Il modello Enterprise Risk Management come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali

nell’Adozione del Modello Organizzativo 231

Via Alberto Nota, 5 - 10122 Torino - Piazzale Biancamano, 8 - 20121 Milano - Via Roma, 4 - 33100 Udine

Tel. 011/5690291 - Fax 011/5690247 - N° verde gratuito 800.300.368

info@knetproject.com - www.knetproject.com

2

A più di un decennio dall'introduzione nel nostro

ordinamento di una forma di responsabilità

amministrativa delle società e degli enti per gli illeciti

penali commessi dai propri amministratori e dipendenti

nell'interesse delle stesse, si impone sul tema una

riflessione più ampia e matura. Più precisamente, è

indispensabile un nuovo approccio al decreto

legislativo sulla responsabilità amministrativa di enti e

società, affinché non sia più visto come onere ma come

opportunità per passare a un vero sistema di controllo

interno integrato.

In effetti, la necessità di creare modelli organizzativi per

evitare l'applicazione di sanzioni in relazione a

comportamenti illeciti sempre più comuni (quali i reati

connessi con la sicurezza del lavoro) è stata

interpretata dalle imprese e dagli enti interessati solo in

modo negativo quale ulteriore adempimento generatore

di costi e responsabilità di cui se ne poteva fare

certamente a meno. Questo modo di interpretare la

normativa ha portato le aziende a creare modelli

organizzativi "di facciata" senza vedere in questi

alcuna utilità diretta sul piano gestionale e strategico.

La giurisprudenza, con sanzioni gravi, ha punito questo

tipo di approccio disattendendo il modello, in quanto

non creato a misura d’impresa, ma copiato da un

prototipo soggettivamente inefficace.

MODELLO 231:

PERCHE’ UN NUOVO APPROCCIO?

È giunta, dunque, l'ora di vedere gli obblighi che

scaturiscono dal Dlgs 231/2001 in un'ottica nuova.

I modelli organizzativi devono essere creati

quale fondamento per un sistema integrato di

controlli che consentano di gestire in modo efficiente

e puntuale qualsiasi forma di rischio, offrendo

all'imprenditore, ai soci e alla governance aziendale un

vero e proprio sistema capace di monitorare l'attività

dell'impresa. Il sistema deve essere in grado di

rispondere a più livelli alle diverse esigenze

informative espresse da coloro che operano all'interno

dell'impresa stessa e dal mercato che con essa

interagisce. In effetti, vari fattori inducono a questa

riflessione più ampia e matura:

� l'elaborazione della dottrina giuridica che,

soprattutto negli ultimi anni, si è formata;

� la realtà economica che per effetto di una

serie di scandali societari ha determinato un

più frequente ricorso a tale normativa nonché

maggiore consapevolezza e familiarità con

3

la stessa da parte degli operatori economici e

dei magistrati;

� infine, il fatto che il novero dei reati

originariamente presupposti per la

responsabilità delle società e degli enti si sia

ampliato a dismisura.

Tale continuo aumento, che non sempre ha seguito un

filone logico e razionale, ha peraltro introdotto

connotati la cui portata e vastità vanno attentamente

delineate e approfondite. Prendiamo, ad esempio, le

rilevantissime modifiche apportate nel 2007 e nel 2008:

dai reati di riciclaggio, ai reati previsti in materia di

sicurezza sul lavoro, ai reati ambientali, ai delitti

informatici e al trattamento illecito di dati.

Ne discende che l'attuale assetto del Dlgs 231/2001

risulta non solo enormemente ampliato ma anche

valorizzato in termini di interesse per l'impresa, poiché

viene a costituire de facto un "sistema dei sistemi" o,

per meglio dire, un modello di organizzazione e

gestione che si eleva sugli altri specifici "modelli" di

gestione nei confronti dei quali costituisce uno

strumento di controllo e di supervisione e, pertanto, ne

assicura la "integrazione" nell'ambito dell'organizzazione

aziendale complessiva. In sintesi, esso rappresenta lo

strumento che può aiutare l'azienda a

ottimizzare i suoi sforzi organizzativi e gestionali

fino a ottenere un sistema di controllo interno

integrato, proponendosi quale collante naturale che

può consentire di contemperare in modo efficiente le

sempre più forti esigenze di corporate governance e di

risk management da una parte e di ottimizzazione - sia

in termini di efficacia che di costi - dei tradizionali

sistemi di controllo interno e di compliance dall'altra.

Quindi questo modello di riferimento, paradossalmente,

nella misura in cui contribuisce a ottimizzare gli sforzi e

i costi dell'impresa diviene un "sistema" potenzialmente

molto efficace per migliorare la capacità di gestire i

rischi e di conseguire i propri obiettivi strategici: anche

per quelle imprese di più modeste dimensioni in cui

questa "competenza" dell'organizzazione viene troppo

spesso sacrificata all'esigenza di salvaguardare il

risultato economico e finanziario, quasi come se

quest'ultimo sia l'unico elemento reale su cui fondare la

strategia di sopravvivenza o di sviluppo dell'impresa.

INTEGRAZIONE TRA CORPORATE GOVERNANCE,

RISK MANAGEMENT E CONTROLLO INTERNO

Una buona governance si fonda su un sistema di

controllo interno da intendere come "l'insieme delle

regole, delle procedure e delle strutture organizzative

volte a consentire, attraverso un adeguato processo di

identificazione, misurazione, gestione e monitoraggio

dei principali rischi, una conduzione dell'impresa sana,

corretta e coerente con gli obiettivi prefissati" (Codice

autodisciplina Borsa italiana, cit.). Esso costituisce,

evidentemente, la trama su cui tutti i soggetti e le

funzioni aziendali lavorano per contribuire alla

gestione dell'impresa, in coerenza con l'obiettivo di

conferire il massimo valore sostenibile a ogni attività

dell'organizzazione.

In tale contesto, tuttavia, il Legislatore, ampliando

per motivi spesso contingenti la fattispecie e il numero

dei soggetti responsabilizzati di controlli di varia natura

all'interno dell'impresa, ha indirettamente frazionato le

4

responsabilità e generato una certa proliferazione di

modelli di valutazione e gestione tra di loro non

integrati e potenzialmente conflittuali e non economici.

In realtà, la realizzazione di un effettivo sistema di

governance aziendale deve tener conto delle azioni

e delle valutazioni espresse da tutti i soggetti

coinvolti sia nel controllo che nel risk management e

deve, pertanto, garantire il presidio dei rischi aziendali

sulla base di un sistema di controllo interno unico e

univoco e tale da assicurare al suo interno efficacia ed

economicità. In pratica, un sistema di controllo

interno "integrato", in cui, sul presupposto dei limiti

di tollerabilità e accettabilità del rischio, siano

correttamente formulati gli obiettivi di controllo, quali gli

obiettivi aziendali di business e di governance rilevanti,

siano definite le fonti di rischio, e, infine, sia assicurata

l'adeguatezza dei controlli (cioè l'efficacia, determinata

dalle caratteristiche intrinseche del processo e dal

funzionamento del controllo e l'economicità,

determinata dai fattori del danno potenziale e del costo

del controllo).

IL MODELLO “ERM”

Il sistema di controllo interno è, altresì, parte integrante

del modello di riferimento internazionale per la

gestione del rischio aziendale che è noto come

"Erm", cioè l'acronimo della definizione inglese di

Enterprise Risk Management.

Esso trae origine dagli studi

avviati negli Stati Uniti, sull'onda degli scandali

economici e finanziari degli anni ‘80 e degli inizi degli

anni ‘90, dal settore privato e dalle associazioni

professionali più prestigiose d'America che diedero vita

a una commissione di studio, la Treadway Commission:

il risultato fu la pubblicazione nel 1992 del volume

Internal Control - Integrated Framework, noto come

Coso Report (Committee of Sponsoring Organizations

of the Treadway Commission).

Nell’ambito di questo studio il modello di gestione del

rischio aziendale viene definito come "un processo,

posto in essere dal consiglio di amministrazione, dai

dirigenti e da altri operatori della struttura aziendale;

utilizzato per la formulazione delle strategie in tutta

l'organizzazione; progettato per individuare eventi

potenziali che possono influire sull'attività aziendale, per

gestire il rischio entro i limiti del "rischio accettabile" e

per fornire una ragionevole sicurezza sul

conseguimento degli obiettivi aziendali".

Il modello Erm è, dunque, finalizzato al

conseguimento degli obiettivi aziendali ricompresi

nelle seguenti categorie: strategici, operativi, di

reporting e di conformità e presuppone che ogni

componente dell'organizzazione aziendale ne abbia una

certa responsabilità, fino all'amministratore delegato

che ne ha la responsabilità ultima e ne assume la

paternità, laddove il consiglio di amministrazione

assolva alla sua generale supervisione e contribuisce

alla determinazione del livello di "rischio accettabile".

Anche in tale contesto internazionale di riferimento,

dunque, appare evidente come la gestione del rischio

debba intendersi non rispetto a una singola categoria

ma, viceversa, in modalità integrata e cioè comprensiva

di ogni tipologia di rischio capace di incidere

negativamente su ciascun processo:

� rischio strategico (quote di mercato,

allocazione delle risorse, struttura

organizzativa eccetera);

5

� rischio gestionale (frodi interne ed esterne,

logistica e distribuzione, soddisfazione del

cliente, gestione acquisti eccetera);

� rischio finanziario (gestione fiscale, flussi

monetari, autorizzazioni, pagamenti, gestione

investimenti eccetera);

� rischio di mancata conformità

(compliance).

È un processo strategico di natura integrata attuato nei

singoli processi aziendali ed è la base di processi

decisionali realmente informati affinché soggetti e

funzioni aziendali possano guidare la società non solo

nel rispetto degli obiettivi di business ma anche in

modo coerente con le aspettative di tutti gli

stakeholder, in modo da sostanziare un modello di

governo societario adeguato, moderno e dinamico.

Sembra a questo punto agevole richiamare l'attenzione

sul fatto che oggigiorno la disciplina racchiusa nel Dlgs

231/2001, stante la sua pervasività in tutti i processi

aziendali, inclusi per richiamo quelli che altre discipline

normative già regolano in termini di modelli o di sistemi

di organizzazione e gestione (come la sicurezza del

lavoro, la gestione finanziaria, il trattamento informatico

dei dati eccetera), ha assunto de facto la valenza di

una matrice di impostazione, progettazione, redazione e

revisione di un "super modello" attraverso cui l'alta

direzione dell'azienda può ottenere riscontri

particolarmente dettagliati su efficacia ed efficienza

dell'organizzazione e dei sistemi di gestione aziendali e

sugli interventi migliorativi realizzabili in una visione

integrata.

Il modello così costruito, nell'ottica cioè della matrice

integrata per il governo aziendale, diventa:

� un corpus non più limitato alle sole finalità di

prevenzione dei reati di cui al Dlgs 231/2001;

� uno strumento di integrazione e

ottimizzazione dei diversi sistemi interni

all'azienda e di attuazione di specifici interventi

di miglioramento su singoli processi, funzioni o

aree;

� un monitor di controllo di tutti i sistemi

aziendali attuabile e fruibile con strumenti

informatizzati.

MODELLO

231/01

Compliance Sistema

Organizzativo

Risk

Management

Controllo

interno

Corporate

Governance

RELAZIONE TRA MODELLO E SISTEMI INTERNI

6

I COMPONENTI DELL’ERM

L’ERM è costituito da otto componenti

interconnessi. Essi derivano dal modo in cui il

management gestisce l’azienda e sono integrati con i

processi operativi.

Questi componenti sono:

1) Ambiente interno: l’ambiente interno, che

costituisce l’identità essenziale di

un’organizzazione, determina i modi in cui il

rischio è considerato e affrontato dalle persone

che operano in azienda, come pure la filosofia

della gestione del rischio, i livelli di

accettabilità del rischio, l’integrità e i valori

etici e l’ambiente di lavoro in generale.

2) Definizione degli gli obiettivi obiettivi:

devono essere fissati prima di procedere

all’identificazione degli eventi che possono

potenzialmente pregiudicare il loro

conseguimento. L’ERM assicura che il

management abbia attivato un adeguato

processo di definizione degli obiettivi e che gli

obiettivi scelti supportino e siano coerenti con

la missione aziendale e siano in linea con i

livelli di rischio accettabile.

3) Identificazione degli eventi: gli eventi

esterni e interni, che influiscono sul

conseguimento degli obiettivi aziendali,

devono essere identificati distinguendoli tra

“rischi” e “opportunità”. Le opportunità devono

essere valutate riconsiderando la strategia

definita in precedenza o il processo di

formulazione degli obiettivi in atto.

4) Valutazione del rischio: i rischi sono

analizzati, determinando la probabilità che si

verifichino in futuro e il loro impatto, al fine di

stabilire come devono essere gestiti. I rischi

sono valutati in termini di rischio inerente

(rischio in assenza di qualsiasi intervento) e di

rischio residuo (rischio residuo dopo aver

attuato interventi per ridurlo).

5) Risposta al rischio: il management

seleziona le risposte al rischio emerso

(evitarlo, accettarlo, ridurlo, comparteciparlo)

sviluppando interventi per allineare i rischi

emersi con i livelli di tolleranza al rischio e di

rischio accettabile.

6) Attività di controllo: devono essere definite

e realizzate politiche e procedure per

assicurare che le risposte al rischio siano

efficacemente eseguite.

7) Informazioni e comunicazione: le

informazioni pertinenti devono essere

identificate, raccolte e diffuse nella forma e nei

tempi che consentano alle persone di

adempiere correttamente le proprie

responsabilità. In linea generale, si devono

attivare comunicazioni efficaci, in modo che

queste fluiscano per l’intera struttura

organizzativa: verso il basso, verso l’alto e

trasversalmente.

8) Monitoraggio: l’intero processo dell’ERM

deve essere monitorato e modificato ove

necessario. Il monitoraggio si concretizza in

interventi continui integrati nella normale

attività operativa aziendale o in valutazioni

separate, oppure in una combinazione dei due

metodi.

LEGAMI TRA OBIETTIVI E COMPONENTI

Esiste un rapporto diretto tra gli obiettivi, ossia ciò

che un’azienda si sforza di conseguire, e i componenti

dell’ERM, ovvero ciò che occorre per conseguire gli

obiettivi.

Questo rapporto è schematizzato in una matrice

tridimensionale a forma di cubo.

7

Le quattro categorie di obiettivi – strategici, operativi,

di reporting e di conformità – sono rappresentate nelle

colonne verticali del cubo, gli otto componenti

sopra definiti sono invece rappresentati nelle righe

orizzontali del cubo, e le unità operative

dell’organizzazione sono rappresentate dalla terza

dimensione della matrice.

Lo schema fa capire l’estrema flessibilità del modello:

esso può essere applicato, sia all’intero processo di

gestione del rischio aziendale, sia distintamente alle

singole categorie di obiettivi, ai componenti, alle singole

unità operative e alle singole sub unità di queste ultime.

RUOLI E RESPOSNSABILITA’

Ogni persona che opera in

un’organizzazione ha una

certa responsabilità

nell’ERM.

Il CEO ne ha la responsabilità ultima e ne assume la

paternità. Il management promuove la filosofia di

gestione del rischio e l’osservanza del livello di rischio

accettabile, e gestisce i rischi nella sua sfera di

responsabilità in coerenza con i livelli di “tolleranza al

rischio”.

Generalmente, il risk officer, il direttore finanziario,

l’internal auditor assolvono compiti chiave di supporto

alla gestione del rischio, altre persone svolgono invece

compiti puramente esecutivi nella gestione del rischio in

conformità alle direttive e ai protocolli. Il consiglio di

amministrazione svolge un ruolo importante di

supervisione del processo di gestione del rischio

aziendale e contribuisce alla determinazione del livello

di rischio accettabile. Un certo numero di soggetti

esterni, come i clienti, i fornitori, partner, revisori

esterni e analisti finanziari spesso forniscono

informazioni utili per il buon funzionamento del

processo di gestione del rischio aziendale, ma essi non

rispondono della sua efficacia, né fanno parte del

processo medesimo.

I VANTAGGI NELL’ADOZIONE DELL’ERM

Il management massimizza il valore quando formula

strategie e obiettivi al fine di conseguire un equilibrio

ottimale tra target di crescita e di redditività e rischi

conseguenti, e quando impiega in modo efficiente e

efficace le risorse nel perseguire gli obiettivi aziendali.

8

L’ERM ha le seguenti caratteristiche:

� L’allineamento della strategia al rischio

accettabile il management stabilisce il livello :

di rischio accettabile per valutare le alternative

strategiche, fissare i corrispondenti obiettivi e

sviluppare i meccanismi per gestire i rischi che

ne derivano.

� Il miglioramento della risposta al rischio

individuato l’ERM fornisce una metodologia :

rigorosa per identificare e selezionare tra più

risposte alternative al rischio quella più

adeguata (evitare, ridurre, condividere,

accettare il rischio).

� La riduzione degli imprevisti e delle

perdite conseguenti le aziende, :

accrescendo la loro capacità di identificare

eventi potenziali, di valutare i relativi rischi e di

formulare risposte adeguate, riducono la

frequenza degli imprevisti come pure i costi e

le perdite conseguenti.

� L’identificazione e la gestione dei rischi

correlati e multipli ogni azienda deve :

affrontare una miriade di rischi che

interessano diverse aree dell’organizzazione, e

l’ERM facilita la formulazione di un’efficace

risposta ai rischi con impatti correlati e risposte

univoche a rischi multipli.

� L’identificazione delle opportunità :

analizzando tutti gli eventi potenziali, il

management è in grado di identificare e

cogliere proattivamente le opportunità che

emergono.

� Il miglioramento dell’impiego di capitale:

l’acquisizione di informazioni affidabili sui rischi

consente al management di valutare

efficacemente il fabbisogno finanziario

complessivo e di migliorare, così, l’allocazione

del capitale.

Queste caratteristiche proprie dell’ERM aiutano il

management a conseguire i propri obiettivi di

performance e di redditività e di evitare perdite di

risorse. Inoltre, contribuiscono ad assicurare l’efficacia

del reporting e la conformità alle leggi e ai regolamenti,

e costituiscono un ausilio per evitare danni all’immagine

aziendale e le conseguenze che ne derivano.

In sintesi, l’ERM supporta l’organizzazione nel

raggiungimento delle mete desiderate evitando

insidie e imprevisti di percorso.

Questa definizione riflette alcuni concetti

fondamentali.

L'ERM è

un processo continuo e pervasivo che interessa tutta l’organizzazione

svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale

utilizzato in tutta l’organizzazione: sia nelle sue singole attività (in ogni livello e in ogni unità della struttura), che nella

sua attività complessiva. Esso include una visione del rischio che considera l’azienda

nel suo complesso;

progettato per identificare eventi potenziali che potrebbero influire

sull’attività aziendale e per gestire il rischio entro i limiti del rischio accettabile;

in grado di fornire una ragionevole sicurezza al consiglio di

amministrazione e al management;

in grado di conseguire obiettivi relativi a una o più categorie distinte, ma che si possono

sovrapporre.

9

Questa definizione è intenzionalmente estensiva e

racchiude i concetti chiave, fondamentali per capire

come le aziende devono gestire il rischio; fornisce i

criteri di base da applicare in tutte le organizzazioni,

quale che sia la loro natura. Si focalizza sul

raggiungimento degli obiettivi di una specifica

organizzazione e fornisce i criteri per valutare l’efficacia

dell’ERM.

IL SUPPORTO DELL’ERM ALL’OTTEMPERAMENTO

DELLE PRESCRIZIONI LEGALI

La definizione di un sistema di Enterprise Risk

Management consente di soddisfare esigenze

connaturate all’attività di amministrazione e controllo di

impresa, nonché di coadiuvare la società

nell’espletamento di attività relative a prescrizioni

normative e regolamentari, quali:

� prescrizioni del Codice di Autodisciplina

per amministratori e soggetti deputati al

controllo interno;

� nuove disposizioni ex. Art 19, D.Lgs.

39/2010 di recepimento dell’VIII Direttiva

sulla revisione dei conti, relative agli

obblighi di vigilanza del Collegio

Sindacale;

� obblighi di informativa ex Art.123-bis,

D.Lgs. 58/1998.

Un sistema organico e coordinato di risk management

può rappresentare inoltre lo strumento per realizzare

l’integrazione ed il monitoraggio unico di sistemi di

controllo definiti ed implementati in ragione di precise

esigenze di compliance, quali il D.Lgs. 231/01, la L.

262/05 per gli emittenti di strumenti finanziari quotati, i

sistemi di controllo ex D.Lgs. 196/2003 - Testo unico

sulla privacy, adeguamento del sistema qualità agli

standard ISO 31000.

Tabella di confronto tra il ERM e il Modello 231

10

CONCLUSIONI

Questa visione

alternativa e non

basic del Dlgs

231/2001 integrato con

le tecniche del ERM

può produrre per il

soggetto collettivo non

un semplice modello di prevenzione ma un valore

che si sostanzia in:

� ripensamento e miglioramento

dell'organizzazione aziendale;

� razionalizzazione e unificazione delle

strutture di controllo esistenti;

� stimolo a una governance funzionale

complessiva.

Appare, quindi, evidente come sia possibile predisporre,

con la struttura del modello 231, una rete di

protezione intorno al soggetto collettivo anche

rispetto a potenziali perdite in termini di reputazione

dell'organizzazione, con un sistema che produrrebbe

anche un risparmio di costi di gestione e risorse

umane impiegate nei diversi controlli sulla gestione già

attuati e esistenti in azienda.

Tutto questo produce per l'impresa vantaggi effettivi

che, pur rispettando gli obblighi di legge, superano di

gran lunga lo scopo stesso del Dlgs 231/2001, fornendo

agli attori che operano nell'impresa o al di fuori di essa

uno strumento valido addirittura per combattere le

frodi commerciali, per ottenere informazioni utili

e corrette sulla gestione dell'impresa, ma soprattutto

per mantenere, anche in organizzazioni complesse,

un controllo efficace su tutti quegli elementi che

sono potenzialmente portatori di rischi.

Quanto detto impone, però, che chi vuole raggiungere

tutti gli obiettivi descritti deve avere un approccio

rispetto agli obblighi imposti dal Dlgs 231/2001 del

tutto diverso da quello finora generalmente adottato:

è necessario progettare modelli

organizzativi tagliati su misura sull'impresa,

integrandoli con gli altri strumenti di controllo esistenti;

bisogna avere una visione prospettica della struttura,

senza cercare di realizzare interventi troppo invasivi, ma

applicando in modo scalabile e coinvolgente misure di

adeguamento delle strutture interne interessate.

Elemento 231/01

Individuazione delle criticità

esistenti nei sistemi aziendali nei

quali lo specifico elemento

231/01 deve trovare attuazione

Valutazione dei possibili

interventi in una visione integrata

del sistema di controllo

Vantaggi organizzativi e

gestionali

LOGICA DELLA MATRICE D’INTERVENTO

11

COME INTERVIENE KNET PROJECT?

Intervento di Risk Management in 5 fasi

Il nostro supporto alle aziende

1•Allineamento degli obiettivi di Risk Management a quelli di business

2•Individuazione dei rischi

3•Analisi e valutazione dei rischi (Risk Assessment)

4•Trattamento dei rischi (Risk Treatment)

5•Controllo e monitoraggio dei rischi

CONOSCERE E QUANTIFICARE I RISCHI

La conoscenza è il presupposto della loro gestione e della

limitazione delle vulnerabilità aziendali

DEFINIRE E APPLICARE UNA POLITICA UNITARIA

DI GESTIONE E PREVENZIONE DEI RISCHI

L’incidenza dei fattori d’incertezza, di ottenere

significativi risparmi nei costi d’esercizio e di conseguire miglioramenti nei risultati di

gestione

REALIZZARE UN PROGRAMMA DI

TRATTAMENTO DEI RISCHI EFFICACE , EFFICIENTE E CRESCENTE NEL TEMPO

Per gestire adeguatamente i rischi è necessario che il Risk Management sia un processo ciclico, anche in relazione ai

cambiamenti dell’esposizione a rischi esistenti o a potenziali nuovi rischi determinati

dall’evoluzione dell’attività aziendale

12

Massimo Penzo

Business&Consulting Manager

Linkedin: it.linkedin.com/in/massimopenzo/

E-Mail: m.penzo@knetproject.com

Mobile: +39 335 81 66 393

KNET PROJECT opera nella Consulenza di Direzione Aziendale affiancando il Management nel processo di Analisi, Definizione ed Attivazione dei Programmi di Miglioramento Dinamico delle Performance Aziendali, fornendo la competenza necessaria allo sviluppo e all’implementazione del loro business.

www.knetproject.com

Contatti