne il corretto funzionamento, rapportandosi apertamente con i
soggetti interessati.
I risultati di questa analisi dovranno essere comunicati, attraverso i canali disponibili, al
personale di rilievo a monte e a valle.
Le tecniche più utilizzate includono checklist, questionari, diagrammi di flusso e
benchmarking, grazie a cui l’impresa confronta il proprio processo di ERM con quello di
altre organizzazioni.
In sostanza questa fase ha lo scopo di individuare le carenze nella gestione del rischio di
un’organizzazione, che possono rappresentare un pericolo potenziale o reale, ma anche
opportunità, che possono invece rafforzare questo processo e aumentare le probabilità di
raggiungere gli obiettivi proposti.
8.10. Roles and responsibilities
I soggetti che partecipano alla realizzazione e al funzionamento del processo di enterprise
risk management sono molti e contribuiscono in modi molto diversi per garantire l’efficacia
e l’efficienza.
Tra il personale interno all’organizzazione sia evidenzia:
il Consiglio di Amministrazione, punto di riferimento per la gestione dei rischi, ha il
compito di selezionare il Management e ha un ruolo importante nella definizione
degli obiettivi di alto livello, della strategia, dei valori etici e del profilo di rischio
desiderato, nonché nelle attività di sorveglianza;
il Management, ha, a seconda dei livelli, diverse responsabilità che variano inoltre
in base alle caratteristiche dell’organizzazione. L’amministratore delegato (CEO),
ad esempio, ha su di sé la responsabilità ultima della gestione del rischio, ha la
capacità di influenzare il Consiglio di Amministrazione nella definizione degli
CAPITOLO 2
130
obiettivi di alto livello e delle strategie correlate e ha il compito di impostare e
sviluppare ampiamente le politiche e la filosofia di enterprise risk management
valutando la propensione al rischio e monitorando in modo continuo le attività.
I senior manager, ossia i responsabili delle unità organizzative, hanno invece il
compito di gestire i rischi relativi ai propri processi, funzioni o dipartimenti e di
tradurre le strategie precedentemente individuate in attività ed allocare così a
cascata le responsabilità specifiche.
Funzioni di staff, come le risorse umane, la compliance o quella legale, hanno
inoltre importanti ruoli di supporto nella progettazione delle componenti del
processo di gestione dei rischi;
il Risk Officer, collabora con altri manager alla creazione di un'efficace gestione del
rischio nei settori di loro competenza. Solitamente il risk officer, chief risk officer o
risk manager, si occupa di definire le politiche di enterprise risk management, di
allocare ruoli e responsabilità, di allineare le risposte al rischio con il risk appetite
dell’organizzazione, di promuovere e integrare la cultura del rischio a tutti i livelli,
stabilendo un linguaggio comune che faciliti la comunicazione;
i Financial Executives, sono spesso coinvolti nello sviluppo dei
budget e dei piani strategici e monitorano le prestazioni, analizzando come
cambiamenti interni ed esterni possono influenzare gli obietti, le strategie e le
decisioni relative al processo di enterprise risk management;
gli Internal Auditors, svolgono un ruolo fondamentale nella valutazione del
processo di valutazione dei rischi, valutando l’efficacia e l’efficienza di tutte le sue
componenti, l’affidabilità dei sistemi di reporting, la compliance alle leggi e ai
regolamenti;
Tra il personale esterno invece si evidenziano:
gli External Auditors, offrono al management e al Consiglio di Amministrazione
una visione unica e obiettiva che contribuisce al raggiungimento degli obiettivi, in
particolare quelli di reporting esterno;
i legislatori e i regolatori, sviluppano le norme che garantiscano che i sistemi di
gestione e di controllo del rischio soddisfino i requisiti minimi di legge e forniscono
raccomandazioni e direttive circa i miglioramenti necessari;
tutti i soggetti che interagiscono con l’organizzazione, i fornitori di servizi
delocalizzati, gli analisti finanziari, le agenzie di rating e i media, supportano
CAPITOLO 2
131
l’organizzazione nell’individuazione e comprensione dei rischi e nella scelta delle
possibili strategie per gestirli.
8.11. Limitations of enterprise risk management
Non sempre, tuttavia, l’enterprise risk management garantisce il raggiungimento degli
obiettivi stabiliti dall’organizzazione.
Bisogna infatti tenere conto dell’incertezza che caratterizza qualsiasi evento futuro,
dell’impossibilità quindi di conoscere alla perfezione come questo si manifesterà, e del fatto
che alcuni siano semplicemente al di fuori del controllo dell’organizzazione.
Le diverse risposte selezionate mirano a ridurre il rischio e aiutano l’impresa a perseguire i
propri obiettivi e, sebbene l’efficacia di questo processo sia limitata dalle realtà e dalla
natura umana, l’implementazione dell’enterprise risk management migliora
significativamente la capacità dell’organizzazione di prevenire e gestire situazioni
sfavorevoli.
CAPITOLO 3
132
Capitolo 3
Analisi comparata dei principali standards e
frameworks di Enterprise Risk Management
1. Introduzione
Il presente capitolo ha lo scopo di evidenziare le principali differenze e affinità attraverso
un’analisi comparata degli standards e dei frameworks presentati nel capitolo precedente.
Per facilitare la comprensione saranno inserite delle tabelle, ciascuna delle quali metterà a
confronto diversi aspetti della disciplina di risk management.
L’obiettivo di questa analisi consiste nel valutare quanto i processi e le fasi descritti negli
standards siano simili tra loro e accertare, quindi, se via sia o meno un elevato grado di
somiglianza, indice dello sviluppo di un consenso mondiale riguardo alle modalità di
realizzazione della gestione dei rischi.
2. Principali differenze e affinità tra i diversi standards e frameworks
di Enterprise Risk Management
Nella prima tabella sono riportate le definizioni inerenti il concetto di rischio, suddivise in
tre categorie a seconda della connotazione:
a. negativa, qualora il rischio rappresenti solo ed esclusivamente una minaccia;
b. positiva/negativa, qualora includa entrambi i concetti di minaccia e opportunità;
c. incerta, qualora invece non vi sia una connotazione bene precisa.
Definizione negativa Definizione incerta Definizione
positiva/negativa
IEEE 1540-2001
"the likelihood of an event,
hazard, threat, or situation
occurring and its
undesirable consequences;
a potential problem"
BS6079-3:2000
"uncertainty inherent in
plans and the possibility of
something happening (i.e. a
contingency) that can affect
the prospects of achieving
business or project goals"
IRM/ALARM/AIRMIC
2002 "the combination of
the probability of an event
and its consequences that
constitute opportunities for
benefit (upside) or threats
to success (downside)"
CAPITOLO 3
133
CAN/CSA - Q850:1997
"the chance of injury or
loss as defined as a
measure of the probability
and severity of an adverse
effect to health, property,
the environment, or other
things of value"
AS/NZS 4360:2004
"the chance of something
happening that will have a
positive or negative impact
on objectives"
ISO 31000:2009 /
CAN/CSA-Q850:2010
"the effect of uncertainty on
objectives, is a deviation
from the expected, positive
and/or negative"
COSO 2004
"is the possibility that an
event will occur and
adversely affect the
achievement of objectives.
It can have negative
impact, positive impact, or
both"
Tabella 3.12 - Definizioni di rischio
Come si può facilmente osservare la maggior parte degli standard più recenti ha adottato
una definizione di rischio come piena espressione dell’incertezza, che contempla entrambi i
concetti di minaccia ed opportunità, sottolineando e valorizzando così il ruolo
dell’enterprise risk management nell’individuazione e nell’analisi di quei rischi che, a
seconda della natura e delle circostanze, potrebbero rappresentare vantaggi significativi per
la creazione e la massimizzazione del valore dell’impresa.
La tabella 3.2 invece illustra le diverse definizioni riguardanti i concetti di risk
management process e risk management framework, che spesso sono contenute nei testi
che supportano lo Standard di risk management vero e proprio.
CAPITOLO 3
134
Standards /
Definizioni Risk management process Risk management framework
BS6079-3
2000
"a systematic application of policies,
procedures, methods, and practices to the
tasks of identifying, analyzing, evaluating,
treating, and monitoring risk"
IEEE
1540:2001
"a continuous process for systematically
identifying, analyzing, treating, and
monitoring risk throughout the life cycle of a
product or service"
IRM/ALAR
M/IRMIC
2002
"is the process whereby organizations
methodically address the risks attaching to
their activities with the goal of achieving
sustained benefit within each activity and
across the portfolio of all activities"
AS/NZS
4360:2004
"the systematic application of management
policies, procedures and practices to the
tasks of communicating, establishing the
context, identifying, analyzing, evaluating,
treating, monitoring and reviewing risk"
"set of elements of an
organization’s management
system concerned with
managing risk"
ISO
31000:2009
/
CAN/CSA-
Q850:2010
"the systemic application of management
policies, procedures and practices to the
activities of communicating, consulting,
establishing the context, and identifying,
analyzing, evaluating, treating, monitoring
and reviewing risk"
"set of components that
provide the foundations and
organizational arrangements
for designing, implementing,
monitoring, reviewing and
continually improving risk
management throughout the
organization"
COSO 2004
"is a process, effected by an entity’s board
of directors, management and other
personnel, applied in strategy setting and
across the enterprise, designed to identify
potential events that may affect the entity,
and manage risk to be within its risk
appetite, to provide reasonable assurance
regarding the achievement of entity
objectives"
"defines enterprise risk
management and describes
principles and concepts,
providing direction for all
levels of management in
businesses and other
organizations to use in
evaluating and enhancing the
effectiveness of enterprise risk
management"
Tabella 3.2 – Definizioni di risk management process e risk management framework
CAPITOLO 3
135
Standards Testi a supporto degli Standards
BS6079-3
2000
Project Management - Vocabulary
Project Management - Guide to the management of business related
project risk
IEEE
1540:2001 IEEE/EIA 12207
IRM/ALARM
/ IRMIC 2002
ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in
standards
AS/NZS
4360:2004
ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in
standards
ISO
31000:2009
ISO Guide 73:2009, Risk management — Vocabulary
ISO/IEC 31010, Risk management — Risk assessment techniques
CAN/CSA-
Q850 2010
ISO Guide 73:2009, Risk management — Vocabulary — Guidelines for use
in standards
CAN/CSA-IEC 31010 Risk Management: risk assessment techniques
COSO 2004 COSO ERM - Application Techniques
Internal Control – Integrated Framework
Tabella 3.3 – Testi a supporto degli Standard di risk management
È dunque evidente che tutti gli Standards concordano nel sottolineare l’importanza del risk
management process come parte integrante dello strategic management, della cultura
d’impresa e dell’intera organizzazione e come processo sistematico, efficace ed efficiente
per garantire il raggiungimento degli obiettivi desiderati.
Per quanto riguarda la seconda definizione solo gli standard più recenti la contemplano e
risultano essere concordi nel sostenere che il framework di risk management è l’insieme di
elementi e modalità organizzative, incorporate all’interno delle politiche e delle pratiche
operative/strategiche dell’impresa, che contribuiscono alla progettazione, allo sviluppo, al
monitoraggio, alla revisione e al miglioramento continuo del processo di gestione dei rischi
a tutti i livelli dell’organizzazione, attraverso la definizione degli obiettivi, della risk
management policy, dei ruoli e delle responsabilità.
Analizzando invece lo scopo e il livello di applicazione, la tabella 3.4 illustra le differenti
prospettive degli Standards.
CAPITOLO 3
136
Standards Scopo Livello di
applicazione
BS6079-
3:2000
"This standard gives guidance on the identification
and control of business related risks encountered
when undertaking projects. It is applicable to a wide
spectrum of project organizations operating in the
industrial, commercial and public or voluntary sectors. It is
written for project sponsors and project manager. This
standard offers generic guidance only and it is not suitable
for certification or contractual purposes"
P
IEEE
1540:2001
"The purpose of this standard is to provide software
suppliers, acquirers, developers, and managers with a
single set of process requirements suitable for the
management of a broad variety of risks. This standard does
not provide detailed risk management techniques, but
instead focuses on defining a process for risk management in
which any of several techniques may be applied. It is for
adoption by an organization for application to all
appropriate projects or for use in an individual project"
P/O
IRM/ALARM
/ IRMIC 2002
"It was never intended to produce a prescriptive standard
which would have led to a box ticking approach nor to
establish a certifiable process. By meeting the various
component parts of this standard, albeit in different ways,
organizations will be in a position to report that they are in
compliance. The standard represents best practice against
which organizations can measure themselves"
O
AS/NZS
4360:2004
"This Standard provides a generic guide for managing risk
that may be applied to a very wide range of activities,
decisions or operations of any public, private or community
enterprise, group or individual"
O
ISO
31000:2009
"This International Standard provides principles and
generic guidelines on risk management. This International
Standard can be used by any public, private or community
enterprise, association, group or individual. Therefore, this
International Standard is not specific to any industry or
sector. This International Standard is not intended for the
purpose of certification"
O
CAPITOLO 3
137
CAN/CSA-
Q850 2010
"The purpose of this Standard is to enhance the practical
effectiveness and efficiency of risk management activity
across an organization, including helping to improve the
way risk is considered in decision-making. This Standard is
not intended for the purpose of certification"
O
COSO 2004
"This framework would be readily usable by managements
to evaluate and improve their organizations’ enterprise risk
management, providing key principles and concepts, a
common language, and clear direction and guidance"
O
Tabella 3.4 – Scopo e livello di applicazione degli Standards
Con la sola eccezione dello Standard britannico BS 6079:2000, gli altri risultano essere
d’accordo nel ritenere che gli standard da loro sviluppati forniscano linee guida e principi
generali che incoraggino e facilitino la realizzazione e lo sviluppo efficace ed efficiente
dell’enterprise risk management per un ampio range di organizzazioni, non limitandone
l’applicazione esclusivamente ai progetti, ma estendendola a tutte le sue attività.
Entrando nel dettaglio le tabelle seguenti illustrano le diverse fasi del processo di gestione
dei rischi e le tecniche di risk assessment comuni alla maggior parte degli Standards.
CAPITOLO 3
138
Ris
k
identifi
cation
Ris
k a
naly
sis
Ris
k
evalu
ation
Ris
k m
onitori
ng &
contr
ol of
risk
treatm
ent
actions
Ris
k m
onitori
ng
& c
ontr
ol of
RM
pro
cess
BS
6079-3
2000
3 T
he b
usi
ness
rela
ted p
roje
ct
risk
managem
ent
model
4.4
Mangin
g t
he
pro
cess
4.2
Identifi
cation o
f
risk
s and r
isk
managem
ent
scope
4.2
.1 G
enera
l
4.2
.2 B
usi
ness
level
goal se
ttin
g
4.2
.3 P
roje
ct
and
sub-p
roje
ct
goal/obje
ctive
sett
ing
AnnexC
4.3
Ris
k
identifi
cation
and s
trate
gy
4.3
.1 R
isk
model
cla
rifi
cation
4.3
.2 R
isk
analy
sis
4.3
.3 R
isk
evalu
ation
4.3
.4 R
isk
treatm
ent
4.3
.5Im
ple
menta
tio
n
4.3
.5
Imple
menta
tion
4.4
Managin
g t
he
pro
cess
Annex A
IEE
E 1
540:2
001
5.1
.1 P
lan a
nd
imple
ment
risk
managem
ent
5.1
.1.1
Est
ablis
h
risk
managem
ent
polic
ies
5.1
.1.2
Est
ablis
h
the r
isk
managem
ent
pro
cess
5.1
.1.3
Est
ablis
h
resp
onsi
bili
ty
5.1
.1.4
Ass
ign
reso
urc
es
5.1
.2 M
anage t
he
pro
ject
risk
pro
file
5.1
.2.1
Defi
ne t
he
risk
managem
ent
conte
xt
(technic
al
and m
anageri
al
obje
ctives,
ass
um
ptions
and
const
rain
ts)
5.1
.2.2
Est
ablis
h
risk
thre
shold
s:
cri
teri
a o
f
accepta
bili
ty o
f a
risk
5.1
.2.3
Est
ablis
h
and m
ain
tain
pro
ject
the r
isk
pro
file
5.1
.3.1
. R
isk
identifi
cation
5.1
.3.2
Ris
k
est
imation
5.1
.3.3
Ris
k
evalu
tation
5.1
.4 P
erf
orm
ris
k
treatm
ent
5.1
.4.1
Sele
ctiong
risk
tre
atm
ent
5.1
.4.2
Ris
k
treatm
ent
pla
nnin
g
and im
ple
menta
tion
5.1
.5 P
erf
orm
ris
k
monitori
ng
5.1
.5.1
Monitor
risk
5.1
.5.2
Monitor
risk
treatm
ent
5.1
.5.3
Seek n
ew
risk
s
5.1
.6 E
valu
ate
the R
M p
rocess
5.1
.6.1
Captu
re
RM
info
rmation
5.1
.6.2
Ass
ess
and
impro
ve R
M
pro
cess
5.1
.6.3
Genera
te
less
ons
learn
ed
Annex A
Annex B
Annex C
Ris
k r
eport
ing
&
Com
munic
ation
Sta
ndard
s/F
asi
del pro
cess
o d
i
risk
managem
ent
Ris
k a
ssess
ment
Ris
k m
onitori
ng &
contr
ol
Pia
nif
icazi
one d
el
pro
cess
o d
i ri
sk
managem
ent
Defi
niz
ione d
el
conte
sto inte
rno e
d
est
ern
o e
degli
obie
ttiv
i
Ris
k t
reatm
ent
CAPITOLO 3
139
Ris
k
identifi
cation
Ris
k a
naly
sis
Ris
k
evalu
ation
Ris
k m
onitori
ng &
contr
ol of
risk
treatm
ent
actions
Ris
k m
onitori
ng
& c
ontr
ol of
RM
pro
cess
BS
6079-3
2000
3 T
he b
usi
ness
rela
ted p
roje
ct
risk
managem
ent
model
4.4
Mangin
g t
he
pro
cess
4.2
Identifi
cation o
f
risk
s and r
isk
managem
ent
scope
4.2
.1 G
enera
l
4.2
.2 B
usi
ness
level
goal se
ttin
g
4.2
.3 P
roje
ct
and
sub-p
roje
ct
goal/obje
ctive
sett
ing
AnnexC
4.3
Ris
k
identifi
cation
and s
trate
gy
4.3
.1 R
isk
model
cla
rifi
cation
4.3
.2 R
isk
analy
sis
4.3
.3 R
isk
evalu
ation
4.3
.4 R
isk
treatm
ent
4.3
.5
Imple
menta
tion
4.3
.5
Imple
menta
tion
4.4
Managin
g t
he
pro
cess
Annex A
IEE
E 1
540:2
001
5.1
.1 P
lan a
nd
imple
ment
risk
managem
ent
5.1
.1.1
Est
ablis
h
risk
managem
ent
polic
ies
5.1
.1.2
Est
ablis
h
the r
isk
managem
ent
pro
cess
5.1
.1.3
Est
ablis
h
resp
onsi
bili
ty
5.1
.1.4
Ass
ign
reso
urc
es
5.1
.2 M
anage t
he
pro
ject
risk
pro
file
5.1
.2.1
Defi
ne t
he
risk
managem
ent
conte
xt
(technic
al
and m
anageri
al
obje
ctives,
ass
um
ptions
and
const
rain
ts)
5.1
.2.2
Est
ablis
h
risk
thre
shold
s:
cri
teri
a o
f
accepta
bili
ty o
f a
risk
5.1
.2.3
Est
ablis
h
and m
ain
tain
pro
ject
the r
isk
pro
file
5.1
.3.1
. R
isk
identifi
cation
5.1
.3.2
Ris
k
est
imation
5.1
.3.3
Ris
k
evalu
tation
5.1
.4 P
erf
orm
risk
tre
atm
ent
5.1
.4.1
Sele
ctiong r
isk
treatm
ent
5.1
.4.2
Ris
k
treatm
ent
pla
nnin
g a
nd
imple
menta
tion
5.1
.5 P
erf
orm
ris
k
monitori
ng
5.1
.5.1
Monitor
risk
5.1
.5.2
Monitor
risk
treatm
ent
5.1
.5.3
Seek n
ew
risk
s
5.1
.6 E
valu
ate
the R
M p
rocess
5.1
.6.1
Captu
re
RM
info
rmation
5.1
.6.2
Ass
ess
and
impro
ve R
M
pro
cess
5.1
.6.3
Genera
te
less
ons
learn
ed
Annex A
Annex B
Annex C
IRM
/AL
AR
M/I
RM
IC 2
002
9 T
he s
tructu
re
and a
dm
inis
tration
of
risk
managem
ent
pro
cess
4.1
Ris
k
identifi
cation
4.2
Ris
k
desc
ription
4.3
Ris
k
exst
imation
5 R
isk
evalu
ation
7 R
isk
treatm
ent
8 M
onitori
ng a
nd
Revie
w o
f th
e
Ris
k
Managem
ent
Pro
cess
6 R
isk r
eport
ing &
Com
munic
ation
Ris
k r
eport
ing &
Com
munic
ation
Sta
ndard
s/F
asi
del pro
cess
o d
i
risk
managem
ent
Ris
k a
ssess
ment
Ris
k m
onitori
ng &
contr
ol
Pia
nif
icazi
one d
el
pro
cess
o d
i ri
sk
managem
ent
Defi
niz
ione d
el
conte
sto inte
rno e
d
est
ern
o e
degli
obie
ttiv
i
Ris
k t
reatm
ent
CAPITOLO 3
140
Tabelle 3.5 a, b, c – Confronto tra le diverse fasi del processo di enterprise risk management
Ris
k
identifi
cation
Ris
k a
naly
sis
Ris
k
evalu
ation
Ris
k m
onitori
ng &
contr
ol of
risk
Ris
k m
onitori
ng
& c
ontr
ol of
RM
CA
N/C
SA
-Q850
2010
Fra
mew
ork
for
managin
g r
isk
4.1
Genera
l
4.2
Mandate
and
com
mitm
ent
4.3
Desi
gn o
f
fram
ew
ork
for
managin
g r
isk
4.4
Im
ple
menting
risk
managem
ent
5.2
.3.1
Sta
kehold
er
identifi
cation
5.2
.3.2
Sta
kehold
er
analy
sis
5.2
.3.3
Sta
kehold
er
regis
ter
5.3
Est
ablis
hin
g t
he
Conte
xt
5.4
.2 R
isk
identifi
cation
pro
cess
5.4
.3 R
isk
analy
sis
pro
cess
5.4
.4 R
isk
evalu
ation
pro
cess
5.5
Ris
k
treatm
ent
5.6
Monitor
and
revie
w
5.7
Record
ing t
he r
isk
managem
ent
pro
ccess
5.2
Ris
k c
om
munic
ation
and c
onsu
ltation
5.2
.2.1
Facto
rs
infl
uencin
g a
ris
k
com
munic
ation p
lan
5.2
.2.2
Channels
of
risk
com
munic
ation
CO
SO
2004
2 I
nte
rnal
Envir
om
ent
10 R
ole
and
resp
osi
bili
ties
3 O
bje
ctive s
ett
ing
4 E
vent
identifi
cation
5 R
isk
ass
ess
ment
5 R
isk
ass
ess
ment
6 R
isk
resp
onse
7 C
ontr
ol activitie
s
9 M
onitori
ng
9 M
onitori
ng
8 I
nfo
rmation a
nd
com
munic
ation
Ris
k m
onitori
ng &
contr
ol
Ris
k r
eport
ing &
Com
munic
ation
Sta
ndard
s/F
asi
del pro
cess
o d
i
risk
managem
ent
Pia
nif
icazi
one d
el
pro
cess
o d
i ri
sk
managem
ent
Defi
niz
ione d
el
conte
sto inte
rno e
d
est
ern
o e
degli
obie
ttiv
i
Ris
k a
ssess
ment
Ris
k t
reatm
ent
CAPITOLO 3
141
Assumption analysis
Benchmarking
Bow tie analysis
Brainstorming
Business impact analysis
Cause and effect
analysis
Cash flow at risk
Checklists
Cause and consequence
analysis
Consequence/probability
analysis
Cost/benefit analysis
Delphi technique
Decision tree
Event tree analysis
Environmental risk
assessment
Earning at risk
Examination of past risk
experience in similar
organizations
Examination of past risk
experience in the
organization
Expert opinion
Failure mode effect
analysis
Fault tree analysis
Hazard and operability
studies
Hazard analysis and
critical control
Human reliability
analysis
Markov analysis
Monte Carlo simulation
Primary hazard analysis
Process flow analysis
Prompt lists
Questionnaires
Root cause analysis
Risk indices
Risk maps
Scenario analysis
Sensitivity analysis
SWIFT
Structured or semi-
structured interviews
Value at risk
Tabella 3.6 – Tecniche più diffuse di risk assessment
Osservando le tabelle possiamo certamente dire che esiste un consenso diffuso circa le fasi
che dovrebbero comporre il processo di risk management e le apparenti divergenze possono
essere quindi imputate a variazioni nell’uso della terminologia.
È importante sottolineare che tutti gli standard presentano nella parte iniziale del testo una
descrizione attenta e dettagliata dei benefici derivanti dall’applicazione di un tale approccio
strutturato.
La maggior parte di loro inoltre prevede alcuni elementi/componenti aggiuntivi rispetto alle
fasi principali del processo di gestione dei rischi, come ad esempio il reporting e la
collaborazione con i diversi stakeholders, la necessità di definire obiettivi, strategie e di
individuare i fattori, interni ed esterni, che potrebbero interagire con essi.
Tuttavia non tutti sembrano identificare chiaramente ruoli e responsabilità e una struttura di
supporto per l’implementazione.
CAPITOLO 3
142
Alcuni infatti concentrano l’attenzione sul processo stesso di risk management e sulla
misura dell’efficacia delle strategie di trattamento, trascurando invece la sua gestione dal
punto di vista puramente organizzativo e la valutazione della sua efficacia.
Inoltre solamente il COSO dedica un capitolo alle limitazioni dell’Enterprise Risk
Management, sottolineando il fatto che questi non possa assicurare con certezza il
raggiungimento degli obiettivi, a causa di fattori che sfuggono al controllo
dell’organizzazione e del sistema.
Per concludere la tabella seguente evidenzia le questioni su cui ciascuno Standard ha posto
particolare enfasi.
Standards Enfasi
BS6079-3 2000 * Communication in risk management (Annex A)
* Role of stakeholders analysis and risk perception (Annex C, Annex D)
IEEE 1540:2001 * Risk communication and reporting tramite risk management plan, risk
action request, risk treatment plan (Annex A, Annex B, Annex C)
IRM/ALARM/IRM
IC 2002
* Reporting e comunicazione del rischio (7)
* La struttura e l'amministrazione del risk management (8)
AS/NZS 4360:2004 * Communicate and consult (3.1)
* Integration of the risk management process in the organisation (4)
ISO 31000:2009 * Framework (4)
* Communication and consultation (5.2)
CAN/CSA-Q850
2010
* Framework for managing risk (4)
* Risk communication and consultation (5.2)
* Stakeholder identification and analysis (5.2.3)
COSO 2004 * Information and communication (9)
* Roles and responsibilities (10)
Tabella 3.7 – Questioni di rilievo nei differenti standards
Grande importanza, innanzitutto, sembra essere data alla fase di individuazione e analisi
degli stakeholders e delle loro percezioni, grazie alle quali l’organizzazione è in grado di
identificare più facilmente e comprendere in modo più approfondito i rischi, e soprattutto le
opportunità, che potrebbero presentarsi, al fine di evidenziare quali, tra le diverse strategie
CAPITOLO 3
143
a disposizione, siano le più adatte per essere allineate con gli obiettivi precedentemente
definiti.
In aggiunta a questo, viene dato grande valore alla comunicazione, top-down e bottom-up,
interna ed esterna, come meccanismo essenziale ed efficace per garantire la diffusione di
una cultura del rischio e il successo del processo di gestione dei rischi.
È necessario sottolineare che tutto ciò costituisce un grande passo avanti rispetto al
Traditional risk management, poiché ciascuno Standard invita a prendere in considerazione
i fattori umani e psicologici come fonti certe di rischio.
L’obiettivo comune sembra dunque essere quello di enfatizzare la progettazione e lo
sviluppo di un processo pienamente integrato e funzionale, che supporti in modo continuo
l’organizzazione nell’individuazione, comprensione e gestione di tutti i rischi che
potrebbero interessarla.
3. Conclusioni
Alla luce delle precedenti considerazioni possiamo concludere che, sebbene in ogni caso via
sia un ampio consenso circa le fasi principali e le attività del processo di gestione dei rischi,
non vi è ancora un testo completo che combini non solo i migliori elementi delle norme e
procedure già esistenti, ma che fornisca anche una trattazione ampia e completa delle
questioni relative all’istituzione di tale processo e alla definizione di una struttura di
supporto adeguata.
Va tuttavia precisato che gli standard che appaiono essere più completi ed esaurienti, sotto
ogni punto di vista, sono senza dubbio l’ISO 31000 e il COSO Enterprise Risk Management
- Integrated Framework.
Sebbene a prima vista possano sembrare molto distanti ad un’analisi più attenta presentano
alcuni punti di contatto.
Entrambi infatti insistono prima di tutto sulla necessaria presenza di un processo di gestione
del rischio comune e facilmente accessibile da tutti gli elementi di un’organizzazione, a
partire dal senior management fino ai livelli operativi, dove una comunicazione aperta e una
chiara allocazione di ruoli e responsabilità divengono strumenti essenziali per garantire un
flusso adeguato di informazioni e assicurare l’efficacia del processo di risk management.
Ambedue inoltre concordano nel riconoscere che la decisione del Management circa la
migliore soluzione da adottare non deve prescindere dalla valutazione del contesto in cui si
CAPITOLO 3
144
trova l’impresa e soprattutto delle diverse prospettive che la caratterizzano, in quanto
drivers fondamentali nella scelta dell’adozione di un determinato modello di ERM.
Infine è comune l’idea che l’implementazione di un framework debba supportare a risk-
taking ethic, deve cioè essere in grado di dotare l’organizzazione dei mezzi necessari per
deviare i comportamenti verso una logica proattiva e non più reattiva, attraverso ad esempio
lo sviluppo di codici etici o la diffusione di una cultura del rischio.
Tuttavia, per offrire un giudizio completo, è necessario valutare anche le principali
differenze che li caratterizzano.
Il COSO si configura come una direttiva complessa e articolata che molte organizzazioni
hanno trovato difficile da attuare. Essa fornisce un framework preciso e molto dettagliato,
con tutte le informazioni necessarie ad un’organizzazione che intende implementare l’ERM
in base alla sua specifica attività, al contesto governativo e alle esigenze di informazione dei
responsabili organizzativi.
Le difficoltà riscontrate dai gestori di rischio tradizionali sono imputabili per lo più al fatto
che il COSO pone l’attenzione sui controlli interni e sulla compliance, essendo derivato
principalmente dall’Audit, e dunque dal lavoro di auditors, accountants ed esperti
finanziari.
L’ISO 31000 al contrario fornisce un approccio più snello e è più facile da integrare proprio
perché realizzato da management practitioners e international standards experts. Esso “is
based on a management process, and through tailoring the process for each organization, it
integrates into existing management and strategic initiatives” (ISO31000, 2009).
Inoltre, a differenza del COSO in cui il più delle volte attuatori e revisori del framework
coincidono con il team di Internal Audit, l’ISO 31000 prevede che sia la funzione di
controllo, diversa da quella di RM che invece si occupa di implementare tale processo, ad
eseguire in modo indipendente il monitoraggio e il riesame di tutte le procedure seguite.
Come affermato in precedenza, il modello proposto dal COSO risulta essere compliance
based e predilige un approccio alla gestione di tipo top-down. Ciò deriva dal fatto che
questo modello affonda le proprie origini nel framework accountancy based statunitense,
dove l’attenzione viene posta soprattutto sui rischi di compliance aziendale e le prospettive
più importanti sembrano essere quelle del CEO e del CFO, soggetti coinvolti e responsabili
in prima persona di una corretta gestione dei rischi, come previsto dalla SOX13.
13 La Sarbanes-Oxley Act, conosciuta anche con il nome di Public Company Accounting Reform and
Investor Protection Act of 2002 e comunemente chiamata Sarbanes-Oxley, Sarbox (o semplicemente
CAPITOLO 3
145
Il framework proposto dall’ISO invece è più di natura generica e può dunque essere
utilizzato per supportare un approccio top-down o bottom-up. Il flusso di informazioni dal
basso verso l'alto infatti è importante tanto quanto quello contrario, in quanto assicura il
massimo risultato di gestione e l’ottimizzazione delle analisi di rischio condotte a livello di
enterprise.
Dall’analisi condotta si evince che la forza dello standard ISO è tuttavia anche la sua più
grande debolezza. Proprio poiché si tratta di un framework generico infatti, le
organizzazioni possono ritenere che lo sforzo necessario, in termini di tempo e denaro, per
definirlo e attuarlo al meglio sia oltremodo eccessivo. Come risultato di ciò quindi, le
imprese, soprattutto quelle che rientrano in un contesto in cui viene data molta enfasi alla
corporate compliance, possono vedere nel COSO una scelta migliore, sebbene rappresenti
un modello maggiormente prescrittivo e vincolante.
SOX) è una legge federale emanata nel luglio 2002 dal governo degli Stati Uniti d'America a seguito dei
diversi scandali contabili che hanno coinvolto importanti aziende americane. La legge mira ad intervenire
per chiudere alcuni falle nella legislazione, al fine di migliorare la corporate governance e garantire la
trasparenza delle scritture contabili, agendo tuttavia anche dal lato penale, con l'incremento della pena nei
casi di falso in bilancio. Viene inoltre aumentata la responsabilità degli auditor all'atto della revisione
contabile.
CAPITOLO 4
146
Capitolo 4
Best practices di Enterprise Risk
Management
1. Introduzione
La letteratura accademica incentrata sulla disciplina dell’enterprise risk management si
concentra su due aspetti principali: l'analisi dei fattori che influenzano l'adozione dell’ERM
e dei suoi effetti sulle prestazioni delle imprese. Tuttavia non sono ancora stati effettuati
studi finalizzati a proporre modelli robusti e rigorosi attraverso i quali valutare la qualità, o
la maturità, dei programmi ERM attuati dalle imprese. Tale capitolo dunque si propone
l’obiettivo di individuare le best practices per un’implementazione efficace di questa
disciplina, attraverso l’analisi non solo della letteratura accademica, ma anche delle
relazioni e degli articoli scritti da professionisti e società di consulenza e degli standard di
ERM descritti nel secondo capitolo.
Dagli studi effettuati si evidenzia che le best practices possono essere suddivise in tre aree
principali:
i. cultura del rischio (risk culture);
ii. organizzazione;
iii. processo.
2. Best practices di Enterprise Risk Management
2.1. Risk culture
La cultura del rischio può essere definita “as the norms and traditions of behavior of
individuals and of groups within an organization that determine the way in which they
identify, understand, discuss, and act on the risks the organization confronts and the risks it
takes” (Farrel e Hoon, 2009; IIF, 2009; Abrahim, Henry e Keith, 2012). Sulla base di questa
definizione, essa influenza dunque le decisioni a tutti i livelli di un'organizzazione e,
attraverso tali decisioni, esprime i valori dell'azienda (IIF, 2009).
La Committee on Market Best Practice (CMBP) afferma che “a robust and pervasive risk
culture throughout the firm is essential. This risk culture should be embedded in the way of
CAPITOLO 4
147
the firm operates and cover all areas and activities, with particular care not to limit risk
management to specific business areas or to restrict its mandate only to internal control”
(IIF, 2009).
La necessità delle organizzazioni di possedere e sviluppare una forte cultura di ERM,
dipende dall’evoluzione della disciplina di RM, che passa da una gestione specifica dei
rischi, ad opera di un piccolo reparto o di un gruppo specializzato di professionisti, ad un
processo complesso per il raggiungimento degli obiettivi strategici che coinvolge l’intera
organizzazione (Abrahim, Henry e Keith, 2012; IRM, 2012).
La cultura è un valore che ha un impatto sulle decisioni di business (Brooks, 2010a) e
determina il modo in cui l'organizzazione identifica, comprende, discute e agisce sui rischi
cui è esposta (IIF, 2009), influenzando le decisioni del management e dei dipendenti, più o
meno consapevolmente, e pesando vantaggi ed oneri (Farrell e Hoon, 2009).
Essa si configura quindi come elemento critico necessario per garantire il successo delle
procedure di ERM. Di conseguenza, le organizzazioni che non possiedono una cultura del
rischio non riescono a raccogliere i frutti di un programma di ERM funzionale ed efficace,
poiché infatti la risk culture è un prodotto di valori e comportamenti condivisi che viene a
mancare nel momento in cui tutti i soggetti all’interno dell’organizzazione non collaborano
nella gestione dei rischi e per raggiungimento degli obiettivi strategici, ma lavorano in silos,
generando inefficienze (Abrahim, Henry e Keith, 2012).
Come prova di ciò, un recente sondaggio della KPMG (2010) ha evidenziato che quasi la
metà degli intervistati ha citato la risk culture come uno dei fattori che ha contribuito alla
recente crisi, affermando che quelle istituzioni finanziarie che presentavano una forte
cultura del rischio si erano sicuramente trovate in un situazione migliore rispetto alle altre.
Ed è proprio a seguito di questa crisi che il regolatore ha esplicitamente imposto il
miglioramento della cultura aziendale, come requisito fondamentale per un cambiamento
efficace.
Lo stesso risultato è stato ottenuto dalla AON (2010) che ha condotto un’indagine circa i tre
elementi fondamentali dell'ERM: strategia, risorse e cultura. Il 64% degli intervistati ha
ritenuto che l'inserimento di una cultura di risk management fosse una componente chiave
nell’implementazione dell’ERM, mentre un 45% ha affermato che tale elemento è stato
considerato in tutto un processo di attuazione del framework di ERM, sebbene rimangano
comunque molte le organizzazioni hanno dichiarato di averlo spesso ignorato e non
considerato come una priorità aziendale.
CAPITOLO 4
148
Una review della letteratura e della storia recente suggerisce che le carenze in questo ambito
dipendono in particolare da alcuni fattori prevedibili. Il mancato rispetto per il rischio, che
talvolta si presenta durante il periodo di ripresa dei mercati sotto forma di over-confidence,
causando un senso di superiorità e immunità al rischio che spinge il soggetto a prendere
decisioni consapevoli, ignorando la propensione al rischio dell’impresa, può causare gravi
danni alla risk culture e all’organizzazione stessa (IIF, 2009).
Per non parlare dell’atteggiamento passivo e dell’indifferenza, frutto talvolta di una
struttura eccessivamente gerarchica, che porta le persone a non reagire ai segnali evidenti di
sviluppo del rischio, e dell’ignoranza, causata in particolar modo da una scarsa
comprensione del risk environment, da una comunicazione inefficace e da una mancata
precisa assegnazione di ruoli e responsabilità (IIF, 2009).
Le organizzazioni in cui la cultura del rischio è invece fortemente presente hanno un
approccio di gestione coerente e integrato all’interno del processo decisionale strategico,
che coinvolge attivamente i membri del Board e di tutta l’organizzazione, affinché essi
comprendano le interrelazioni e gli impatti dei rischi (Beasley e Frigo, 2007; Farrel e Hoon,
2009; IIF, 2009; Brooks, 2010a; Shenkir e Walker, 2011).
L’ERM Culture Alignment rafforza l'integrazione di processi di formulazione e di
esecuzione delle strategie con l’implementation planning dell'ERM e può diventare un
fattore chiave per generare maggiore valore per gli azionisti e garantire la sostenibilità
competitiva (Abrahim, Henry e Keith, 2012).
È fondamentale rendersi conto che il senior management è responsabile della qualità, dei
punti di forza e di debolezza della cultura dell'impresa, che richiede un impegno importante.
È ovvio quindi che il Management “should take an active interest in the quality of the firm’s
risk culture, that should be actively tested and objectively challenged in a spirit of fostering
greater resilience and encouraging continuous improvement, reflecting the strategic aims of
the organization” (IIF, 2009).
Sebbene non sempre sia possibile, le organizzazioni dovrebbero assicurarsi attraverso la
supervisione dei partner strategici che, insieme al Board e al Management, anche questi
condividano la stessa cultura del rischio o per lo meno operino all’interno dei propri
standard di rischio. Un’impresa deve perciò condividere i principi guida di gestione dei
rischi con i fornitori o partner che potrebbero facilmente influenzarne il processo
decisionale.
CAPITOLO 4
149
La robustezza della risk culture non è un concetto intangibile infatti, ma può essere misurato
e determinato valutando il livello di coerenza che le decisioni sul rischio hanno con le
politiche e il profilo di rischio desiderato dell'organizzazione (Damodoran, 2008; Brooks,
2010a). Nel processo decisionale infatti, vi è una considerazione attiva dei potenziali
benefici e delle perdite derivanti dall’accettazione dei rischi. Questa considerazione
permette ai decisori di determinare strategie migliori e allinearle con le politiche e il profilo
di rischio desiderato dell'organizzazione che in ultima analisi contribuisce al rafforzamento
della cultura del rischio (Brooks, 2010a).
Deloitte (2012) ha sviluppato un approccio per supportare le imprese nella valutazione e
nella misurazione della propria cultura del rischio. Il framework si compone di sedici
indicatori organizzati in quattro macro categorie di risk culture influencers: risk
competence, che comprende le conoscenze, le skills e l’apprendimento, motivations,
relationship e infine organization.
CAPITOLO 4
150
Figura 4.1 – Deloitte risk culture framework [Deloitte, Cultivating a risk intelligent culture, 2012,
pag.3]
CAPITOLO 4
151
Il focus iniziale dell’organizzazione dovrebbe quindi essere posto sulla costruzione di una
consapevolezza culturale forte, soprattutto attraverso la comunicazione e l'educazione. Una
volta dunque sviluppato un adeguato livello di cultura del rischio, il processo di
perfezionamento dovrà in ogni caso continuare per riflettere i cambiamenti in atto nella
strategia aziendale.
Figura 4.2 – Road map for continuous cultural improvement [Deloitte, Cultivating a risk intelligent
culture, 2012, pag.4]
Avere una forte risk culture, costruita nel tempo, ispirata e incoraggiata dal Board, dalle
azioni del Management e da una comunicazione costante circa l'etica e la gestione del
rischi, permette dunque a tutti i soggetti di comprendere quali siano i confini entro i quali
operare per perseguire gli obiettivi strategici a lungo termine stabiliti (Deloitte, 2012).
I diversi aspetti che caratterizzano una solida e well-developed cultura del rischio
riguardano quindi:
CAPITOLO 4
152
Board of Directors and Top Management commitment: “Boards indicate that this
evolving embrace of a more holistic view of risks affecting an enterprise is strengthening
their understanding of risks” (Beasley e Frigo, 2007). Un team di gestione che
attribuisce importanza alla cultura del rischio è essenziale per creare e diffondere la
stessa in tutta l'azienda. Infatti la sola funzione di gestione del rischio da sola non basta,
ma è la leadership che deve rappresentare il vero motore del cambiamento (IIF, 2009).
La definizione proposta dal COSO (2004), secondo cui “enterprise risk management is a
process, effected by the entity’s board of directors, management, and other personnel,
applied in strategy setting and across the enterprise, designed to identify potential events
that may affect the entity, and manage risk to be within the risk appetite, to provide
reasonable assurance regarding the achievement of entity objectives”, sottolinea che
l’ERM, e quindi la cultura del rischio, debbano essere guidati dall’alto, poiché sono il
consiglio di amministrazione e dirigenti ad impostare il tono e la direzione della gestione
aziendale del rischio, in quanto direttamente correlata alla definizione della strategia e
funzionale alla creazione di valore e al raggiungimento degli obiettivi (Beasley e Frigo,
2007).
Gli atteggiamenti comunicati dal Consiglio di Amministrazione e dal senior management
costituiscono chiaramente un fattore critico, poiché vengono presi come modello dal
resto dell'organizzazione (IIF,2009). Le dichiarazioni di valori etici e di una forte
attitudine verso la gestione del rischio sono importanti, ma costituiscono di per sé il
"tone at the top" (Brooks, 2010a; IIF, 2009; Farrel e Hoon, 2009). Sono invece le
decisioni e le azioni che l’azienda mette in atto, piuttosto che le semplici esortazioni, che
riflettono realmente la cultura del rischio.
Il Board e il Management dovranno essere vigili, poiché la cultura del rischio, sia
all'interno di un determinato ufficio o linea di business o l'impresa nel suo complesso, è
facilmente influenzabile da personalità forti che ricoprono posizioni di rilievo.
Questo dunque è uno dei principali motivi per cui la creazione e il rafforzamento della
funzione di risk management, e più nello specifico di una struttura dedicata alla risk
culture, sono così critici (IIF, 2009; Fraser e Simkins, 2010).
Ed è per questo che il senior management deve imporsi e fare tutto il possibile per
trasmettere l'importanza del rischio e di altri servizi di controllo nell'organizzazione.
L’indagine condotta da Ernst & Young (2010) dimostra che le imprese sono consapevoli
dell'importanza del “tone at the top” come strumento efficace per diffondere la cultura
CAPITOLO 4
153
del rischio e stanno gradualmente modificando pratiche e procedure per aumentare la
considerazione del risk management in azienda.
Le azioni del Consiglio di Amministrazione e del senior management dovrebbero essere
volte garantire, in ultima analisi, l’esistenza di una solida cultura del rischio, la quale
dovrà essere sostenuta soprattutto nei periodi di crescita dei mercati (IIF, 2009). Spetta
infatti al Management assicurarsi che processi adeguati e i dovuti controlli vengano
eseguiti, anche quando le condizioni di mercato creano un apparente basso rischio, e che
la gestione del rischio non venga sopraffatta e messa da parte (COSO, 2004; IIF, 2009;
Zurich e HBRAS, 2012);
Clear definition and communication of an ERM policy: creare una solida cultura del
rischio significa innanzitutto formulare una enterprise risk management policy e
comunicarla in modo chiaro e preciso a tutti i dipendenti (Cendrowski e William, 2009).
La politica risk management, definita all’interno di un ERM policy statement, dovrebbe
indicare chiaramente la logica dell’organizzazione per la gestione del rischio, i
collegamenti con gli obiettivi e le politiche dell'organizzazione, le responsabilità,
l'impegno a rendere disponibili le risorse necessarie, le modalità di misura delle
prestazioni del processo e l’impegno a rivedere e migliorare la politica e il framework di
gestione del rischio periodicamente e in risposta a un evento o ad un cambiamento delle
circostanze (Moeller, 2007). Fraser e Simkins (2010) suddividono questo documento in
tre diverse parti. La prima presenta il quadro generale di ERM, facendo riferimento al
contesto entro cui tale framework viene implementato, all'approccio dell'organizzazione
alla gestione dei rischi, ai processi e alla terminologia da seguire, alle procedure per il
miglioramento continuo del quadro di gestione, nonché ai ruoli e alle responsabilità e ai
meccanismi di controllo e reporting (Fraser e Simkins, 2010). La seconda fa riferimento
alla definizione del risk appetite e dei risk criteria attraverso i quali l’organizzazione
valuta e sceglie l’ammontare totale di rischio che è disposta ad accettare, mentre la terza
si focalizza sul Commitment, sulla responsabilità e sulla tempistica di monitoring e
review delle politiche stesse al fine di garantirne l’aggiornamento continuo (Fraser e
Simkins, 2010). Tale documento dunque risulta essere lo strumento migliore per
comunicare efficacemente le aspettative dell’organizzazione a tutti coloro che potrebbero
essere fonti di rischio (Fraser e Simkins, 2010). Il management, tuttavia, non si limiterà
alla semplice definizione e comunicazione dell’ERM policy, ma dovrà fare particolare
attenzione all’individuazione di eventuali violazioni e alla loro correzione, attraverso
CAPITOLO 4
154
opportuni sistemi di segnalazione e punizione delle stesse (Cendrowski e William, 2009;
Fraser e Simkins, 2010);
Definition of risk appetite and of an explicit risk-appetite statement: il report della
CMBP definisce il risk appetite come "a firm’s view of how strategic risk-taking can
help achieve business objectives while respecting constraints to which the organization
is subject" (IIF, 2009) e stabilisce i limiti per l'assunzione di rischi, assicurando che
l’azienda li rispetti (Chase-Jenkins e Farr, 2008). Estendendo tale definizione anche
all’ambito operativo, la propensione al rischio definisce la quantità totale e la tipologia di
rischio che una società è in grado o è disposta ad accettare per perseguire i propri
obiettivi di business. In tal modo un chiaro e preciso statement di risk appetite può agire
sia come strumento di gestione e controllo del rischio, sia come driver di business attuale
e futuro (IIF, 2009).
È chiaro quindi che il concetto di propensione al rischio implica necessariamente quello
di risk tolerance (oggetto del punto successivo) e di risk capacity, inteso come la
quantità massima di rischio che un’impresa può ragionevolmente supporre di potersi
assumere sulla sua base del capitale, della liquidità, della capacità di indebitamento che
possiede e dei vincoli normativi esistenti (Barfield, 2007; IIF, 2009).
Un’impresa infatti, prima ancora di definire il proprio risk appetite, deve valutare, sulla
base del calcolo della propria capacità di rischio, un’adeguata riserva (buffer) da poter
sfruttare in particolari situazioni di stress economico (IIF,2009).
Il management si troverà quindi a dover identificare, misurare i rischi e valutare di
conseguenza il risk appetite attraverso la combinazione di misure quantitative e
qualitative. L’utilizzo di entrambe le misure dipende dal fatto che l’articolazione del risk
appetite è molto complessa, poiché richiede il bilanciamento di molti punti di vista, che
nella maggior parte dei casi non possono essere tradotti in misure puramente quantitative
(Barfield, 2007; IIF, 2009; Segal, 2011).
Nella maggior parte dei casi un approccio top-down è di solito la soluzione migliore per
iniziare ad affrontare il problema della definizione della propensione al rischio. Un
approccio top-down rende le esigenze dei diversi stakeholder esterni esplicite e stimola il
dibattito nel team esecutivo e coinvolge lo stesso Consiglio di Amministrazione, che
riesce a valutare in modo completo i diversi punti di vista e le tipologie di rischio
identificate (Barfield, 2007). Un approccio di tipo bottom-up invece tende ad approvare
CAPITOLO 4
155
lo status quo e il profilo di rischio esistente, fornendo spesso una visione passiva della
propensione al rischio attuale oggi piuttosto che una proattiva (Barfield, 2007).
Una definizione efficace della propensione al rischio richiede infatti di stabilire dei limiti
a livello top per ogni tipo di rischio, declinandoli successivamente a cascata su tutti i
livelli dell’organizzazione (Barfield, 2007; Ernst & Young, 2010; Rittemberg e Martens,
2012).
Detto ciò è importante sottolineare che il risultato di tale processo non è una
dichiarazione dell’ammontare massimo di rischio che l’impresa potrebbe prendere su di
sé, ma piuttosto rappresenta una ragionevole guida per un’assunzione prudente del
rischio (IIF, 2009).
Nel contesto post- crisi, diviene dunque essenziale avere chiaro in anticipo quale sia il
livello di rischio accettabile. E sono le imprese stesse a riconoscere la necessità della
definizione di un explicit risk appetite, che sia oggetto di una rivalutazione e di un
monitoraggio continuo.
Un'azienda deve avere in atto processi che garantiscano costantemente che l'assunzione
di rischi sia commisurata alla propensione al rischio stabilita dal senior management e
dal Consiglio di Amministrazione. È qui che si inserisce il risk profile come valutazione
point-in-time che confronta l'esposizione reale o attuale con i limiti e le tolleranze
stabilite, per permettere all’alta dirigenza di rivedere il proprio profilo di rischio e
verificare se talune attività necessitino di ulteriori controlli o nuovi orientamenti (IIF,
2009).
Figura 4.3 – Overview of considerations affecting Risk Appetite [Rittenberg, Martens, Understanding
and Communicating Risk Appetite, 2012, pag.4]
CAPITOLO 4
156
È facile dunque comprendere che il risk appetite è una componente molto dinamica, che
necessita di continue rivalutazioni e modifiche, affinché rifletta sempre il contesto
economico attuale, i requisiti normativi richiesti (ad esempio requisiti di capitale o di
liquidità) e il modello di business delineato, anche e soprattutto di fronte a perdite
inattese o guasti (IIF, 2009; Rittenberg e Martens, 2012).
La propensione al rischio rappresenta dunque un elemento critico del programma di
ERM per qualsiasi azienda. Se definito bene, si traduce in sofisticate metriche e metodi
di gestione del rischio complessivo in limiti pratici, che guidano così le decisioni di
business e la creazione di una struttura per la segnalazione dei rischi (COSO, 2004;
Barfield, 2007; Chase-Jenkins e Farr, 2008). Il risk appetite framework definisce infatti i
confini che formano un collegamento dinamico tra strategia, definizione di obiettivi e
gestione del rischio, fondamentale per l'adozione dell’ERM (Chase-Jenkins e Farr,
2008).
Definition, considering the risk appetite, of a risk tolerance threshold for each
objective of the organization: come sottolineato in precedenza il concetto di risk
tolerance si lega a quello di risk appetite, ma a differenza di quest’ultimo rappresenta “the
acceptable level of variation relative to achievement of a specific objective, and often is
best measured in the same units as those used to measure the related objective.” (COSO,
2006; PwC, 2008; Govindarajan, 2011; Rittenberg e Martens, 2012).
Essa rappresenta “the specific maximum risk that an organization is willing to take
regarding each relevant risk (sub-) category, often in quantitative terms” (Ernst &
Young, 2010).
Mentre la propensione al rischio è legata agli obiettivi strategici, la tolleranza al rischio è
maggiormente connessa a quelli tattici e operativi e deve essere comunicata utilizzando
le metriche in atto per misurare le prestazioni, in modo tale da definire i limiti
quantitativi di variabilità delle prestazioni accettabili e, insieme alla propensione al
rischio e agli obiettivi, a guidare le azioni del Management e più in generale
dell'organizzazione (Dean e Giffin, 2009; Milliman, 2011b; Rittemberg e Martens,
2012).
CAPITOLO 4
157
Figura 4.4 – Relazione tra risk tolerances, risk appetite e obiettivi [Rittenberg, Martens, Understanding
and Communicating Risk Appetite, 2012, pag.11]
Generalmente il limite superiore di tolleranza al rischio si riferisce al livello di rischio
che il team esecutivo è disposto a sopportare prima di un intervento del Board, mentre
quello inferiore riflette il livello minimo di rischio che si prevede di adottare per
raggiungere gli obiettivi concordati (Dean e Giffin, 2009; Govindarajan, 2011).
Il gap tra il profilo di rischio e il limite superiore di tolleranza al rischio consente al team
di gestione di distribuire le risorse necessarie per garantire eventuali problemi rientrino
accuratamente all’interno del risk appetite delineato, assicurando ai dirigenti una certa
libertà circa l’assunzione di alcuni rischi senza una richiesta esplicita al Board.
Il limite inferiore, invece, serve anche sottolineare che chiaramente l’obiettivo di
gestione non è quello di eliminare del tutto il rischio, ma di gestirlo nel modo più
appropriato affinché l'impresa possa ricavarne un adeguato profitto (Govindarajan,
2011).
A differenza del risk appetite, la risk tolerance, i risk limits e i risk target devono essere
sufficientemente specifici da costituire la base di un quadro di controllo che consentirà ai
gestori del rischio per garantire che i rischi presi siano all’interno della propensione al
rischio delineata in precedenza (Dean e Giffin, 2009; Ernst & Young, 2010).
Anche in questo caso essi andranno continuamente e costantemente aggiornati per tenere
conto dei cambiamenti nel contesto economico, nelle strategie e nelle performance
(Ernst & Young, 2010).
Clear communication of objectives, policies, risk tolerance thresholds throughout
the entire organization: una chiara e precisa comunicazione della mission e degli
obiettivi da raggiungere è una condizione necessaria per garantire l’efficacia del
CAPITOLO 4
158
processo di risk management, poiché quest’ultimo richiede, una comprensione adeguata
degli obiettivi dell’impresa a tutti i livelli, garantendo allineamento e coerenza con il risk
appetite dell’organizzazione (AIRMIC, ALARM e IRM, 2010; Rittenberg e Martens,
2012). Un disallineamento potrebbe comportare infatti il mancato raggiungimento degli
stessi, a causa della presenza di rischi troppo o non sufficientemente elevanti.
E poiché la propensione al rischio guida le scelte del management e del Consiglio di
Amministrazione e rappresenta l’equilibrio accettabile tra rischio e rendimento, è
importante che sia tradotta correttamente e comunicata dai livelli più alti (top), a quelli
delle business units (COSO, 2004).
Una comunicazione efficace è utile non solo all’interno dell’organizzazione e tra i
soggetti che ne fanno parte, poiché fornisce una chiara visione circa la quantità e la
tipologia di rischio da accettare e le modalità di gestione, ma agisce anche positivamente
sul mercato, permettendo ad esempio di attrarre capitali più facilmente, reclutare
dipendenti di qualità superiore e guadagnare la fiducia degli organismi di
regolamentazione (COSO, 2004; Moeller, 2007; KPMG 2008;).
Inoltre assiste nella definizione delle aspettative realistiche da parte degli investitori e
degli altri stakeholder esterni e promuove trasparenza e responsabilità (KPMG, 2008).
Le informazioni divulgate riguarderanno sostanzialmente le modalità con cui le società
definiscono la propria propensione al rischio, le metriche, il livello di tolleranza e così
via (COSO, 2004).
Sebbene alcune imprese erano consapevoli dell’importanza di tale pratica già prima della
crisi, oggi una maggior incentivazione giunge dalle disposizioni di Basilea 3 contenute
nel Terzo Pilastro, che sottolineano l’importanza della trasparenza e dell’informativa al
pubblico, disciplinandone le modalità di realizzazione;
Sharing a common risk language within the organization: la maggior parte delle
pubblicazioni riguardanti il tema del risk management riferisce i vantaggi derivanti dallo
sviluppo di un linguaggio comune del rischio all’interno di qualsiasi organizzazione,
sebbene questo possa risultare complesso e richiedere molto impegno, in quanto la
mancanza di una lingua comune inibisce la diffusione e la condivisione di informazioni e
delle best practice (Verweire e Berghe, 2004; Aabo, Fraser e Simkins, 2005; Shenkir e
Walker, 2008; IIF, 2009; Deloitte, 2012; Hopkin, 2012;). La comunicazione è centrale
nel nuovo approccio alla gestione del rischio e di conseguenza l'adozione di un
linguaggio comune è uno strumento essenziale per massimizzare il contributo della
CAPITOLO 4
159
gestione del rischio e facilitare un dialogo permanente tra i dirigenti dell'impresa e i
dipendenti (Andersen 2010; Hopkin, 2012).
E poiché un linguaggio comune può essere costruito secondo diverse modalità, è
importante riconoscere che dovrà essere adattato alle particolari circostanze in cui
l’impresa si trova e rispecchiarne le esigenze specifiche. In genere viene sviluppato
attraverso interviste e workshop condotti ai vari livelli dell'organizzazione. Il vantaggio
principale consiste, oltre che nel sostenere la cultura del rischio, anche nel garantire un
modo più coerente di considerare ed analizzare i rischi, facilitando l’abbattimento delle
barriere tra i diversi livelli dell’organizzazione e il superamento della logica a silos
(Verweire e Berghe, 2004);
Sharing and communicating risk information: una comunicazione efficace, continua
e tempestiva è un fattore essenziale per diffondere la cultura del rischio. Essa infatti
garantisce che le informazioni sul rischio, frutto della collaborazione tra la funzione di
risk management e tutte le linee di business, siano coerenti e condivise in tutta l’azienda.
I membri del Consiglio di Amministrazione devono ricevere un adeguato livello di dati
per determinare se la gestione del rischio e le pratiche in corso siano appropriate e
valutare la necessità di implementare interventi tempestivi (Beasley e Frigo, 2007; Farrel
e Hoon, 2009; Frigo e Andersen, 2009; Zurich e HBRAS, 2012).
La comunicazione e la costruzione di una visione comune dei rischi sono ampiamente
accettate come prassi leader nella gestione del rischio. Infatti la fase di “Informazione e
comunicazione" è uno dei principali otto componenti della gestione del rischio aziendale
secondo l'Enterprise Risk Management -Integrated Framework del Committee of
Sponsoring Organizations of the Treadway Commission (COSO, 2004). Questo
passaggio sfida il Management a sviluppare ed eseguire una comunicazione trasversale e
interna all'azienda con l’obiettivo di trasmettere i punti di vista dell’organizzazione nei
confronti dei rischi strategici e l'importanza di eseguire i piani d'azione (Frigo e
Anderson, 2009). Il flusso di informazioni deve procedere non solo dall’alto verso il
basso, ma soprattutto dal basso verso l’alto affinché il top management svolga un ruolo
attivo nella gestione del rischio, di questioni critiche e fornisca suggerimenti, consigli e
direzioni (Frigo e Anderson, 2009; Zurich e HBRAS, 2012).
Il processo di comunicazione e condivisione delle informazioni inerenti i rischi, le
politiche e gli orientamenti generali, rappresenta l’opportunità di costruire e rafforzare la
CAPITOLO 4
160
cultura del rischio dell’organizzazione, proprio perché si configura come un processo
iterativo, che ha bisogno di attenzione e supporto costanti (Frigo e Anderson, 2009).
L'organizzazione in sé ha bisogno di canali formali e informali per comunicare le
informazioni sui rischi.
Canali formali, come discussioni regolari e strutturate con i risk managers, sono
fondamentali, ma devono interessare trasversalmente anche le diverse strutture e
funzioni aziendali (Frigo e Anderson, 2009).
Molte imprese, che hanno affrontato la crisi meglio di altre, sostengono che la presenza
di risk committees può fare una grande differenza, a livello di senior management, ma
anche a livello di business, nel garantire efficacia al processo di gestione dei rischi.
Naturalmente, molto dipende dalle attitudini dei partecipanti a tali comitati, che però
risultano essere essenziali per assicurare un dialogo tra il Management, le funzioni di
risk management e di compliance e le business units (IIF, 2009).
Canali informali invece operano dove quelli formali sono insufficienti.
“There is a danger that formal procedures will become ossified or that people will
review formalized risk reports or stereotyped stress tests in a mechanical way that create
false comfort that all the boxes have been checked. People may focus too much on
process and not enough on substance” (IIF, 2009).
Per queste ragioni solitamente un'organizzazione di successo utilizza canali informali per
assicurare un adeguato flusso di informazioni. La possibilità di poter comunicare
tempestivamente e poter condividere preoccupazioni emergenti è uno degli elementi più
importanti che caratterizzano una forte cultura del rischio, e assicura talvolta la
possibilità di attuare interventi mirati e tempestivi (Frigo e Anderson, 2009; IIF, 2009);
Organizing learning programs for the employees: anche se di recente la cultura del
rischio è diventata un elemento fondamentale, molte aziende mostrano ancora evidenti
carenze nel dedicarvi l’adeguata attenzione. La KPMG (2008) ha evidenziato attraverso
diverse survey che la maggior parte dei dipendenti della aziende intervistate avevano
poca o nessuna comprensione di come le differenti esposizioni al rischio e gli eventuali
impatti fossero valutati.
Tuttavia, oggi, sembra che questa tendenza abbia subito un’inversione di marcia dal
momento che quasi tutte le aziende forniscono un certo tipo di formazione ai propri
dipendenti. Alcune aziende hanno un processo molto formale di formazione, mentre altre
aziende utilizzano consulenti esterni per condurre sessioni di formazione dei dipendenti
CAPITOLO 4
161
(Hughey e Mussnug, 1997). Treven (2003) sostiene che i metodi di training utilizzati
dalle organizzazioni possono essere di due tipi: il primo è la formazione on -the-job che
fornisce istruzioni one- to -one, coaching, job rotation e tirocinii/stage; il secondo invece
è quello off- the-job, che si svolge lontano dal posto di lavoro. Esso prevede una serie di
lezioni, film, dimostrazioni, studi di casi, esercizi e simulazioni programmate.
Il successo di qualsiasi learning program in ogni caso dipenderà dalla qualità della
formazione fornita, dall’utilizzo di un programma di tutoraggio continuo durante il
corso, dalla presenza di un apprendimento interattivo e soprattutto dal sostegno di
personale altamente motivato (Moss, 1997; Ranong, 2009).
E ' inevitabile dunque che il successo di un'organizzazione dipenda dal personale e dai
dipendenti a disposizione ed è per questo motivo che risulta fondamentale assicurare
l’apporto di adeguate competenze al personale incaricato di posizioni manageriali
particolari, per migliorarne le conoscenze, abilità e atteggiamenti che a sua volta
aumentano la fiducia, la motivazione e la soddisfazione sul lavoro (Fill e Mullins, 1990;
COSO, 2004).
È dunque evidente che un risk manager dovrebbe istituire corsi di formazione
coordinandosi con il responsabile delle Risorse Umane e con un team di consulenti
esperti nella gestione del rischio (Symons, 1995).
Carey (2001) suggerisce che un'efficace gestione del rischio comprende un’appropriata
formazione del personale e poiché le pratiche di ERM, i processi e le informazioni
continuano ad evolversi nel tempo, è importante che, primi tra tutti i dirigenti e poi i
dipendenti, si assicurino di ricevere un’adeguata e continua formazione, attraverso
costanti aggiornamenti periodici (Lam, 2003; COSO, 2004; DeLoach, 2005). Tale
pratica aiuta a costruire una piena consapevolezza del rischio e a migliorare i processi e
le tecniche di risk management (Shenkir e Walker, 2011);
Designing a remuneration and incentive system: le discussioni inerenti la recente crisi
hanno sottolineato l’importanza dei sistemi di incentivazione e remunerazione come
strumento essenziale per garantire il rispetto delle regole e l’allineamento tra azioni
compiute, strategia e risk appetite dell’organizzazione (Farrel e Hoon, 2009; Fraser e
Simkins, 2010; O’Neill e Stephens, 2010; Rittenberg e Martens, 2012).
Una dei fattori che ha infatti contribuito al fallimento di alcune organizzazioni è stato la
mancata integrazione e allineamento degli obiettivi strategici, e di rischio, all’interno
della gestione delle prestazioni e dei sistemi di incentivazione e remunerazione per
CAPITOLO 4
162
guidare efficacemente il comportamento e le azioni di tutti i soggetti coinvolti nel
business (Fraser e Simkins, 2007; Deloitte, 2008; O’Neill e Stephens, 2010).
A differenza di quanto è avvenuto in passato, oggi è evidente che un sistema di
remunerazione debba tenere significativamente conto del livello di sensibilità al rischio
di tutti i soggetti e del rispetto dei vincoli/requisiti di conformità per creare un cultura del
rischio positiva (Farrel e Hoon, 2009), un processo di enterprise risk management
efficace (O’Neill e Stephens, 2010) e limitare la discrezionalità manageriale (Moeller,
2007). E, poiché programmi di incentivazione e bonus sono spesso strumenti utili per
motivare e rafforzare le prestazioni di tutti i dipendenti, deve essere una percezione
diffusa che questi bonus siano assegnati in maniera equa e giusta (Moeller, 2007).
Un compensation system e incentivi less-tangible, come la stima dei colleghi, possono
fare la differenza e mirano a promuovere i comportamenti attuati e le decisioni prese in
linea con il livello di rischio accettato dall’organizzazione e con gli obiettivi strategici (di
rischio e rendimento) desiderati, scoraggiando atteggiamenti inappropriati che possono
rappresentare un cattivo esempio per tutti i dipendenti e costituire un male per l’impresa
(Fraser e Simkins, 2007; Deloitte, 2008; Segal, 2012);
Integrating the ERM with the Performance Measurement System (PMS): il concetto
di Corporate Performance Management (CPM) è stato introdotto da Gartner Research
nel 2001 come "all the processes, methodologies, metrics and systems needed to
measure and manage the performance of an organization" (Raid, 2012).
La separazione dell’ERM dal CPM porta alla costruzione di processi di gestione delle
performance e del rischio separati e all’implementazione di sistemi di misurazione
distinti all'interno di un'azienda. Ciò si traduce in scarsa omogeneità della
consapevolezza e della cultura del rischio e comporta una minor flessibilità dell’impresa
(Raid, 2012). Per integrare pienamente i due concetti, è necessario superare quel
pregiudizio che vede il rischio operativo in modo diverso rispetto agli altri dal punto di
vista della generazione di profitto, ammettendo invece che la gestione dei rischi operativi
significa non solo ridurre al minimo le perdite, ma massimizzare il profitto stesso nel
rispetto della propensione al rischio (Raid, 2012).
L’ostacolo principale risiede dunque nel credere che l’enterprise risk management e il
corporate performance management siano due discipline opposte, poiché la prima,
attraverso indicatori di rischio (KRI), sembra misurare il fallimento, mentre la seconda,
grazie all’uso di indicatori di performance (KPI), il successo.
CAPITOLO 4
163
Tuttavia, non si comprende che i KRI sono una componente fondamentale dei KPI,
poiché la valutazione di ogni obiettivo aziendale dovrà includere necessariamente, oltre
alla sua probabilità di realizzazione, anche la componente di rischio ad esso connessa
(Raid, 2012).
Un sistema di misurazione delle performance (Performance Measurement System, PMS)
può essere definito come “the process of quantifying the efficiency and effectiveness of
action” (Neely, Gregory e Platts, 2005).
Si tratta quindi di “a process of assessing progress towards achieving pre-determinated
goals, including information on the efficiency by which resources are transformed into
foods and services, the quality of those outputs and outcomes, and the effectiveness of
organizational operations in terms of their specific contributions to organizational
objectives” (Amaratunga e Baldry, 2002).
L'obiettivo primario di un PMS è quello di valutare i progressi nel conseguimento degli
obiettivi, finanziari e non, assicurando un’efficacia ed efficiente allocazione delle risorse
all'interno di tutta l'organizzazione (Raid, 2012).
L’approccio di misurazione delle performance più completo, definito olistico proprio
perché non si limita alla sfera operativa, ma anche a quella strategica e aiuta
l'organizzazione a tradurre le proprie strategie in obiettivi e ad allinearli, guidando sia il
comportamento che le prestazioni, è stato introdotto da Robert S. Kaplan e David Norton
nel 1992 e prevede l’introduzione di una Balanced Scorecard (BSC).
Questo strumento si configura come “an effective tool to capture, describe, and translate
organization’s strategy into performance metrics and targets” (Niven, 2006), osssia un
cruscotto di indicatori e suggerisce di valutare e misurare le performance aziendali
secondo quattro diverse prospettive: finanziaria, dei clienti, dei processi interni e della
crescita/apprendimento. Esso permette dunque di incorporare, all’interno delle metriche
di performance aziendali legati agli obiettivi di business, componenti di rischio diverse
CAPITOLO 4
164
(come quella di credito, operativa, di mercato, reputazionale, strategica), evidenziandone
le relazioni causa-effetto (Kaplan e Norton, 1996).
Figura 4.5 – ERM-BSC process cycle [Kaplan e Norton, 1996; Nagumo, 2005; Segal,2005]
L’integrazione di ERM e PMS aiuta notevolmente la comprensione del framework di
enterprise risk management all’interno dell’organizzazione e l’allineamento tra strategia
aziendale, pianificazione strategica e gestione dei rischi, guidando le decisioni
strategiche verso il raggiungimento degli obiettivi organizzativi e massimizzando il
valore per gli azionisti nel lungo termine (Oracle, 2009; Rasid e Gothan, 2012).
Se da una parte infatti il sistema di misurazione delle performance, e la BSC in
particolare, sono finalizzati a valutare il progresso di una organizzazione nel perseguire i
propri obiettivi strategici, d'altra l’ERM è uno strumento di rilevazione degli eventi
positivi e negativi che possono influenzare quegli stessi obiettivi. E dunque una
combinazione dei due approcci non farà altro che aumentare la probabilità di
raggiungere gli obiettivi e massimizzare quindi il valore dell’impresa (Beasley, 2006;
Beasley, Chen e Wright, 2006).
CAPITOLO 4
165
2.2. Organization
Adeguate scelte organizzative sono fondamentali per diffondere la cultura del rischio, per
ottenere impegno da parte del personale, per garantire che il processo di ERM sia condotto
nel modo più appropriato e che politiche e procedure siano rispettate.
Stank, Daugherty e Gustin (1994) ritengono che “the organizational structure involves an
organization’s internal pattern of relationship, authority and communication” e
contribuisce ad assicurare un’adeguata assegnazione di compiti e risorse, attraverso la
definizione di aree chiave di autorità e responsabilità e opportune linee di reporting.
Hunter (2002) sostiene che la struttura organizzativa ha la facoltà di predeterminare il modo
in cui i dipendenti lavorano e che struttura e processi saranno più efficaci e avranno un
impatto positivo sulle strategie dell'organizzazione, qualora la loro progettazione tenga
conto del contesto in cui vengono inserite (Ranong, 2009).
Inoltre, Grabowski e Roberts (1999) suggeriscono che la gestione del rischio sia associata
principalmente alla flessibilità delle strutture organizzative, che devono assicurare un
risposta rapida ed efficiente ai cambiamenti economici e dell’organizzazione stessa
(Ranong, 2009).
L'adeguatezza della struttura organizzativa di un'entità dipende, in parte, dalla sua
dimensione e dalla natura delle sue attività. Un’organizzazione altamente strutturata con
linee formali di rendicontazione e responsabilità può essere adatta per una grande entità che
possiede numerose divisioni operative, nazionali ed estere. Tuttavia, tale struttura potrebbe
ostacolare il necessario flusso di informazioni in una piccola azienda. Qualunque essa sia, in
ogni caso l'impresa deve essere organizzata per consentire un'efficace gestione del rischio
aziendale e lo svolgimento delle sue attività in modo da raggiungere i suoi obiettivi,
assicurando un’adeguata flessibilità per rispondere rapidamente ed efficientemente ai
cambiamenti nel mercato o nelle strategie (COSO, 2004).
La struttura organizzativa dovrà essere riesaminata regolarmente e regolata per adattarsi ai
cambiamenti del contesto finanziario.
Più in dettaglio, il design per una corretta organizzazione dovrebbe prendere in
considerazione i seguenti elementi:
Appointment of a Chief Risk Officer (CRO): una componente chiave importate per
garantire il successo e l’efficacia del processo di enterprise risk management risiede
nell’individuazione di un leader, posto a capo del progetto di ERM (Frigo e Anderson,
2011; Segal, 2011). Solitamente tale figura coincide con quella del CRO (Chief Risk
CAPITOLO 4
166
Officer), responsabile della gestione e del monitoraggio della funzione di ERM e della
traduzione del risk management in significativi requisiti di business, obiettivi e
metriche (Moeller, 2007). Tuttavia, affinché a tale figura sia attribuito il giusto peso,
essa dovrà possedere un certo grado di autorità e indipendenza, al fine di limitare i
conflitti di interesse (Segal, 2011), e assumersi la responsabilità di gestire il processo di
valutazione dei rischi in tutta l'azienda, di attuare le opportune azioni correttive per
porre rimedio o minimizzare potenziali danni, e di comunicare eventuali problemi o
eventi a tutti i livelli dell'impresa (Moeller, 2007; Deloitte, 2008).
Generalmente è alle dirette dipendenze del Chief Financial Officer (CFO) o del Chief
Executive Officer (CEO) e riferisce al Consiglio di Amministrazione e al Comitato
Rischi, con cui collabora per lo sviluppo e l'attuazione di politiche e procedure di
gestione del rischio (EIU, 2005; Moeller, 2007; Deloitte, 2008; Segal, 2011).
Effettuando analisi secondo intervalli predefiniti, monitorando e coordinando le attività
di risk management, agisce come un organismo indipendente e collabora con tutte le
altre funzioni e le diverse unità di business, per assicurarsi che tutte le situazioni
potenzialmente pericolose vengano opportunamente individuate, valutate e gestite
(Deloitte, 2008), assicurando una migliore valutazione del rapporto tra rischio e
rendimento (EIU, 2005).
Tra le qualità che deve possedere vi sono la leadership e l’immaginazione, la capacità
di comunicare ed essere diplomatico (Segal, 2011).
Il CRO può costruire una visione portafoglio di tutti i rischi, individuando le relazioni
tra i rischi all'interno delle unità di business separate, garantendo che l'organizzazione
sviluppi e mantenga nel tempo una struttura e dei processi di governance efficaci per
eseguire l'identificazione dei rischi, la misurazione, il monitoraggio, e le funzioni di
reporting (Lam, 2003; EIU, 2005; Deloitte, 2008).
Egli sviluppa, gestisce e rivede periodicamente le politiche e le procedure per il
funzionamento generale del programma di risk management dell’impresa e le attività
ad essi connesse per prevenire illeciti, condotte non etiche o impropri (Moeller, 2007).
Identifica potenziali aree di vulnerabilità, sviluppando e realizzando piani di azione
correttivi per la risoluzione di problematiche, fornisce indicazioni generali su come
evitare o affrontare situazioni simili in futuro, elaborando report su base regolare
(Moeller, 2007).
CAPITOLO 4
167
Si impegna affinché la comunicazione del rischio d’impresa sia efficace e collabora
con il dipartimento risorse umane e gli altri per sviluppare un programma di
formazione, per i dipendenti e dirigenti, monitorando l’andamento dello stesso su base
continuativa e prendendo misure adeguate per migliorarne l’efficacia (Moeller, 2007).
Tra i suoi doveri vi è quello di favorire la diffusione della cultura del rischio,
promuovendo una maggior consapevolezza delle minacce e delle loro possibili
evoluzioni (Moeller, 2007; Frigo e Anderson, 2009; Segal, 2011);
Building a dedicated ERM function: la necessità di costruire una funzione dedicata
allo sviluppo e all’attuazione di un programma di ERM deriva dalla natura oltremodo
complessa di tale processo, che soprattutto negli ultimi anni ha acquisito una rilevanza
sempre maggiore, con susseguente ramificazione e compenetrazione nei diversi rami
aziendali, e che oggi sempre di più coinvolge il processo decisionale nella definizione
degli obiettivi strategici di medio-lungo termine (Lam, 2001; Monahan, 2008; Frigo e
Anderson, 2011; Zurich e HBRAS, 2012).
Sebbene questa funzione possa risultare simile a quella di Internal Audit, in realtà non
è così. Gli internal auditors si occupano di rivedere i controlli interni e fare semplici
raccomandazioni per il loro miglioramento, ma non svolgono alcun ruolo attivo nella
realizzazione delle modifiche suggerite. Al contrario invece la funzione di risk
management contribuisce attivamente ad attuare le necessarie misure correttive e
fornisce indicazioni circa le successive azioni da implementare, assicurando e
verificando l’efficacia di tali misure (Moeller, 2007; Monahan, 2008).
Oggi la Funzione di Risk Management riporta direttamente al CEO e al CdA e assume
una posizione di rilievo come funzione di alto livello (Moeller, 2007; Frigo e
Anderson, 2011);
Designation of an ERM group or team to support CRO’s job: la figura del CRO
necessita solitamente di un gruppo o team di supporto, composto da persone con
competenze molto ampie.
Il personale in questione dovrà assicurare una chiara comprensione dei rischi di
contabilità e finanza, di quelli relativi alle IT operations and communications e di
quelli legati alla realtà operativa dell’organizzazione, nonché delle tecniche più utili per
limitare l’esposizione dell’impresa al rischio (Moeller, 2007).
Il team di supporto si interfaccerà e si coordinerà necessariamente con le altre funzioni
interne per assicurare coerenza ed efficacia al processo di gestione dei rischi.
CAPITOLO 4
168
Verrà a tal fine investito di un rilevante potere discrezionale che permetta
effettivamente l’attuazione di azioni correttive e la riduzione dei rischi individuati
(Moeller, 2007);
Independence of the ERM function: il documento IAIS (International Association of
Insurance) del 2007 fornisce indicazioni specifiche circa l’indipendenza della funzione
di risk management, rilevando che la struttura di ERM deve essere progettata per
evitare conflitti di interessi tra le diverse funzioni. Il framework definito dovrà quindi
tenere conto delle informazioni specifiche sulla delega di autorità e della corretta
separazione dei compiti per assicurarne l'indipendenza (Deloitte, 2008).
La IAIS raccomanda che il CRO riferisca direttamente al CEO dell'organizzazione,
affinché egli sia completamente indipendente e costituisca l’unico soggetto cui far
riferimento per oggettive valutazioni sulle diverse esposizioni al rischio dell’impresa
(EIU, 2005; IAIS, 2007; Moeller, 2007; Deloitte, 2008; Rochette, 2009; Segal, 2011).
L’indipendenza di tale figura, come partner di supporto nel processo decisionale, ne
facilita dunque la collaborazione con tutte le linee di business e assicura la costruzione
di una portfolio view di tutti i rischi, garantendo l’efficacia della struttura e dei processi
di governance e di gestione nell’identificazione, misurazione, monitoraggio e reporting
degli stessi (Lam, 2003; EIU, 2005; IAIS, 2007; Deloitte, 2008; Rochette, 2009);
Identification of the risk owners responsible for the identification and
management of each risk: il framework di ERM deve specificare i soggetti
responsabili di ogni rischio individuato e dei controlli relativi al trattamento scelto fin
dalla prima fase del processo di risk management di definizione del contesto di
business (Aabo, Fraser e Simkins, 2005; Fraser e Simkins, 2010; ISO, 2009a).
L’assegnazione del potere e delle responsabilità determina, non solo il limite della
propria autorità, ma soprattutto il grado in cui gli individui sono autorizzati e
incoraggiati ad utilizzare l'iniziativa per affrontare questioni emergenti e risolvere
problemi (COSO, 2004).
Tale processo implica la definizione di relazioni gerarchiche e protocolli di
autorizzazione, nonché delle conoscenze e dell'esperienze del personale chiave e delle
risorse previste per lo svolgimento delle attività (COSO, 2004).
Definire un sistema di delega di poteri significa cedere il controllo di talune decisioni
di business ai livelli inferiori, a quelle persone cioè più vicine dal punto di vista
CAPITOLO 4
169
operativo alle operazioni che svolgono e che quindi possono comprenderne meglio
implicazioni e rischi (COSO, 2004; Fraser e Simkins, 2010).
I managers e tutti i soggetti all’interno dell’organizzazione devono essere valutati ed
adeguatamente ricompensati in relazione ai rischi di cui sono direttamente responsabili
e all’impegno dimostrato nel miglioramento continuo dei controlli e dei processi di
gestione del rischio (COSO, 2004; Aabo, Fraser e Simkins, 2005; Fraser e Simkins,
2010);
Clear definition and communication of roles and responsibilities for the
management of risks: all’interno di qualsiasi organizzazione tutti sono responsabili,
seppur in modi diversi, della gestione del rischio aziendale. Mentre l'amministratore
delegato è il responsabile ultimo e dovrebbe assumersi la proprietà del rischio, gli altri
dirigenti promuovono il rispetto del risk appetite e gestiscono i rischi nell'ambito delle
loro sfere di competenza coerentemente con la tolleranza al rischio delineata (COSO,
2004). Il risk officer, il financiale officer e l’internal auditor fungono invece da
supporto chiave nel processo di definizione e gestione del rischio. E ancora, un certo
numero di soggetti esterni, quali clienti, fornitori, partner commerciali, revisori,
autorità di regolamentazione e analisti finanziari spesso forniscono informazioni utili
per effettuare la gestione del rischio aziendale e possono influenzare in diversi modi
tale processo (COSO, 2004). La chiarezza del messaggio e l’efficacia con cui ruoli e
responsabilità vengono comunicati diventa dunque un elemento essenziale (COSO,
2004; IAIS, 2007; Deloitte, 2008; Rochette, 2009). L’ERM, infatti, può essere
implementato con successo solo se tutti i membri dell'organizzazione hanno una chiara
comprensione circa il tipo e la natura di rischio rilevante per l'impresa (Lai e Samad,
2010).
Canali di comunicazione formali ed informali devono essere efficienti per facilitare la
comunicazione top-down e bottom-up tra tutti i soggetti coinvolti nei processi di
enterprise risk management, che devono comprendere chiaramente quale sia il loro
ruolo e come il loro lavoro possa influire su quello degli altri, affinché sia facile
riconoscere un problema, determinarne le cause e l’azione correttiva (IAIS, 2007;
Deloitte, 2008; Lai e Samad, 2010).
Una chiara definizione e comunicazione dei ruoli e delle responsabilità all’interno del
processo di gestione dei rischi, infatti, aiuta a fornire a tutti i soggetti coinvolti gli
CAPITOLO 4
170
strumenti necessari per comprendere quale sia il loro contributo effettivo al
raggiungimento degli obiettivi preposti e a massimizzarlo (COSO, 2004, ISO, 2009a);
Integration of the process of ERM among all the business functions and units:
rispetto all’approccio tradizionale, l’ERM “must encompass all enterprise units and
levels” (Moeller, 2007) e deve integrarsi perfettamente con i processi, in particolare
con quello di pianificazione strategica e di revisione, e le attività propri dell’impresa
che lo sta implementando, con lo scopo di massimizzare il valore aziendale e ottenere
un bilanciamento perfetto tra obiettivi strategici e di performance e i relativi rischi
(COSO, 2004; PwC, 2008; ISO, 2009a; Fraser e Simkins, 2010; Frigo e Anderson,
2011).
Non è un processo stand- alone, “but if sully integrated with the organization’s
management, reporting, roles and responsibilities, right down to taking out the
garbage – everything works as one” (ISO, 2009; Fraser e Simkins, 2010).
L’integrazione dell’ERM è resa possibile in quanto il rischio è strettamente connesso
all’incertezza del conseguimento degli obiettivi, che proprio il Management ha lo
scopo di raggiungere. Solitamente vengono individuate due diverse chiavi di
integrazione: top-down e bottom-up. Per quanto riguarda la prima la spinta
all’approccio olistico di ERM dovrà venire dall’alto; il Senior Management dovrà
rendere chiara e manifesta la volontà di considerare esplicitamente il rischio all’interno
di tutti i processi decisionali. La seconda consiste invece nell’incorporare i processi
esistenti di gestione del rischio all’interno del framework (PwC, 2008; Fraser e
Simkins, 2010). Ciò richiederà un notevole sforzo in quanto processi, procedure,
regolamenti e terminologia dovranno essere rivisti e rivisitati per essere in linea con i
principali standard esistenti (Fraser e Simkins, 2010).
L’implementation plan, creato per l'attuazione del nuovo framework, dovrà essere
utilizzato per monitorare l’integrazione dei processi di gestione del rischio all’interno
dell’organizzazione e per garantirne il successo, assicurando la revisione, ove
necessario, dei processi di pianificazione strategica e di business (ISO, 2009a).
L’integrazione ovviamente richiederà tempo, risorse e impegno da parte dei soggetti
coinvolti, e funzionali alla sua piena realizzazione saranno una continua
comunicazione, una precisa assegnazione di ruoli e responsabilità e una forte
attenzione al miglioramento continuo (COSO, 2004; ISO, 2009; Fraser e Simkins,
2010);
CAPITOLO 4
171
Involving all employees, at all levels, in the ERM process: il coinvolgimento di tutti
i dipendenti, a tutti i livelli, è essenziale per garantire il successo del processo di ERM
(COSO, 2004; ISO, 2009a; Fraser e Simkins, 2010). La condivisione di un linguaggio
comune facilita infatti la ricezione e la trasmissione di informazioni inerenti i rischi,
assicura un lavoro di squadra e aumenta la consapevolezza delle conseguenze delle
proprie azioni. L’obiettivo è far comprendere a tutti i dipendenti che il loro contributo è
fondamentale nell’individuazione e valutazione di eventuali esposizioni al rischio e la
loro attiva partecipazione assicura all’organizzazione la flessibilità e la reattività
necessaria per un’efficace ed efficiente gestione dei rischi e per il raggiungimento degli
obiettivi strategici desiderati (COSO, 2004; ISO, 2009a).
2.3. Process
Una descrizione chiara e dettagliata del processo di ERM è comune a tutti i principali
framework proposti in letteratura. Ciascuno di essi descrive accuratamente le fasi in cui si
articola tale processo: dalla fissazione degli obiettivi all’identificazione e alla valutazione
dei rischi, dalla gestione fino al monitoraggio e al reporting.
A partire dall’analisi dei diversi framework e dei principali standard di ERM gli elementi
chiave individuati che dovrebbero essere inclusi nella progettazione di un sistema efficace
di ERM sono:
Integration of ERM in the strategic and business plans: uno strategic risk
management action plan dovrebbe considerare come la valutazione e la gestione del
rischio possano essere integrati nei processi di strategic-execution, attraverso
l'integrazione del risk management nei sistemi di pianificazione e misurazione delle
prestazioni strategiche (Frigo e Anderson, 2007, Brooks, 2010b). L’integrazione
dell’ERM con il processo di pianificazione strategica e di business contribuisce
notevolmente alla creazione di valore favorendo l’equilibrio ottimale tra obiettivi di
performance e rischi connessi (COSO, 2004; DeLoach,2005, Beasley, Chen e Wright,
2006; Beasley e Frigo, 2007; Frigo e Anderson, 2007; KPMG, 2008; PwC,2008; ISO,
2009a; Protiviti, 2010b, Protiviti, 2011). Infatti il Management dovrà essere in grado di
valutare le diverse alternative strategiche e operative per determinare se i rendimenti
potenziali siano o meno commisurati ai rischi associati a ciascuna di esse e assicurarsi
che le proprie scelte siano compatibili con il risk appetite dell’organizzazione (Beasley
e Frigo, 2007).
CAPITOLO 4
172
L’integrazione permette di cogliere anche le opportunità derivanti dai rischi, che
altrimenti sarebbero trascurate, e può rilevare le aree in cui l’impresa è risk averse o
inefficiente nel rispondere a eventi potenzialmente rischiosi (Beasley e Frigo, 2007).
Il modello sviluppato da Kaplan e Norton (2008), descrive le sei fasi della strategy
execution e fornisce un framework di riferimento utile per l’integrazione del risk
management.
La prima fase consiste nello sviluppo della strategia, attraverso la definizione della
mission e dei valori, e include anche un processo di risk assessment al fine di
individuare i rischi strategici dell’organizzazione. La seconda prevede la costruzione di
mappe strategiche, sintesi della valutazione degli obiettivi e delle misure di
performance basate sul rischio. L’allineamento delle del CdA, delle business units,
delle unità di supporto e dei dipendenti è la fase successiva. L’obiettivo è quello di
coordinare le unità di rischio e di controllo per una più efficace ed efficiente gestione
del rischio in linea con la strategia dell'organizzazione (Frigo e Anderson, 2007;
Kaplan e Norton, 2008).
La quarta fase pianifica le Operations sulla base dello strategic risk management action
plan e prevede il miglioramento dei processi chiave, la pianificazione delle vendite,
della capacità delle risorse, e il budgeting. Il monitoraggio delle attività è un momento
importante in cui strategia e processi operativi vengono rivisti per valutarne l’efficienza
e individuare potenziali rischi emergenti (Frigo e Anderson, 2007; Kaplan e Norton,
2008).
Infine la fase di Test and Adapt comprende l'analisi della redditività, delle strategie
emergenti e dei rischi ad esse connessi per portare l'organizzazione verso il
miglioramento della gestione del rischio e la massimizzazione del valore (Frigo e
Anderson, 2007; Kaplan e Norton, 2008).
In ogni caso l'integrazione ad hoc della valutazione del rischio nel processo di sviluppo
della strategia e pianificazione aziendale si evolverà nei prossimi 25 anni in un
processo maturo per la maggior aziende di successo, dove ciò garantirà un notevole
aumento delle prestazioni e una maggiore garanzia che tutti i rischi vengano considerati
(Protiviti, 2011);
Implementation of an efficient and effective process to identify all relevant
potential risks: come sottolineano gli standard ISO (2009a) e COSO (2004), il
Management deve impegnarsi per identificare tutti i possibili rischi che potrebbero
CAPITOLO 4
173
influenzare il successo dell’impresa; sia quelli che interessano l’intero business, che
quelli associati ai singoli progetti o alle unità più piccole (Moeller, 2007). Un processo
di identificazione dei rischi efficace ed efficiente richiede, infatti, un approccio mirato
all’individuazione di tutte le potenziali minacce al fine di identificare le aree di rischio
più significative. L' idea non è quella di elencare solo ogni possibile rischio, evento
rischioso o opportunità, ma di riconoscere anche quelli che, con una data probabilità,
potrebbero verificarsi nel medio/lungo termine (COSO, 2004; Frigo, 2008; PwC, 2008;
ISO, 2009°; Rochette, 2009). In questo senso il processo di risk identification assume
una connotazione complessa in quanto può risultare molto difficile conoscerne con
certezza le probabilità di accadimento dell’evento o la natura delle conseguenze
(COSO, 2004; DeLoach, 2005; Moeller, 2007; ISO, 2009a).
L’approccio migliore per identificare i rischi prevedere che l’analisi sia svolta su più
livelli secondo una logia top-down, in modo da garantire l’integrazione di prospettive
completamente diverse, e che per ciascun livello sia individuato un risk assessor,
guidato da un risk management group a livello aziendale o da una funzione di internal
control assessment (Moeller, 2007).
Moeller (2007) inoltre sottolinea la necessita di una first-pass list, costruita a livello di
senior management. Le macro-categorie di rischi così individuate saranno poi
ulteriormente dettagliate ed espanse proseguendo l’analisi nei livelli inferiori e
forniranno un quadro completo e preciso di tutte le principali minacce, e/o opportunità,
che dovranno essere prese in considerazione dal management;
Creation and maintenance of a risk register: uno strumento fondamentale per la
gestione delle informazioni inerenti la gestione del rischio è il risk register, sotto forma
di database o foglio di calcolo i cui dati riguarderanno:
il nome, la natura e una breve descrizione dei rischi individuati;
una stima della probabilità di accadimento e dei potenziali impatti;
le priorità ad essi associati;
un elenco delle principali cause scatenanti e dei fattori aggravanti;
il nome del risk owner, ossia il soggetto incaricato di monitorare il rischio e
verificare l’efficacia delle azioni implementate per ridurlo;
le azioni intraprese per prevenire le minacce e/o ridurre le probabilità che queste si
verifichino (Vose, 2008; Antonucci, 2011).
CAPITOLO 4
174
Esso funge da repository centrale per le informazioni riguardanti i rischi
dell'organizzazione e assicura che le informazioni derivanti dal processo di gestione del
rischio, siano adeguatamente analizzate, standardizzate e destinate, a seconda della loro
rilevanza, al livello di gestione più appropriato (Higgins, 2008).
La sua funzione principale è quella di fornire al CdA, al Management in generale e alle
parti interessate informazioni significative e una chiara visione circa le principali
minacce che interessano l’organizzazione e le loro interdipendenze. La consapevolezza
sviluppata grazie a questo registro supporterà il management nelle attività di
definizione del risk appetite e di risk tolerance dell’impresa, facilitando la scelta degli
strumenti di gestione e di monitoraggio più appropriati (Higgins, 2008).
Tuttavia la natura sensibile e confidenziale delle informazioni in esso contenute
imporrà un accesso limitato al registro sia per quanto riguarderà l’aggiornamento, che
per la lettura dei dati.
Questo strumento costituisce solitamente l’output della fase di risk identification e di
conseguenza dovrà essere costantemente aggiornato per garantire al management
l’integrità e la correttezza dei dati ivi contenuti (Higgins, 2008);
Classification of risks into risk categories (es. strategic, operational, financial and
compliance, or strategic, operational, financial and hazards): una volta identificati,
per alcune organizzazioni potrebbe risultare utile categorizzare i rischi, ovvero
raggrupparli e ordinarli secondo categorie predefinite (FERMA, 2002; CAS, 2003;
Shenkir e Walker, 2008; Protiviti, 2010a). Questo può derivare dal fatto che la fase di
identificazione produce centinaia di rischi. La loro categorizzazione ne facilita dunque
non solo la comprensione, ma aiuta anche il Management a valutare soluzioni di
trattamento comuni e più cost-effective.
Alcuni sistemi prevedono ad esempio il loro raggruppamento secondo categorie quali
hazards, operational, financial e strategic risks (FERMA, 2002; CAS, 2003; Shenkir e
Walker, 2008), mentre altri li organizzano in strategic, operational, financial e
compliance risks (FERMA, 2002; Protiviti, 2010a).
Il processo di categorizzazione in ogni caso richiede un linguaggio interno o un
vocabolario che sia unico e comune a tutta l'organizzazione.
Studi recenti hanno infatti dimostrato che un linguaggio incoerente rappresenta un
impedimento all’implementazione di una efficace strategia di gestione del rischio
(Shenkir e Walker, 2008);
CAPITOLO 4
175
Definition of a formal process for risk assessment with qualitative and
quantitative techniques: il risk assessment è un processo sistematico e integrato
all’interno dei comuni processi dell’organizzazione finalizzato a identificare, valutare e
quantificare gli eventi, interni o esterni all’organizzazione, siano essi minacce o
opportunità, che potrebbero influenzare il raggiungimento degli obiettivi aziendali,
mediante la stima delle probabilità di accadimento e della magnitudine dell’impatto
(Covello e Merkhofer, 1993; Coleman e Marks, 1999, COSO, 2004; PwC, 2008; ISO,
2009).
Se condotta nel modo giusto, la fase di risk assessment fornisce alle organizzazioni una
visione chiara, retrospettiva o lungimirante, delle variabili a cui possono essere esposte,
siano esse interne o esterne (PwC, 2008), attraverso la definizione della propensione al
rischio e della tolleranza dell'organizzazione, e assicura una solida base per determinare
le risposte del rischio (PwC, 2008).
Solitamente si compone di una fase di risk indentification, seguita poi da una risk
analysis (o risk quantification) e infine dalla risk evaluation (CAS, 2003; PwC, 2008;
ISO, 2009).
La fase di risk identification ha lo scopo di generare un elenco completo dei rischi sulla
base di quegli eventi che potrebbero creare, migliorare, prevenire, degradare, accelerare
o ritardare il raggiungimento degli obiettivi. Si configura come attività critica, poiché
mira ad individuare le sorgenti di rischio e le cause che possono anche non risultare
evidenti (CAS, 2003; PwC, 2008; ISO, 2009).
La risk analysis fornisce invece una comprensione più approfondita dei rischi e delle
strategie di trattamento più appropriate, attraverso l’analisi delle cause, delle fonti,
delle conseguenze positive o negative e delle probabilità che questi si verifichino ed di
eventuali interdipendenze. I rischi devono essere qui sottoposti ad uno screening
preliminare per identificare quelli più significativi e quelli che invece non necessitano
di ulteriori analisi, al fine di garantire che le risorse siano focalizzate su quelli più
importanti. La definizione e la combinazione di conseguenze e probabilità determina,
poi, il livello di rischio, che deve essere in linea con gli obiettivi e i criteri stabiliti
dall’organizzazione (CAS, 2003; PwC, 2008; ISO, 2009).
L'analisi può essere qualitativa, semi- quantitativa, quantitativa, o una combinazione di
queste, a seconda delle circostanze.
CAPITOLO 4
176
Il grado di dettaglio necessari dipenderà dalla particolare applicazione, dalla
disponibilità di dati affidabili e dalle esigenze decisionali dell’organizzazione.
Valutazioni qualitative utilizzano termini come “medio”, “alto”, “basso” per indicare
gli impatti degli eventi e le loro probabilità di accadimento, mentre analisi semi-
quantitative si avvalgono di scale di valutazione numeriche a cui però non è possibile
associare valori economici reali.
L'analisi quantitativa, qualora siano disponibili dati affidabili e completi, si affida a
stime di valori reali che rappresentano gli impatti economici e le effettive probabilità.
Il livello di rischio così individuato, dipenderà, inoltre, dall’adeguatezza e dall’efficacia
dei controlli in atto.
Lo studio delle conseguenze mira a determinare la natura e l’importanza dell’impatto di
un evento su uno o più obiettivi dell’organizzazione.
In alcuni casi sarà necessario concentrarsi su rischi con impatti potenzialmente elevati,
ma con basse probabilità di accadimento, mentre in altre occasioni può risultare
importante analizzare quelli con un basso impatto, ma con un’alta frequenza e con
grandi effetti cumulativi nel lungo periodo.
La stima delle probabilità può essere invece condotta attraverso tre diversi approcci,
che possono essere utilizzati singolarmente o congiuntamente:
l’utilizzo di dati storici per identificare eventi che si sono verificati nel passato ed
estrapolare la loro probabilità di verificarsi nel futuro;
le previsioni di probabilità, utilizzando tecniche predittive quali l'analisi dell'albero
dei guasti e l’albero degli eventi;
il giudizio di esperti attraverso il metodo Delphi.
Per interpretare efficacemente i risultati ottenuti bisognerà tenere conto dell’incertezza
associatavi e procedere con un’analisi di sensitività, che contribuisce a chiarire l’entità
e il significato di eventuali variazioni nei parametri individuali registrati.
Lo scopo della fase di risk evaluation è infine quello di supportare i decision makers
nella scelta delle strategie di trattamento e nell’assegnazione delle priorità.
Essa comporta il confronto tra il livello di rischio rilevato durante il processo di analisi
e i criteri di rischio definiti nella fase di definizione del contesto (CAS, 2003; PwC,
2008; ISO, 2009).
CAPITOLO 4
177
Le decisioni dovranno tener conto del più ampio contesto del rischio e includere la
considerazione della gestione del rischio da parte di soggetti esterni all’organizzazione,
in conformità con i requisiti legali, normativi e di altro tipo.
In alcune circostanze questo processo può spingere i managers ad effettuare ulteriori
analisi o a trattare il rischio con i controlli esistenti (ISO, 2009).
Il processo di risk assessment rappresenta dunque una componente chiave
dell’Enterprise Risk Management - Integrated Framework (COSO, 2004), e
sostanzialmente anche di tutti gli altri standard, che ne riconoscono l’importanza come
strumento essenziale per costruire un efficace ed efficiente programma di gestione del
rischio.
Dovendo fornire al Management un visione ampia degli eventi che possono influire sul
raggiungimento degli obiettivi, la fase di risk assessment dovrà essere definita
formalmente, integrata con i processi esistenti e condotta secondo un approccio top-
down che sarà poi rivisto secondo una logica bottom-up (PwC, 2008).
Come già sottolineato valutazioni qualitative sono la forma più elementare di
valutazione del rischio (Altenbach, 1995; PwC, 2008; Berta 2011). Tuttavia, tecniche
quantitative o semi-quantitative più rigorose, richieste soprattutto nel settore finanziario
dalla normativa di riferimento, che prevedono l’utilizzo di modelli probabilistici e non,
possono essere utilizzate per valutare il rischio qualora via sia un flusso di dati interni
ed esterni sufficientemente elevato da garantire la correttezza dei risultati ottenuti
(Altenbach, 1995; PwC, 2008; Berta 2011). L’adozione di questi metodi permette lo
sviluppo di indicatori di rischio che, monitorati regolarmente, assicurano risposte
rapide ed efficienti. Il benchmarking risulta essere inoltre uno strumento utile per
confrontare i dati ottenuti con altre organizzazioni (PwC, 2008).
In ogni caso la scelta dell’approccio migliore dovrebbe essere determinata sulla base
della numerosità e della qualità dei dati disponibili, di un’analisi costi/benefici del
processo di valutazione dei rischi e del monitoraggio degli indicatori predittivi
(Coleman e Marks, 1999; PwC, 2008);
Periodical repetition of the risk assessment process: poiché l’esposizione al rischio
non è una variabile statica, è importante che ogni organizzazione riveda periodicamente
il proprio processo di risk assessment, fissando talvolta un livello minimo di frequenza
con l’obiettivo di assicurare che la gestione del rischio diventa una pratica
CAPITOLO 4
178
profondamente radicata all’interno dell’organizzazione, e non solo un esercizio di
compliance meramente cerimoniale (Paape e Speklè, 2012).
L’elevata frequenza con cui ambiente interno ed esterno possono cambiare richiede
infatti che l’affidabilità dei dati a disposizione e il loro aggiornamento siano sempre
verificati, per assicurare una valutazione ottimale e sempre coerente dell’esposizione al
rischio in qualsiasi momento (Paape e Speklé, 2012). L’intervallo di ripetizione del
processo di risk assessment dipenderà, in ogni caso e in ultima analisi, dalle
caratteristiche specifiche e dal tipo di organizzazione ivi coinvolta;
Prioritization of risks on a residual basis: la valutazione del rischio residuo considera
i rischi identificati in precedenza, le relative strategie di trattamento e le attività di
controllo in atto per determinarne l'impatto e la probabilità di accadimento (COSO,
2004). In altre parole questo processo valuta l'adeguatezza e l'efficacia dei controlli
interni (overcontrolled o undercontrolled) per assicurare che il livello di rischio
determinato in quel momento sia accettabile e in linea con il risk appetite
dell’organizzazione;
Integration of all risks in a risk portfolio and evaluation fo correlations between
them: ogni impresa deve affrontare un gran numero e una varietà di rischi più o meno
significativi. Sebbene spesso siano valutati singolarmente in relazione agli obiettivi che
possono influenzare, risulta tuttavia importante integrarli all’interno di un risk portfolio
che faciliti la comprensione delle interdipendenze e delle interconnessioni che li
caratterizzano, nonché dell’effetto su questi ultimi delle strategie di trattamento e di
gestione selezionate (CAS, 2003, COSO, 2004; Nocco e Stulz, 2006, Beasley e Frigo,
2007; PwC, 2008; Rochette, 2009). Tale approccio aumenta infatti la capacità di
identificare tutti i possibili eventi e assicura una gestione dei rischi coerente con i livelli
di risk tolerance precedentemente determinati (CAS, 2003; PwC, 2008).
All’inizio fu la Modern Portfolio Theory a suggerire la necessità di una visione
integrata dei rischi che includesse non solo quelli finanziari, ma tutti i tipi di rischi,
affinché fosse possibile ridurre il rischio complessivo del portafoglio (CAS; 2003;
Moeller, 2007), sostenendo che la diversificazione aiuta a ridurre il rischio a causa
della non perfetta correlazione tra le diverse regioni o mercati (Carson, 2008; Song e
Cummins, 2008; Lin, Yu e Wen, 2011). A sostegno di questa tesi, Baele (2007) e
Carson (2008) hanno dimostrato che la diversificazione riduce la volatilità degli utili
CAPITOLO 4
179
rendendo le imprese ben diversificate sicuro e abbassando la probabilità di default (Lin,
Yu e Wen, 2011).
Avere una visione di portafoglio supporta il management nel determinare se il profilo
di rischio residuo dell’organizzazione sia commisurato alla propensione al rischio
complessivo, nel rispetto degli obiettivi delineati (COSO, 2004). Rischi in unità diverse
infatti, sebbene possano risultare entro le tolleranze di rischio delle singole unità, se
considerati insieme potrebbero invece superare la soglia del risk appetite definita a
livello di organizzazione (COSO, 2004). Al contrario una portfolio risk point of view,
grazie alla valutazione di tutte le possibili correlazioni positive e negative e alla
compensazione tra i diversi rischi, aiuta il Management a comprendere quale realmente
sia l’esposizione al rischio dell’organizzazione e se questa sia in linea con il risk
appetite atteso (CAS, 2003, COSO, 2004; Moeller, 2007; PwC, 2008);
Definition of a treatment strategy (avoidance, reduction, sharing, retention) for
each risk, considering a trade-off between costs and benefits: la selezione delle
opzioni di trattamento più appropriate, da applicare singolarmente o in combinazione,
comporta il bilanciamento tra i costi, sforzi di attuazione e i benefici, una valutazione
degli effetti potenziali delle strategie individuate su probabilità e impatti, per
determinare se il rischio residuo sia in linea con il livello di tolleranza o siano
necessarie azioni supplementari, e delle possibili opportunità, per individuare risposte
innovative qualora quelle esistenti non siano più efficaci o garantiscano solo risultati
marginali (COSO, 2004; ISO, 2009; Fraser e Simkins, 2010).
Esistono tuttavia rischi che necessitano di essere gestiti perché ritenuti di grande
importanza, sebbene questo non sia giustificabile dal punto di vista economico (ISO,
2009).
Le possibili risposte al rischio rientrano nelle categorie di:
non accettazione, consiste nell’evitare il rischio poiché non sono state individuate
opzioni di gestione utili a ridurre gli impatti e le probabilità di verificarsi (COSO,
2004; Pwc, 2008; ISO, 2009; Lai e Samad, 2010);
riduzione, mira a ridurre le conseguenze negative e ad allineare il rischio residuo
con i livelli di tolleranza desiderati (COSO, 2004; Frigo, 2008, PwC, 2008; ISO,
2009; Lai e Samad, 2010);
CAPITOLO 4
180
condivisione, si tratta di trasferire/condividere completamente o in parte un
determinato rischio, attraverso prodotti assicurativi o operazioni di copertura
(COSO, 2004; Frigo, 2008, PwC, 2008; ISO, 2009; Lai e Samad, 2010);
accettazione, per cui non viene intrapresa nessuna azione per modificare le
probabilità che un evento si verifichi, in quanto il livello di rischio è allineato con il
profilo di rischio dell’impresa (COSO, 2004; PwC, 2008; ISO, 2009; Lai e Samad,
2010).
Tuttavia poiché le risorse a disposizione hanno sempre vincoli, le organizzazioni
dovranno considerare attentamente i costi e i benefici connessi alle diverse opzioni di
risposta ai rischi (COSO, 2004; ISO, 2009). In generale, è più facile valutare i costi,
siano essi diretti o indiretti, includendo talvolta anche i costi opportunità, sebbene tale
quantificazione richieda tempo e impegno che portano spesso le imprese a rinunciarvi.
La stima dei benefici, dall’altra parte, comporta una valutazione soggettiva, la quale
può risultare in molti casi incerta.
Oltre a ciò il Management dovrà considerare i rischi aggiuntivi derivanti da tali
strategie, sviluppando così un processo iterativo di notevole complessità (COSO,
2004).
Il treatment plan (o implementation plan) da implementare dovrà quindi tenere conto
delle diverse strategie da implementare valutando attentamente il trade-off tra costi e
benefici, identificare chiaramente l'ordine di priorità con cui realizzare i trattamenti
individuati ed essere monitorato continuamente per garantire che le misure applicate
rimangano efficaci (COSO, 2004; ISO, 2009).
I piani di trattamento dovrebbero inoltre essere integrati con i processi di gestione
dell'organizzazione e discussi con le parti interessate, che dovranno essere informate
circa la natura e la portata del rischio residuo e la necessità di valutare ulteriori opzioni
(COSO, 2004; ISO, 2009; Lai e Samad, 2010);
Development of adequate contingency plans: il contingency planning è “the process
of developing and embedding in the organization, crisis management protocols in
advance of crisis conditions” (CAS, 2003), messo in atto per proteggere gli interessi
degli stakeholders e degli shareholders (Protiviti, 2010a; Milliman, 2011). Quando si
verifica un evento, il Management dell'organizzazione può avere bisogno di rispondere
rapidamente per mitigare l'impatto di un eventuale evento dannoso.
CAPITOLO 4
181
Nella maggior parte dei casi questi impatti possono essere gestiti come parte dei
normali processi di gestione. Tuttavia, quando la magnitudine dell’evento va oltre la
normale capacità di gestione del management, è necessario sviluppare un approccio
sistematico alla gestione degli incidenti critici (AZ/NSZ, 2004).
La figura 4.6 mostra come vari tipi di piano si inseriscono nella cronologia generale del
processo di contingency planning. I crisis and emergency plan e i recovery plan si
collocano ai due estremi temporali opposti, mentre al centro della gestione critica vi è il
Business Continuity Management (BCM). Questo approccio, se ben implementato, mira
a garantire la continuità dell’impresa a fronte di una potenziale interruzione delle
attività, attraverso la costruzione di un solido framework di gestione per affrontare le
minacce in modo efficace e tempestivo (AZ/NZS, 2004);
Figura 4.6 – Critical incident management [AS/NZS 4360:2004]
Development of a KRI system to monitor risk exposure and ensure it is coherent
with KPI’s and firm strategy, inclusive with a correction and escalation plans if
risks exceed the limits: nel passato le organizzazioni utilizzavano indicatori chiave di
performance (KPI) per supportare il Management nella scelta delle strategie più
efficaci per massimizzare il valore dell’impresa (PwC, 2008; Fraser e Simkins, 2010).
CAPITOLO 4
182
Tuttavia, negli ultimi anni, grazie anche al passaggio da un approccio reattivo ad uno
proattivo (in cui non si tenta più di rispondere efficacemente alle situazioni che si
presentano, ma di anticiparle) sono stati affiancati a queste misure dei key risk
indicators (KRI) in risposta all’aumento dell’incertezza e dei cambiamenti sempre più
frequenti nel contesto economico (Frigo, 2008, PwC, 2008; Beasley, Branson e
Hancock, 2010; Ernst & Young, 2010; Fraser e Simkins, 2010).
Infatti a differenza dei KPI, applicabili soltanto ex-post, i KRI agiscono ex-ante, in
previsione degli eventi incerti che possono impattare sulle performance aziendali,
configurandosi come misure predittive dei risultati aziendali, finalizzate al
raggiungimento degli obiettivi strategici aziendali (PwC, 2008; Beasley, Branson e
Hancock, 2010; Fraser e Simkins, 2010).
Sono principalmente delle metriche di rischio utilizzate dalle organizzazioni per fornire
un segnale di crescente esposizione al rischio in una precisa area dell'impresa e
segnalare la necessità di programmare delle azioni. Alcuni indicatori più elaborati sono
dati dall’aggregazione di diversi indicatori di rischio singoli, che, attraverso un
punteggio multi-dimensionale, segnalano rischi ed opportunità emergenti (Beasley,
Branson e Hancock, 2010).
La selezione e la progettazione di efficaci KRI deve in ogni caso partire da una solida
comprensione degli obiettivi organizzativi e dei risk-related events che potrebbero
pregiudicarne il raggiungimento (Beasley, Branson e Hancock, 2010).
Un metodo efficace parte dall’analisi storica dei rischi che hanno colpito
l’organizzazione in passando per cercare di individuarne le cause, gli effetti e le
strategie di gestione attuate, con l’obiettivo di KRI efficaci. Infatti, tanto più il KRI
rappresenta la causa principale che determina l’evento rischioso, quanto più sarà in
grado di assicurare risposte proattive (Beasley, Branson e Hancock, 2010).
Ai fini di una valutazione tempestiva del rischio, per ciascun KRI viene predeterminata
una soglia o threshold, che segnala al Management il livello massimo di rischio
accettabile e che se attivata richiede l’adeguamento proattivo delle strategie per la
gestione del rischio emergente e per il raggiungimento degli obiettivi fissati, attraverso
l’implementazione di correction e escalation plans (PwC, 2008, Fraser e Simkins,
2010).
CAPITOLO 4
183
L’utilizzo combinato di KPI e KRI inoltre, aumenterà l'attenzione dell’organizzazione
sulla valutazione dei trade-off tra rischi e obiettivi di performance (Fraser e Simkins,
2010; Lai e Samad, 2010);
Existence of a periodic risk reporting system targeted at the different levels of the
organization with different information granularity: come più volte sottolineato
dalla maggior parte degli standard e dei framework esistenti, la comunicazione è un
fattore fondamentale nel risk management e il più delle volte critico (COSO, 2004;
Beasley e Frigo, 2007; ISO,2009; Beasley, Branson e Hancock, 2010; Fraser e
Simkins, 2010; Shenkir e Walker, 2011) Una scarsa comunicazione, infatti, può
costituire di per sé un rischio e minare l’efficacia del processo di risk management.
Tuttavia, prima di definire gli aspetti più tecnici, i managers devono valutare lo scopo
della comunicazione e i destinatari di essa. Solo allora potranno stabilire quale sia la
communication strategy più appropriata da implementare e integrare con l’intero
processo di risk management (COSO, 2004; ISO, 2009).
Fatto ciò dovranno occuparsi di verificare che i giusti messaggi vengano inviati ai
giusti destinatari e che questi siano in grado di interpretarli correttamente. La
comunicazione non riguarderà solo ed esclusivamente i rischi, ma tutto ciò che
potrebbe avere degli effetti sul business o suoi progetti dell’impresa (COSO, 2004;
ISO, 2009).
Questo processo dipenderà in gran parte dalla struttura organizzativa e dalle esigenze
dell’impresa stessa. E’ fondamentale quindi che le strutture formali e fattori, come la
paura di essere valutati severamente o non ascoltati, non impediscano una upward
communication al fine di evitare la mancata o tardiva individuazione di rischi.
È opportuno distinguere tra due differenti sistemi di reporting:
1. il reporting interno, che fa riferimento alla necessità di fornire informazioni
differenti a differenti livelli dell’organizzazione, quali:
o Consiglio di Amministrazione, che deve poter conoscere i rischi più
significativi e i possibili effetti sul valore dell’organizzazione, sapere in quale
modo si intende affrontare le crisi ed essere certo che il processo di risk
management sia efficace;
o Unità operative che devono avere un’idea chiara dei rischi all’interno della
loro area di responsabilità e delle possibili conseguenze che questi possono
avere, valutare con attenzione gli indicatori al fine di poter monitorare le
CAPITOLO 4
184
attività chiave dell’organizzazione e sviluppare un sistema di comunicazione
che permetta uno scambio efficiente di informazioni;
o Singoli individui che devono comprendere le loro responsabilità nei singoli
rischi al fine di migliorare i risultati di risk management e comprenderne
l’importanza all’interno della cultura dell’organizzazione;
2. il reporting esterno, che fa riferimento alla necessità di informare regolarmente gli
stakeholders, i quali richiedono prove di una gestione efficace delle attività
(COSO, 2004; ISO, 2009).
Un parametro rilevante per sviluppare un efficiente sistema di reporting è la granularità
dell’informazione, ovvero il livello della sua profondità. A livello di CdA ad esempio,
le informazioni e gli stessi KRI avranno una minor granularità, fornendo dunque
misure estremamente aggregate e una visione d’insieme. Al contrario, per entrare nel
dettaglio delle singole business unit sarà invece necessario una maggiore granularità,
che supportino decisioni tattiche per la gestione del rischio (Beasley e Frigo, 2007;
Beasley, Branson e Hancock, 2010; Fraser e Simkins, 2010; Shenkir e Walker, 2011);
Proper use of the technology as an aid to support risk management activities: il
ruolo della tecnologia, come strumento di integrazione della gestione del rischio
all’interno di tutta l’organizzazione, non può essere certamente sottovalutato. Infatti la
information technology supporta ormai le imprese nell’identificazione dei rischi e delle
opportunità di miglioramento, ottimizzano i processi aziendali, garantisce trasparenza e
flessibilità e assicura che le informazioni, precedentemente consolidate, siano
disponibili per le persone giuste, al momento giusto e con un adeguato livello di
dettaglio (COSO, 2004; Moeller, 2007; Shenkir e Walker, 2008; ISO, 2009)
La progettazione di un'architettura di sistemi di informazione e di acquisizione della
tecnologia sono aspetti importanti della strategia di un’organizzazione e possono
dunque risultare fondamentali per il raggiungimento degli obiettivi (COSO, 2004;
Moeller, 2007; Shenkir e Walker, 2008). Le decisioni circa la selezione e
l'implementazione di sistemi IT dipendono da molti fattori, tra cui gli obiettivi
organizzativi, le esigenze di mercato e quelle competitive.
I progressi fatti fino ad oggi nei sistemi informativi hanno migliorato la capacità di
molte organizzazioni di misurare e monitorare le prestazioni e presentare le
informazioni analitiche a livello aziendale.
CAPITOLO 4
185
Tuttavia, la crescente dipendenza da sistemi di informazione a livello strategico e
operativo comporta nuovi rischi, quali violazioni della sicurezza o cyber- crimini, che
dovranno essere quindi integrati nella gestione aziendale del rischio (COSO, 2004;
Moeller, 2007).
CAPITOLO 5
186
Capitolo 5
L’Enterprise risk management nel settore
bancario italiano
1. La crisi finanziaria e l’evoluzione dell’enterprise risk management
nel settore bancario
La disciplina del risk management, focalizzata soprattutto sugli aspetti finanziari, è stata
introdotta in Italia a partire dagli anni ’90, a seguito del crollo della Lira sui mercati valutari
e dell’emissione di nuovi prodotti finanziari strutturati e derivati.
Da quel momento le banche hanno implementato importanti progetti volti a sviluppare e
rafforzare i sistemi e le procedure di analisi e misurazione dei rischi, influenzando sempre
di più gli aspetti organizzativi e le decisioni di pianificazione strategica delle imprese.
Il ruolo del risk management si modifica quindi rapidamente, passando da funzione di
sostegno (di staff) a funzione core, con lo scopo di garantire un presidio integrale e continuo
delle minacce che la banca deve gestire, e non si limita più alla tradizionale funzione di
RM, ma si estende piuttosto a tutte le aree di business, assicurando così la diffusione della
consapevolezza del rischio a livello complessivo e il notevole miglioramento dei flussi
informativi interni, con l’obiettivo di creare valore.
Essa diviene “condizione necessaria per garantire una generazione di valore affidabile e
sostenibile, in un contesto di rischio controllato, proteggendo così la solidità finanziaria e
la reputazione d’impresa” (Ghisetti, 2013).
I principali rischi cui solitamente è esposta una banca sono:
rischio di liquidità: l’incapacità delle banca di rispettare gli impegni di pagamento a
causa dell’impossibilità di reperire i fondi necessari (funding liquidity risk) o di
liquidare attività sul mercato (asset liquidity risk);
rischio di credito: nel caso in cui un debitore non sia in grado di assolvere anche solo in
parte ai suoi obblighi di rimborso del capitale e/o al pagamento degli interessi;
rischio di mercato: ossia la possibilità di ottenere un rendimento diverso da quello atteso
a causa di variazioni delle principali variabili di mercato quali i tassi di interesse, i tassi
di cambio, i prezzi delle commodities ecc.;
CAPITOLO 5
187
rischio operativo: legato all’inadeguatezza delle procedure, di sistemi interni e delle
risorse umane;
rischio di reputazione: dipendente dalla percezione negativa dell’immagine della banca
da parte dei suoi stakeholders interni ed esterni;
rischio strategico: derivante da cambiamenti del contesto operativo o da decisioni
aziendali non adeguate o scarsamente reattive al contesto competitivo o dall’esposizione
a variabili di mercato poste al di fuori del controllo del management.
La revisione degli assetti e l’innovazione dei processi, legati alla gestione del rischio di
credito, di mercato e operativo nel settore bancario, sono state in particolar modo
incoraggiate dall’introduzione della disciplina prudenziale di Basilea II nel 2000 e dalla
Circolare n.263 del 2006 della Banca d’Italia, a seguito della crescente necessità di definire
un quadro di norme per la stabilità finanziaria e la copertura dei rischi.
Il CEBS14 ha inoltre sottolineato l’importanza di quattro principi su cui concentrare
l’attenzione nell’ambito dei questa disciplina:
1. la governance, intesa come organo preposto alla supervisione delle pratiche aziendali e
della pianificazione strategia, e la cultura del rischio, la quale deve partire dal top
management ed essere diffusa trasversalmente alle singole unità di business, favorendo
la comunicazione a tutti i livelli aziendali;
2. la propensione e tolleranza al rischio (risk appetite) che devono essere definiti dal top
management, supportato dal comitato di controllo o dalla funzione stessa di RM;
3. il ruolo del chief risk officer (CRO), inteso come responsabile della funzione di RM e
del coordinamento di tutte le attività volte ad una efficace individuazione, misurazione e
valutazione dei rischi;
4. i modelli di integrazione della gestione del rischio, al fine di garantire la pervasività di
tale disciplina all’interno di tutta l’organizzazione.
Successivamente, la crisi del 2007-2008, che ha avuto forti ed evidenti ripercussioni sulla
stabilità finanziaria di tutti gli istituti bancari evidenziandone nuovamente limiti e criticità,
ha reso necessaria un’ulteriore rivisitazione degli assetti organizzavi e dei modelli di
gestione, portando così ad un processo di riforma culminato con lo sviluppo dell’Accordo di
Basilea III.
14 Il CEBS svolge funzione consultiva nei confronti della Commissione europea per la predisposizione
della normativa comunitaria nel settore bancario; contribuisce ad assicurare l’applicazione uniforme delle
direttive comunitarie e la convergenza delle prassi di vigilanza; rafforza la cooperazione in materia di
vigilanza, in particolare mediante lo scambio di informazioni.
CAPITOLO 5
188
Tali riforme hanno portato non solo a definire nuove regole per la misurazione dei rischi,
ma a richiedere alle banche un rafforzamento sostanziale del complessivo sistema di
gestione e della corporate governance, sottolineando il ruolo fondamentale del Consiglio di
Amministrazione, nella definizione e monitoraggio del risk appetite dell’organizzazione, del
sistema di controllo interno, e dei sistemi informativi, come strumento efficiente per
“assicurare robustezza e tempestività al processo di gestione dei rischi” (Tarantola, 2011).
Per questi motivi ora più che mai il risk management “rappresenta una funzione strategica
per gli intermediari finanziari, che, se ben strutturata, consente di conoscere, controllare e
mitigare efficacemente i rischi aziendali” (Tarantola, 2011), e, sebbene gli istituti di credito
italiani abbiano conseguito negli ultimi anni progressi significativi, “l’elevata incertezza dei
mercati e l’evoluzione del quadro regolamentare richiedono ulteriori affinamenti di questa
disciplina” (Tarantola, 2010).
2. La normativa in tema di gestione del rischio
2.1. Da Basilea I a Basilea III
Il Comitato di Basilea per la Vigilanza Bancaria è un organo consultivo internazionale
istituito nel 1974 dalle banche centrali dei paesi del G10. Esso nasce con l’obiettivo di
definire una regolamentazione della Vigilanza Bancaria per assicurare stabilità al sistema
finanziario attraverso la formulazione di proposte, che dovranno poi essere recepite
nell’ambito dei singoli ordinamenti nazionali, al fine di rendere il più possibile omogenea la
normativa di vigilanza bancaria in un sistema finanziario sempre più globalizzato.
L’accordo Basilea I fu raggiunto nel 1988 con lo scopo di “limitare la condotta molto
aggressiva di alcuni istituti di credito, liberi di agire in contesti normativi poco
regolamentati” (Basel I).
Tale documento prevedeva l’introduzione di un requisito patrimoniale minimo, pari all’8%
del capitale erogato, per proteggere i creditori dal rischio di insolvibilità da parte degli
istituti bancari.
I limiti di tale provvedimento tuttavia erano evidenti. Non vi era innanzitutto una
differenziazione del rischio a seconda del tipo di clientela, non venivano valutati i rischi
operativi e la diversificazione di portafoglio non veniva considerata quale elemento di
riduzione del rischio atteso.
CAPITOLO 5
189
Il processo di revisione di questo accordo pose le basi per quello di Basilea II, entrato
definitivamente in vigore il 1 Gennaio 2008. Tale documento si fonda su tre pilastri.
Il primo ridefinisce i requisiti patrimoniali minimi (capital requirement) riformando la
regola precedente dell’8%. Vengono perciò introdotte nuove metodologie di calcolo,
consentendo l’utilizzo di giudizi (rating) interni assegnati alla Banca, in cui vengono inclusi
anche i rischi operativi, oltre a quelli di mercato e di credito.
Le metodologie previste in questo caso sono tre:
1. Metodo Standard: prevede che la valutazione delle imprese venga effettuata da
agenzie di rating esterne appositamente qualificate e autorizzate dall’Autorità di
Vigilanza e che sulla base del rating attribuito venga utilizzato un coefficiente di
ponderazione diverso per il calcolo dell’accantonamento del capitale.
Figura 5.1 – La ponderazioni per il rischio nel nuovo approccio standard [Basel Committee on
banking supervision, 2004]
2. Metodo Internal Rating Based di base (IRB Foundation), pensato per le banche con
limitata esperienza nel rating, e Metodo Internal Rating Based avanzato (IRB
Advanced), per quelle invece che avrebbero dimostrato alle Autorità di Vigilanza di
avere sviluppato strumenti di controllo del credito efficienti ed affidabili. Questi due
metodi prevedono l’individuazione di quattro componenti fondamentali per il calcolo
del rischio:
a. Probabilità di insolvenza della controparte (PD, Probability of Default);
CAPITOLO 5
190
b. Tasso di perdita in caso di insolvenza (LGD, Loss Given Default);
c. Esposizione in caso di insolvenza (EAD, Exposure at Default);
d. Vita residua del prestito (M, Maturity).
A differenza dell’approccio IRB Advanced, in cui tutti i parametri vengono stimati
dalla banca stessa e soggetti a verifica e validation da parte delle Autorità di
Vigilanza, in quello Foundation, ad esclusione del primo, tutti sono fissati dalle
autorità competenti.
Il secondo pilastro impone un processo di controllo prudenziale (supervisory review) da
parte delle Autorità di Vigilanza, che avranno quindi il compito di verificare, oltre ai
requisiti minimi patrimoniali delle banche, anche l’applicazione da parte di queste ultime di
politiche e procedure organizzative indirizzate alla gestione dei propri rischi.
L’ultimo pilastro (market discipline) infine, definisce le modalità di comunicazione delle
informazioni da parte delle banche agli investitori, allo scopo di assicurare una maggiore
trasparenza sul mercato.
La crisi bancaria iniziata nel 2007, e che ancora oggi fa sentire i suoi effetti sul sistema, ha
evidenziato alcuni limiti fondamentali di Basilea II.
La principale ipotesi implicita alla base di questo modello era “l’esistenza di mercati
finanziari liquidi, ove fosse sempre possibile scambiare e smobilitare i titoli in tempi ridotti
e senza incorrere in perdite non legate ai sottostanti movimenti dei fattori di rischio e dove
il funding fosse sempre disponibile” (Penza, 2011).
Ed è stata proprio questa idea di perfetta liquidità ad essere stata smentita dalla recente crisi,
che ha quindi evidenziato, tra le principali mancanze, la definizione poco stringente di
patrimonio di vigilanza, la mancata attenzione alla correlazione tra i rischi, alle
interconnessioni e esposizioni comuni tra le singole istituzioni in situazione di particolare
stress economico e alla prociclicità.
La risposta a questa crisi è stata l’accordo di Basilea III, approvato nel Settembre 2010 dai
Governatori e dai Capi delle Autorità di vigilanza del G20, che si è posto come schema di
regolamentazione internazionale per il rafforzamento delle banche e dei sistemi bancari.
L’insieme di nuove regole è entrato in vigore a partire dal 1 Gennaio 2013 ed è stato
previsto un lungo periodo transitorio fino al 1 Gennaio 2019 al fine di garantire il graduale
adeguamento delle strategie operative di tutti gli istituti di credito.
Le riforme del Comitato di Basilea sono “volte a rafforzare l’assetto regolamentare
internazionale in materia di patrimonio e liquidità, con l’obiettivo di promuovere un
CAPITOLO 5
191
sistema bancario più robusto. L’obiettivo è il rafforzamento della capacità delle banche di
assorbire shock derivanti da tensioni finanziarie ed economiche, indipendentemente dalla
loro origine, riducendo in tal modo il rischio del contagio del settore finanziario
all’economica reale” (Basilea III, 2010).
Tali riforme sono state sviluppate per agire sia a livello di singolo istituto bancario
(microprudenziali), sia a livello di sistema (macroprudenziali).
Attraverso questo programma il Comitato intende inoltre migliorare la gestione del rischio e
la governance delle banche, nonché rafforzare la loro trasparenza informativa.
La novità assoluta rispetto ai precedenti accordi consiste nell’introduzione di alcuni requisiti
minimi di liquidità, aspetto ritenuto fondamentale dopo la crisi, la quale ha dimostrato la
rapidità con cui la liquidità può evaporare ed evidenziato che le situazioni di illiquidità
possono protrarsi a lungo, enfatizzando e standardizzando l’obbligo di bilanciare raccolta e
impieghi di capitale per scadenza e di assicurare, anche in condizioni di stress, che vi siano
fondi sufficienti a garantire i pagamenti.
Le due nuove regole sono state sviluppate per perseguire obiettivi distinti; l’indicatore di
breve termine o Liquidity Cover Ratio (LCR)15, il cui obiettivo è quello di “promote the
short-term resilience of the liquidity risk profile of banks, by ensuring that banks have an
adequate stock of unencumbered high-quality liquid assets (HQLA) that can be converted
easily and immediately in private markets into cash to meet their liquidity needs for a 30
calendar day liquidity stress scenario”(Basilea III, 2013), contribuisce quindi ad assicurare
che le banche internazionali dispongano di un livello soddisfacente di attività liquide, atte a
compensare eventuali uscite di cassa nette, legate ad uno scenario di stress di breve periodo.
L’indicatore strutturale invece, o Net Stable Funding Ratio (NSFR)16 “prevede che la
banca mantenga, su un orizzonte di un anno, un ammontare minimo di provvista stabile in
15 L’LCR è dato dal rapporto tra l’HQLA, attività considerate liquide e di elevata qualità che possono
essere cioè convertite in contanti in modo facile e immediato con una perdita di valore modesta o nulla, e
il totale dei flussi di cassa netti nei 30 giorni di calendario successivi. Il coefficiente deve essere superiore
al 100%. 16 Il NSFR è definito come rapporto tra l’ammontare disponibile di provvista stabile e l’ammontare
obbligatorio di provvista stabile. La provvista stabile disponibile (Available Stable Funding, ASF)
corrisponde all’ammontare complessivo del patrimonio, azioni privilegiate e altri strumenti di capitale
eccedenti l’importo computabile nel Tier 2 con vita residua effettiva pari o superiore a un anno,
considerando eventuali opzioni esplicite o implicite che riducano la scadenza attesa a meno di un anno e
ammontare complessivo dei prestiti contratti e delle passività (compresi i depositi a termine) garantiti e
non garantiti con vita residua effettiva pari o superiore a un anno, a esclusione degli strumenti con opzioni
esplicite o implicite che riducano la scadenza attesa a meno di un anno. Tali opzioni includono quelle
esercitabili a discrezione dell’investitore nell’orizzonte di un anno. L’ammontare obbligatorio della
provvista stabile imposto dalle autorità di vigilanza va misurato in base a ipotesi prudenziali sulle
CAPITOLO 5
192
relazione al grado di liquidità dell’attivo” (Basilea III, 2010), che assicura e vincola le
istituzioni finanziarie a mantenere una frazione significativa delle passività con le stesse
caratteristiche di scadenza, tasso e valuta dell’attivo.
Viene inoltre sottolineata e confermatala funzione di patrimonio quale strumento essenziale
per garantire la stabilità degli intermediari, con un incremento significativo dei requisiti di
capitale.
A tal fine il patrimonio di vigilanza dovrà essere dato dalla somma di:
a. Patrimonio di Base o Tier 1 (in grado di assorbire le perdite in condizioni di
continuità dell’impresa, going concern), con un incremento dall’attuale 4% al 6%,
somma del:
Patrimonio di qualità primaria (Common equiy Tier 1) pari al 4,5%(2% nel
precedente accordo) delle attività ponderate per il rischio e composto da
azioni ordinarie e riserve da utili;
Tier 1 aggiuntivo, somma degli strumenti finanziari emessi dalla banca e da
filiazioni consolidate della stessa;
b. Patrimonio supplementare o Tier 2, in grado di assorbire le perdite in caso di crisi
(gone concern), somma di tutti gli strumenti finanziari emessi dalla banca e non
compresi nel patrimonio di base.
Per migliorare la copertura dei rischi di mercato e di controparte e ridurre i rischi sistemici
l’accordo di Basilea III prevede, oltre alla definizione di requisiti patrimoniali più alti,
l’introduzione di nuove regole per il calcolo di parametri chiave nella definizione dei
requisiti minimi, che andranno valutati in condizioni di stress (Stressed VaR).
Altre novità consistono nell’introduzione di un indice di leva finanziaria (leverage ratio)
con lo scopo di impedire che le banche sviluppino livelli di debito eccessivo, di un buffer di
conservazione del capitale (Capital conservation buffer, Ccb) pari al 2,5% del Common
Equity Tier 1, in aggiunta ai requisiti minimi di adeguatezza patrimoniale, con l’obiettivo di
caratteristiche generali dei profili di rischio di liquidità delle attività di un’istituzione, delle sue
esposizioni fuori bilancio e di alcune altre operazioni da essa effettuate. Esso è calcolato come somma del
valore delle attività detenute e finanziate dall’istituzione, moltiplicato per un fattore specifico di provvista
stabile obbligatoria (Required Stable Funding, RSF) attribuito a ciascuna particolare tipologia di attività,
cui va aggiunto l’ammontare delle operazioni OBS (o esposizione di liquidità potenziale) moltiplicato per
il fattore RSF associato. Il fattore RSF applicato ai valori iscritti per ciascuna attività o esposizione OBS è
l’ammontare di tale posta per il quale le autorità di vigilanza ritengono debba corrispondere una provvista
stabile. Le attività maggiormente liquide e più prontamente disponibili per servire da fonte di liquidità nel
contesto di tensione individuate in precedenza ricevono fattori RSF più bassi (e richiedono meno
provvista stabile) rispetto a quelle considerate meno liquide in dette circostanze e che, pertanto,
necessitano di un approvvigionamento stabile maggiore.
CAPITOLO 5
193
accumulare riserve aggiuntive alle quali attingere per far fronte alle perdite subite, e di un
buffer anticiclico (Countercyclical capital buffer, Cccb), compreso tra lo zero e il 2,5%
delle attività ponderate per il rischio, volto ad assicurare che il settore bancario assorba gli
shock anziché trasmettere il rischio al sistema finanziario e all’economia più in generale.
L’idea sottostante è quella secondo cui le banche dovrebbero mantenere, in periodi di forte
stress economico, buffer patrimoniali in eccesso rispetto ai requisiti minimi. Operare al di
sotto di tali limiti, infatti, significherebbe non solo essere oggetto di attenzione da parte
degli organi di vigilanza, ma costituirebbe un elemento negativo anche per il mercato.
L’accordo prevede per l’implementazione di tali misure un regime transitorio che durerà
fino al 2019 e che permetterà alle banche di recepire tali disposizioni mediante ragionevoli
politiche di accantonamento degli utili e di aumenti di capitale, garantendo tuttavia
continuità nell’erogazione di credito all’economia.
CAPITOLO 5
194
Figura 5.2 - Fasi di applicazione dei nuovi requisiti [Basilea III, Schema di regolamentazione
internazionale per il rafforzamento delle banche e dei sistemi bancari, Dicembre 2010, Allegato 4]
In linea con le disposizioni precedenti del Pilastro 3, Basilea III introduce infine nuovi
requisiti minimi di trasparenza e obblighi di informativa con lo scopo di migliorare la
CAPITOLO 5
195
comunicazione con il mercato, con le autorità di Vigilanza e con gli stakeholders interni ed
esterni.
Il nuovo framework regolamentare ha sicuramente impattato sulla redditività dell’impresa,
che si vede ridotta la possibilità di effettuare operazioni rischiose ricorrendo ad un maggiore
livello di indebitamento, sulla sua capacità di erogare credito, minore a causa
dell’innalzamento qualitativo e quantitativo del capitale di vigilanza, e sul pricing di
determinate operazioni, in aumento data la necessità sempre maggiore di valutare in
maniera più attenta le proprie controparti.
Impatti questi che, tuttavia, potranno essere compensati, anche se solo in parte, da una
migliore gestione dei costi e dei rischi.
Il nuovo schema di regolamentazione ha avuto importanti ripercussioni anche sui modelli e
sui sistemi organizzativi.
A partire da Basilea I il tema della gestione interna si intreccia con gli obiettivi di stabilità
finanziaria e la Corporate Governance assume un ruolo sempre più importante e decisivo
nel raggiungimento di tali obiettivi, favorendo l’allineamento tra scelte di governo
d’impresa e benefici degli azionisti o più in generale degli stakeholders.
La sua area di competenza si amplia fino a comprendere i processi decisionali delle diverse
funzioni, i controlli interni, la tutela degli stakeholders, la relazione con i clienti e la
gestione dei rischi di reputazione.
Il sistema di controlli interni (Sci), inteso come “l’insieme delle regole, delle procedure e
delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e
il conseguimento delle finalità di efficacia ed efficienza dei processi aziendali, di
salvaguardia del valore delle attività, di affidabilità e integrità delle informazioni contabili
e gestionali, di conformità delle operazioni con normative e regolamentazione, oltre che
con piani e procedure interne” (Maino, 2011), si sviluppa su tre livelli attraverso tre diverse
strutture di controllo, quali quelle di Internal Audit, Risk Management e Unità di controllo
nell’area business.
CAPITOLO 5
196
Figura 5.3 - Stilizzazione dei livelli di controllo interno [Renato Maino, Banche e corporate governance:
un passaggio critico verso Basilea 3, pag.69]
A fronte di tale centralità e di un processo di valutazione dei rischi sempre più complesso,
che coinvolge la stessa cultura aziendale, emerge quindi la necessità di sviluppare nuove
figure professionali, nuove competenze e di rafforzare aspetti organizzativi e di governo
interno.
A questo proposito la figura di riferimento diventa quella del CRO il cui compito è quello di
presentare al Board, che assume un ruolo ancor più attivo all’interno del risk management e
che sulla base di tali prospettive dovrà esplicitamente definire le strategie di rischio e
l’insieme di valori dell’organizzazione, una chiara visione di tutti i possibili scenari che
potranno coinvolgere l’impresa.
In tale framework la funzione interna di risk management “risale lungo l’intera linea
aziendale per accedere con le proprie elaborazioni al vertice aziendale, segnando un
passaggio importante per la professione e per il proprio ruolo aziendale” (Maino, 2011).
Tale funzione diviene poi responsabile dell’integrazione e della gestione dei rischi a tutti i
livelli aziendali, con l’obiettivo di evitare approcci a silo e monitorare costante il risk
appetite dell’organizzazione.
CAPITOLO 5
197
2.2. La circolare n.263 della Banca d’Italia
Le nuove disposizioni di vigilanza prudenziale per le Banche, introdotte dalla Banca d’Italia
con la circolare n.263 del 27 Dicembre 2006, recepiscono la normativa comunitaria definita
nelle direttive 2006/48/CE e 2006/49/CE del 14 giugno 2006 e l’accordo Basilea 2 sulla
“Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali”,
rispettano la struttura articolata sui tre pilastri.
Essa prevede dunque l’introduzione di un requisito patrimoniale per far fronte ai principali
rischi dell’attività bancaria e finanziaria, quali quelli di credito, di mercato, di controparte e
operativi, nel rispetto del principio di proporzionalità, che spinge a tenere conto delle
diversità degli intermediari, in termini di dimensioni, complessità e altre caratteristiche,
dettando quindi in alcuni casi regole differenziate; in accordo con il secondo pilastro
disciplina il processo di controllo dell’adeguatezza patrimoniale, stimolando le banche a
migliorare le pratiche gestionali e le tecniche di misurazione dei rischi, assegnando
all’Autorità di vigilanza il dovere di verificarne l’affidabilità; infine prevede l’introduzione
di obblighi di informativa al pubblico riguardanti l’adeguatezza patrimoniale, l’esposizione
ai rischi e le caratteristiche generali dei relativi sistemi di gestione e controllo, con
l’obiettivo di incentivare la parità concorrenziale.
Le disposizioni prevedono una vasta gamma di metodologie che le banche possono
utilizzare per il calcolo dei requisiti patrimoniali a fronte dei rischi di credito, di
controparte, di mercato e operativo, caratterizzate da diversi gradi di complessità, in
funzione della capacità della banca di gestire i rischi.
Per quanto concerne il rischio di credito le banche possono utilizzare il metodo
standardizzato nell’ambito del quale è prevista la suddivisione delle esposizioni in diverse
classi (”portafogli”), a seconda della natura della controparte, e l’applicazione a ciascun
portafoglio di coefficienti di ponderazione diversificati, eventualmente anche in funzione di
valutazioni del merito creditizio rilasciate da un soggetto terzo riconosciuto dalla Banca
d’Italia (ECAI, agenzie esterne di valutazione del merito di credito), da agenzie di credito
alle esportazioni (ECA) riconosciute dalla Banca d'Italia o da un'autorità competente di altro
Stato comunitario.
L’utilizzo dei metodi IRB è soggetto all’autorizzazione della Banca d’Italia, che deve
inizialmente verificare il rispetto dei requisiti minimi a fronte del rischio di credito, il
calcolo delle componenti del rischio quali PD, LGD, EAD, M e la suddivisione delle
CAPITOLO 5
198
esposizioni del portafoglio bancario in diverse classi (es. esposizioni creditizie verso
amministrazioni centrali e banche centrali, esposizioni creditizie verso imprese ecc.).
Il sistema di rating utilizzato dovrà essere scelto, elaborato e messo in opera da una
funzione specifica, mentre un’altra si occuperà di verificarne nel continuo e in maniera
iterativa l’affidabilità e il mantenimento della sua coerenza con le prescrizioni normative,
con le esigenze operative aziendali e con l’evoluzione del mercato di riferimento (Banca
d’Italia, 2006).
In tale contesto dovrà essere inserita anche una funzione di revisione interna con l’obiettivo
di valutare la funzionalità complessiva dell’assetto dei controlli sul sistema di rating.
La disciplina di vigilanza consente poi il riconoscimento ai fini prudenziali delle tecniche di
attenuazione del rischio di credito (Credit risk mitigation – CRM) a tutte le banche,
indipendentemente dal metodo scelto per il calcolo del requisito patrimoniale, sia pure con
alcune differenze relative alla tipologia di strumenti riconosciuti e alle modalità di calcolo.
Le tecniche di CRM sono suddivise in due categorie generali: la protezione del credito di
tipo reale (funded), costituite ad esempio da garanzie reali finanziarie (collateral), e la
protezione del credito di tipo personale (unfunded), costituita da garanzie personali
(guarantees) e derivati su crediti. Anche in questo caso le banche dovranno disporre di un
sistema di gestione delle tecniche CRM che presidi l’intero processo di acquisizione,
valutazione, controllo e realizzo degli strumenti utilizzati.
Specifiche disposizioni definiscono le metodologie per il calcolo del rischio di controparte,
caratterizzati da un crescente grado di complessità e sensibilità al rischio, tra cui il metodo
del valore corrente, il metodo standardizzato e il metodo dei modelli interni di tipo EPE.
Relativamente ai rischi di mercato (rischi di posizione e concentrazione, con riferimento al
portafoglio di negoziazione a fini di vigilanza; rischi di cambio, regolamento e di posizione
su merci, con riferimento all’intero bilancio), le banche possono adottare una metodologia
standardizzata, che permette di calcolare un requisito patrimoniale complessivo, ottenuto
come somma dei requisiti di capitale a fronte dei singoli rischi sulla base del c.d. "approccio
a blocchi" (building-block approach).
In alternativa o in combinazione con la metodologia di cui sopra, possono utilizzare i propri
modelli interni, basati sul controllo quotidiano dell'esposizione al rischio, come ad esempio
il VaR e il VaR in condizioni di Stress, l’IRC (Incremental Risk Charge) e l’APR (All Price
Risks).
CAPITOLO 5
199
Infine per la determinazione del requisito patrimoniale a fronte del rischio operativo, le
banche possono affidarsi a tre diversi metodi:
il metodo Base (Basic Indicator Approach, BIA), il quale prevede che il requisito
stesso sia calcolato applicando un coefficiente regolamentare (15 per cento) ad un
indicatore del volume di operatività aziendale, individuato nel margine di
intermediazione (Banca d’Italia, 2006);
il metodo Standardizzato (TSA – Traditional Standardised Approach);
i metodi Avanzati (AMA – Advanced Measurement Approaches), basati sulla
raccolta di dati interni e esterni di perdita operativa, di analisi di scenario e di fattori
del contesto operativo e del sistema.
La normativa, inoltre, “rafforza il legame tra requisiti di carattere patrimoniale e profili
organizzativi, valorizzandone le sinergie tanto nella gestione delle banche quanto nelle
valutazioni e negli interventi di carattere prudenziale” (Banca d’Italia, 2006), assegnando
quindi un ruolo fondamentale nella gestione e nel controllo dei rischi agli organi di governo
societario, ai quali viene espressamente richiesto di assicurare il presidio di tutti i rischi cui
è soggetto l’intermediario, di individuarne le strategie e le politiche di gestione,
verificandone nel continuo l’efficacia e l’efficienza, e di definire i compiti e le
responsabilità delle varie funzioni e strutture aziendali.
Tale aspetto viene approfondito nel Capitolo 7, introdotto solo successivamente con il 15°
aggiornamento del 2 Luglio 2013, dedicato al sistema dei controlli interni come parte
integrante del complesso di norme che concernono gli assetti di governo e controllo delle
banche.
Esso è inteso come insieme di regole, funzioni, strutture, risorse, processi e procedure volte
ad assicurare piena consapevolezza della situazione ed efficace presidio dei rischi e delle
loro possibili interrelazioni, facilitando l’adattamento del contesto organizzativo alle
strategie e alle politiche d’impresa e favorendo la diffusione dei valori aziendali e della
cultura dei rischi.
La normativa individua quindi tre livelli di controllo entro cui dovranno inserirsi le diverse
funzioni:
1. Controllo di linea (1° livello) volto ad assicurare il corretto svolgimento delle
operazioni, che prevede il coinvolgimento delle stesse unità di business;
CAPITOLO 5
200
2. Controlli sui rischi e sulla conformità (2°livello) con l’obiettivo di garantire la
corretta implementazione del processo di gestione dei rischi e la conformità
dell’operatività aziendale alle norme;
3. Revisione interna (3° livello) che mira a valutare l’adeguatezza, la completezza, la
funzionalità e l’affidabilità dei sistemi di controllo interno e del sistema
informativo;
e fornisce indicazioni circa il ruolo e la definizione di alcuni organi, quali:
Organo con funzione di supervisione strategica (il Board) enfatizzando
ulteriormente il suo ruolo nella definizione del modello di business e del RAF17 e
nell’approvazione di un codice etico al quale tutti gli organi aziendali e i dipendenti
devono uniformarsi;
Organo con funzione di gestione cui spetta un’approfondita comprensione di tutti i
rischi e delle loro possibili interrelazioni, nonché il compito di definire ruoli e
responsabilità per tutti i soggetti coinvolti nel processo di risk management;
Organo con funzione di controllo (collegio sindacale, consiglio di sorveglianza o
comitato per il controllo).
Limitatamente a quest’ultimo punto la regolamentazione prevede che le banche istituiscano,
o ricorrano all’esternalizzazione di18 funzioni aziendali di controllo permanenti e
indipendenti di conformità alle norme (compliance), di controllo dei rischi (risk
management) e di revisione interna (internal audit).
La prima è finalizzata sostanzialmente al presidio del rischio di non conformità, ossia la
possibilità di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti
o danni di reputazione in conseguenza di violazioni di norme imperative o di
autoregolamentazione (Banca d’Italia, 2006).
17 A seguito della normativa, le banche dovranno obbligatoriamente definire un quadro di riferimento per
la determinazione della propensione al rischio (Risk Appetite Framework, RAF), che stabilisca ex ente gli
obiettivi di rischio/rendimento che l’organizzazione intende raggiungere e i conseguenti limiti operativi.
Esso conterrà le tipologie di rischi che la banca intende assumere e fisserà gli obiettivi di rischi, le
eventuali soglie di tolleranza e i limiti in condizioni di normale operatività o di stress. La banca dovrà
assicurare una stretta coerenza tra il modello di business, il piano strategico, il RAF, il processo ICAAP, i
budget, l’organizzazione aziendale e il sistema dei controlli interni [Nuove disposizioni di vigilanza
prudenziale per le banche, Circolare n.263 del 27 Dicembre 2006] 18 Le nuove disposizioni ammettono il ricorso all’outsourcing, purché le banche presidino attentamente i
rischi derivanti dalle scelte effettuate e mantengano la capacità di controllo e la responsabilità delle
attività esternalizzate.
CAPITOLO 5
201
La seconda ha l’obiettivo di presidiare alla definizione ed attuazione del RAF e delle
relative politiche di governo dei rischi, attraverso un adeguato processo di gestione degli
stessi e soprattutto a fornire pareri preventivi circa la coerenza con il RAF stesso delle
operazioni più rilevanti (Banca d’Italia, 2013a).
Il Risk Appetite rappresenta l’ammontare di rischio complessivo che una società p disposta
ad assumere nel raggiungimento degli obiettivi di crescita del valore aziendale. Esso riflette
la propensione al rischio dell’azienda, che influenza le strategie di crescita del valore e il
modello di business adottato.
Se ben articolato esso rappresenta una linea-guida per un continuo dialogo tra il
management e il CdA e per una gestione efficace del rischio.
Il RAF diviene un elemento essenziale e si configura come insieme di metriche, processi,
regole di governance e sistemi a supporto della corretta gestione del livello e del tipo di
rischio che una società è disposta ad assumere, coerentemente con i propri obiettivi
strategici. Il framework ha dunque lo scopo di allineare efficacemente il profilo di rischio
agli obiettivi definiti dall’organo di supervisione strategica e dai vertici aziendali sulla base
delle aspettative degli stakeholder e consente di legare la strategia di rischio alla
pianificazione di business, al sistema di limiti e alla valutazione della performance e della
remunerazione.
Il processo prevede la definizione di un Risk Appetite Statement articolato su tre livelli:
i. Livello obiettivo, che indica il livello ottimale di rischio cui la banca desidera esporsi
e rappresenta l’ammontare di rischio che la banca è disposta a sopportare per
raggiungere i propri obiettivi;
ii. Livello limite, che indica il livello massimo di rischio che la società è disposta a
sopportare, considerando tra gli altri il contesto di mercato e i vincoli regolamentari
esistenti;
iii. Livello soglia, che indica il livello di attenzione, al superamento del quale devono
essere implementate azioni correttive e rappresenta il sistema di allarme che attiva la
valutazione dell’opportunità di implementare possibili piani di contingency.
Tale processo può essere affrontato secondo due approcci principali: il primo è l’approccio
top-down, dove è il CdA che definisce il Risk Appetite Statement e che lo declina e
diffonde verso la struttura organizzativa; il secondo è quello bottom-up, ove le diverse
espressioni di Risk Appetite a livello operativo sono aggregate e vanno a formare il RA
complessivo per l’intera struttura.
CAPITOLO 5
202
Il primo permette di coinvolgere attivamente il Consiglio di Amministrazione nella
creazione del consenso, nelle tematiche di risk management e nell’integrazione di
quest’ultima nella pianificazione strategia e gli assicura un ruolo privilegiato per la
risoluzione di eventuali conflitti di interesse tra i diversi stakeholders. A dispetto di ciò
tuttavia non permette che le caratteristiche operative siano tenute nella dovuta
considerazione in fase di definizione dello statement.
Al contrario il secondo approccio assicura che tutti i rischi siano considerati, valutando gli
input provenienti da tutti i risk expert per ottenere il consenso sulla tolleranza per ciascun
rischio, e permette di coinvolgere tutti i livelli manageriali nella definizione dello statement,
sebbene possa portare talvolta ad una visione parziale di alcune problematiche e possa
risultare molto time consuming.
Limitatamente alla funzione di risk management la normativa ne sottolinea il ruolo in
relazione al rischio di liquidità (Banca d’Italia, 2006).
Essa deve concorrere all’individuazione delle politiche di gestione, allo sviluppo dei sistemi
di misurazione e monitoraggio del liquidity risk, alla realizzazione di stress test completi e
di una reportistica periodica aggiornata ed efficace, rapportandosi direttamente con gli
organi di supervisione strategica e di gestione.
La terza, invece, si concentra da un lato sul controllo periodico dell’andamento e
dell’evoluzione dei rischi, dall’altro sull’affidabilità e sulla robustezza delle componenti del
sistema dei controlli interni e, più in generale, della struttura organizzativa.
Con riferimento alla seconda funzione, viene ampliato il ruolo del Chief Risk Officer
(CRO), cui viene richiesto esplicitamente di supportare l’organo con funzione di
supervisione strategica nella definizione del RAF, di monitorare nel continuo l’andamento
della rischiosità aziendale e di valutare preventivamente le operazioni di maggior rilievo
con la possibilità di esercitare il potere di veto.
In un’ottica di rafforzamento del sistema di gestione dei rischi, la regolamentazione
sottolinea inoltre il ruolo dei sistemi informativi come strumento primario efficace ed
efficiente per facilitare il raggiungimento degli obiettivi strategici e operativi, che consente
al management di disporre di informazioni pertinenti e dettagliate per l’assunzione di
decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei
rischi (Banca d’Italia, 2006).
CAPITOLO 5
203
2.3. La circolare n.285 e la ricezione della direttiva CRR e CRD IV
La circolare n.285 “Disposizioni di vigilanza per le banche” del 17 Dicembre 2013 nasce
con l’obiettivo di recepire le nuove proposte dell’Accordo Basilea III (“Schema
internazionale di regolamentazione per le banche”), il regolamento (UE) n.575/2013,
Capital Requirements Regulation (CRR), e la direttiva 2013/36/UE, Capital Requirements
Directive IV (CRD IV), sviluppate dalle istituzioni comunitarie e delle autorità che
compongono il Sistema Europeo di Vigilanza Finanziaria con l’obiettivo di creare un
insieme di regole vincolanti uniformi a livello europeo (single rulebook) e realizzare
l’armonizzazione assoluta in ambito della disciplina prudenziale bancaria, riducendo allo
stesso tempo la discrezionalità nazionale (Banca d’Italia, 2013b).
Essa quindi raccoglie in un unico fascicolo le disposizioni contenute in particolare nella
Circolare n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza per le banche” e
nella la Circolare n. 229 del 21 aprile 1999 “Istruzioni di Vigilanza per le banche”,
ispirandosi ad alcuni principi basilari quali: la gestione integrata dei rischi, il
coinvolgimento dei vertici aziendali, l’efficacia e l’efficienza delle politiche di controllo
attuate.
Mantenendo quindi la struttura dei tre pilastri e i requisiti patrimoniali, rafforzati
ulteriormente dall’accordo Basilea III, tale circolare integra alcune ulteriori misure
prudenziali introdotte dalla CRD IV.
Oltre infatti al CCB (Capital conservation buffer) e al CCCB (Countercyclical capital
buffer), essa disciplina una riserva per gli enti a rilevanza sistemica globale (Global
systemically importannt institution buffer, G-SII buffer) e una riserva per gli altri enti a
rilevanza sistemica (Other systemically important institution buffer, O-SII buffer), con lo
scopo di introdurre requisiti patrimoniali più elevati per quei soggetti che, proprio a causa
della loro rilevanza nel sistema finanziario globale o domestico, potrebbero avere su
quest’ultimo importanti ripercussioni negative.
Inoltre, qualora le banche che non dovessero essere in grado di rispettare i requisiti di
riserve di capitale stabiliti non potranno distribuire dividendi, remunerazioni variabili e altri
elementi utili a formare il patrimonio regolamentare oltre limiti prestabiliti e dovranno
definire le misure necessarie a ripristinare il livello di capitale richiesto.
Nell’ambito del processo di controllo prudenziale (Supervisory Review Process – SRP) la
nuova normativa revisiona, attraverso l'aggiunta di ulteriori tipologie di rischio da
sottoporre a valutazione, il processo interno di determinazione dell’adeguatezza
CAPITOLO 5
204
patrimoniale (Internal Capital Adequacy Assessment Proess – ICAAP), fondato su idonei
sistemi aziendali di risk management, su meccanismi di governo societario, su una struttura
organizzativa con linee di responsabilità definite ed efficaci sistemi di controllo interno, , e
il processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation
Process- SREP), svolto dall’autorità di vigilanza che analizza i profili di rischio della banca
in condizioni di stress e il relativo contributo al rischio sistemico, valutando l’adeguatezza
del sistema di governo aziendale, degli organi di controllo e la struttura organizzativa, nel
rispetto delle regole prudenziali (Banca d’Italia, 2013b).
L’ICAAP si sostanzia in tre fasi:
1. Individuazione dei rischi da sottoporre a valutazione: le banche effettuano
un’attenta ed approfondita analisi di tutti i rischi cui sono o potrebbero essere
esposte;
2. Misurazione dei singoli rischi e determinazione del capitale interno relativo a
ciascuno di essi, utilizzando le metodologie più appropriate a seconda delle
caratteristiche operative ed organizzative e migliorando la loro valutazione
attraverso stress testing di tipo “what if”, per valutare la propria esposizione al
rischio in condizioni sfavorevoli;
3. Misurazione del capitale interno complessivo;
4. Determinazione del capitale complessivo e riconciliazione con il patrimonio di
vigilanza.
Esso, nel rispetto del principio di proporzionalità, prevede la ripartizione delle banche in tre
classi, a cui saranno applicate diverse metodologie per la misurazione/valutazione dei rischi
e tipologie di stress test.
Tale processo, inoltre, data la sua complessità e rilevanza come parte integrante della
gestione aziendale nella definizione delle strategie, dell’operatività e del RAF, coinvolge
una pluralità di figure professionali e strutture organizzative quali ad esempio funzioni di
pianificazione, internal audit e risk management.
Alla luce di quanto detto risulta dunque evidente l’indispensabile rafforzamento di
quest’ultima lungo tre direttrici:
Organizzativa: alla visione tradizionale di unità organizzativa indirizzata al
“controllo di secondo livello” deve aggiungersi la concezione ingegneristica di
“processo aziendale” top-down e bottom-up, che coinvolga interamente la struttura
aziendale;
CAPITOLO 5
205
Funzionale: il risk management non deve limitarsi all’individuazione e misurazione
dei rischi, solo attraverso lo sviluppo di modelli, ma deve partecipare attivamente
alla definizione degli obiettivi strategici e al controllo di gestione;
Contenutistica: l’approccio a compartimenti stagni, ossia a silos, deve essere
superato, a favore di una “visione olistica dell’esposizione complessiva, attenta alle
interazioni tra rischi, unità di business e entità giuridiche” (Ghisetti, 2013).
2.4. Il rischio di Compliance: il D. Lgs 231/01
Il Decreto Legislativo n.231 del 2001 introduce la responsabilità amministrativa dell’ente
per gli illeciti amministrativi dipendenti da reato.
Le disposizioni in esso previste, come recita l’art.1 comma 2, si applicano agli enti forniti di
personalità giuridica, cioè dotati di autonomia patrimoniale perfetta (secondo cui la
compagine sociale dell’ente risponde dei debiti di quest’ultimo limitatamente ai propri
conferimenti), e alle società e associazioni anche prive di personalità giuridica, in cui il
patrimonio dell’ente si confonde con il patrimonio personale dei soci.
Si ha quindi il superamento del brocardo latino “societas delinquere non potest”,
attribuendo per la prima volta una responsabilità di natura mista, penalistico-
amministrativa, che concerne la commissione dei reati da parte di enti collettivi.
Tale disposizioni, tuttavia, non si applicano allo Stato, agli enti pubblici territoriali, agli altri
enti pubblici non economici nonché agli enti che svolgono funzioni di rilievo costituzionale.
La finalità prevalente, sottesa all’emanazione di tale Decreto, consiste in primis nel
sanzionare in via diretta gli enti collettivi per comportamenti illeciti imputabili ai soggetti
che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di
una sua unità organizzativa, dotata di autonomia finanziaria e funzionale, nonché da
persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (ex art.5 comma
1 lettera a, D.lgs231/01), e, in secundis, in una maggiore responsabilizzazione degli enti per
ciò che concerne l’attività di monitoraggio e supervisione dell’operato dei soggetti sopra
indicati.
Tuttavia l’ente non risponde se le persone di cui sopra hanno agito nell’interesse esclusivo
proprio o di terzi.
Le sanzioni previste, che si modellano sulle caratteristiche peculiari del soggetto cui sono
destinate, sono di natura amministrativa e consistono in:
sanzioni pecuniarie, atte a ledere il patrimonio dell’ente;
CAPITOLO 5
206
sanzioni interdittive, finalizzate alla limitazione o inibizione delle attività
economico-produttive del soggetto collettivo;
confisca
pubblicazione della sentenza, con l’obiettivo di minare l’immagine dell’impresa
all’interno del mercato in cui opera.
Qualora il reato sia stato commesso da soggetti in posizione apicale, l’ente non risponde se
l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto,
un modello di organizzazione e di gestione atto a prevenire tale azione criminosa, ha
istituito un organismo di vigilanza con lo scopo di supervisionare tale modello, se le
persone che hanno commesso tale reato hanno eluso fraudolentemente il modello di
organizzazione e di gestione o non vi è stata sufficiente ed efficace vigilanza da parte
dell’organismo ad essa preposto.
Il modello di organizzazione, di cui sopra, dovrà essere perciò finalizzato ad individuare le
attività nel cui ambito possono essere commessi i reati, prevedere specifici controlli diretti a
programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da
prevenire, individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la
commissione dei reati e introdurre un sistema disciplinare atto a sanzionare il mancato
rispetto delle misure indicate nel modello (ex art.6 comma 2 lettera a,b,c,d,e, D.lgs 231/01).
Se invece il reato è stato commesso da persone sottoposte alla direzione o alla vigilanza di
uno dei soggetti apicali, l’ente risponderà solo nel caso in cui la commissione del reato è
stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza (ex art.7 comma
1, D.lgs231/01).
In ogni caso l’ente non risponderà qualora abbia adottato un modello di organizzazione e
gestione che preveda l’attuazione di misure efficaci nell’eliminazione tempestiva delle
situazioni di rischio, atte a garantire lo svolgimento delle attività aziendali nel rispetto della
legge, grazie ad una verifica periodica ed un’eventuale modifica dello stesso e alla
creazione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure
indicate in tale modello (ex art.7 comma 4, D.lgs231/01).
CAPITOLO 5
207
3. L’enterprise risk management nel gruppo UNICREDIT
3.1. L’assetto organizzativo
La Banca è la Capogruppo dell’omonimo Gruppo Bancario (di seguito il “Gruppo
UniCredit” o il “Gruppo”), presente a livello internazionale ed ha una posizione strategica
in Europa centro-orientale, grazie ad un modello di business volto a servire i singoli mercati
con un approccio locale e, nel contempo, cogliere le sinergie e le economie di scala di un
gruppo globale.
Quale Capogruppo, la Banca è responsabile della massimizzazione del valore di lungo
termine del Gruppo nel suo complesso, garantendone il governo unitario, l’indirizzo e il
controllo strategico, nonché l’efficiente erogazione dei servizi all’intero Gruppo.
Il quadro complessivo della Corporate Governance di UniCredit, inteso come il sistema
delle regole e delle procedure cui gli organi sociali fanno riferimento per ispirare la propria
linea di condotta e adempiere alle diverse responsabilità nei confronti dei propri
stakeholder, è stato definito tenendo presente le norme vigenti e le raccomandazioni
contenute nel Codice di Autodisciplina delle società quotate e si inspira ad un sistema
tradizionale.
Le ragioni della scelta di questo modello di governance risiedono nella considerazione che
lo stesso abbia dimostrato nel tempo di essere idoneo ad assicurare l’efficienza della
gestione e l’efficacia dei controlli, e quindi le necessarie condizioni che consentono alla
Capogruppo di assicurare una sana e prudente gestione di un gruppo bancario complesso e
globale quale è il gruppo UniCredit.
Caratteristica essenziale di tale sistema è la separazione tra compiti di gestione della società,
di controllo sull’amministrazione e di revisione legale dei conti. Esso infatti prevede la
presenza di un Consiglio di Amministrazione con funzioni amministrative, cui spetta in via
esclusiva la supervisione strategica e la gestione dell’impresa, e di un Collegio Sindacale
con funzioni di controllo sull'amministrazione, entrambi di nomina assembleare, mentre la
revisione legale dei conti è affidata ad una società di revisione legale.
In relazione al Consiglio di Amministrazione, gli amministratori agiscono e deliberano
con cognizione di causa ed in autonomia, perseguendo l’obiettivo prioritario della creazione
di valore per gli azionisti. Coerentemente con tale obiettivo, gli amministratori, nello
svolgimento dell’incarico, tengono anche conto delle direttive e politiche definite per il
Gruppo UniCredit nonché dei benefici derivanti dall’appartenenza al Gruppo medesimo.
CAPITOLO 5
208
Tale organo delibera con competenza esclusiva in merito alla determinazione degli indirizzi
generali di gestione delle politiche di sviluppo del Gruppo propedeutici alla redazione di
piani strategici, industriali e finanziari pluriennali e di budget d’esercizio della Società e del
Gruppo, alla loro modifica e alla verifica della loro corretta attuazione. Si occupa inoltre
della formalizzazione delle politiche per il governo dei rischi cui il Gruppo può essere
esposto, del loro riesame periodico al fine di assicurarne l’efficacia nel tempo e la vigilanza
sul concreto funzionamento dei processi di gestione e controllo dei rischi nel rispetto delle
previsioni normative e regolamentari vigenti. Infine attraverso la valutazione
dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile generale, definisce
le linee di indirizzo del sistema di controllo interno, verificandone almeno annualmente
l’adeguatezza, l’efficacia e l’effettivo funzionamento e assicurandosi che i principali rischi
aziendali siano correttamente identificati nonché misurati, gestiti e monitorati in modo
adeguato, determinando, inoltre, criteri di compatibilità di tali rischi con una sana e corretta
gestione della Società.
Al fine di favorire un efficiente sistema di informazione e consultazione che permetta al
Consiglio una migliore valutazione di alcuni argomenti di sua competenza, sono stati
costituiti cinque comitati aventi finalità consultive e propositive, a struttura ristretta,
diversificati per settore di competenza.
Il Comitato permanente strategico si occupa di valutare operazioni/iniziative di rilevante
contenuto strategico per il Gruppo quali, ad esempio la predisposizione del Piano Triennale
di Gruppo, la determinazione del Budget di Gruppo annuale, l’ingresso in nuovi mercati, sia
geografici che di business, e joint ventures di alto profilo con Gruppi industriali e/o
finanziari.
Il Comitato per i Controlli Interni & Rischi, suddiviso in Sotto Comitato per i Controlli
Interni (Internal Controls Sub-committee) e Sotto Comitato per i Rischi (Risk Sub-
Committee), assiste il Consiglio nella definizione delle linee di indirizzo del sistema di
controllo interno, nella verifica semestrale dell’adeguatezza, dell’efficacia e dell’effettivo
funzionamento del SCI, assicurando che i principali rischi aziendali siano correttamente
identificati nonché misurati, gestiti e monitorati in modo adeguato, nonché nella
determinazione dei criteri di compatibilità dei rischi aziendali con una sana e corretta
gestione della Società (risk appetite) e nella formalizzazione delle politiche per il governo
dei rischi.
CAPITOLO 5
209
In particolare il Sotto-Comitato per i Controlli Interni vigila affinché la funzione di
Compliance applichi le politiche di gestione del rischio di non conformità definite dal
Consiglio e la funzione di Internal Audit attui gli indirizzi del Consiglio in materia di
svolgimento dei controlli di terzo livello, esaminando l’adeguatezza, sotto il profilo
quali/quantitativo, delle strutture organizzative delle suddette funzioni; mentre il Sotto-
Comitato per i Rischi esamina l’assessment in tema di rischi a livello di Gruppo,
assistendo il Consiglio nella vigilanza sul concreto funzionamento dei processi di gestione e
controllo dei rischi (credito, mercato, liquidità e operativo) nel rispetto delle previsioni
normative e regolamentari vigenti ed effettua l’analisi delle relazioni periodiche predisposte
dalla funzione di Risk Management.
Vi sono inoltre il Comitato Parti Correlate ed Investimenti in Equity, il Comitato
Corporate Governance, HR and Nomination e il Comitato Remunerazione.
Ai sensi del Decreto Legislativo n. 231/01, il Consiglio di Amministrazione di UniCredit
S.p.A. ha nominato l'Organismo di Vigilanza (OdV), con il compito di vigilare sul
funzionamento e l’osservanza del Modello di Organizzazione e Gestione di UniCredit e
curarne l'aggiornamento.
Per quanto concerne invece il Sistema di Controlli Interni, attraverso cui Unicredit Group
monitora, misura e controlla l’insieme dei rischi (di mercato, di credito, operativi,
reputazionali, di compliance) cui è esposto, esso risulta essere così strutturato:
controlli di primo livello (o controlli di linea), effettuati dalle stesse strutture produttive
o incorporati dalle procedure o eseguiti dal back office, diretti ad assicurare il corretto
svolgimento delle operazioni;
controlli di secondo livello (o controlli sulla gestione dei rischi) affidati a diverse unità
quali:
o la funzione Compliance incaricata della corretta applicazione e del rispetto del
framework normativo di riferimento, della sua coerente interpretazione a livello di
gruppo e dell'identificazione, valutazione, prevenzione e monitoraggio dei rischi
complessivi di Compliance del gruppo o delle rispettive Entità;
o il Group Risk Management (GRM) che controlla e indirizza i rischi del Gruppo
attraverso la definizione di politiche e metodologie volte a misurare e controllare
tali rischi e attraverso l'ottimizzazione del costo del rischio grazie alla definizione
di linee guida, politiche e pareri non vincolanti su esposizioni creditizie rilevanti,
CAPITOLO 5
210
nel rispetto delle norme interne ed esterne e dei regolamenti. In particolare le
attività svolte da questa funzione sono:
la gestione e l'ottimizzazione della qualità dell'attivo e del costo del rischio
del Gruppo, coerentemente con gli obiettivi di rischio/redditività assegnati
alle diverse aree di business;
la definizione (di concerto con la funzione CFO) e il monitoraggio della
propensione al rischio del Gruppo, valutandone inoltre l'adeguatezza
patrimoniale;
la definizione - in conformità con i requisiti normativi - delle regole,
metodologie, tipologie di limiti di rischio, politiche e strategie di gestione
del rischio del Gruppo;
la definizione e l'applicazione dei criteri per la valutazione, gestione,
misurazione, monitoraggio e reportistica dei rischi in modo da garantirne la
coerenza e la trasparenza a livello di Gruppo;
la verifica dell'adeguatezza dei sistemi di misurazione dei rischi adottati
nell'ambito del Gruppo;
la quantificazione dell'impatto delle variazioni del ciclo economico o degli
eventi eccezionali sulla struttura finanziaria del Gruppo;
la creazione di una cultura del rischio estesa a tutto il Gruppo, supportato
da una direzione che si occupa di risk culture, sicuramente essenziale, che
si occupa di diffondere la cultura del rischio, raccogliendo materiale e
organizzando seminari su vari livelli, seminari ad hoc, training, l’approccio
e l’appetito per il rischio.
controlli di terzo livello (Internal Audit) finalizzati alla valutazione e verifica
periodica della completezza, della funzionalità e dell'adeguatezza del sistema dei
controlli interni. L'attività è condotta da strutture diverse da quelle produttive e di
controllo di 2° livello, in alcuni da ogni Società in outsourcing verso UniCredit
Audit.
Il Gruppo UniCredit può dunque contare su una funzione dedicata alla gestione del rischio
saldamente presente all'interno dei processi di governance della banca. Essa esercita il
proprio ruolo di indirizzo, coordinamento e controllo dei rischi in particolare attraverso i
“Portfolio Risk Managers” responsabili per i rischi di competenza, in ottica di Gruppo e
interdivisionale. Il modello prevede inoltre uno specifico punto di riferimento per l’Italia
CAPITOLO 5
211
nella funzione “CRO Italy”, cui sono state assegnate le responsabilità relative ai rischi di
credito, operativi e reputazionali del perimetro Italia, nonché il coordinamento manageriale
delle funzioni di RM presso le Entità italiane del Gruppo.
Inoltre al fine di presidiare la capacità di indirizzo autonomo, il coordinamento ed il
controllo di tutti i rischi, migliorando l’efficienza e la flessibilità del processo decisionale e
agevolando l’interazione tra le differenti funzioni coinvolte, sono stati istituiti specifici
Comitati responsabili in materia di rischi, articolati su tre distinti livelli:
il Group Risk Committee, responsabile per le decisioni strategiche sui rischi a livello di
Gruppo;
i Group Portfolio Risk Committees, cui sono assegnati il compito di indirizzare,
controllare e gestire i differenti rischi di portafoglio;
i Group Transactional Committees, dedicati alla valutazione delle singole
controparti/transazioni aventi impatto sul profilo di rischio complessivo.
3.2. La gestione del rischio di credito
Per quanto riguarda il rischio di credito i rapporti tra la Capogruppo e le Entità del Gruppo
che esercitano attività creditizia, sono disciplinati da specifiche disposizioni di governance
che assicurano alla Capogruppo stessa il ruolo di direzione, supporto e controllo, in
particolare nelle seguenti aree di attività: politiche creditizie, strategie creditizie, sviluppo
dei modelli, validazione dei sistemi di rating, rischio di concentrazione creditizia, rilascio di
prodotti creditizi, monitoraggio e reportistica del rischio creditizio di portafoglio.
In particolare l’organizzazione si articola su due livelli:
funzioni aventi responsabilità a livello di Gruppo quali:
il Group Credit Risk department che si articola nelle seguenti strutture:
Group Credit Risk Policies, cui è attribuita la responsabilità di definire la
normativa di Gruppo in materia di rischio di credito;
Group Credit Risk Strategies, cui sono attribuite le responsabilità di definire
strategie e limiti, svolgere attività di stress test ed analisi di portafoglio,
monitorare il rischio di concentrazione creditizio attraverso limiti dedicati e
sviluppare metodologie per la misurazione del rischio di credito;
Group Credit Portfolio Management & Risk Reporting, cui spetta il compito di
predisporre la reportistica necessaria al monitoraggio dell’andamento del
portafoglio crediti del Gruppo, monitorare il portafoglio creditizio;
CAPITOLO 5
212
il Group Credit Transactions department che si articola nelle seguenti strutture:
Group credit Committee Secretariat, responsabile per il supporto,
l’organizzazione ed il coordinamento delle diverse fasi procedurali e dei flussi
informativi per il processo di approvazione e di reportistica riguardante le
attività del “Group Credit Committe”, del “Group Transactional Credit
Committee” e del “Group Rating Committee”;
FIBS Credit Transactions responsabile per le controparti “Financial
Institutions, Banks and Sovereigns” (FIBS);
CIB & Large Credit Transactions;
Country Risk Analysis & Monitoring responsabile di analizzare e monitorare il
rischio Paese;
il Group Risks Control department che si articola nelle seguenti strutture:
Group Wide Credit Methodologies cui spetta il compito di assicurare lo
sviluppo, la gestione e la continua evoluzione dei modelli, strumenti di rating,
strumenti per la misurazione del rischio di credito del portafoglio complessivo
del Gruppo e metodologie per i rischi di credito;
Group Basel Program a cui spetta l’attività di coordinare le attività di
attuazione della regolamentazione di Basilea sul rischio di credito ed
assicurare la relativa informativa agli Organi di governo aziendale e alle
Autorità di Vigilanza;
Group Internal Validation a cui è attribuito il compito di convalidare, a livello
di Gruppo, le metodologie per la misurazione del rischio di credito, i relativi
processi e le componenti di IT e data quality, allo scopo di verificarne la
rispondenza sia ai requisiti regolamentari che agli standard interni;
Group Rating Desk a cui sono spettano le attività di assegnare i rating ad
alcune tipologie di controparti rilevanti (Top Banking e Top Corporate) e
deliberare, nell’ambito dei poteri delegati, o proporre agli organi deliberativi
competenti sulle proposte di modifica di rating relative ai sistemi di rating
Group-wide;
funzioni aventi responsabilità a livello Paese, dipendenti dal “CRO Italy”, quali:
il Risk Management Italy department, che svolge le attività di governo e di
controllo dei rischi di credito relativi al perimetro di competenza del “Country
Chairman Italy”;
CAPITOLO 5
213
il Central Credit Risk Underwriting department e il Territorial Credit Risk
Underwriting department;
il Loans Administration department;
lo Special Credit & Credit Risk Monitoring Italy department.
Le strategie creditizie di Gruppo (GCRS), partendo da obiettivi di budget e dalle previsioni
a livello di settore, forniscono un insieme di linee guida e di target operativi relativi
all’evoluzione del portafoglio crediti, tali da migliorare il rapporto rischio-rendimento del
portafoglio globale. L’obiettivo è duplice: da una parte si vuole definire l’evoluzione del
portafoglio che minimizza l’impatto complessivo del rischio di credito considerando la
remuneratività attesa, in linea con i criteri di Gruppo in tema di allocazione del capitale e
creazione del valore; dall’altro si cerca di fornire un valido supporto alle competenti
funzioni/divisioni della Capogruppo ed alle società del Gruppo.
La definizione delle strategie creditizie avviene sintetizzando le analisi di rischio effettuate
top-down, con la visione di portafoglio delle funzioni di business, attraverso uno stretto
coordinamento tra le strutture di Capogruppo e quelle locali della funzione di Risk
Management.
Per questo processo vengono utilizzate le principali metriche di rischio di credito al fine di
garantire una corretta e prudenziale gestione del rischio di portafoglio, parallelamente a
informazioni qualitative, relative a specifiche iniziative manageriali o a previsioni
sull’andamento settoriale dei diversi territori e divisioni, che vengono inglobate e
trasformate in variabili di input nei modelli di gestione del portafoglio creditizio.
Il Gruppo utilizza una pluralità di tecniche di mitigazione del rischio di credito volte a
ridurre le perdite potenziali derivanti dall’attività creditizia nell’eventualità di default
dell’obbligato principale. In tale ambito ed in conformità alla “International Convergence of
Capital Measurement and Capital Standards - A Revised Framework” (Basilea 2) e Basilea
3, il Gruppo è fortemente impegnato a soddisfare tutti i requisiti necessari alla corretta
applicazione delle tecniche di Credit Risk Mitigation (CRM) in relazione ai differenti
approcci adottati - Standardizzato, IRB Foundation (F-IRB) o IRB Avanzato (A-IRB) - ai
fini sia gestionali interni sia del loro riconoscimento per il calcolo dei requisiti patrimoniali.
La misurazione del rischio di credito viene effettuata sia a livello di singola
controparte/transazione, sia a livello dell’intero portafoglio. Gli strumenti ed i processi a
supporto dell’attività creditizia nei confronti di singoli prenditori, tanto nella fase di
erogazione quanto in quella di monitoraggio, comprendono il processo di assegnazione del
CAPITOLO 5
214
rating, differenziato in base alle peculiari caratteristiche dei differenti segmenti di
clientela/prodotto, al fine di assicurare il massimo livello di efficacia.
La valutazione del merito creditizio di una controparte, in sede di esame della proposta di
affidamento, scaturisce dal processo di analisi dei dati finanziari e di quelli qualitativi
(posizionamento competitivo dell’azienda, struttura societaria ed organizzativa, ecc.),
caratteristiche geo-settoriali, comportamentali a livello di Entità e di sistema bancario, al
fine di pervenire all’assegnazione di un rating, da intendersi quale definizione della
“probabilità di default” (PD) della controparte medesima, con un orizzonte temporale di un
anno.
I parametri di misurazione del rischio di credito a livello di portafoglio sono
fondamentalmente tre, calcolati e valutati su un orizzonte temporale di
dodici mesi:
Expected Loss (EL);
Credit Value at Risk (Credit VaR);
Expected Shortfall (ES).
Al fine di individuare il Credit VaR a livello di portafoglio, viene specificata la
distribuzione delle perdite a livello dello stesso; questa è costituita dalle probabilità di
ottenere differenti valori di perdita su un determinato orizzonte temporale (“discrete loss
case”). Il valore di perdita associato alla relativa probabilità è dato dal prodotto della
percentuale di perdita in caso di default (LGD) e le esposizioni in default (EAD) dei singoli
obbligati, considerando le correlazioni tra i default.
La perdita attesa (EL) costituisce il valore della perdita media a livello di portafoglio
aggregato, dovuto al potenziale manifestarsi dell’inadempienza degli obbligati. La perdita
attesa a livello di portafoglio è data dalla somma delle perdite attese dei singoli obbligati,
che possono essere determinate attraverso il prodotto di PD x LGD x EAD, ed è
indipendente dalle correlazioni tra i default a livello di portafoglio. La perdita attesa è di
norma computata come componente di costo.
Il Value at Risk rappresenta invece la soglia monetaria di perdita superata solo per un
prefissato valore di probabilità (VaR con livello di confidenza 1-α, UniCredit ha fissato
α=0,03% ovvero utilizza un intervallo di confidenza del 99,97%). Il Capitale Economico è
derivato dal Value at Risk sottraendone la perdita attesa ed è un input per la determinazione
del Capitale Interno a copertura delle perdite potenziali derivanti da tutte le fonti di rischio.
CAPITOLO 5
215
Il VaR è ampiamente utilizzato quale misura del rischio di portafoglio ma non fornisce
alcuna informazione concernente le perdite potenziali nel caso in cui i limiti di VaR siano
superati. Tale indicazione è invece fornita dall’“Expected Shortfall” (ES) che rappresenta il
valore atteso delle perdite che eccedono la soglia di VaR. Il Credit VaR di portafoglio e
l’ES dipendono significativamente dalla correlazione tra i default e possono essere ridotti
attraverso un’adeguata diversificazione del portafoglio.
Le misure di capitale economico (Credit VaR) rappresentano, inoltre, un input
fondamentale per la predisposizione ed applicazione delle strategie creditizie, per l’analisi
dei limiti creditizi e di concentrazione dei rischi. Il motore di calcolo del capitale economico
viene altresì utilizzato per analisi di stress testing sul portafoglio creditizio, partendo da
variabili macroeconomiche che influenzano i diversi segmenti di clientela per Paese,
dimensione, ecc.
Tutti i sopra citati parametri di rischio sono soggetti ad una validazione iniziale e ad un
regolare processo di monitoraggio, con riferimento a ciascun sistema di rating, in tutte le
sue componenti: modelli, processi, sistemi IT e data quality.
La finalità è di attestare la conformità dei sistemi, unitamente a quella di porre in evidenza
aree di possibile miglioramento, così come eventuali disallineamenti nelle metodologie che
possano comportare rischi di non perfetta comparabilità nelle misure prodotte. Per quanto
concerne invece l’attività di Credit Stress Test, il modello è stato implementato su
un’apposita piattaforma informatica e durante l’anno sarà posto in essere un processo per la
progressiva estensione dell’utilizzo del modello per consentire, sia alle strutture interne di
Capogruppo, sia alle Legal Entities, di stimare l’impatto sui parametri creditizi di uno o più
scenari macroeconomici avversi al fine di misurare la vulnerabilità del portafoglio (di
Gruppo o di singoli sotto-portafogli) a scenari particolarmente severi.
I processi di gestione del rischio Paese, ossia il rischio di esposizione a perdite determinate
da eventi, aventi luogo in un determinato Paese, che possono essere sotto controllo da parte
dell’Organo governativo ma non da parte di imprese o soggetti privati, presentano un
elevato grado di accentramento in Capogruppo, sia per quanto riguarda gli aspetti
metodologici, sia per quanto riguarda il processo decisionale, al fine di garantire un
approccio di valutazione e monitoraggio omogenei, in particolare l’attribuzione del rating -
PD (probabilità di default) e LGD (tasso di perdita in caso di default) - ed il presidio sul
rischio di concentrazione.
CAPITOLO 5
216
L’assegnazione del rating Paese (sia in termini di PD che di LGD) viene condotta attraverso
l’utilizzo di uno specifico modello interno di rating. L’analisi, che si focalizza sia su aspetti
qualitativi che quantitativi, è parte integrante del processo di calcolo del rating finale. Nel
caso in cui il rating risultante dal modello non rifletta correttamente il profilo creditizio del
paese, un override viene richiesto dall’organo competente. Sia il calcolo della PD che il
calcolo dell’LGD sono necessari e devono essere assegnati prima che venga presa la
decisione creditizia. Il rating deve essere aggiornato una volta l’anno o quando si rendano
disponibili nuove informazioni (sia positive, sia negative) che influenzino il merito
creditizio del Paese.
Il cambiamento dello scenario macroeconomico e politico è stato costantemente monitorato
e riflesso nei rating interni di paesi come Grecia, Spagna, Portogallo e Irlanda, che sono
stati coerentemente rivisti, anche con una frequenza superiore all’anno, ove necessario.
Particolare rilevanza è posta al rischio di concentrazione creditizio che, coerentemente con
la definizione fornita dalla normativa “Basilea 2”, si configura come una singola
esposizione o un gruppo di esposizioni tra di loro correlate, potenzialmente in grado di
produrre perdite tali da minacciare la solidità del Gruppo o la sua capacità di proseguire
nello svolgimento della normale operatività.
Al fine di individuare, gestire, misurare e monitorare il rischio di concentrazione, le
funzioni preposte in Capogruppo presidiano la definizione ed il monitoraggio di specifici
limiti creditizi, volti al controllo di due differenti tipologie di rischio di concentrazione:
esposizioni creditizie di importo rilevante in capo ad una singola controparte o ad un
insieme di controparti economicamente correlate (c.d. bulk risk, o rischio di
concentrazione per singolo prenditore o gruppo economico);
esposizioni creditizie verso controparti appartenenti al medesimo settore di attività
economica (sectorial concentration risk).
È stata ulteriormente rafforzata e resa più efficiente nel corso degli ultimi mesi l’attività di
monitoraggio e reporting creditizio, sia su base periodica sia sulla base di richieste ad hoc
(da parte dell’Alta Direzione, dell’Autorità di Vigilanza o da parte di controparti esterne
quali agenzie di rating), effettuata da strutture dedicate, appartenenti alla funzione Group
Risk Management.
Le attività di portfolio reporting a livello di Gruppo sono condotte in stretta collaborazione
con i CRO (Chief Risk Officer) delle singole Entità e i Credit Risk Portfolio Managers che,
all’interno del rispettivo perimetro, implementano le loro specifiche attività di reporting.
CAPITOLO 5
217
Tali attività si focalizzano sull’analisi delle principali componenti del rischio di credito
quali i valori di EAD (Esposizione al Default), EL (Expected Loss), costo del rischio, ecc.,
al fine di adottare tempestivamente tutte le possibili contromisure a livello di portafoglio
complessivo, parziale o di singole controparti.
La tempestiva individuazione ed una gestione adeguata delle esposizioni che presentano un
peggioramento del profilo di rischio consentono di intervenire nella fase antecedente il
potenziale default, quando cioè vi sono ancora margini per il conseguimento del rimborso
della posizione debitoria e, quindi, per intraprendere opportune azioni correttive.
Una recente riorganizzazione ha portato poi a creare, a livello di Gruppo, la funzione Group
Credit Transactions, esclusivamente dedicata alle attività creditizie transazionali di natura
globale e alla revisione creditizia delle posizioni di rilevanza strategica per il Gruppo,
separata dalla funzione Group Credit Risk, che è esclusivamente dedicata alla definizione
delle strategie e delle politiche di credito, al monitoraggio/analisi del portafoglio creditizio
ed alla attività di reportistica.
A livello CRO Italy la riorganizzazione del Credit Risk Management ha portato alla
concentrazione di tutte le funzioni dedicate ad attività di definizione delle politiche di
credito, monitoraggio del portafoglio creditizio e reportistica locale, oltre allo sviluppo dei
modelli locali di misurazione dei parametri creditizi, in un’unica struttura Risk Management
Italy con una più netta separazione dalle funzioni dedicate alla gestione creditizia dei file.
3.3. La gestione del rischio di mercato
Il rischio di mercato deriva dall’effetto che variazioni nelle variabili di mercato (tassi di
interesse, prezzi dei titoli, tassi di cambio, ecc.) possono generare sul valore economico del
portafoglio del Gruppo, dove quest’ultimo comprende le attività detenute sia nel trading
book, ossia nel portafoglio di negoziazione19, sia quelle iscritte nel banking book, ovvero
l’operatività connessa con la gestione caratteristica della banca commerciale e con le scelte
di investimento strategiche. La gestione del rischio di mercato nel gruppo UniCredit
ricomprende, perciò, tutte le attività connesse con le operazioni di tesoreria e di gestione
19 Il portafoglio di negoziazione include le posizioni in strumenti finanziari o materie prime detenute a
fini sia di negoziazione sia di copertura di altri elementi del portafoglio di negoziazione stesso. Per poter
essere sottoposti al trattamento di capitale del portafoglio di negoziazione, gli strumenti finanziari devono
essere liberi da restrizioni contrattuali sulla loro negoziabilità oppure il rischio relativo deve poter essere
totalmente immunizzabile. Inoltre, le posizioni devono essere frequentemente ed accuratamente rivalutate
ed il portafoglio deve essere gestito in maniera attiva.
CAPITOLO 5
218
della struttura patrimoniale, sia nella Capogruppo, sia nelle singole società che compongono
il gruppo stesso.
Il modello in essere garantisce la capacità di indirizzo, coordinamento e controllo di alcuni
rischi aggregati (cosiddetti Portfolio Risks), tramite centri di responsabilità dedicati
(Portfolio Risk Managers), interamente focalizzati e specializzati su tali rischi, in ottica di
Gruppo ed interdivisionale.
In base a tale organizzazione le strutture di primo riporto al “Group Risk Management”,
dedicate al governo dei rischi di mercato, sono:
“Group Trading Risks”, per quanto concerne il rischio di mercato relativo alle posizioni
presenti nel Trading Book;
“Group Balance Sheet & Liquidity Risk” per quanto concerne il rischio di mercato
relativo al Banking Book.
Per quanto concerne il portafoglio di negoziazione, il gruppo UniCredit gestisce e monitora
il rischio di mercato mediante due insiemi di misure:
Global Market Risk measures:
o Value at Risk (VaR), che rappresenta la perdita potenziale del valore di un
portafoglio in un determinato periodo per un determinato intervallo di confidenza;
o Stressed VaR (SVaR), che rappresenta il VaR potenziale di un portafoglio soggetto
ad un periodo di dodici mesi di significativo stress finanziario;
o Incremental Risk Charge (IRC), che rappresenta il capitale regolamentare mirato a
coprire le perdite creditizie (rischi di default e migrazione di rating) che possono
verificarsi in un portafoglio in un determinato periodo e per un determinato
intervallo di confidenza;
o Comprehensive Risk Measure (CRM), che rappresenta il capitale regolamentare
mirato a coprire le perdite creditizie non incluse nell’IRC (come ad esempio gli
effetti legati al tasso di recupero e correlazione stocastici per gli strumenti derivati
strutturati) che possono verificarsi in un portafoglio in un determinato periodo e per
un determinato intervallo di confidenza;
o Loss Warning Level (LWL), che è definito come la P&L economica cumulata su un
periodo di 60 giorni lavorativi di un’unità di rischio;
o Combined Stress Test Warning Level (STWL), che rappresenta la perdita potenziale
del valore di un portafoglio calcolata sulla base di uno scenario di stress.
Granular Market Risk measures:
CAPITOLO 5
219
o Sensitivities, che rappresentano la variazione nel valore di mercato di uno strumento
finanziario a causa dei movimenti dei fattori di rischio di mercato rilevanti.
Sulla base di queste misure, sono definiti due insiemi di limiti:
Global Market Risk limits (Loss Warning Levels, Combined Stress Test Warning
Level, VaR, SVaR, IRC, CRM): che hanno lo scopo di definire un limite
all’assorbimento di capitale economico ed alla perdita economica accettata per le
attività di negoziazione; questi limiti devono essere consistenti con il budget di ricavi
assegnato e la risk taking capacity assunta;
Granular Market Risk limits (limiti sulle Sensitivity, sugli scenari di Stress e sui
Nominali): che esistono indipendentemente, ma agiscono in parallelo ai Global Market
Risk limits ed operano in maniera consolidata in tutte le Entità (ove possibile); al fine di
controllare più efficacemente e specificamente diversi tipi di rischio, portafogli e
prodotti, questi limiti sono in generale associati a sensitività granulari oppure a scenari
di stress. I livelli fissati per i Granular Market Risk limits mirano a limitare la
concentrazione del rischio verso singoli risk factor o l’eccessiva esposizione verso risk
factor che non sono sufficientemente rappresentati dal VaR.
Sempre in relazione al portafoglio di negoziazione è stato costituito il “Group Trading
Risks” department, responsabile del governo e del controllo di tali rischi a livello di
Gruppo, attraverso la definizione delle strategie e dei limiti, la redazione di normativa di
Gruppo in materia, il monitoraggio della relativa implementazione presso le Entità del
Gruppo, lo sviluppo di metodologie per la misurazione di tali rischi, lo svolgimento delle
attività di stress-test e l’analisi del portafoglio.
Tale dipartimento si articola poi nelle unità di:
Market Risk Management” department, responsabile del governo ed il controllo dei
rischi di mercato del Gruppo, a sua volta suddiviso nelle strutture di:
o Group Market Risk Management” unit, responsabile di coordinare il
processo iterativo (in cooperazione con le funzioni di Market Risk delle
Entità del Gruppo) per la definizione dell’insieme di limiti globali e
granulari da sottoporre, per approvazione, ai comitati ed organi decisionali
competenti, a livello locale e di Capogruppo;
o Market Risk Policies, Methodologies & Architecture” unit, responsabile di
sviluppare metodologie per la gestione dei rischi di mercato (ad esempio
VaR, Stressed VaR, Incremental Risk Charge, Comprehensive Risk
CAPITOLO 5
220
Measure, Credit Counterparty Risk, Expected Positive Exposure, etc.)
garantendo coerenza di modelli all’interno del Gruppo e calcolare le
metriche in collaborazione con le relative strutture delle Entità, provvedere
alla redazione della normativa di Gruppo in materia di rischi di trading,
verificare e monitorare la coerenza delle policy operative in materia di rischi
di mercato definite dalle Entità del Gruppo con le strategie e con la
normativa di Gruppo definite da “Group Trading Risks” department;
Con particolare riferimento al portafoglio bancario, invece, i fattori di rischio specifici sono
connessi in particolare alle fluttuazioni dei tassi di interesse, ai tassi di cambio e
all’andamento complessivo dei mercati finanziari, che sono interessati dalle attuali
condizioni finanziarie globali e da cui i risultati del Gruppo dipendono in varia misura, e il
loro presidio ricade sotto la responsabilità dell’unità “Balance Sheet Risks Control” facente
parte del Group Risk Management.
Anche in questo caso sono stati definiti limiti e soglie di attenzione in termini di VaR
(utilizzando la metodologia descritta per il portafoglio di negoziazione), di misure di
sensitività o repricing gap per ogni Banca o Società del Gruppo.
3.4. La gestione del rischio di liquidità
Il rischio di liquidità identifica l’eventualità che il Gruppo possa trovarsi nella condizione di
non riuscire a far fronte agli impegni di pagamento (per cassa o per consegna) attuali e
futuri, previsti o imprevisti senza pregiudicare l’operatività quotidiana o la propria
condizione finanziaria.
L’obiettivo del Gruppo è mantenere la liquidità ad un livello che consenta di condurre le
operazioni in sicurezza, finanziare le proprie attività alle migliori condizioni di tasso in
normali circostanze operative e rimanere sempre nella condizione di far fronte agli impegni
di pagamento.
A tale scopo, il Gruppo si attiene scrupolosamente alle disposizioni normative e
regolamentari imposte dalle Banche Centrali e dalle autorità nazionali dei vari paesi in cui
opera.
Oltre a soddisfare i requisiti legali e regolamentari locali, tramite la Capogruppo e sotto la
supervisione del Group Risk Management, sono state definite politiche e metriche da
adottare a livello di Gruppo, al fine di garantire che la posizione di liquidità di ciascuna
Entità risponda ai requisiti dello stesso.
CAPITOLO 5
221
Per tali ragioni, l’organizzazione del Gruppo è basata su criteri di tipo manageriale, definiti
coerentemente con il concetto di Liquidity Centre.
I Liquidity Centre sono Entità Legali che intervengono in base alla responsabilità che ad
esse compete quali sub-holding nella gestione della liquidità. Essi intervengono nel
processo di gestione e concentrazione dei flussi di liquidità delle varie Entità che ricadono
all’interno del loro perimetro, sono responsabili dell’ottimizzazione del processo di funding
effettuato nei principali mercati locali e del coordinamento dell’accesso ai mercati di breve
e di lungo termine da parte delle Entità sottostanti al loro perimetro e, a livello locale,
dell’implementazione delle regole sulla liquidità di Gruppo, in conformità con le Guideline
di Governance di Gruppo e con le vigenti norme locali.
Un ruolo particolarmente importante è svolto dalla Capogruppo, in qualità di soggetto
responsabile della supervisione e del controllo. In tema di liquidità tale ruolo consiste nel
guidare, coordinare e controllare tutti gli aspetti riguardanti la liquidità dell’intero Gruppo.
Questo tipo di organizzazione favorisce la self - sufficiency del gruppo permettendo
l’accesso ai mercati a livello locale e globale in modo controllato e coordinato.
Sono state identificate a livello di Gruppo, tre strutture principali per la gestione della
liquidità: la competence line del Group Risk Management, la funzione
“Finanza” (nella competence line Planning, Finance & Administration), e la funzione
“Tesoreria” (inclusa nella Business Unit “Markets”), ognuna con ruoli e responsabilità
differenti. In particolare, le funzioni operative sono proprie di Finanza e Tesoreria, mentre
la funzione Risk Management ha responsabilità di controllo e reportistica indipendente
rispetto alle funzioni operative (in linea con quanto stabilito da Banca d’Italia nella circolare
263).
Il rischio di liquidità, per la sua particolare natura, è affrontato tramite tecniche di analisi dei
gap, stress test della liquidità e misure complementari (principalmente attraverso una serie
di indicatori, quali ad esempio: gap prestiti-depositi e concentrazione delle fonti di
finanziamento). In particolare, le analisi dei dati di gap sono elaborate all’interno di due
orizzonti temporali distinti:
giornalmente, una metodologia basata sul mismatch degli sbilanci di liquidità che
monitora il rischio di liquidità di breve termine derivante da scadenze dall’overnight
fino a 3 mesi;
mensilmente, controllo del rischio di medio e lungo termine (liquidità strutturale)
attraverso i gap ratios per scadenze pari o superiori all’anno.
CAPITOLO 5
222
La Liquidity Framework del Gruppo si basa sul Liquidity Risk Mismatch Model,
caratterizzato dai seguenti principi fondamentali:
Gestione del rischio di liquidità sul breve termine (liquidità operativa) che considera gli
eventi che avrebbero un impatto sulla posizione di liquidità del Gruppo da un giorno fi
no ad un anno. L’obiettivo primario è quello di conservare la capacità del Gruppo di far
fronte agli impegni di pagamento ordinari e straordinari minimizzandone
contestualmente i costi;
Gestione del rischio di liquidità strutturale (rischio strutturale) che considera gli eventi i
quali avrebbero un impatto sulla posizione di liquidità del Gruppo oltre l’anno.
L’obiettivo primario è quello di mantenere un adeguato rapporto tra passività a
medio/lungo termine e attività a medio/lungo termine, finalizzato ad evitare pressioni
sulle fonti di finanziamento, attuali e prospettiche, a breve termine, ottimizzando
contestualmente il costo del funding;
Stress test: il rischio di liquidità è un evento di scarsa probabilità e di forte impatto.
Pertanto, le tecniche di stress testing rappresentano un eccellente strumento per valutare
le potenziali vulnerabilità del bilancio. La Banca riproduce diversi scenari, spaziando
dalla generale crisi di mercato alla crisi idiosincratica e loro combinazioni.
Poiché il rischio di liquidità è un evento poco probabile ma di forte impatto, la Contingency
Liquidity Policy prevede l’utilizzo di tecniche di stress testing come strumento efficace per
valutare le potenziali vulnerabilità del bilancio, grazie ai quali la Banca riproduce diversi
scenari, spaziando dalla generale crisi di mercato alla crisi idiosincratica e loro
combinazioni.
L’obiettivo della Contingency Liquidity Policy di Gruppo è di assicurare l’attuazione
tempestiva di interventi efficaci fin dal principio (dalle prime ore) di una crisi di liquidità,
attraverso la precisa identificazione di soggetti, poteri, responsabilità, delle procedure di
comunicazione ed i relativi criteri per la reportistica, nel tentativo di incrementare le
probabilità di superare con successo lo stato di emergenza.
Una parte fondamentale della Contingency Liquidity Policy è costituita dal Contingency
Funding Plan. Questo piano consiste in un insieme di azioni di gestione potenziali ma
concrete. Tali azioni devono essere descritte in una lista che le racchiuda insieme con gli
strumenti, gli importi ed i tempi di esecuzione volti a migliorare la posizione di liquidità
della banca durante i tempi di crisi. Il Contingency Funding Plan deve essere sviluppato
CAPITOLO 5
223
sulla base del Funding Plan annuale e il Group Risk Committee è responsabile per
l’approvazione finale decidendo se informare il Consiglio di Amministrazione a riguardo.
È stato attivato anche un sistema di Liquidity Early Warning Indicators che ha lo scopo di
supportare le decisioni del Management in caso di situazioni di deterioramento della
posizione di liquidità o di Stress.
3.5. La gestione dei rischi operativi
Il Gruppo UniCredit ha definito sistema di gestione dei rischi operativi l’insieme di policy e
procedure per il controllo, la misurazione e la mitigazione dei rischi operativi nel Gruppo e
nelle Entità controllate.
Le policy di rischio operativo, applicabili a tutte le Entità del Gruppo, sono principi comuni
che stabiliscono il ruolo degli organi aziendali, della funzione di controllo dei rischi, nonché
le interazioni con le altre funzioni coinvolte nel processo.
Le metodologie di classificazione e controllo di completezza dei dati, analisi di scenario,
indicatori di rischio, reporting e misurazione del capitale di rischio sono responsabilità del
Group Operational & Reputational Risks department di Capogruppo e sono applicate dalle
Entità del Gruppo. Elemento cardine del sistema di controllo è l’applicativo informatico a
supporto per la raccolta dei dati, il controllo dei rischi e la misurazione del capitale.
La conformità del sistema di controllo e misurazione dei rischi operativi alla normativa
esterna e agli standard di Gruppo viene valutata attraverso un processo di convalida interna.
Responsabile di questo processo è il Group Internal Validation department della
Capogruppo, struttura indipendente dal Group Operational & Reputational Risks
department.
Per la gestione dei rischi operativi, UniCredit ha sviluppato un metodo interno per la
misurazione del requisito di capitale (AMA). Questo è calcolato tenendo conto dei dati di
perdita interni, dei dati di perdita esterni (consortili e pubblici), dei dati di perdita ipotizzati
tramite analisi di scenario e degli indicatori di rischio. Tramite meccanismi di allocazione si
identificano i requisiti di capitale delle Entità, riflettendo l’esposizione ai rischi operativi.
L’attenzione del Gruppo è rivolta in particolare a:
Rischi derivanti da pendenze legali;
Rischi derivanti da cause giuslavoristiche;
Rischi derivanti da contenziosi di natura arbitraria.
CAPITOLO 5
224
3.6. Altri rischi
Altri rischi includono:
Rischio di business definito come una variazione sfavorevole e imprevista del volume
dell’attività e/o dei margini, non derivanti da rischi di credito, mercato ed operativi. Può
avere origine, innanzitutto, da un deterioramento rilevante del contesto di mercato, da
cambiamenti nella situazione concorrenziale o nel comportamento dei clienti, ma anche
da cambiamenti del quadro normativo di riferimento;
Rischio immobiliare (“real estate risk”) definito come la perdita potenziale derivante
dalle fluttuazioni dei valori di mercato del portafoglio immobiliare del Gruppo, incluse
le società veicolo (SPV) immobiliari;
Rischio di investimenti finanziari (“financial investment risk”) deriva da
partecipazioni in società non appartenenti al Gruppo e non incluse nel portafoglio di
negoziazione;
Rischio strategico, si intende il rischio di incorrere in perdite potenziali dovute a
decisioni o cambiamenti radicali nel contesto operativo, da un’attuazione impropria
delle decisioni, dalla mancanza di reattività a cambiamenti nel contesto operativo, con
impatti negativi sul profilo di rischio e conseguentemente sul capitale, sugli utili nonché
sull’orientamento generale e sul raggio di azione di una banca nel lungo periodo;
Rischio reputazionale, che rappresenta il rischio attuale o prospettico di flessione degli
utili derivante da una percezione negativa dell’immagine del Gruppo Bancario da parte
di clienti, controparti, azionisti, investitori o Autorità di Vigilanza.
Relativamente al rischio reputazionale, UniCredit ha definito, negli ultimi anni, un
approccio all’identificazione, analisi e gestione dei rischi reputazionali connessi all’attività
bancaria. Le Group Reputational Risk Governance Guidelines, adottate dalle principali
Entità del Gruppo, definiscono un insieme di principi e di regole per la misurazione e il
controllo del rischio reputazionale.
Inoltre, il Group Operational & Reputational Risks Committee ha il ruolo di garantire la
coerenza delle policy, delle metodologie e delle prassi operative sul rischio reputazionale
nelle varie Divisioni/Business Unit ed Entità Legali, controllando e monitorando, a livello
di Gruppo, il Reputational Risk portfolio.
CAPITOLO 5
225
3.7. Aspetti chiave della governance del rischio
Gli aspetti essenziali dell'approccio di UniCredit alla governance del rischio si riflettono nel
modello organizzativo e nella struttura dei Comitati Rischi (come già sottolineato in
precedenza), nell’approccio agli stress test, nell’enfasi sui requisiti normativi, nella
definizione di un Risk Appetite Framework e nell’architettura IT.
Gli stress test rivestono infatti un ruolo cruciale nella valutazione dei rischi di UniCredit e
vengono regolarmente applicati dal Risk Management al portafoglio dei rischi del Gruppo
come un mezzo per stimare gli effetti sulle esposizioni della banca di scenari finanziari
estremi, ma plausibili.
Aiutano il Gruppo a comprendere l'incidenza dei profitti e delle perdite sul portafoglio
rischi, nonché gli effetti sul capitale economico e sulle attività ponderate di rischio e la
necessità di interventi di emergenza.
Gli scenari di stress possono essere basati sia su un evento di mercato significativo
verificatosi in passato, sia su ipotetiche situazioni future. Vengono effettuati a livello di
Gruppo almeno due volte l'anno, prendendo in considerazione i rischi contemplati nel
Secondo Pilastro di Basilea II, con misurazioni in termini di capitale economico.
Ogni funzione di Risk Management è responsabile della produzione di approcci e di analisi
di stress test per i vari tipi di rischio (ad es. credito, mercato, liquidità) e dell'esecuzione dei
test a scadenze regolari, mentre il management delle funzioni di Business è attivamente
impegnato a priori e a posteriori nella creazione e nella interpretazione dei risultati, incluso
lo sviluppo di piani di emergenza adeguati.
Coerentemente con la necessità di operare in un ambiente finanziario e normativo dinamico,
UniCredit cerca di soddisfare e superare costantemente i requisiti normativi in materia di
rischio. Il coordinamento delle iniziative legate alla gestione del rischio viene svolta dalla
funzione Group Risks Control, che è responsabile per la gestione di Basilea II e il
coordinamento dei progetti di Basilea III, per la guida dei processi di integrazione dei rischi
e di valutazione dell'adeguatezza patrimoniale (ad es. ICAAP, Risk Appetite Framework
and Processes), per il coordinamento e il controllo delle normative di Gruppo sul rischio,
nonché il monitoraggio della loro approvazione e implementazione e infine per la gestione
della convalida interna dei modelli di rischio del Gruppo e dei sistemi per la loro
misurazione.
CAPITOLO 5
226
Uno dei più importanti progetti di natura regolamentare della banca è incentrato sul
processo ICAAP, riportato nel dettaglio nella circolare n.263 della Banca d’Italia, che si
articola nelle fasi di:
definizione del perimetro ed identificazione dei rischi;
valutazione del profilo di rischio;
definizione del Risk Appetite e allocazione del capitale;
monitoraggio e reporting.
Al fine di razionalizzare e potenziare continuamente l’ICAAP, il Gruppo affina e
approfondisce costantemente i vari aspetti di tale processo sia nella gestione del rischio, che
nell'attività commerciale.
Come elemento fondamentale dell’ICAAP, il Gruppo definisce il Risk Appetite (pratica
consolidata ancora prima che la regolamentazione la richiedesse esplicitamente e migliorata
nel tempo) come la variabilità in termini di risultati, sia di breve sia di lungo periodo, che la
banca è disposta ad accettare a sostegno di una strategia commerciale ben definita. Lo scopo
principale della propensione al rischio è di assicurare che l'attività della banca si sviluppi
entro i limiti di tolleranza del rischio fissati dal Consiglio di Amministrazione. Di
conseguenza, la propensione al rischio è integrata nei processi di pianificazione strategica e
di elaborazione dei budget e definita al livello di Gruppo, Divisione ed Entità Legale.
Il Framework di Risk Appetite è costituito da tre dimensioni quali adeguatezza
patrimoniale, profittabilità e rischi, liquidità e funding. Esso viene approvato dal Consiglio
di Amministrazione e stabilisce i limiti, che rappresentano un punto ben definito che non
deve essere superato, gli obiettivi, che identificano il livello ottimale di rischio a cui la
banca deve tendere per conseguire i risultati fissati nel suo budget e un corretto sviluppo del
business, gli indicatori, che fungono da "sistemi di preallarme" segnalando ai risk manager
e ai business manager l'approssimarsi delle esposizioni ai limiti di tolleranza, e le strategie
di rischio, che rappresentano la seconda fase chiave dell'integrazione del Risk Appetite
Framework nell'attività commerciale e i mezzi con cui il GRM comunica e include gli
obiettivi/limiti di esposizione al rischio nella operatività del Gruppo.
Il RAF risponde all’esigenza di trovare un punto di equilibrio tra il desiderio di assumersi
dei rischi e la capacità strutturale di sopportarlo. La sua definizione deve essere dinamica, in
quanto le condizioni di mercato non possono essere previste con certezza ed è impossibile
prevedere l’andamento futuro dei mercati finanziari. Esso dovrà stabilire dei confini senza
CAPITOLO 5
227
però diventare eccessivamente rigido e dovrà essere sufficientemente flessibile per
rispondere prontamente all’evoluzione del contesto economico nel quale l’azienda opera.
Una definizione del Risk Appetite ben articolata e comunicata in modo efficace a tutta la
struttura aziendale è in grado di ridurre l’insorgenza di proposte di allocazione delle risorse
che non siano coerenti con i parametri stabiliti e può impedire all’organizzazione di
allontanarsi inconsapevolmente dalla propensione al rischio definita quanto cambiano le
condizioni di mercato.
In linea con le best practices internazionali UniCredit tiene in considerazione alcuni
elementi essenziali nella fase di costruzione di un solido framework, quali:
il coinvolgimento diretto dell’organo di supervisione strategica e dei vertici aziendali
nella promozione e comunicazione del framework, e nella formulazione di un Risk
Appetite Statement (documento formale approvato dall’organo di supervisione
strategica, che esplicita chiaramente la propensione al rischio). Tale documento,
relativamente semplice e articolabile in una serie di metriche a vari livelli di dettaglio
facilmente comunicabili e frequentemente prese come riferimento nei vari momenti del
processo decisionale, dovrà poi essere declinato su tutta l’organizzazione, incorporare
le aspettative degli stakeholders e considerare tutte le tipologie di rischi significativi in
cui si incorre nella conduzione del business;
il supporto sostanziale al RAF da parte dei vertici aziendali, la coerenza dei messaggi e
dei comportamenti dei business leader con il RAS e l’assunzione di responsabilità degli
stessi per i rischi insiti nella loro area;
l’incorporazione del RAF all’interno dei processi di pianificazione strategica e
finanziaria, di capital management, di valutazione di nuove iniziative di business e di
performance assessment e compensation. La Risk Policy e i limiti operativi sono infatti
componenti essenziali del framework, necessari per guidare il RA nella conduzione del
business. Non si tratta però solo di creare una struttura meglio articolata di vincoli
all’operatività da monitorare, bensì di fare in modo che gli indicatori siano utilizzati per
indirizzare efficacemente le scelte di business a tutti i livelli, con la consapevolezza del
significato dei limiti, del loro legame con la propensione al rischio e delle loro
implicazioni su profittabilità, soddisfazione per la clientela e profilo di rischio
aggregato. Il RAF risulta in tal modo uno strumento efficace per adattare le strategie a
contesti di business in continua evoluzione, e non soltanto un semplice framework di
reporting e monitoraggio ex-post;
CAPITOLO 5
228
la collaborazione e comunicazione tra l’organo di supervisione strategica, i vertici
aziendali, i responsabili delle diverse Business Line, CFO, CRO e le rispettive funzioni,
affinché si attivi un processo dinamico e iterativo di revisione del framework. Eventuali
aggiustamenti al framework possono essere necessari a fronte di analisi condivise tra
tutti i soggetti coinvolti, bilanciando l’esigenza di flessibilità del framework con quella
di continuità e rigore;
una solida infrastruttura tecnologica che assicuri un’aggregazione accurata, completa e
tempestiva dei dati di rischio, per rischi di diverse business unite per tipologie di rischio
differenti. Una solida governance dell’infrastruttura IT rappresenta una leva di
importanza fondamentale per il successo del RAF, della pianificazione strategica e del
processo decisionale a tutti i livelli;
un legame indissolubile con la cultura aziendale, garantendo condivisione ed
internalizzazione lungo tutta la struttura, così da allineare le azioni individuali alle
aspettative dell’organo di supervisione strategica e dei vertici aziendali, per assicurare
che il profilo di rischio assunto rimanga all’interno dei parametri fissati nel framework
stesso.
Dunque, un efficace RAF rappresenta il collante tra tre importanti aree:
1. pianificazione strategica, guidata dal CEO, con l’obiettivo di fare il budget aziendale
con un rapporto top-down e bottom-up: in questo contesto il framework può svolgere
una funzione mitigatrice rispetto alle ambizioni espansionistiche dell’istituto
finanziario, in modo tale da garantire sempre un corretto equilibrio tra rischio e
rendimento;
2. misurazione delle performance, coordinata dal CFO: la presenza di metriche definite in
modo chiaro ed esaustivo rappresenta un valido strumento di early warning, garantendo
la possibilità al top management di porre in essere azioni correttive, al fine di anticipare
eventuali problematiche;
3. risk governance, disegnata dal CRO attraverso l’integrazione delle informazioni sul
rischio con i risultati finanziari e contabili; essa aggiunge valore alla valutazione dei
rischi, guidando il Gruppo ad un ottimale trade-off rischio/rendimento.
In ultima analisi il Risk Appetite rappresenta una base per la comunicazione sia verso
l’interno che verso l’esterno. Da un lato attraverso la definizione della tolleranza al rischio e
dei limiti, il management può fornire un quadro di riferimento per delegare, al personale, la
responsabilità di perseguire il raggiungimento degli obiettivi del Gruppo entro i limiti
CAPITOLO 5
229
accettabili. Dall’altro il modo in cui il management effettua la comunicazione del profilo di
rischio che l’istituzione intende accettare risulta di cruciale importanza ai fini
dell’andamento del titolo azionario e dell’attrazione di nuovi potenziali investitori.
UniCredit è anche attivamente concentrato sulle norme di Basilea III, destinate a rafforzare
la regolamentazione del sistema bancario e ad accrescere la resistenza delle singole
istituzioni bancarie in periodi di stress. Tale normativa definisce regole più severe per
l'adeguatezza del capitale bancario e introduce, per la prima volta, una serie di limiti ai
livelli di liquidità e di indebitamento. L'implementazione di tali regole è basata su un
calendario di attuazione graduale che va dal 2013 al 2019.
Sebbene l’intenzione di questa nuova normativa possa essere stata male interpretata, il
Gruppo ha riconosciuto fin dall’inizio la sua importanza come spinta al miglioramento per
una gestione dei rischi sempre più efficace.
Il ripensamento dell’architettura IT che supporta il risk management, infine, è un evidente
segnale dell’attenzione di UniCredit nei confronti della gestione dei rischi. Rappresenta il
maggior cambiamento strutturale all’interno del Gruppo, finalizzato a migliorare l’efficacia
in termini di qualità e di tempistica di risposta, e contribuisce dunque ad assicurare un
approccio coerente e omogeneo alle politiche, metodologie e strategie di gestione del
rischio, nonché un approccio olistico e integrato ai processi di individuazione, valutazione,
decisione e reportistica dei rischi, assicurandone efficacia ed efficienza.
CAPITOLO 6
230
Capitolo 6
Enterprise Risk Management survey
1. Introduzione
Il presente capitolo nasce con l’obiettivo di identificare il livello di diffusione e integrazione
dell’enterprise risk management all’interno delle imprese europee ed extraeuropee, grazie
allo studio approfondito di alcune delle survey, relative all’anno 2013 e agli anni precedenti,
disponibili online.
Lo schema logico utilizzato prevede di analizzare alcune questioni rilevanti, quali ad
esempio il livello di adesione a standards e frameworks, i drivers motivazionali e le funzioni
e i ruoli maggiormente coinvolti nel processo di gestione dei rischi, confrontando i dati
relativi alle interviste condotte da diverse società e organizzazioni che operano nel campo di
questa disciplina.
Le imprese coinvolte in queste survey appartengono al settore manifatturiero, finanziario,
delle costruzioni, delle distribuzioni, dei servizi e includono organizzazioni no profit,
pubbliche statali o locali.
2. Analisi delle survey
Le prime questioni di rilievo riguardano il livello di maturità, adozione e integrazione
dell’enterprise risk management.
L’analisi condotta dal COSO e sintetizzata nel report “COSO’s 2010 report on ERM”
evidenzia un livello di immaturità pressoché diffuso nel 42,4% delle organizzazioni
intervistate, di cui solamente il 28,2% inoltre afferma di avere adottato un processo di risk
management integrato e sistematico.
Figura 6.1 – Livello di maturità dell’ERM process [COSO’s Report on ERM, pag.2]
CAPITOLO 6
231
Figura 6.2 - Livello di maturità dell’enterprise risk management [AICPA, Current State of Enterprise
Risk Oversight 2012, pag.15]
Figura 6.3 - Current stage on ERM [COSO’s Report on ERM, pag.3]
Survey più recenti condotte dall’AICPA20 (American Institue of Certified Public
Accountants’), dalla RIMS21 (the Risk Management Society) e dalla Deloitte22, evidenziano
invece una crescita netta delle società che hanno parzialmente o completamente integrato un
ERM progam all’interno dei propri processi, sottolineando che solo il 17% non si è ancora
impegnata a farlo.
20 L’AICPA è un’organizzazione americana che rappresenta i CPA (Certified Public Accountant) e si
occupa di sviluppare standard per gli audit di aziende private 21 La RIMS è un’organizzazione no-profit che si dedica all’evoluzione della disciplina dell’enterprise risk
management 22 È una società di consulenza che offre servizi di audit, tax, consulting e financial advisory
CAPITOLO 6
232
Figura 6.4 - ERM Adoption Rates [2013 RIMS Enterprise Risk Management Survey, pag.4]
Figura 6.5 - ERM program in place [Deloitte, Global risk management survey, eighth edition 2013,
pag.14]
L’analisi più dettagliata dell’AICPA riporta, inoltre, l’evidente successo dell’adozione di un
completo e formale enterprise-wide risk management process all’interno delle largest
CAPITOLO 6
233
organizations (dal 32,3% nel 2011 al 46,6% nel 2012) e delle public companies (dal 23,5%
nel 2011 al 45,6% nel 2012).
Figura 6.6 - The adoption of ERM [AICPA, Current State of Enterprise Risk Oversight 2012, pag.10]
Resta tuttavia evidente la forte presenza di alcune barriere significative che ostacolano
l’implementazione e lo sviluppo di questo processo.
Figura 6.7 - Principali barriere [AICPA, Current State of Enterprise Risk Oversight 2012, pag.33]
CAPITOLO 6
234
Tra i drivers motivazionali, che avrebbero spinto queste organizzazioni ad adottare un
processo integrato di risk management, survey meno recenti hanno collocato al primo posto
la necessità di adeguarsi a requisiti normativi e di governance, sollecitate soprattutto dagli
stakeholders esterni.
Figura 6.8 - Fattori motivazionali [FERMA Risk Management Benchmarking Survey 2012, pag.4]
Tuttavia, recentemente, la RIMS ha individuato primo tra tutti i fattori il Consiglio di
Amministrazione, probabilmente come conseguenza del suo maggior coinvolgimento
nell’individuazione e gestione dei rischi, seguito poi dal Risk Manager e dai requisiti
regolamentari.
Figura 6.9 - Primary implementation motivations [2013 RIMS Enterprise Risk Management Survey,
pag.6]
CAPITOLO 6
235
La AON23 ha inoltre sottolineato l’importanza di alcuni fattori esterni come spinta all’ERM,
quali ad esempio la volatilità economica, la pressione dei consumatori o dei competitors.
Figura 6.10 – Fattori esterni di spinta all’ERM [AON, Global Risk Management Survey 2013, pag.70]
La necessità sempre maggiore di adottare un approccio di ERM in ogni caso nasce in
risposta all’aumento significativo del volume e della complessità dei rischi che la maggior
parte delle organizzazioni si trova ad affrontare e che ha portato le diverse organizzazioni a
sviluppare e ad aggiornare sempre più frequentemente i loro risks inventories.
23 La AON è una Società specializzata nella gestione dei rischi, brokeraggio assicurativo e nei servizi di
consulting per le risorse umane.
CAPITOLO 6
236
Figura 6.11 - Percentuali relative alle percezioni riguardanti l’aumento dei rischi [AICPA, Current State
of Enterprise Risk Oversight 2012, pag.7]
Figura 6.12 - Percentuali delle organizzazioni che hanno sviluppato dei risks inventories [AICPA,
Current State of Enterprise Risk Oversight 2012, pag.20]
La FERMA ha inoltre creato una top ten di rischi, evidenziando la variazione delle
percezioni ad essi relative tra il 2010 e il 2012 ed individuando alcune new entry, quali il
rischio di reputazione e quello connesso al contesto politico.
CAPITOLO 6
237
Figura 6.13 - Top ten risks [FERMA, Risk Management Benchmarking Survey 2012, pag. 10]
Tali rischi sono stati poi suddivisi e inseriti in un Risk Model unico, che ne facilita il
riconoscimento, grazie alla suddivisione in precise macro categorie, quali quelle presentate
nella figura seguente.
CAPITOLO 6
238
Figura 6.14 - Principali categorie di rischi inserite nel Risk Model [KPMG24, Enterprise Risk
Management survey 2013, pag.17]
Tuttavia, sebbene la maggior parte delle organizzazioni abbia quindi adottato un processo di
ERM completo e integrato e inoltre vi sia stato, secondo la FERMA, un aumento
significativo, tra il 2010 e il 2012, delle società che hanno deciso di aderire e implementare
un particolare standard o framework di enterprise risk management, restano comunque
molte le imprese che hanno scelto di non farlo.
24 Il Network KPMG è leader a livello globale nei servizi professionali alle imprese: revisione e
organizzazione contabile, consulenza manageriale e servizi fiscali, legali e amministrativi.
CAPITOLO 6
239
Figura 6.15 – Adesione a Standard e framework di ERM [2013 RIMS Enterprise Risk Management
Survey, pag.7]
Tra il 2009 e il 2011 le diverse survey hanno evidenziato il ruolo centrale del dipartimento
di risk management nell’implementazione dell’ERM program, rendendolo totalmente
indipendente da quelli di Internal Control e Internal Audit. Dal 2011 ad oggi, tuttavia, sono
emersi nuovi attori, quale ad esempio il Finance Department, probabilmente a causa della
sempre più frequente necessità di utilizzare misure finanziare per valutare l’impatto dei
rischi sull’organizzazione.
CAPITOLO 6
240
Figura 6.16 - Department primarily responsible for directing ERM activities [2013 RIMS Enterprise Risk
Management Survey, pag.5]
Se l’obiettivo è quindi quello di sviluppare un processo di risk management pienamente
integrato all’interno dell’impresa, le funzioni coinvolte in esso, come evidenziato in tutte le
survey, sono molte e la natura collaborativa di questa disciplina enfatizza perciò la necessità
di coinvolgere e coordinare stakeholders interni ed esterni.
CAPITOLO 6
241
Figura 6.17 - Risk functions included in ERM activities [2013 RIMS Enterprise Risk Management Survey,
pag.5]
Figura 6.18 - Cooperation between Risk Management and other functions [FERMA, Risk Management
Benchmarking Survey 2012, pag.9]
La figura di riferimento istituita, con un trend crescente, dalla maggior parte delle società
nel corso degli ultimi anni, con lo scopo di aumentare l’attenzione del senior management
sulla considerazione dei rischi e l’implementazione delle politiche e delle pratiche di risk
management, è stata quella del CRO (Chief Risk Officer).
CAPITOLO 6
242
Figura 6.19 - Percentuali delle organizzazioni in cui è presente la figura del CRO [Deloitte, Global risk
management survey 2013, pag.11]
La KPMG ha inoltre evidenziato che in Italia tale funzione centrale viene nominata
dall’Amministratore Delegato, dal Chief Financial Officer o direttamente dal Consiglio di
Amministrazione. Essa nasce in risposta ad esigenze gestionali e di business (73%), ad
esigenze di compliance (55%), alle aspettative di mercato e degli azionisti (22%) e alle
richieste da parte di Istituzioni o Enti Regolatori (20%).25
Le principali attività in cui è coinvolta sono sintetizzate nella figura seguente.
Figura 6.20 - Principali attività in cui è coinvolta la funzione centrale [KPMG, L’Enterprise Risk
Management in Italia, 2012, pag.11]
25 Le percentuali fanno riferimento alla survey KPMG L’Enterprise Risk Management in Italia, 2012
CAPITOLO 6
243
Un’efficace gestione dei rischi presuppone tuttavia la definizione di un assetto
organizzativo a tutti i livelli aziendali, con una chiara distribuzione dei ruoli e delle
responsabilità.
La maggior parte delle survey pone quindi l’attenzione sul ruolo sempre più centrale del
Consiglio di Amministrazione nella risk governance, per supportare, coordinare e
supervisionare tale processo e le policy di RM. Spesso a questa istituzione si affiancano
board risk committees, con la funzione di visionare regolarmente i report (98%),
sovraintendere alle politiche di risk management (81%) e al risk appetite
dell’organizzazione (78%).
Figura 6.21 - Coinvolgimento del board nell’ERM [AON, Global risk management survey 2013, pag.77]
CAPITOLO 6
244
Figura 6.22 - Attività svolte dal Consiglio di Amministrazione o dalle board risk committees [Deloitte,
Global risk management survey 2013, pag.9]
In Italia i principali ruoli e responsabilità degli attori coinvolti in questo processo e le
attività da essi svolte, in linea con il modello di Risk Governance, sono diversi come
dimostra la figura seguente.
Figura 6.23 - Principali ruoli e responsabilità degli attori coinvolti nel processo di assunzione e gestione
dei rischi, in linea con il modello di Risk Governance [KPMG, L’Enterprise Risk Management in Italia,
2012, pag.13]
CAPITOLO 6
245
Per quanto riguarda invece il processo vero e proprio di risk management, la fase iniziale
di risk assessment sembra essere sicuramente quella più critica, tale per cui il 61% delle
società in Italia ha introdotto un processo strutturato e integrato che permette di individuare
i principali rischi, mentre una porzione significativa (29%) ha dichiarato di avere intenzione
di implementarlo nel prossimo futuro.
La maggior parte delle organizzazioni inoltre ha sviluppato un processo sistematico di
definizione e approvazione dei piani di trattamento dei principali rischi identificati (risk
treatment), definendosi ormai in grado di gestire la maggior parte di questi ultimi in modo
efficace.
CAPITOLO 6
246
Figura 6.24 - Livelli di efficacia nella gestione dei principali rischi [Deloitte, Global risk management
survey 2013, pag.24]
Il reporting sui rischi si configura come lo strumento di comunicazione dell’ERM, poiché
fornisce informazioni circa i principali rischi cui l’impresa è esposta e facilita la
supervisione dell’adeguatezza e dell’efficacia del processo di Risk Management.
Nella maggior parte delle imprese europee ed extraeuropee si evidenzia come l’attività di
risk reporting negli ultimi anni si sia estesa anche al full board of directors e alla risk
commettee, piuttosto che essere limitata all’Audit, pratica diffusa in precedenza.
CAPITOLO 6
247
Figura 6.25 - Reportistica [2013 RIMS Enterprise Risk Management Survey, pag.10]
La tipologia di informazioni, oggetto di reportistica, riguarda soprattutto i risultati ricavati
dagli stress testing (83%), le concentrazioni di rischio (79%), i nuovi rischi (70%) e i
risultati della fase di risk assessment (70%).
CAPITOLO 6
248
Figura 6.26 - Tipologia di informazioni oggetto di reportistica [Deloitte, Global risk management survey
2013, pag.16]
Le modalità di comunicazione utilizzate sono diverse; tuttavia, le imprese solitamente
prediligono discussioni ad hoc in meeting organizzati (62,6%) e l’utilizzo di reports cartacei
periodici (47,6%).
CAPITOLO 6
249
Figura 6.27 - Modalità di comunicazione [AICPA, Current State of Enterprise Risk Oversight,2012,
pag.23]
Figura 6.28 - Types of risk monitoring and reporting [2013 RIMS Enterprise Risk Management Survey,
pag.12]
CAPITOLO 6
250
La survey della KPMG (2012) ha inoltre evidenziato che in Italia il 65% delle società “ha
strutturato un processo di reporting periodico prevedendo la differenziazione dei report in
base ai destinatari”.
Figura 6.29 - Periodicità della reportistica nelle imprese in Italia [KPMG, L’Enterprise Risk
Management in Italia 2012, pag.18]
L’attività di monitoraggio viene poi effettuata attraverso dei KRI (Key Risk Indicator) nel
40% delle società italiane.
Dovendo infine valutare i benefici derivanti dallo sviluppo e dall’implementazione di un
approccio completo e integrato di risk management, i diversi studi evidenziano che il
principale risulta sicuramente essere quello di incrementare la consapevolezza dei rischi
(33%), sottolineando inoltre una forte correlazione positiva tra livello di maturità
dell’enterprise risk management e la crescita dell’EBITDA e del reddito.
CAPITOLO 6
251
Figura 6.30 - Primary value [2013 RIMS Enterprise Risk Management Survey, pag.8]
Figura 6.31 - Correlazione positiva tra risk management maturity e EBIDA/reddito [FERMA, Risk
Management Benchmarking Survey 2012, pag.11]
3. Conclusioni
Nella survey relativa all’anno 2011 la RIMS concludeva dicendo che “although many
organizations are still at the earliest stages of ERM implementation, and other
organizations struggle to fully implement efficient and effective ERM programs, it is clear
that ERM, and the role of the risk manager, is increasingly a valued part of corporate
culture and business practices”.
Oggi possiamo quindi affermare che l’Enterprise Risk Management, inteso come disciplina
strategica per la gestione efficace ed efficiente dei rischi, ha raggiunto una posizione di
rilievo nel 60% delle società intervistate, che hanno ormai parzialmente o totalmente
integrato dei programmi ERM all’interno dei loro processi/attività e della loro cultura, e
hanno inoltre deciso di allinearsi con uno standard o un framework specifico, con una
CAPITOLO 6
252
notevole crescita dell'uso della norma internazionale ISO31000. È necessario tuttavia
precisare che, nonostante gli evidenti progressi, rimangono comunque ancora molte le
imprese che ritengono i propri programmi immaturi.
Nel 2013 i risultati delle survey hanno evidenziato l’opportunità di coinvolgere nella
progettazione ed esecuzione di questo processo non solo dipartimenti, come quello legale,
di Internal Audit e di Compliance, ma anche funzioni quali la pianificazione strategica, le
operations e le risorse umane.
Da sottolineare è l’ascesa del Finance Department come leader dell’ERM, sintomo evidente
della necessità di valutare ed analizzare l’impatto dei rischi attraverso parametri finanziari
più dettagliati.
L’analisi condotta sembra poi confermare che il reporting dei rischi avviene sempre più
spesso a livello di “board” (24%) o di comitato dei rischi (19%) rispetto a quanto non fosse
in passato, quando l’Audit Committee aveva il pieno controllo sulla gestione dei rischi, e
che la frequenza di reportistica avviene soprattutto su base trimestrale (38%), piuttosto che
annualmente (20%) o semestralmente (17%).
Gli strumenti maggiormente utilizzati in questo contesto sono i risks registers, affiancati da
cruscotti di prestazioni chiave e indicatori di rischio, i quali facilitano l’individuazione dei
rischi e l’allineamento del risk appetite con il processo decisionale strategico, con lo scopo
di soddisfare le aspettative.
A causa del mercato e delle condizioni economiche instabili degli ultimi anni, i governi e le
autorità di regolamentazione hanno introdotto nuove e importanti riforme, volte a rafforzare
il sistema finanziario.
Tali norme, come quella di Basilea III per la regolamentazione bancaria e Solvency II per
quella assicurativa, hanno avuto non poche implicazioni per i modelli di business, i processi
di gestione del rischio e i costi di conformità.
Nonostante ciò i risultati delle survey hanno comunque dimostrato che le istituzioni di tutto
il settore finanziario hanno migliorato le loro funzioni di risk management in accordo con
tali normative, sebbene non sempre costretti a seguirle.
Infine i benefici derivanti dall’adozione di questo approccio stanno aumentando
notevolmente la consapevolezza del rischio e la sicurezza nel raggiungimento degli obiettivi
strategici ed organizzativi, sebbene il 40% delle società intervistate si ritenga in ogni caso
insoddisfatta dell’allineamento dell’ERM con il processo decisionale strategico.
CAPITOLO 6
253
Quest’ultimo punto costituisce dunque la principale sfida e presupposto per riconsiderare
nuovamente i propri processi e svolgere un ruolo attivo nello sviluppo di questa disciplina,
che contribuisce in modo ormai evidente alla creazione di valore per qualsiasi
organizzazione che la implementi.
CONCLUSIONI
254
CONCLUSIONI
Alla luce della presente trattazione, è possibile comprendere come l’attenzione del top
management e dell’organizzazione nel suo complesso si sia focalizzata sempre di più sul
miglioramento dei processi di risk management e sull’integrazione di tale disciplina,
come strumento efficace per la creazione e la massimizzazione del valore, non solo
all’interno delle comuni pratiche aziendali e della pianificazione strategica, ma soprattutto
all’interno della cultura stessa dell’impresa.
Oggi possiamo affermare che l’Enterprise Risk Management, inteso come disciplina
strategica per la gestione efficace ed efficiente dei rischi, ha raggiunto una posizione di
rilievo nella maggior parte delle società, le quali hanno ormai parzialmente o totalmente
integrato programmi di ERM all’interno dei loro processi/attività e della loro cultura, e
hanno inoltre deciso di allinearsi con uno standard o un framework specifico. Tuttavia,
nonostante gli evidenti progressi, è necessario precisare che tali programmi risultano essere
comunque ancora immaturi e necessitano di un’attenzione costante e un aggiornamento
continuo da parte del Management.
In ogni caso l’evidente sviluppo di questa disciplina deriva in parte dalla recente crisi che
ha coinvolto l’intero sistema economico, in particolar modo i mercati finanziari portando
al collasso interi gruppi bancari, e che ha messo bene in evidenza le diffuse carenze nel
processo di assunzione, governo e controllo dei rischi.
In questo contesto si sono quindi inserite importanti iniziative, come lo sviluppo di nuovi
standards e frameworks di ERM, volte a sensibilizzare i managers nei confronti di questa
disciplina e a sottolineare l’importanza di interventi formativi specifici per supportare il
Management nella scelta dei modelli più idonei da implementare. Ma soprattutto le
recenti normative relative al controllo interno, introdotte in ambito finanziario, hanno
influenzato i sistemi di governance delle imprese e hanno richiesto l’attuazione di
particolari misure patrimoniali, modelli organizzativi e di RM, a tutela di tutti gli interessi
coinvolti.
Spetta innanzitutto al Consiglio di Amministrazione (board) la responsabilità di definire
gli obiettivi di rischio (risk appetite), monitorarne il raggiungimento e decidere sulla base
dei target fissati.
CONCLUSIONI
255
La figura tradizionale del risk manager, dotata tipicamente di competenze assicurative e
statistiche, finalizzata al semplice controllo dei livelli di rischio e alla produzione di
informazioni con un linguaggio prevalentemente tecnico-specialistico, si evolve nel
moderno ruolo del Chief Risk Officer (CRO), che sviluppa soprattutto competenze di
business administration e diventa un interlocutore autorevole, direttamente e attivamente
coinvolto nei processi di strategic decision making, con l’obiettivo di coordinare un
processo integrato di gestione del rischio. Egli viene dotato di rango organizzativo e
indipendenza tali da poter valutare ex-ante gli effetti sulla rischiosità delle scelte
aziendali, da poter interagire regolarmente con il board e avere un rapporto di parità
dialettica sia con gli altri senior manager (in particolare con il CFO) sia con i responsabili
commerciali.
La funzione di RM di conseguenza acquista un nuovo volto. Essa si inserisce nel sistema
tradizionale di controlli interni (Internal Audit e Compliance), come funzione indipendente
e di alta supervisione, volta ad assicurare che le decisioni prese a tutti i livelli aziendali non
alterino il profilo di rischio desiderato dagli azionisti e siano in linea con strategie.
L’efficace svolgimento dei compiti, molteplici ed impegnativi, affidati a tale funzione,
presuppone un coerente dimensionamento e un’elevata qualità del personale, ovviamente da
graduare in relazione alle dimensioni e alla complessità organizzativa dell’organizzazione.
Oltre alle competenze tecnico-quantitative infatti, gli addetti dovranno possedere
conoscenze trasversali sui processi operativi e soft skills quali l’indipendenza di giudizio,
spirito critico, autorevolezza e flessibilità.
I sistemi informativi infine dovranno svolgere un ruolo determinante nell’assicurare
robustezza e tempestività al processo di gestione dei rischi e pertanto gli investimenti
necessari per il rafforzamento delle piattaforme dedicate devono diventare una priorità nella
pianificazione delle esigenze IT. Obiettivi irrinunciabili diventano l’integrazione a livello di
gruppo dei sistemi informatici, il presidio della qualità dei dati, la strutturazione dei flussi
informativi e della reportistica in modo tale che le informazioni rilevanti arrivino,
tempestivamente e al momento opportuno, sul tavolo di chi è chiamato a decidere.
Il crescente interesse verso questa disciplina ha permesso inoltre lo sviluppo di un’ampia
letteratura, dalla quale è stato possibile estrapolare alcune delle principali best practices in
tema di gestione del rischio, suddivise in tre diverse categorie (risk culture, organization e
process), che rappresentano i punti chiave e i principi applicativi alla base
CONCLUSIONI
256
dell’implementazione del framework di ERM, e che saranno di aiuto al Management e alle
imprese in generale per lo sviluppo di un approccio completo di risk management e di una
forte cultura del rischio.
Il modello così delineato contribuirà dunque a massimizzare gli sforzi dell’impresa e
diverrà un sistema estremamente efficace, alla base dei processi decisionali, per guidare le
imprese nel raggiungimento degli obiettivi strategici e nella massimizzazione delle
aspettative, attraverso una gestione dei rischi efficace ed efficiente e un modello di governo
societario moderno e dinamico.
BIBLIOGRAFIA
257
BIBLIOGRAFIA
Aabo t., Fraser R., Simkins B., The rise and evolution of the chief risk officer:
Enterprise risk management at Hydro One, Journal of Applied Corporate Finance
17(3): pp. 62–75, 2005
Abrahim A., Henry K., e Keith J., ERM culture alignment to enhance competitive
advantage. 2012 ERM symposium, 18-20 April 2012
ACT Insurance Authority, Guide to Risk Management. ACT Insurance Authority, 2004
AICPA, Current State of Enterprise Risk Oversight, www.aicpa.org, 2012
AIRMIC, Alarm, IRM , A structured approach to Enterprise Risk Management (ERM)
and the requirements of ISO 31000, http://theirm.org/documents/SARM_FINAL.pdf,
2010
AIRMIC, Research into the Definition and Application of the concept of Risk Appetite,
2009
Altenbach, T. J., A Comparison of Risk Assessment Techniques from Qualitative to
Quantitative, Proceedings of the ASME Pressure and Piping Conference, July 23-27,
Hawaii, USA, 1995
Althonayan A., Killackey H. e Keith J., ERM Culture Alignment to Enhance
Competitive Advantage, http://www.ermsymposium.org/2012/OtherPapers/Keith-
Althonayan-Killackey-Paper-03-07-12.pdf, 2012
Altman, E., Sabato, G., Effects of the New Basel Capital Accord on bank capital
requirement for SMEs. Journal of Financial Services Research,
http://pages.stern.nyu.edu/~ealtman/Effects%20of%20the%20New%20Basel%20Capita
l%20Accord%20on%20Bank%20Capital%20Requirements%20for%20SMEs.pdf, 2005
Alviunessen A., Jankensgard H., Enterprise risk budgeting: bringing risk management
into the financial planning process, Journal of applied finance, 2009
Andersen T., Winther P., Strategic risk management practice, Cambridge University
Press, 2010
Antonucci D., Benchmarker gap analysis ISO 31000, 2011
AON, Global Risk Management Survey, www.aon.it, 2013
BIBLIOGRAFIA
258
Baele L., Does the Stock Market Value Bank Diversification?, Journal of Banking &
Finance 31: 1999-2023, 2007
Banca d’Italia, Bollettino di Vigilanza n.7, www.bancaditalia.it, Luglio 2013
Banca d’Italia, Circolare n.263 - 15° aggiornamento del 2 Luglio, www.bancaditalia.it,
2013
Banca d’Italia, Circolare n.263: Nuove disposizioni di vigilanza prudenziale per le
banche, www.bancaditalia.it, 27 Dicembre 2006
Banca d’Italia, Circolare n.285 - Disposizioni di vigilanza per le banche,
www.bancaditalia.it, 17 Dicembre 2013
Bank for Internation Settlements, Basilea 3 - Schema di regolamentazione
internazionale per il rafforzamento delle banche e dei sistemi bancari, www.bis.org,
Dicembre 2010
Bank for Internation Settlements, BS 6079 Project Management – Guide to the
management of business relate project risk, www.bsigroup.org, 2000
Bank for International Settlements, Basel III - The Liquidity Coverage Ratio and
liquidity risk monitoring tools, www.bis.org, Gennaio 2013
Barfield R., Risk appetite- How hungry are you?, PricewaterhouseCoopers, 2007
Beasley M., Branson B., Hancock B., Developing Key Risk Indicators to Strengthen
Enterprise Risk Management, New York: The Committee Sponsoring Organizations of
the Treadway Commissions (COSO), 2010
Beasley M., Branson B., Hancock, B., Current State of Enterprise Risk Oversight and
Market Perceptions of COSO’s ERM Framework, www.erm.ncsu.edu, 2010
Beasley M., Chen A., Nunez K., Wright, L., Working Hand in Hand: Balanced
Scorecards and Enterprise Risk Management, Strategic Finance, pp. 49-55, 2006
Beasley M., Frigo M., Strategic Risk Management: Creating and Protecting Value,
Strategic Finance, 2007
Beasley M., Chen A., Wright L., Balanced Scorecard for Objective Setting in ERM,
http://www.bus.tu.ac.th, 2006
Beasley M., Frigo M., Strategic risk management: creating and protecting value,
http://www.rims.org/resources/ERM/Documents/StrategicRiskManagement_Creating_
%20and_ProtectingValueStrategicFinance_May%202007.pdf, 2007
BIBLIOGRAFIA
259
Bernstein, P. L., Against the Gods: the Remarkable story of Risk, John Wiley and Sons,
1996
Berta G., I gruppi societari, Giappichelli Editore, 2011
Brooks D., Creating a Risk Aware Culture. In Fraser J. e Simkins B., Enterprise risk
management: Today’s leading research and best practices for tomorrow’s executives,
Wiley&Sons, 2010a
Brooks D., Integrating ERM with strategic planning, 2010b
Calandro J., Lane L., Insights from the Balanced Scorecard An Introduction to the
Enterprise Risk Scorecard, Measuring Business Excellence, pp. 31-40, 2006
Canadian Standard Association, CAN/CSA-Q850 Risk management: implementation of
CAN/CSA-ISO 31000, www.csagroup.org, 2010
Carey A., Effective risk management in financial institutions, MCB UP Ltd, 2001
Carson J., Market Risk, Interest Rate Risk, and Interdependencies in Insurer Stock
Returns: A System-GARCH Model, Journal of Risk and Insurance 75: 873-892, 2008
CAS, Overview of Enterprise Risk Management, Casualty Actuarial Society, 2003
Cendrowski H., William M., Enterprise Risk Management and COSO. A guide for
Directors, Executive and Practitioners, John Wiley & Sons, 2009
Chase-Jenkins L., Farr I., Risk appetite: a boundary for decisions, Towers Perrin, 2008
Coleman, M. E., and Marks, H. M., Quantitative and Qualitative Risk Assessment,
Elsevier Science Ltd., 1999
COSO, COSO’s Report on ERM, www.coso.org, 2006
COSO, Enterprise Risk Management - Integrated Framework, www.coso.org, 2004
COSO, Enterprise Risk Management-Application techniques, www.coso.org, 2005
Covello, V. T., and Merkhofer, M. W., Assessment methods. Approaches for Assessing
Health and Environmental Risks, Plenum Press, 1993
D.Lgs 231, http://www.camera.it/parlam/leggi/deleghe/01231dl.htm, 2001
Damodoran A., Strategic risk taking: a framework for risk management, Prentice Hal,
2008
David-O' Neill J., Stephens M., ERM: the value proposition, Milliman - Risk Advisory
Services White Paper, 2010
Dean J., Giffin, A.F., What’s your risk appetite?, Towers Perrin, 2009
BIBLIOGRAFIA
260
DeLoach J., Enterprise-wide risk management: strategies for linking risk and
opportunity, Prentice Hall, 2000
DeLoach J., Enterprise risk management: practical implementation ideas, Protiviti MIS
SuperStrategies Conference Las Vegas, Nevada, 2005
Deloitte, The risk intelligent enterprise. ERM done right, Deloitte Touch, 2006
Deloitte, Design a successful ERM function, Deloitte Touch, 2008
Deloitte, Cultivating a Risk Intelligent Culture. Understand, measure, strengthen, and
report, Deloitte Touch, 2012
Deloitte, Risk Angles, Deloitte Touch, 2012b
Deloitte, Global risk management survey, Deloitte Touch, 2013
Economist Intelligence Unit, The evolving role of the CRO, ACE, Cisco Systems,
Deutsche Bank and IBM, 2005
Ernst & Young, Risk Appetite - The strategic Balancing Act, Ernst & Young, 2010
Determinants of Its Implementation, International Conference on Business and
Economic Research, 2010
Effective Implementation. Statements on Management Accounting, Montvale, NJ:
Institute of Management Accountant (IMA), 2008
Farrel J., Hoon A., What’s your company Risk Culture?, National Association of
Corporate Directors Directorship, April 15, 2009
FERMA, Risk Management Benchmarking Survey, www.ferma.eu, 2012
FERMA, Standard di risk management, www.ferma.eu, 2002
Fill C., Mullins, L., The Effective Management of Training”, Industrial and
Commercial Training, Vol. 22(1), pp. 13-16, 1990
Floreani, A., Introduzione al Risk Management. Un approccio integrato alla gestione
dei rischi aziendali, ETAS, 2005
Fraser J., Simkins B., Enterprise Risk Management: Today's Leading Research and Best
Practices for Tomorrow's Executives, John Wiley & Sons, 2010
Frigo M., Anderson R., Strategic Risk Assessment: a first step for improving risk
management and Governance, Strategic Finance, 2009
Frigo M., Anderson R., Embracing Enterprise Risk Management: Practical Approaches
for Getting Started, COSO - The Committee of Sponsoring Organizations of the
Treadway Commission, 2011
BIBLIOGRAFIA
261
Frigo M., Strategic Risk Management: Creating and Protecting Value, Strategic
Finance, 25-32, 2007
Frigo M., When strategy and ERM meet, Strategic Finance, 2008
Giorgino M., Travaglini E., Il risk management nelle imprese italiane, Il Sole 24 ORE,
2008
Govindarajan D., Corporate Risk Appetite: Ensuring Board and Senior Management
Accountability for Risk, ICMA Centre, Henley Business School, University of Reading,
2011
Grabowski, M. and Roberts, K., Risk mitigation in virtual organisations, Organisational
Science. Vol. 10(6), pp. 704-722, 1999
Higgins R., The importance of a register in risk, 2007
Hopkin P., Fundamentals of risk management, Kogan Page Publishers, 2012
Hughey, A.W. and Mussnug, K. J., Designing effective employee training programmes,
Training for Quality, Vol. 5(2), pp.52-57, 1997
Hunter D. R., Risk perception and risk tolerance in aircraft pilots, Washington, DC:
Federal Aviation Administration, 2002
IAIS, Guidance paper on ERM for capital adequacy and Solvency purposes, IAIS, 2007
IIF, Risk culture, www.iif.com, 2009
IRM, Risk culture. Under the microscope guidance for Board, IRM, 2012
ISO, Guide 73 Risk management – Vocabulary, www.iso.org, 2009b
ISO, Risk management – Principles and guidelines (ISO 31000), www.iso.org, 2009a
ISO/IEC, Risk management – Risk assessment techniques (IEC/FDIS 31010),
www.iso.org, 2009c
Kaplan R., Norton N., The execution premium, Boston, MA: Harvard Business Press,
2008
Knight Frank H., Risk, uncertainty and profit, Boston MA: Hart, Schaffner and Marx;
Houghton Mifflin, 1921
KPMG, Understanding and articulating risk appetite, KPMG, 2008
KPMG, L’Enterprise Risk Management in Italia, www.kpmg.com, 2012
KPMG, Enterprise Risk Management survey, www.kpmg.com, 2013
Lai F., Samad F., Enterprise Risk Management Framework and The Empirical
Determinants of Its Implementation, http://www.ipedr.com/vol1/73-G10003.pdf, 2010
BIBLIOGRAFIA
262
Lam J., Enterprise-Wide Risk Management and the Role of the Chief Risk Officer,
White paper, March 2000
Lam J., The CRO is here to stay, 2001
Lam J., Enterprise Risk Management: From Incentives to Controls, John Wiley & Sons,
Inc., Hoboken, New Jersey, 2003
Lam J.& Associates (2008). Emerging Best Practices in Developing Key Risk Indicators
and ERM Reporting, Executive White Paper sponsored by Cognos, January 2008.
Lamanna Di Salvo Domenico, L'influenza del fattore rischio nella gestione aziendale,
UNI Service, 2004
Liebenberg, A., and Hoyt R., The determinants of enterprise risk management:
Evidence from the appointment of chief risk officers, Risk Management and Insurance
Review, 2003
Maino Renato, Banche e corporate governance: un passaggio critico verso Basilea 3,
http://www.bancaria.it/assets/Special-Issues/2011-11/pdf/06.pdf, Novembre 2011
McShane M., Nair A., and Rustambekov, E., Does Enterprise Risk Management
increase Firm Value?, Journal of Accounting, Auditing and Finance, 26(4): pp. 641-
658, 2010
Mehr R., Hedges B., Risk management and the business enterprise, Literary Licensing,
LLC, 1962
Meulbroek L, A senior manager’s guide to integrated risk management”, Journal of
applied corporate finance, Journal of Applied Corporate Finance, 2002
Meulbroek, L., Integrated Risk Management for the Firm: A Senior Manager’s Guide,
Journal of Applied Corporate Finance 14: pp. 56–70, 2002
Michele Ghisetti, Evoluzione del Risk Management nel settore bancario,
www.theinnovationgroup.it, 22 Ottobre 2013
Milliman, Enterprise Risk Management,
http://it.milliman.com/uploadedFiles/EnterpriseRiskManagement-Italia.pdf, 2011a
Milliman, Formalising risk appetite - a key element of enterprise risk management,
Milliman, 2011b
Moeller, R., COSO Enterprise Risk Management. Understanding the new Integrated
ERM Framework, New Jersey: John Wiley & Sons, 2007
BIBLIOGRAFIA
263
Monahan G., ERM: a methodology for achieving strategic objectives, Wiley&Sons,
2008
MoR, Management of Risk: Guidance for Practitioners (3rd Edition), OGC, 2010
Moss, G.D., Effective training of trainers: the ATLS approach”, Education + Training,
Vol. 39(5), pp. 168–175, 1997
Niven P., Balanced Scorecard Step-by-Step: Maximizing Performance and Maintaining
Results, Wiley&Sons, 2006
Nocco, B. W., & Stulz, R., Enterprise risk management: Theory and practice, Journal
of Applied Corporate Finance 18(4): pp. 8-20, 2006
O’Neill D., StephensM., ERM: the value proposition, Milliman, 2010
ORACLE, Risk Management: Protect and Maximize Stakeholder Value,
www.oracle.com, 2009
Paape, L., Speklé, R., The adoption and design of enterprise risk management
practices: An empirical study, European Accounting Review 21(3): pp. 533-564, 2012
Penza Pietro, Basel 3: impacts on banking business, profitability and capital
management, http://www.bancaria.it/assets/Special-Issues/2011-11/pdf/03.pdf, 2011
Prandi Paolo, Teoria e pratica nel rispetto della normativa, FrancoAngeli, 2012
Protiviti, Guide to Enterprise Risk Management, www.protiviti.com, 2010a
Protiviti, Making your risk assessment count: a strategic prospective, The Bullettin,
2010b
Protiviti, Risk Management: a look back and a look forward, The Bullettin, 2011
PwC, A Practical Guide to Risk Assessment- How principles based Risk Assessment
enables organizations to take the right risks, PriceWaterHouseCoopers, 2008
Ranong P., Critical Success Factors for effective risk management procedures in
financial industries, 2009
Rasid S., Gothan N., Risk management performance measurement and organizational
performances: a conceptual framework, International Business School University
Teknologi Malaysia, 2012
Razali A., Tahir Izah, Review of the Literature on Enterprise Risk Management,
http://core.kmi.open.ac.uk/download/pdf/5837159.pdf, 2011
RIMS, Enterprise Risk Management Survey, www.rims.org, 2013
BIBLIOGRAFIA
264
Risaliti G., Gli Strumenti Finanziari Derivati nell' Economia Delle Aziende, Milano:
Giuffrè Editore, 2008
Rittenberg, L., Martens, F., Understanding and Communicating Risk Appetite. COSO –
The Committee of Sponsoring Organisations of the Treadway Commission, 2012
Rochette M., From risk management to ERM, http://mpra.ub.uni-
muenchen.de/32844/1/MPRA_paper_32844.pdf, 2009
Schumpeter Joseph A., Teoria dello sviluppo economico, ETAS, Milano, 2002.
Traduzione della sesta edizione tedesca (1964)
Segal S., Corporate Value of Enterprise Risk Management. The next step in business
management, John Wiley & Sons, 2011
Segal S., ERM framework for decision making, www.soa.org, 2011
Shenkir W., Walker P., Enterprise risk management: tool and techniques for effective
implementation, IMA, 2008
Shenkir W., Walker P., Enterprise Risk Management: Frameworks, Elements and
Integration, Institute of Management Accountant (IMA), 2011
Song Q., Cummins D., Hedge the Hedgers: Usage of Reinsurance and Derivatives, By
PC Insurance Companies. Working Paper, Temple University, Philadelphia, PA, 2008
Spinard, Enterprise risk management: a holistic approach, 2005
Standards Australia, Standards New Zeland, Risk management AS/NZS 4360,
http://www.standards.org.au/Pages/default.aspx, 2004
Standards Australia, Standards New Zeland, Risk management guidelines – Companion
to AS/NZS 4360, http://www.standards.org.au/Pages/default.aspx, 2004
Stank P., Daugherty P. e Gustin C., Organizational Structure: Influence on Logistics
Integration, Costs, and Information System Performance, MCB UP Ltd, 1994
Symons, J., Making staff aware of risks, Health Manpower Management, Vol. 21(4),
pp. 15–19, 1995
Tarantola Anna Maria, Il ruolo del risk management per un efficace presidio dei rischi:
le lezioni della crisi, http://www.astrid-online.it/Dossier--d1/Italia----/Studi--
ric/Tarantola_10_11_11.pdf, 2010
The Institute of Electrical and Electronics Engineers, Standard for Software Life Cycle
Processes—Risk Management, http://standards.ieee.org/findstds/standard/1540-
2001.html, 2001
BIBLIOGRAFIA
265
Treven S., International training: the training of managers for assignment abroad,
Education + Training, Vol. 45(8/9), pp. 550.557, 2003
UNICREDIT Group, www.unicredit.it
Verweire K., Berghe L., Integrated perform management, 2004
Vose D., Risk Analysis: A quantitative Guide, John Wiley and Sons, 2008
Zurich & HBRAS, Risk Management in a time of Global Uncertainty, Zurich &
HBRAS, January 2012