L'ENTERPRISE RISK MANAGEMENT: MODELLI E CASI … · L’aumento della globalizzazione dei mercati,...
186
FACOLTÁ DI SCIENZE POLITICHE Corso di Laurea Magistrale in Finanza delle Aziende e dei Mercati Tesi di Laurea in Risk Management in Finance L'ENTERPRISE RISK MANAGEMENT: MODELLI E CASI PRATICI NELLE PMI. LAUREANDA RELATORE Sarah DE BERARDINIS Ch.mo Prof. Paolo DI ANTONIO MATR. 70540 Anno Accademico 2014 – 2015
Transcript of L'ENTERPRISE RISK MANAGEMENT: MODELLI E CASI … · L’aumento della globalizzazione dei mercati,...
FACOLTÁ DI SCIENZE POLITICHE
Corso di Laurea Magistrale in Finanza delle Aziende e dei Mercati
Tesi di Laurea
in Risk Management in Finance
L'ENTERPRISE RISK MANAGEMENT:
MODELLI E CASI PRATICI NELLE PMI.
LAUREANDA RELATORE
Sarah DE BERARDINIS Ch.mo Prof. Paolo DI ANTONIO
MATR. 70540
Anno Accademico 2014 – 2015
INDICE Introduzione ..............................................................................................1
Capitolo 1 - Classificazione e valutazione dei rischi di impresa ............. 4
1.1 L’impresa e il rischio ......................................................................................................... 4
1.2 Le nozioni di rischio e gli approcci al rischio. .............................................................. 6
1.3 Le possibili classificazioni dei rischi. ............................................................................ 14
1.3.1 Rischi economici e rischi non economici ............................................................ 14
1.3.2 Rischi interni (esogeni) e rischi esterni (endogeni) ............................................ 15
1.3.3 Rischi puri e rischi speculativi ............................................................................... 15
1.3.4 Rischi sistemici (non diversificabili) e rischi specifici (diversificabili) ............. 17
1.3.5 Rischi imprenditoriali e rischi associati ................................................................ 18
1.4 I principali rischi considerati nel processo di ERM ................................................... 18
1.4.1 Rischi finanziari ....................................................................................................... 19
1.4.2 Rischi strategici ....................................................................................................... 22
1.4.3 Rischi operativi ........................................................................................................ 23
1.4.4 Rischi emergenti ...................................................................................................... 25
1.5 La quantificazione dei rischi aziendali .......................................................................... 31
1.5.1 La variabile aleatoria aziendale .............................................................................. 32
1.5.2 Il valore atteso ......................................................................................................... 33
1.5.3 Gli indicatori di rischio .......................................................................................... 33
1.5.4 L’asimmetria ............................................................................................................ 36
Capitolo 2 – La gestione dei Rischi d’impresa: dai processi di Risk
Management all’Enterprise Risk Management ..................................... 37
2.1 Le strategie di gestione dei rischi aziendali .................................................................. 37
2.1.1 Le strategie interne di gestione ............................................................................. 38
2.1.2 Le strategie esterne di gestione ............................................................................. 39
2.2 Definizione ed evoluzione del sistema di Risk Management ................................... 42
2.2.1 Gli obiettivi e il processo di Risk Management .................................................. 45
2.2.2 I diversi approcci al Risk Management ................................................................ 51
2.3 Il passaggio dal Risk Management alla gestione integrata dei rischi ........................ 55
2.4 Definizione del processo di Enterprise Risk Management ....................................... 61
2.4.1 La cultura del rischio .............................................................................................. 63
2.4.2 L’organizzazione ..................................................................................................... 65
2.4.3 Il Processo ............................................................................................................... 65
2.5 Le linee guida e gli standard internazionali ................................................................. 66
2.5.1 COSO ERM FRAMEWORK .............................................................................. 67
2.5.2 ISO 31000 ................................................................................................................ 77
2.6 Il processo e i principali strumenti operativi dell’ERM ............................................. 81
2.6.1 Identificazione degli obiettivi e del Risk Appetite ............................................. 82
2.6.2 Risk Assessment: identificazione e valutazione dei rischi. ................................ 83
2.6.2 Integrazione dei rischi ............................................................................................ 95
2.6.3 Reporting dei rischi ................................................................................................ 96
2.6.4 Trattamento dei rischi ............................................................................................ 96
2.6.5 Assessment e Reporting dei rischi residui ........................................................... 98
2.6.6 Monitoraggio dei rischi .......................................................................................... 99
2.7 La struttura organizzativa dell’ERM .......................................................................... 100
2.7.1 Il Consiglio di Amministrazione ............................................................................... 100
2.7.2 I singoli centri di responsabilità .......................................................................... 102
2.7.3 La funzione risk management ............................................................................. 102
2.7.4 L’Internal Audit .................................................................................................... 103
2.8 Benefici e limiti dell’ERM ............................................................................................ 104
Capitolo 3 – L’ enterprise risk management nelle PMI italiane........... 110
3.1 Il punto di vista delle PMI ........................................................................................... 110
3.2 L’Osservatorio sul Risk Management nelle PMI Italiane ........................................ 112
3.2.1 Il Campione ........................................................................................................... 113
3.2.2 La percezione del rischio nelle PMI ................................................................... 115
3.2.3 Il Profilo di rischio attuale ................................................................................... 116
3.2.4 Modello integrato di RM ..................................................................................... 118
3.2.5 Ruoli e Responsabilità .......................................................................................... 119
3.2.6 I principali rischi considerati dalle PMI ............................................................. 120
3.2.7 Utilizzo di software a sostegno del RM ............................................................. 122
3.2.8 Procedure formali di RM ..................................................................................... 122
3.2.9 Gli aggiornamenti dell’edizione 2015 ................................................................ 129
3.3 Un ERM semplificato per le PMI .............................................................................. 131
Capitolo 4 - Progettazione ed implementazione di un sistema di ERM in
una PMI ................................................................................................. 136
4.1 Descrizione del progetto .............................................................................................. 136
4.2 La costruzione di un sistema ERM ............................................................................ 137
4.3 Un esempio di valutazione e trattamento di un rischio ........................................... 140
4.3.1 Analisi qualitativa .................................................................................................. 140
4.3.2 Analisi quantitativa ............................................................................................... 141
4.3.3 Il trattamento del rischio ..................................................................................... 143
4.3.4 Il monitoraggio del rischio .................................................................................. 145
Conclusioni ............................................................................................ 146
Allegato n. 1 ............................................................................................ 149
Allegato n. 2 ........................................................................................... 169
Bibliografia e Sitografia ......................................................................... 179
1
INTRODUZIONE
Il lavoro di ricerca nasce con l'obiettivo di evidenziare la rilevanza dell'Enterprise Risk
Management all'interno delle PMI cercando di prospettare una possibile soluzione alle
difficoltà riscontrate da queste ultime nell'implementazione di sistemi di gestione del rischio
così complessi. L'Enterprise Risk Management rappresenta il superamento del risk
management tradizionale, che si realizza mediante l'adozione di un approccio integrato nella
gestione dei rischi aziendali. In particolare il processo di ERM prevede una serie di fasi
correlate tra loro che permettono di realizzare uno sguardo d’insieme al complesso dei rischi
aziendali, di comprendere le eventuali correlazioni e le migliori strategie per fronteggiarli.
Nell'ultimo decennio il risk management ha assunto una crescente rilevanza sia nelle imprese
finanziarie che in quelle non finanziarie a causa dell'aumento dell'incertezza connessa ad una
serie di fattori interni ed esterni ad esse. Negli Stati Uniti, già a partire dal 1992 COSO,
Committee of Sponsoring Organizations, pubblica le prime linee guida in tema di controllo
interno che nel 2004 confluiscono nello standard internazionale per l'Enterprise Risk
Management. In Europa il primo documento di riferimento è quello di FERMA, Federation
of European Risk Management Association del 2003. Infine nel 2009 si aggiunge ai
precedenti un altro framework di origine neozelandese, diretto concorrente del modello
COSO, proposto dalla ISO 31000.
In ambito accademico i primi studi relativi ai rischi aziendali, risalgono agli inizi del
Novecento con i contributi di Knight, della scuola tedesca di Leitner e della scuola italiana
di Corsani. In questa prima fase il rischio era concepito solo con accezione negativa
(downside risk) connessa al manifestarsi di danni o perdite. Solo a partire dagli anni Duemila,
si rileva l'adesione ad un concetto più "positivo" di rischio (upside risk), portatore anche di
possibili opportunità di creazione di valore, come proposto dall'autore italiano Beretta.
Tuttavia il concetto di rischio condiviso in questo lavoro di ricerca è quello esposto da Segal,
che nel 2011 lo descrive così: "il rischio è incertezza, include la volatilità in rialzo ed è una
deviazione dalle aspettative". Si segnalano inoltre gli importanti contributi di Floreani e di
Giorgino, come punti di riferimento italiani nello sviluppo dei più recenti contributi
scientifici in tema di ERM.
Nel primo capitolo si è cercato di giungere ad una definizione condivisa di rischio realizzando
un excursus tra le più importanti definizioni rilevate in letteratura. Ci si è soffermati sulle
2
possibili classificazioni dei rischi aziendali, dando enfasi alle categorie di rischio considerate
nel processo di ERM: rischi finanziari, strategici, operativi ed emergenti. Su quest'ultima
categoria si è realizzato un focus in riferimento alle più recenti ricerche svolte dalle principali
compagnie assicurative. Infine vengono introdotti i più semplici strumenti statistici per la
quantificazione dei rischi.
Nel secondo capitolo, partendo dalle strategie provenienti dal mondo assicurativo e degli
strumenti derivati, il lavoro si è strutturato in modo tale da comprendere l'evoluzione del risk
management tradizionale verso l'ERM. In particolare dopo aver definito il RM nel dettaglio
dei suoi processi e dei possibili approcci, ci si è concentrati sul passaggio dalla gestione dei
rischi a silos a quella integrata/olistica teorizzata dal metodo ERM. Successivamente il focus
si è spostato sulla descrizione dell'ERM: dalla enunciazione delle possibili definizioni e del
processo, alla presentazione degli standard COSO ed ISO, fino alla presentazione dei soggetti
chiave e dei possibili benefici e limiti riscontrabili nella sua adozione. In questo capitolo sono
presentati i principali concetti sul tema dell'ERM quali l'importanza della cultura del rischio,
le fasi del processo e l'introduzione alla figura del CRO Chief Risk Officer. Infine
evidenziando i benefici e i limiti nell'adozione di un sistema di gestione integrata dei rischi,
sono state poste le premesse per spostare l'attenzione sulle PMI e su come poter promuovere
un ERM semplificato per le loro esigenze.
Nel terzo capitolo si affronta il tema dell'ERM nelle PMI. Le principali difficoltà che queste
ultime riscontrano, riguardano la scarsità di risorse economiche ed umane da destinare alla
gestione dei rischi. La loro situazione viene sintetizzata dai dati dell'Osservatorio sul Risk
Management nelle PMI italiane realizzato dal Politecnico di Milano. L'Osservatorio ha
intervistato 700 PMI sul territorio nazionale al fine di rilevare lo stato dell'arte in tema di RM
analizzando le questioni chiave ad esso connesse come la diffusione della cultura del rischio,
gli strumenti maggiormente adottati nei vari step del processo, l'approccio verso il rischio
ecc. I risultati dell'Osservatorio evidenziano i punti di forza e di debolezza sul tema, che
giustificano la necessità di costruire un modello ERM semplificato.
Nel quarto capitolo, infine, si entra nel merito di un progetto di creazione ed
implementazione di un sistema di ERM all’interno di una PMI. La società oggetto del caso è
la LT FORM 2 srl di Montorio al Vomano, che con l’occasione si ringrazia per la disponibilità
a fornire i propri dati aziendali. Il progetto permette di evidenziare le principali tappe del
processo di ERM. In particolare viene presentato un esempio di valutazione di un rischio tra
3
quelli identificati e il procedimento di scelta tra le strategie di trattamento più opportune. A
partire dall’analisi SWOT costruita in sede di analisi interna ed analisi esterna, e mediante
l’ausilio di un apposito software per l’analisi dei rischi, è stato possibile rendere operativo
quanto presentato nei precedenti capitoli della dissertazione.
4
CAPITOLO 1 - CLASSIFICAZIONE E VALUTAZIONE DEI
RISCHI DI IMPRESA
1.1 L’impresa e il rischio
L’attività esercitata professionalmente dall’imprenditore per la produzione e lo scambio di
beni e servizi non può sostenersi escludendo la nozione di rischio. Qualsiasi sia la tipologia
di azienda, è indispensabile comprendere che l’aspettativa di reddito, sia un utile o una
perdita, comporta comunque l’assunzione di un rischio per l’imprenditore1. Il rischio infatti,
è connaturato all’attività economica dell’impresa, in quanto originato dalla sua stessa
vocazione creativa, dalla concezione strutturale sistemica, dalla aleatorietà degli eventi
circostanti, nell’ambiente e nel mercato, rispetto ai quali interagisce2.
Il rischio di impresa risulta strettamente legato al divenire dei fenomeni che ricadono nella
sfera dell’azienda e ai mutevoli rapporti che si instaurano tra l’azienda e l’ambiente in cui essa
si trova ad operare3. Possiamo definirlo come la possibilità che si verifichino e che si
abbattano sull’azienda, eventi che pregiudicano lo svolgimento in maniera economica
dell’attività di produzione per il mercato4. La genesi del rischio di impresa può collegarsi alla
divergenza tra i tratti distintivi dell’ambiente esterno e quelli delle strutture organizzative ed
operative delle aziende: mentre l’ambiente è in continua evoluzione, le strutture presentano
una tendenziale rigidità e resistenza al cambiamento tanto da non risultare adatte allo
svolgimento efficiente ed efficace dell’attività produttiva.
Durante la sua esistenza l’impresa si trova ad interagire in continuazione con il mercato e con
l’ambiente nel quale è inserita ed opera: si trova a misurarsi in un contesto economico
altamente mutevole. Negli ultimi decenni in particolare, l’impresa ha assistito da un lato
all’aumento del numero e della portata dei rischi con i quali confrontarsi e, dall’altro,
all’aumento della sua sensibilità verso il rischio. I fattori che hanno contribuito ad accrescere
l’incertezza e quindi i rischi che l’impresa è chiamata a gestire e fronteggiare, sono5:
1 Cfr. (Marinoni, 2012) 2 Cfr. (Bruni, 2003) 3 Cfr. (Centro Studi Finanza, s.d.) 4 Cfr. (Giunta, 1996) 5 Cfr. (Selleri, 2006)
5
L’aumento della globalizzazione dei mercati, che ha portato all’aumento del numero,
della dimensione e della complessità dei rischi che l’impresa nel tempo è stata
chiamata a fronteggiare;
L’aumento della pressione sulla performance, originato dall’aumento dell’efficienza
dei mercati finanziari regolamentati;
L’aumento della pressione sulle imprese, ed in particolare di quelle che per finanziarsi
ricorrono ai mercati finanziari regolamentati;
L’aumento della regolamentazione sulla Corporate Governance, che impone alle
imprese di improntare la loro amministrazione e la loro gestione ai principi di
trasparenza, d’integrità e di accountability;
Lo sviluppo delle tecnologie produttive che, da un lato, ha permesso alle imprese di
realizzare sistemi di produzione integrati altamente flessibili ma, dall’altro lato, ha
reso detti sistemi altamente vulnerabili;
Lo sviluppo delle tecnologie informatiche e telematiche, che ha contribuito a
modificare in profondità la struttura dei processi di impresa, riguardanti sia le attività
di base, sia le attività produttive, sia le attività di marketing;
L’aumento dei rischi finanziari ai quali è esposta l’impresa;
L’aumento dei rischi di responsabilità dell’impresa, come conseguenza dell’aumento
del controllo dei differenti stakeholders e, più in generale, del controllo della società
sull’impresa.
Tali fattori, di natura interna ed esterna all’impresa, concorrono alla formazione del
cosiddetto sistema dei rischi d’impresa, il quale include tutte le possibili cause della
vulnerabilità a cui è soggetta l’attività aziendale. Il sistema dei rischi nel complesso, include
sia i rischi generali che quelli specifici. Il concetto di rischio generale ci rimanda alla
definizione aziendalistica di rischio: il rischio si identifica nell’alea che l’azienda è costretta a
sopportare in seguito al possibile manifestarsi degli eventi che ricadono nella sua orbita; è
l’insieme dei possibili effetti positivi e negativi di un evento rischioso sulla situazione
economica, finanziaria e patrimoniale dell’impresa6. I rischi specifici invece, sono quelli
connessi a determinati aspetti dell’attività di impresa e di cui ci si occuperà successivamente.
6 Cfr. (AIRMIC, Association of insurance and risk management professionals, 2002)
6
Nel tentativo di ottenere la massima compatibilità tra ambiente interno ed esterno, le strategie
adottate dalle imprese dovrebbero essere orientate a ridefinire continuamente l’immagine
dell’azienda e gli assetti di competitività sui mercati e/o i rapporti di collaborazione
nell’ambiente (mercati) in cui si muovono. Il miglioramento del rapporto azienda-ambiente,
si ottiene solo con una efficace politica di gestione dell’intero sistema dei rischi di impresa.
Le problematiche relative alla gestione degli eventi avversi all’interno delle aziende sono
demandate ad una funzione creata ad hoc, cioè il Risk Management, una innovazione
manageriale, il cui obiettivo consiste nel garantire la protezione del sistema azienda dagli
eventi sfavorevoli e dei loro effetti7.
Nell’attuale contesto di mercato, caratterizzato da un clima di incertezza diffuso e da una
costante volatilità, le aziende sono chiamate a rivedere le proprie politiche di Risk
Management, considerando l’evoluzione del concetto di gestione del rischio. Infatti occorre
costruire un approccio integrato che coinvolga tutti gli aspetti fondamentali della vita di
un’impresa. Il risk management, utilizzato per formulare strategie ponderate per il rischio
assunto, deve evolversi verso un approccio integrato con tutti i processi aziendali e che
consideri il rischio non solo come minaccia, ma anche come fonte di opportunità e vantaggio
competitivo. L’approccio integrato richiesto al risk management, è quello dei sistemi di
Enterprise Risk Management, un framework che coinvolge in maniera interattiva e capillare
le diverse funzioni aziendali secondo dei processi gestiti d’insieme8.
1.2 Le nozioni di rischio e gli approcci al rischio.
Riprendendo l’accezione aziendalistica di rischio adottata in precedenza, il rischio aziendale
d’impresa è definito come l’insieme dei possibili effetti positivi (opportunità) e negativi
(minacce) di un evento rischioso sulla situazione economica, finanziaria e patrimoniale
dell’impresa. Tale definizione merita di essere approfondita su alcuni fronti9:
Il risk management riguarda solo gli aspetti economico-aziendali del rischio: trattare
di rischi aziendali significa riferirsi esclusivamente agli eventi aleatori sui valori
economici, finanziari e patrimoniali dell’impresa; la natura monetaria delle variabili
aleatorie aziendali, permette di semplificare il processo di risk management in quanto
7 Cfr. (Rija, 2006) 8 Cfr. (Risk Governance, 2014) 9 I seguenti spunti sono tratti da (Floreani, Introduzione al Risk Management, 2005)
7
si introducono criteri decisionali collaudati e scientificamente fondati che permettono
di affrontare le decisioni di risk management con razionalità;
Il risk management riguarda tutti gli eventi rischiosi: non vi è alcuna limitazione alla
tipologia di eventi che possono determinare effetti economici, finanziari e
patrimoniali sull’azienda; i rischi non sono additivi, non possono essere valutati
disgiuntamente, per questo solo un approccio integrato e globale dei rischi può
contribuire a creare valore aziendale;
Il risk management non riguarda solo le manifestazioni negative e ha come
riferimento la situazione attesa (aspettative): nel linguaggio corrente, il termine rischio
viene associato a manifestazioni negative. In realtà, se valutati rispetto ad una
situazione media o attesa, tutti gli eventi rischiosi hanno delle possibili manifestazioni
negative (downside risk) a cui corrispondono dei risultati peggiori rispetto alle
aspettative, e delle manifestazioni positive (upside risk), a cui corrispondono dei
risultati migliori rispetto alle attese. Nelle decisioni di risk management i rischi, cioè
il possibile divario tra la manifestazione di un fenomeno e la situazione attesa, sono
estremamente importanti. Tuttavia il rischio è sempre secondario rispetto al valore
atteso: per prendere una decisione aziendale con razionalità è necessario valutare gli
effetti economici della decisione sotto almeno due profili cioè il risultato atteso e il
rischio.
La definizione adottata finora, risulta comunque non esaustiva e non sufficiente a catturare
altri aspetti del rischio aziendale. Infatti sebbene esistano numerosi studi che riguardano la
tematica del rischio, gli autori non sono ancora giunti ad una definizione univoca del termine.
Di seguito infatti si presenterà un breve excursus che racchiude le principali nozioni ed
accezioni di rischio, per poi giungere ad una classificazione dal generale al particolare.
La rilevanza del rischio nell’attività imprenditoriale è stata fortemente sottolineata ed ha
assunto valore cruciale a partire dagli anni ’90. Molti interventi normativi hanno, infatti,
comportato l’obbligo per le imprese di dotarsi di procedure di contenimento del rischio e di
controllo interno, portando all’attenzione di tutte le imprese la necessità di destinare adeguate
risorse alla gestione dell’incertezza. Tuttavia sono degni di nota numerosi contributi di autori
che, molto prima degli anni ’90, hanno incentrato i propri studi sulla nozione di rischio. Di
seguito ne riportiamo alcuni:
8
L’economista americano F.H. Knight10 è stato uno dei principali promotori della
distinzione tra rischio e incertezza. L’incertezza può manifestarsi sia sotto forma
misurabile che non misurabile. Nella sua accezione misurabile, l’incertezza coincide
con il rischio. Il rischio si palesa quando si verificano eventi considerati ripetibili e
quindi suscettibili di stime statistiche. La visione di Knight rientra nella cosiddetta
corrente oggettivistica, che attribuisce al rischio i connotati dell’oggettività e della
misurabilità;
In contrapposizione all’interpretazione di Knight, si colloca la corrente
soggettivistica, secondo cui la distinzione tra rischio e incertezza, è da ricercarsi nella
natura degli eventi. De Finetti e Savage11, esponenti di questa corrente, sottolineano
che la differenza tra rischio e incertezza è da ricercarsi nella conoscenza degli eventi
da parte dei diversi soggetti in base alle informazioni di cui essi dispongono, in quanto
la determinazione di ogni scenario futuro rappresenta una problematica comune ad
entrambe le situazioni;
Per la scuola tedesca, Friedrich Leitner attribuiva al rischio una sola accezione
negativa, definendolo una minaccia per l’impresa in quanto rappresenta “il pericolo
del mancato successo di un fatto economico”;
Per la scuola italiana, Corsani12 si discosta dalla visione di Leitner definendo il rischio
come il differenziale tra i risultati previsti e stimati dall’operatore e quelli
effettivamente osservati. Dunque in tale ottica, il rischio può esplicitarsi sia in
un’ottica favorevole che sfavorevole, in quanto la variazione tra risultati previsti e
risultati effettivi, può essere sia positiva che negativa;
Il noto studioso italiano Gobbi13, definiva il rischio come il campo estesissimo fra i
due estremi della certezza dell’impossibilità e la certezza del verificarsi, in cui si ha, in
varie gradazioni, l’incertezza che un dato evento si verifichi o meno;
La visione offerta da Ferrero14, invece, rappresenta l'incertezza come una
componente inevitabile con la quale ogni individuo ed ogni impresa, sono
costantemente costretti ad interfacciarsi. Secondo l'Autore, il rischio, avendo la sua
origine nell'incertezza, è considerato una condizione esistenziale ed imprescindibile
10 Cfr. (Knight, 1921) 11 Cfr. (Furlanetto, 2014) 12 Cfr. (Corsani, 1936) 13 Cfr. (Gobbi, Trattato di economia, 1974) 14 Cfr. (Ferrero, 1968)
9
tipica di tutte le aziende, indipendentemente dalla loro origine e dalle singole
caratteristiche di ognuna e può manifestarsi, come l'incertezza, sotto forma oggettiva
o soggettiva;
Il contributo più recente di matrice italiana, risulta quello di Beretta15, il quale
definisce il rischio come "la distribuzione dei possibili scostamenti dai risultati attesi
per effetto di eventi di incerta manifestazione, interni o esterni al sistema aziendale.
Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle
variabili chiave del business model all'influsso dei fattori di rischio. L'influsso dei
fattori di rischio può avere connotazione sia positiva, sia negativa, configurandosi il
rischio come generatore sia di possibili perdite, sia di opportunità di creazione di
valore";
Infine, la definizione di natura più tecnica, è quella offerta da Segal16, il quale sostiene
che il rischio è caratterizzato da tre aspetti fondamentali:
1. Il rischio è incertezza: un buon modo per considerare il rischio è che si
presenta ogni qualvolta vi sia meno del 100% di probabilità che un evento si
verifichi esattamente come previsto. In quest’ottica, qualsiasi circostanza può
comportare incertezza e quindi esporre all’incorrere di un rischio.
2. Il rischio include anche la "volatilità in rialzo": si consideri il rischio
come la possibilità che i risultati possano non essere esattamente uguali a
quanto previsto, ma piuttosto o inferiori o superiore alle previsioni. La
"volatilità in rialzo" riguarda tutte le possibilità che si verifichino eventi più
positivi delle aspettative (upside risk), mentre la volatilità a ribasso, riguarda
tutte le possibilità che si verifichino eventi più negativi del previsto (downside
risk). Includere la volatilità in rialzo, permette di soffermarsi su tre
caratteristiche del rischio, fondamentali nell’approccio ERM:
a) Equilibrare/controbilanciare gli effetti tra i vari settori di business: un
evento che può essere negativo per un settore di business, potrebbe
essere positivo per un altro. Talvolta ciò che appare come un
downside risk, può tramutarsi per l’entità, in un upside risk;
b) Equilibrare/controbilanciare rispetto agli altri eventi: eventi rischiosi
possono manifestarsi simultaneamente, alcuni divenendo degli
15 Cfr. (Beretta, 2004) 16 Cfr. (Segal, 2011)
10
upside risk, e altri dei downside risk. In questi casi il management
necessita di quantificare l’impatto complessivo della combinazione di
tutti gli eventi rischiosi;
c) Il costo della volatilità: un eccesso di volatilità, anche quando gli
aspetti positivi sono di maggior impatto rispetto ai negativi, possono
ridurre il valore d’impresa tramite l’incremento del costo del capitale.
Quindi non sempre la volatilità a rialzo rappresenta una buona
notizia, perché è accompagnata comunque da una quota di volatilità
a ribasso addizionale.
3. Il rischio è una deviazione dalle aspettative: il concetto di perdita
connessa ad un evento rischioso, risulta incompleto, alla luce di quanto detto
finora, in quanto esclude il concetto di volatilità a rialzo e quindi un possibile
guadagno. Talvolta la paura di registrare una perdita fa sì che venga
sovrastimata la gravità e la grandezza del rischio. Ciò avviene perché quando
si considera un evento negativo, si quantifica la perdita come la fuoriuscita
complessiva di denaro. Purtroppo ciò si traduce in una doppia
contabilizzazione delle perdite attese, le quali dovrebbero essere escluse. Il
piano di proiezione strategico è di solito sviluppato con un focus particolare
sui driver di valore e ciò influisce su quali elementi sono inclusi e sulla loro
contabilizzazione. Nei processi ERM, lo sviluppo degli scenari di rischio
invece, considera i driver di rischio, includendo sia gli aspetti del settore, sia
quelli di redditività-rischio.
Di fronte agli innumerevoli significati che di volta in volta vengono attribuiti al termine
“rischio”, si possono individuare almeno tre principali approcci17 nei quali possono esser
fatte confluire buona parte delle definizioni introdotte in letteratura.
1. Approccio tradizionale-assicurativo: secondo tale approccio, il rischio è inteso
come l’insieme delle possibili minacce. La visione solo negativa del rischio, trae
origine dal fatto che, fino a pochi decenni fa, veniva prestata attenzione
esclusivamente ai rischi puri, i quali si caratterizzano per l’esistenza di due soli scenari.
Nel primo scenario, altamente probabile, non si verificano effetti economici
sull’azienda, nel secondo scenario, a bassa probabilità, si verifica un evento che
17 (Floreani, Introduzione al Risk Management, 2005) op.cit. pag. 5-7
11
determina un danno molto elevato. Tale approccio è perfettamente adeguato e risulta
più semplice, per la gestione dei rischi puri e in generale di quei rischi caratterizzati
da uno scenario migliore possibile in cui non si verifica alcun evento avverso.
L’applicazione del concetto di rischio come minaccia si presenta ricca di insidie in
presenza di rischi i quali presentano anche opportunità, oltre che minacce. Se si
tengono in considerazione tutti gli scenari possibili, positivi e negativi, e si misura il
rischio considerando sia le evenienze positive che negative, si può giungere a risultati
corretti, altrimenti, tenendo conto dei soli aspetti negativi, si rischia di giungere a
conclusioni errate. Altra grave conseguenza dell’approccio tradizionale, è quella di
trascurare o sottostimare gli effetti degli eventi estremi, con scenari a bassa
probabilità ma con danni molto ingenti.
2. Approccio statistico-finanziario: secondo tale approccio, il rischio è inteso come
aleatorietà stocastica, cioè come il possibile scostamento di una variabile aleatoria
rispetto alle aspettative. Tale approccio nasce dallo sviluppo delle scienze statistiche
e può essere adattato a tutte le tipologie di rischio, in quanto minimizza la possibilità
di incorrere in errori metodologici.
3. Approccio manageriale: secondo tale approccio, il rischio è visto come possibile
scostamento rispetto agli obiettivi del soggetto che si trova ad affrontarlo. In tale
filone rientra la definizione di Price Waterhouse Cooper18 secondo cui “i rischi sono
eventi futuri ed incerti che possono influenzare il raggiungimento degli obiettivi
strategici, operativi e finanziari di un’istituzione”. In tale approccio, come in quello
statistico, sono contemplati sia le minacce che le opportunità. Nello statistico sono
rilevanti gli scostamenti rispetto al valore atteso, mentre in quello manageriale, si
rilevano gli scostamenti rispetto agli obiettivi. Il manageriale, ragionando in termini
di obiettivi, risulta più comprensibile per il management, inoltre risulta essere il più
flessibile, infatti si adatta sia ai rischi puri che ai rischi speculativi. Dalla fusione
dell’approccio tradizionale con il manageriale, nasce un nuovo approccio detto
“pessimistico-manageriale” secondo cui il rischio riguarda esclusivamente le minacce
al raggiungimento degli obiettivi dell’istituzione).
18 Cfr. (AIIA & PWC, 2006)
12
Superando le definizioni letterarie, possiamo dedurre che il rischio aziendale è composto in
parte da elementi oggettivi e in parte da elementi soggettivi19. Gli elementi soggettivi
dipendono principalmente dalle ipotesi formulate dal management sugli effetti derivanti da
decisioni, comportamenti, mutamenti ambientali futuri. Tali ipotesi traggono origine dal
grado di conoscenza ed esperienza dell’individuo che la formula: quanto maggiore è la
possibilità di errore nell’ipotesi, tanto più grande sarà la presenza nel rischio di elementi
soggettivi. Ne consegue che il rischio si può caratterizzare da un lato per una componente
soggettiva strettamente correlata alla capacità ed alla conoscenza dell’individuo che formula
la previsione, dall’altro per una dimensione oggettiva, in relazione cioè all’aleatorietà degli
eventi che l’azienda è costretta a subire ed alle modalità attraverso le quali questi eventi si
manifestano. Pertanto il rischio è strettamente connesso al processo di formulazione delle
ipotesi e ai processi di valutazione relativi a eventi incerti. Da quanto affermato si può, quindi,
concludere che “mentre nel rischio l’elemento conoscenza è presente associato all’esperienza,
quest’ultima è assente nell’incertezza”. È proprio per questo che il rischio viene considerato
un fenomeno oggettivo e soggettivo. L’incertezza, invece, costituisce un fatto prettamente
soggettivo poiché si è impossibilitati a ricorrere all’esperienza per risolvere i problemi. Sulla
base di tali affermazioni si parla di rischio in relazione alle operazioni aziendali e di incertezza
in riferimento a decisioni aziendali20. Le prime sono relative a scelte nelle quali è possibile
tener conto sia della frequenza con la quale certi eventi si sono prodotti in passato, sia del
loro grado di probabilità futuro; le seconde riguardano, invece, decisioni prese in ordine di
eventi futuri che rimangono del tutto sconosciuti. Pertanto il concetto di rischio in ambito
aziendale si caratterizza per due fondamentali elementi:
Il primo è relativo all’esistenza di fatti eventuali dei quali non è possibile stabilire
esattamente le probabili manifestazioni future ed i possibili effetti sull’azienda;
Il secondo elemento fa riferimento all’analisi sia dei processi di valutazione,
previsione e stima degli andamenti futuri dell’azienda, sia dei rischi che vengono
originati dai processi di valutazione individuali.
In conclusione, il rischio aziendale può esser considerato come il risultato di un processo di
analisi e di valutazione, trae origine dall’esistenza dell’incertezza e si manifesta nello
scostamento potenziale esistente tra quanto previsto da un soggetto all’interno di
19 (Dessì, 2012) op. cit. pag. 12 20 Cfr. (Bertini, 1968)
13
un’organizzazione e quanto empiricamente osservato. Il rischio, quindi, risulta essere
strettamente correlato alla combinazione di variabili di sistema che determinano sia
l’esposizione al rischio, sia le potenzialità di creazione di valore dell’impresa. Tali variabili
possono essere ricondotte alle seguenti categorie21:
1. Variabili istituzionali – I rischi comportati da tale fattore sono prevalentemente
inerenti al mancato soddisfacimento delle attese degli stakeholder. Ciò si può tradurre
in una scarsa stabilità degli assetti proprietari, e delle relazioni che l’impresa intrattiene
con altri portatori di interessi. Assumono, in tale contesto, particolare importanza
l’insieme dei sistemi predisposti, al fine di garantire all’impresa di ottenere risultati
coerenti con le aspettative dei vari stakeholder.
2. Variabili economiche – L’insieme delle variabili relative alla gestione caratteristica,
patrimoniale e finanziaria determina le circostanze economiche che condizionano
l’attività d’impresa. Tali fattori possono comportare l’insorgere di fenomeni rischiosi,
derivanti da eventi aziendali, ovvero riconducibili al contesto competitivo.
3. Variabili patrimoniali – Sono le variabili relative alle fonti di finanziamento e agli
impieghi di tali risorse. I rischi maggiori collegati a tale fattore sono rappresentati
dalla criticità del reperimento di mezzi e dalle decisioni relative al loro investimento,
nonché dalla possibile scelta di strutture finanziarie non ottimali.
4. Variabili organizzative – Sono riconducibili a questa categoria tutte le variabili che
definiscono la struttura organizzativa dell’impresa, le sue procedure, il suo personale.
I rischi collegati a tali fattori sono principalmente riconducibili alla scarsa efficienza
di tale assetto e all’eventualità che quest’ultima pregiudichi il raggiungimento degli
obiettivi prefissati.
5. Variabili produttive – Ci si riferisce alla struttura tecnico-produttiva, intesa come
scelta dei processi di realizzazione dell’output e della dimensione di quest’ultimo.
L’incertezza relativa a questo fattore è prevalentemente legata alla struttura dei costi
e alla capacità del prodotto di soddisfare le esigenze della clientela.
Tali variabili consentono di iniziare a definire le possibili declinazioni del rischio aziendale,
secondo delle classificazioni di varia natura evidenziate in letteratura e rilevabili nella maggior
parte delle realtà imprenditoriali.
21 Cfr. (Prandi, 2010)
14
1.3 Le possibili classificazioni dei rischi.
Finora abbiamo trattato i rischi aziendali in modo indistinto, fino a delineare le variabili
chiave che vanno a definire gli ambiti a cui fanno riferimento le varie tipologie di rischio che
si configurano per l’impresa. Tali distinzioni comportano per l’impresa diverse strategie e
modalità di risk management.
Come anticipato nel primo paragrafo, fattori interni ed esterni all’impresa concorrono alla
formazione e all’evoluzione nel tempo del sistema dei rischi d’impresa. I fattori esterni
possono essere ricondotti a quattro poli fondamentali: quello economico, quello politico-
giuridico, quello tecnologico e quello ecologico. I sistemi sottostanti a questi poli sono in
continuo e crescente cambiamento, sotto l’influsso sia dei fattori ad essi interni, sia delle
continue e complesse interazioni con i fattori degli altri poli. I fattori interni, invece,
riguardano la struttura organizzativa dell’impresa stessa, il proprio management, le risorse, i
processi, i meccanismi operativi, la propria cultura e i comportamenti e le dinamiche delle
persone che in essa vi operano22.
Da questa premessa si andranno a delineare le principali macro-classificazioni del rischio
aziendale:
Rischi economici e rischi non economici;
Rischi interni (endogeni) e rischi esterni (esogeni);
Rischi puri e rischi speculativi;
Rischi sistemici (non diversificabili) e rischi specifici (diversificabili);
Rischi imprenditoriali e rischi associati.
1.3.1 Rischi economici e rischi non economici
Una prima classificazione dei rischi, di natura prettamente economica, riguarda la tipologia
degli effetti che scaturiscono dal verificarsi dell’evento rischioso. Il rischio economico è il
rischio che determina effetti positivi o negativi sull’attività d’impresa, generando impatti sulla
produzione di beni e/o servizi e che sono in grado di produrre delle perdite monetarie. I
rischi economici possono essere a loro volta suddivisi in tre sottocategorie:
a) Rischi economico-singoli se connessi a fenomeni che avvengono all’interno
dell’impresa (rischi attivi) o ai rapporti che legano l’impresa ai terzi (rischi passivi);
22 Cfr. (Selleri, 2006)
15
b) Rischi commerciali se legati alla fase di commercializzazione del prodotto;
c) Rischi tecnici se riferibili alla fase di produzione.
Il rischio non economico detto anche extra-aziendale, è il rischio che non genera effetti
sull’attività aziendale in quanto l’eventuale perdita generata, non è quantificabile a livello
monetario23. Tale approccio è stato ampiamente criticato in quanto il rischio non economico,
potrebbe provocare delle perdite che seppur non monetizzabili, incidano ad esempio sugli
asset intangibili dell’impresa (impatto morale o sociale).
1.3.2 Rischi interni (esogeni) e rischi esterni (endogeni)
Questa classificazione distingue i rischi interni o esogeni, originati da eventi interni
all’azienda, dai rischi esterni o endogeni, si originano da eventi esterni al complesso aziendale.
Gli esogeni sono diretta conseguenza delle dinamiche poste in essere all’interno
dell’impresa: derivano la loro origine dalle scelte del management, dall’organizzazione della
produzione, dalla logistica, dal personale ecc. L’azienda, quindi, è in grado di influenzare,
almeno parzialmente, l’andamento e la portata di questi rischi24. I rischi endogeni, invece,
nascono da fenomeni esterni sui quali l’azienda non ha possibilità di modificare la natura, la
direzione e la dinamica. Tali rischi hanno un impatto economico-patrimoniale sull’impresa
ma non risultano da essa influenzabili e gestibili. L’impresa può solo porre in essere
meccanismi di prevenzione e di trasferimento a terzi in modo da tutelarsi dall’eventuale
manifestazione di questi pericoli. Rientrano in questa tipologia di rischi: le variazioni del ciclo
economico, la dinamica dei tassi di interesse e di cambio, le catastrofi naturali e tutte le
variabili non governabili dall’impresa stessa.
1.3.3 Rischi puri e rischi speculativi
Questa classificazione si focalizza sull’impatto positivo o negativo dei rischi. Mentre i rischi
puri presentano eventi sempre sfavorevoli, i rischi speculativi possono produrre esiti sia
positivi che negativi per l’impresa25. I rischi puri, dotati di asimmetria negativa, sono quei
rischi a cui è associata la possibilità di sostenere un onere elevato, ma non la possibilità di un
guadagno. Nascono da eventi improvvisi che non possono essere previsti ex-ante mediante
attività di previsione. Possono solamente essere gestiti mediante attività ex-post di
trasferimento del rischio. Per questo sono definiti anche rischi assicurabili, per i quali risulta
23 Cfr. (Gobbi, L'assicurazione in generale., 1974) pag. 15 24 Cfr. (Prandi, 2010) 25 Cfr. (Conti, 1996)
16
possibile il loro trasferimento ad imprese assicurative. Ad esempio: rischi da responsabilità
civile, rischi che causano danni materiali alla proprietà di impresa o a quella altrui, catastrofi
naturali, morte, invalidità e malattia dei dipendenti. I rischi puri si caratterizzano per26:
a) Una realizzazione improvvisa;
b) Una manifestazione immediatamente osservabile;
c) Effetti economici che si determinano in un brevissimo lasso di tempo;
d) La possibilità di ridurre le conseguenze fisiche ed economiche dell’evento tramite
l’adozione di tempestive misure di contenimento o riduzione del danno.
Rientrano nei rischi puri i rischi sui beni aziendali, cioè quelli che possono determinare un
impatto aziendale negativo in seguito al danneggiamento o alla perdita di disponibilità di beni
aziendali. Vi rientrano i rischi sulle persone cioè quelli che possono determinare un impatto
aziendale negativo in seguito a eventi che colpiscono le persone operanti nell’azienda. Infine
i rischi di responsabilità riguardanti gli impatti aziendali negativi che possono derivare da
danni arrecati all’impresa a persone, animali o cose di terzi.
I rischi speculativi invece, sono connessi ad eventi futuri incerti che possono generare sia
risultati economici negativi, sia risultati economici positivi. Sono definiti rischi propriamente
imprenditoriali e non assicurabili, in virtù della frequenza con la quale l’impresa è chiamata a
fronteggiarli, infatti sono rischi che l’impresa si trova ad affrontare quotidianamente: rischi
operativi, rischi di mercato, rischi finanziari, rischi di business ecc. I rischi speculativi si
caratterizzano per:
a) Una realizzazione progressiva nel tempo;
b) Un’osservabilità ritardata della sua manifestazione;
c) Effetti economici che si determinano progressivamente;
d) L’impossibilità di intervento per ridurre le conseguenze economiche negative degli
eventi che si sono già realizzati.
Le macro categorie di riferimento per i rischi speculativi sono i rischi di business e i rischi
derivati. I rischi di business si ricollegano allo svolgimento dell’attività tipica dell’impresa:
rischi finanziari, operativi e strategici, che si andranno ad approfondire in seguito. Mentre i
rischi derivati, si originano dalle attività finanziarie diverse dal core business.
26 (Floreani, Introduzione al Risk Management, 2005) op. cit. pag.38
17
Talvolta non risulta semplice la distinzione tra rischi puri e speculativi infatti come afferma
Conti27: “si rivela infine come tutti i rischi sarebbero qualificabili come speculativi, qualora
nei loro riguardi venissero regolarmente formulate delle aspettative”.
Le differenze tra i rischi puri e quelli speculativi hanno implicazioni gestionali molto rilevanti.
In particolare, anche se il processo logico di risk management è uguale, l’importanza delle
specifiche fasi del processo è molto differenziata. Per i rischi puri è fondamentale la fase di
identificazione e la prevenzione risulta la modalità di gestione preferita, invece per i rischi
speculativi, è fondamentale la fase di monitoraggio mentre la prevenzione non risulta
sufficiente come modalità di gestione.
1.3.4 Rischi sistemici (non diversificabili) e rischi specifici (diversificabili)
I rischi sistemici o non diversificabili si riferiscono alle dinamiche dell’economia globale, per
questo vengono spesso sintetizzati nel concetto di rischio di mercato. Ci si riferisce infatti
all’andamento del ciclo economico, alle oscillazioni del tasso di interesse e del tasso di
cambio, alla propensione al rischio degli investitori e in generale a qualsiasi evento la cui
rischiosità non può essere eliminata mediante la diversificazione.
I rischi specifici o diversificabili, derivano dalle caratteristiche proprie dell’impresa stessa e
dalle specifiche del settore in cui opera. Tali rischi possono essere mitigati attraverso il
processo di diversificazione. Tale processo consiste nell’assumere numerose variabili
aleatorie non perfettamente correlate tra di loro, al fine di ridurre la variabilità complessiva
attraverso la compensazione dei rischi.
Molto spesso non è intuitiva la differenziazione tra queste due tipologie di rischio: un rischio
è non sistematico quando può essere eliminato con la diversificazione, non quando è
effettivamente eliminato dalla diversificazione, inoltre la diversificabilità non è una proprietà
soggettiva, cioè riferibile a una specifica azienda, ma oggettiva. La maggior parte dei rischi
aziendali ha una componente sistematica e una diversificabile. La parte sistematica è quella
parte di variabilità che dipende dall’andamento generale dell’economia e dei mercati
finanziari, mentre la quota diversificabile è specifica dell’azienda. Alcuni rischi non hanno
componente sistematica; ad esempio gli eventi naturali come il rischio terremoto risulta
totalmente diversificabile a meno che non sia tale da influenzare l’economia mondiale.
27 (Conti, 1996)
18
Quindi il rischio terremoto è completamente diversificabile a meno che non riguardi aree
geografiche particolarmente rilevanti geograficamente (es. Giappone o California)28.
1.3.5 Rischi imprenditoriali e rischi associati
Infine un’ultima classificazione è quella tra rischi imprenditoriali e rischi associati29. Questa
distinzione deriva dal modello della catena del valore di Porter del 1987.
Porter delinea un modello in cui si può suddividere l’attività d’impresa in attività primarie
e attività di supporto. In sostanza è dalle attività primarie che deriva il rischio
imprenditoriale, mentre dalle attività secondarie i rischi associati.
Il rischio imprenditoriale, è un rischio per sua natura non eliminabile, non trasferibile a terzi
e inoltre non può essere coperto mediante la stipulazione di polizze assicurative. Attenzione
che questo non significa non considerarlo, ma anzi è possibile attuare una politica di
prevenzione in grado di adottare politiche gestionali coerenti alla tipologia di impresa presa
a riferimento.
I rischi associati, invece, riguardano aspetti collaterali della realtà aziendale. Essi, a differenza
dei primi, sono oggetto di specifiche politiche volte a minimizzare il loro impatto sull’azienda.
La distinzione tra rischi associati e rischio imprenditoriale va adattata alla specifica
azienda presa a riferimento. E’ una distinzione quindi che va relativizzata alle singole
imprese, che non deve essere presa in maniera troppo rigida. In dottrina, si è consci del
fatto che questa classificazione può risultare per certi versi fuorviante, ma l’obiettivo è
quello di aumentare le potenzialità dell’impresa nel prevenire i pericoli a cui è esposta.
1.4 I principali rischi considerati nel processo di ERM
Nel paragrafo precedente si è proposta una tassonomia dei possibili rischi aziendali
considerando i contributi di vari autori, i quali non presentano opinioni condivise su quali
tipologie di rischio includere o meno nel sistema dei rischi aziendali. Tuttavia dovendo
orientare il lavoro di ricerca verso quelle imprese che intraprendono o che hanno intrapreso
l’adozione di un modello di gestione integrata dei rischi (ERM), in questo paragrafo ci si
soffermerà sui rischi considerati nelle varie fasi del processo di ERM. Nel modello dovranno
essere necessariamente inclusi i rischi di natura finanziaria, quelli strategici, quelli operativi e
28 Cfr. (Floreani, Introduzione al Risk Management, 2005) pag. 35 29 (Prandi, 2010)
19
quelli di compliance. A questi ultimi vanno aggiunti i cosiddetti rischi emergenti legati ad
esempio alla tecnologia, alla supply chain, alla reputazione ecc.
1.4.1 Rischi finanziari
I rischi finanziari sono un’ampia categoria di rischi che ingloba tre importanti categorie: il
rischio di mercato, quello di credito e quello di liquidità. Dunque la gestione dei rischi
finanziari presenti in azienda deriva da posizioni commerciali e finanziarie non coperte,
esposte a variazioni di mercato dei tassi di cambio, dei tassi di interesse, delle varie attività
presenti in portafoglio, e del merito di credito delle controparti30. Si riconducono quindi a
questa categoria tutti i rischi aziendali con una forte componente di fonti finanziarie.
Il rischio di mercato31 è legato al movimento dei prezzi sui mercati finanziari. Crouhy e altri
autori32, definiscono il rischio di mercato come "il rischio che le variazioni dei prezzi e dei
tassi di interesse nei mercati finanziari riducano il valore di un titolo o di un portafoglio". Il
rischio di mercato nasce da una serie di fattori, come le esposizioni ai tassi d'interesse, le
esposizioni in valuta estera, costi e ricavi connessi a materie prime sensibili ai prezzi ecc. I
rischi di mercato sono principalmente tre:
a) Il rischio di prezzo si manifesta quando, a parità di tutte le altre condizioni, il valore
di mercato degli strumenti in portafoglio è sensibile all’andamento dei mercati
azionari. Ad esempio il prezzo di una certa commodity (petrolio) genera un effetto
negativo sul conto economico per un aumento di prezzo tra il momento in cui si è
definito un listino e il momento di effettivo esborso finanziario;
b) Il rischio di cambio trova origine nella diversa combinazione delle operazioni
generate dai processi operativi dell’impresa. La maggior parte delle decisioni inerenti
alle operazioni in valuta estera, che sono la principale fonte del rischio di cambio,
vengono prese di fatto dall’area operativa e determinano le modalità con cui tale
rischio influenzerà in futuro l’azienda. Si riferisce alla presenza di una probabilità, più
o meno elevata, che le variazioni dei tassi di cambio producano effetti
sull’economicità della gestione diversi da quelli attesi. Gli effetti che si suole
ricondurre al concetto sono evidentemente quelli di segno negativo, che possono
danneggiare l’impresa. L’ampia definizione data indica che il rischio a carico
30 (ERM “Casistiche aziendali di rischi operativi”, Sett-Ott 2007) 31 (Lin, 2009) 32 (Crouhy, 2006)
20
dell’impresa dipende dalla variabilità attesa dei cambi stessi e dal grado di dipendenza
dei risultati economici dalla dinamica dei cambi;
c) Il rischio di interesse si manifesta quando a parità di tutte le altre condizioni il valore
di mercato dell’investimento è sensibile a variazioni dei tassi d’interesse. Una
variazione degli ultimi produce un mutamento del valore delle attività o del costo
delle passività detenute. Un aumento dei tassi di mercato comporta una riduzione del
valore di mercato di un titolo e viceversa. Tale variazione inciderà dunque sui margini
economici in funzione della struttura (es. temporale) delle attività e passività
sottostanti.
Le strategie di gestione dei rischi di mercato sono molteplici e molto complesse33. E’
opportuno che le aziende si dotino di una capacità analitica e previsionale che permetta di
comprendere i vari scenari di mercato e di formulare previsioni, o comunque di valutare in
modo consapevole le previsioni fornite loro da banche o analisti esterni. L’obiettivo è quello
di proteggere l’azienda da perdite impreviste, mantenere la stabilità dei ricavi e la certezza dei
flussi, beneficiando se possibile, di movimenti favorevoli dei tassi di mercato nei limiti di
rischio prestabili e contribuire a generare valore per gli azionisti.
Il rischio di credito34 rappresenta l'eventualità che una delle parti di un contratto non onori
gli obblighi di natura finanziaria assunti, causando una perdita per la controparte creditrice35.
Giesecke36 definisce il rischio di credito come "la distribuzione delle perdite finanziarie
dovute a variazioni inattese del merito creditizio di una controparte in un accordo
finanziario". Esempi di rischio di credito sono il downgrade da parte di un'agenzia di rating
o lo status di fallimento o di liquidazione. Tali definizioni contemplano solamente il caso
estremo in cui il debitore si rende insolvente. Ma una perdita di valore della posizione
creditoria può derivare anche da un deterioramento delle condizioni economico finanziarie
del debitore da cui dipende la capacità di far fronte agli impegni finanziari, pur non divenendo
insolvente. In un'accezione meno semplificata, per rischio di credito si intende allora la
possibilità che da una variazione inattesa del merito creditizio di un debitore derivi una
33 Cfr. (ERM “Casistiche aziendali di rischi operativi”, Sett-Ott 2007) 34 Cfr. (Lin, 2009) 35 Cfr. (Ammann, 2001) 36 Cfr. (Giesecke, 2004)
21
variazione inattesa del valore del credito. Il rischio di credito ha tre caratteristiche, così come
individuato da Dowd37:
Probability of default: è la probabilità che la controparte non rispetterà gli obblighi
contrattuali;
Recovery rate: è la parte del nostro credito che potremmo recuperare in caso di
inadempimento contrattuale del debitore;
Credit exposure: è la parte che perderemo in caso di default della controparte.
I rischi di credito possono essere suddivisi nelle seguenti fattispecie:
a) Il rischio di paese consiste nella possibilità che il debitore non sia in grado di pagare
i flussi di cassa attesi, a causa di problemi inerenti il paese d’appartenenza dello stesso
emittente;
b) Il rischio di emittente si concretizza nella possibilità che un’emittente non sia in
grado di pagare i flussi di cassa attesi;
c) Il rischio di regolamento è il rischio che una controparte non adempia ai propri
impegni in fase di regolamento delle partite creditorie/debitorie;
d) Il rischio di controparte è il rischio che una controparte non tenga fede agli impegni
presi.
Sebbene il rischio di credito richieda un’analisi accurata del portafoglio crediti costante e
precisa, in presenza di scelte strategiche di medio/lungo termine, è opportuno attivare
adeguati meccanismi di copertura come ad esempio operazioni con contratti derivati.
Il rischio di liquidità è il rischio che l’impresa non sia in grado di avere i fondi necessari per
adempiere ai propri obblighi in scadenza e quindi sia costretta ad aumentare le proprie
passività a costi onerosi e/o vendere degli asset aziendali con la possibilità di doverli
svalutare.
L’impresa deve sempre cercare di allineare le attività con le passività, questo significa che
deve cercare di finanziare attività che produrranno reddito a breve termine con strumenti
finanziari a breve termine. Analogamente i fabbisogni legati a investimenti di medio/lungo
termine devono essere soddisfatti con risorse a scadenza pluriennale o con il capitale di
rischio. Il mancato rispetto di questi principi può generare dei problemi; in un dato momento
37 Cfr. (Dowd, 1998)
22
l’impresa si può trovare a dover estinguere un debito o pagare un onere senza avere il denaro
necessario per farlo andando incontro ad un problema di liquidità. Più in generale però
possiamo dire che riscontrare un problema di liquidità non è sempre un problema legato
all’allineamento delle scadenze di attività e passività. L’approccio aziendale al problema deve
chiaramente tenere conto anche degli imprevisti e quindi possiamo dire che l’impresa deve
predisporre la liquidità disponibile tenendo conto dei futuri fabbisogni finanziari e degli
imprevisti in modo tale da poter ridurre il ricorso a improvvisi finanziamenti esterni
eccessivamente onerosi ed evitando di svendere asset aziendali38.
1.4.2 Rischi strategici
I rischi strategici sono da riferire a tutti gli eventi aleatori esterni ed interni che possono
incidere
in misura rilevante e durevole sulla gestione dell’impresa. A motivo della loro portata, si deve
tener conto dell'impatto di detti eventi, nella definizione degli obiettivi e nella decisione delle
strategie che l’impresa intende perseguire39.
Il rischio strategico riguarda il grado di successo delle strategie aziendali di più alto livello.
Si tratta, essenzialmente, di definire i segmenti di mercato su cui operare e le risorse da
impiegare in ciascuno di questi. Le decisioni di entrare su nuovi segmenti di mercato o di
abbandonare quelli esistenti, comportano strategie di diversificazione o di specializzazione il
cui successo è incerto e, dunque, soggetto a rischi. Rientrano nelle decisioni strategiche anche
le scelte riguardanti il lancio di nuovi prodotti che sono particolarmente rilevanti per
l’impresa e/o che richiedono l’investimento di ingenti risorse per essere realizzate. Infine,
sono da considerarsi parte del rischio strategico il grado di successo commerciale delle
principali linee di prodotto dell’impresa. Le principali fonti esterne di aleatorietà da cui
dipende il successo di una strategia aziendale riguardano40:
L’andamento generale dell’economia;
L’andamento della domanda nei segmenti di mercato interessati dalla strategia;
Il comportamento dei competitors;
Le possibili innovazioni tecnologiche;
L’andamento dell’immagine e della reputazione aziendale;
38 Cfr. (Prandi, 2010) 39 Cfr. (Selleri, 2006) 40 Cfr. (Floreani, La valutazione dei rischi e le decisioni di risk management, 2004) op.cit. pag. 133-134
23
Le possibili modificazioni del contesto regolamentare e/o politico.
Nel definire e perseguire una data strategia è estremamente importante identificare tutti i
rischi che possono influenzarne la realizzazione. Inoltre è necessario individuare i possibili
scenari che si possono realizzare e, per ciascuno di questi, definire delle linee di azione
contingenti, in modo tale da massimizzare i risultati positivi negli scenari favorevoli
(opportunità) e da minimizzare i risultati negativi negli scenari sfavorevoli (minacce).
La letteratura in merito, permette l’individuazione delle numerose cause alle quali possono
essere ricondotte le perdite o gli utili derivanti da questa tipologia di rischio. Gli autori Adrian
J. Slywotzky e John Drzik di Mercer in un articolo della Harvard Business Review dell'aprile
2005 distinguono sette classi di rischio strategico41:
Settore;
Tecnologia;
Brand;
Concorrenza;
Cliente;
Progetto;
Stagnazione.
Il fattore chiave per affrontare e gestire il rischio strategico sarà quello di individuare la pratica
di successo per il conseguimento, il mantenimento e l’accrescimento nel tempo dei vantaggi
competitivi aziendali. Per quanto riguarda il grado di orientamento strategico dell’impresa è
essenziale una pianificazione della gestione, coerente alla missione aziendale, il
perseguimento di vantaggi competitivi sostenibili ed attuabili attraverso precisi assetti
strutturali, organizzativi e finanziari. I rischi strategici non sempre condurranno a delle
perdite specifiche, spesso il loro impatto finanziario è rappresentato da un costo-
opportunità42.
1.4.3 Rischi operativi
I rischi operativi sono riconducibili a tutti gli eventi aleatori che al loro verificarsi
determinano livelli insoddisfacenti di efficienza e di efficacia nei processi di gestione, nonché
41 Cfr. (Drzik, 2005) 42 Cfr. (Dessì, 2012)
24
bassi livelli nel soddisfacimento della clientela e nel raggiungimento degli obiettivi di qualità,
di costo e di tempestività nella performance43.
I rischi operativi riguardano l’attività tipica d’impresa e possono essere definiti in via residuale
rispetto agli altri rischi (strategici, finanziari e puri). Proprio per tale motivo essi hanno
caratteristiche piuttosto disomogenee. Infatti, i principali rischi operativi riguardano44:
Il grado di efficienza dei processi aziendali (il rapporto tra un indicatore dell’output
di un processo e un indicatore della quantità dei fattori produttivi impiegati) quali, ad
esempio, il processo produttivo o la supply-chain. Tali rischi sono di natura
prevalentemente interna, cioè dipendono in larga misura dalle capacità del
management;
Il rischio di prezzo riguardante i prodotti dell’impresa o i costi di acquisizione dei
fattori produttivi che non sono delle commodities, cioè dei beni standardizzati
negoziati sui mercati regolamentati tramite contratti finanziari. Tali rischi sono di
natura prevalentemente esterna;
L’effetto della leva operativa, cioè l’effetto moltiplicativo del rischio di volume,
determinato dalla presenza di costi fissi aziendali.
Prendendo come riferimento la definizione di rischio operativo offerta dal Comitato di
Basilea45, secondo cui “il rischio operativo è il rischio di perdite derivanti da strategie inadeguate o da
errori generati da persone e processi interni o da eventi esterni”, definiamo le quattro fattispecie di
rischio operativo racchiuse nella definizione stressa:
a) Rischi operativi connessi alla strategia: attengono al grado di perseguimento della
strategia aziendale46: ad esempio riguardano la fase di definizione degli obiettivi
aziendali, la definizione del business plan, la ricerca di nuove opportunità di business,
la reputazione e l’immagine dell’impresa ecc.47
b) Rischi operativi connessi alle persone: vi fanno parte tutti i rischi connessi alla
gestione delle risorse umane, ai salari, alla regolamentazione di diritti e doveri dei
lavoratori, nonché alla salute e alla sicurezza sul posto di lavoro;
43 Cfr. (Selleri, 2006) 44 Cfr. (Floreani, La valutazione dei rischi e le decisioni di risk management, 2004) op.cit. pag.138 45 Cfr. (Basel Committee on Banking Supervision, 2009) 46 Cfr. (Prandi, 2010) 47 Cfr. (Chapman, 2006)
25
c) Rischi operativi connessi ai processi e ai sistemi: sono rischi derivanti dal mancato
rispetto delle procedure e delle regole stabilite per far funzionare in maniera ottimale
i processi aziendali. Ad esempio uno scorretto uso delle informazioni aziendali o
un’informazione non inserita nel sistema aziendale, possono generare una forte
esposizione al rischio per l’impresa;
d) Rischi operativi connessi agli eventi esterni: si riferiscono a qualsiasi fenomeno
esterno alla realtà aziendale in grado di influenzare e di porre a rischio l’attività della
stessa.
1.4.4 Rischi emergenti
Tale categoria di rischi sarà definita ricorrendo ai dati forniti da tre importanti sondaggi a
livello internazionale, svolti da tre gruppi assicurativi, che hanno evidenziato delle nuove
categorie di rischio, definiti appunto rischi emergenti, che risultano i più temuti degli ultimi
anni e che comporteranno una rivisitazione dei rischi finora considerati dal risk management
aziendale.
Il Barometro dei rischi emergenti di ACE European Group
La ricerca svolta da ACE nel corso del 2013 si è svolta mediante un sondaggio su 650 top
manager impiegati nella gestione dei rischi in un’ampia gamma di settori, in imprese di medie
e grandi dimensioni situate in 15 paesi dell’area EMEA (Europa, Medio Oriente e Africa
Settentrionale). La ricerca suggerisce che i rischi emergenti non sono ancora entrati a far parte
delle discussioni più ampie sulla gestione dei rischi all’interno dei consigli di amministrazione.
Il 57% degli intervistati parla della mancanza di attenzione come scoglio principale, che a sua
volta porta al secondo e terzo problema: la mancanza di risorse umane e di strumenti e
processi di gestione del rischio. Il 45% delle società considerano la dipendenza dalla catena
di approvvigionamento (supply chain) e dalle infrastrutture come principale rischio
emergente. Seguono la responsabilità ambientale (42%), il rischio informatico (40%) e la
responsabilità D&O (40%). Questi i rischi emergenti che probabilmente registreranno il
maggiore impatto finanziario sulla propria società nel corso dei prossimi due anni48.
48 Cfr. (Rosa, 2013)
26
Figura n.1 - Principali ostacoli nella gestione dei rischi emergenti – da Risk Management News n.31
di Febbraio 2014
L’indagine ha visto emergere e posizionarsi nei primi posti della classifica i seguenti rischi
emergenti49:
Rischio infrastruttura e supply chain: di tutti i rischi emergenti, le aziende
prevedono che quelli associati alla supply chain e alle infrastrutture abbiano il
maggiore impatto finanziario negativo sulle loro attività nei prossimi due anni. Le
sofisticate supply chain transnazionali hanno abbattuto i costi, ma le aziende pagano
la mancanza di visibilità su quanto potrebbe accadere a fornitori e sub-fornitori. In
più, in molti paesi di approvvigionamento esistono problemi legati alle infrastrutture
che espongono le aziende a sostanziali rischi finanziari. Comprendere la reale portata
dell’esposizione in materia di supply chain e di infrastruttura è problematico per
molte aziende, data la frammentazione che hanno acquisito le catene di creazione del
valore. È prioritario trovare modalità di condivisione delle informazioni e creare
strumenti utili alla comprensione delle supply chain e delle esposizioni ad esse
associate.
Rischio ambientale: il rischio ambientale, pur collocandosi mediamente in seconda
posizione, risulta essere al primo posto per gli intervistati di alcuni settori, tra cui
petrolio e gas naturale, servizi pubblici, viaggi e trasporti. La posizione in classifica
evidenzia una maggiore consapevolezza che si tratti di un problema comune a tutti i
settori, non solo su quelli tradizionalmente “inquinanti”. Tutte le aziende sono
49 Cfr. (ACE European Group, 2013)
27
esposte al rischio ambientale, nonostante ci sia il consenso generale sul principio “chi
inquina paga”, a livello internazionale questo viene fatto rispettare in modo
incoerente: attualmente esistono oltre 17.000 normative diverse che si occupano di
contaminazione di aria, acqua e terreni. Metà delle aziende oggetto dello studio sono
convinte di essere assicurate contro il rischio ambientale: in realtà vi è confusione su
quali rischi sono coperti dai diversi tipi di polizza, quindi il numero effettivo potrebbe
essere decisamente inferiore.
Rischio informatico: non sorprende assistere al posizionamento del rischio
informatico al terzo posto (a pari merito) nella classifica dei rischi emergenti. Quasi
la metà delle aziende intervistate prevede che nei prossimi due anni la minaccia
rappresentata da virus, hackeraggio e furto di dati possa aggravare il rischio
informatico per la propria azienda. Ciononostante, le aziende dispongono ancora di
protezioni inadeguate e quasi 2 su 5 dichiarano di avere intenzione di prendere in
seria considerazione il rischio informatico solo quando questo sarà obbligatorio per
legge. Quel momento potrebbe arrivare prima di quanto si creda. Nell’Unione
Europea stanno per essere varate leggi in base alle quali le aziende che violino le
nuove normative in materia di dati potranno essere multate con somme che
ammontano fino al due percento dei loro ricavi globali. Le aziende sono sempre più
consapevoli che gran parte del rischio spesso è attribuibile a errori dei dipendenti e
alla mancanza di processi di sicurezza interni. Per quelle aziende che intendono
“mettersi al passo” su questa importante area dei rischi emergenti, questo potrebbe
essere un buon punto di partenza.
Rischio D&O legato a amministratori e dirigenti: Le responsabilità di
amministratori e dirigenti sono tutt’altro che una novità, ma il fatto che si classifichi
al terzo posto nel monitoraggio dei rischi emergenti enfatizza che, il rischio legato a
amministratori e dirigenti è diventato un rischio “ri-emergente”. Questioni
fondamentali quali la corruzione e i cambiamenti nella legislazione sull’illecito
colposo aziendale si sommano agli errori di rendicontazione come preoccupazioni
principali in quest’area. Una cultura più radicata delle controversie giudiziarie sta
rendendo più arduo per le aziende collocare i talenti migliori nelle posizioni
nevralgiche: più di 2 intervistati su 5 concordano sul fatto che la responsabilità
personale rappresenta un deterrente per il personale in posizione non esecutiva ad
assumere ruoli di responsabilità in azienda.
28
Figura n.2 - Le categorie di rischio che preoccupano maggiormente i board – da Risk Management
News n.32 di Aprile 2014
Analizzando i dati relativi all’Italia, si notano alcune significative differenze rispetto al dato
medio EMEA. La differenza più macroscopica è quella relativa al Rischio Esportazioni che
viene valutato tra i più rilevanti nel 46% dei casi contro il 34% del dato EMEA. Viceversa il
Rischio Informatico sembra essere sottovalutato rispetto agli altri Paesi ponendosi al 28%
contro il 40% medio. Su tale divergenza potrebbe impattare, sia una posizione di relativa
arretratezza informatica sia una scarsa consapevolezza del problema data anche dalla minore
esposizione globale delle aziende italiane rispetto alle multinazionali di altri Paesi. Anche il
Rischio Terrorismo/ Violenza politica al 20% viene percepito come più limitato rispetto al
28% medio: una minor percezione del rischio legata in parte a minor centralità del Paese
rispetto ad altri e ad una minore esposizione internazionale. Più limitate le differenze su
Rischio Supply Chain/ Infrastrutture (48% Italia vs. 45% medio), Rischio Ambientale (48%
Italia vs. 42% medio) e Rischio Viaggi d’affari (38% vs. 33%); differenze imputabili a
caratteristiche intrinseche del sistema infrastrutturale del Paese, della cultura ambientale
italiana non sviluppatissima specie in certe aree del Paese e di una minor propensione al
“viaggiare” dei manager italiani. Assolutamente in media invece la percezione del rischio
D&O al 40%.
29
Figura n.3 - Le categorie di rischio a confronto tra paesi EMEA e Italia – da ilbroker.wordpress.com
SONAR Report 2015 Swiss Re50
L’edizione 2015 del report, ha preso in esame 21 nuove minacce, il loro impatto potenziale
e gli effetti a cascata che potrebbero avere a breve sull’industria assicurativa. Il SONAR
Report è un’indagine, condotta annualmente da Swiss Re, che si basa sulle competenze di
risk management interne al gruppo per osservare e valutare i nuovi rischi emergenti. Vengono
definite come tali quelle minacce, appena emerse o in fase di mutamento, che sono difficili
da quantificare e il cui potenziale impatto economico non viene ancora tenuto
sufficientemente in considerazione. I fattori chiave nel cambiamento del panorama dei rischi
sono i continui sviluppi economici, tecnologici, socio politici e ambientali, così come anche
le crescenti interdipendenze tra gli attori del settore e tra gli stati.
Ne risulta che i quattro rischi emergenti con il potenziale impatto più alto sono:
1. La de-globalizzazione;
2. Le sempre più impattanti catastrofi naturali;
3. I “grandi esperimenti finanziari”;
4. La sfida dell’ “Internet of Things”.
50 Cfr. (Swiss RE, 2015)
30
Figura n.4 - Classifica dei 21 rischi emergenti e dei loro impatti nel tempo – www.anra.it
L’indagine si focalizza su una grande varietà di rischi. Tra questi, la scarsità di materie prime,
l’aumento del traffico aereo (per l'uso crescente dei droni), il degrado delle infrastrutture
essenziali, e l’uso degli strumenti di auto-monitoraggio ecc. Se da una parte i temi presentati
minacciano un aumento dell’esposizione al rischio, potrebbero anche dar vita a nuove
opportunità.
Allianz Risk Barometer 201551
L'edizione 2015 dell'Allianz Risk Barometer, indagine condotta tra oltre 500 risk manager e
dirigenti del gruppo Allianz e di altre multinazionali in 47 Paesi, inclusa l'Italia, certifica la
crescita della preoccupazione per le minacce informatiche e geopolitiche. Una tendenza
globale, cui fa eccezione l'Italia che sottovaluta il pericolo. Si evidenzia chiaramente
l'andamento della percezione dei rischi corporate: i rischi informatici e quelli geopolitici
registrano, in questa edizione, i maggiori tassi di crescita. Il 73% degli intervistati nell'indagine
Allianz ritiene che molte aziende sottovalutano i diversi impatti del cyber risk: servono alti
budget per combattere gli attacchi cyber in modo strutturato, e al momento mancano le
risorse. I diversi soggetti coinvolti, come gli esperti di sicurezza IT e i manager di sicurezza
operativa, devono condividere le competenze per identificare e valutare le situazioni di
pericolo. Il numero crescente e sempre più sofisticato di minacce informatiche fa sì che sia
impossibile, per qualsiasi organizzazione, garantire una protezione completa dal cyber risk.
All'estero quest'anno, per la prima volta, il rischio informatico è entrato nella Top 5 dei
peggiori rischi per le aziende nella graduatoria globale. L'altro rischio in grande rimonta nella
51 Cfr. (Allianz Risk Pulse, 2015)
31
graduatoria è quello geopolitico seguito dal terrorismo. Infine, anche il crollo dei prezzi del
petrolio è considerato un rischio emergente per la stabilità internazionale, da cui potrà
dipendere la gestione delle minacce aziendali per i prossimi cinque anni.
Figura n.5 - Classifica Top10 dei rischi globali Vs. Top10 dei rischi in Italia - www.anra.it
Ma se il cyber risk è una preoccupazione sempre più sentita all'estero, nei confini italiani,
si rileva una decisa sottovalutazione: nella classifica, infatti, il rischio informatico non
compare tra i primi 10 rischi più sentiti, segno che fino a oggi molte aziende non sembrano
comprendere la gravità di questo tipo di minaccia. Al primo posto si colloca, come
nell’indagine ACE, il rischio di infrastruttura e supply chain, sintomo di una forte dipendenza
delle imprese italiane dalle sofisticate supply chain transnazionali che non consentono di
evidenziare le reali aree di esposizione al rischio.
1.5 La quantificazione dei rischi aziendali
Il problema dell’effettiva misurazione dei rischi aziendali è una della principali fasi del
processo di risk management di cui ci occuperemo nel prossimo capitolo. Tuttavia in questo
paragrafo, si andranno a presentare i concetti chiave necessari per comprendere le principali
metodologie di misurazione dei rischi.
Secondo l’approccio statistico finanziario, presentato in precedenza, il rischio riguarda la
possibilità che una variabile aleatoria si realizzi in modo diverso rispetto al suo valore atteso.
32
Le prime due nozioni che andremo a trattare sono proprio la variabile aleatoria aziendale
e il valore atteso52.
1.5.1 La variabile aleatoria aziendale
Una variabile aleatoria aziendale è definita come l’insieme dei possibili effetti economici di
un evento rischioso e delle corrispondenti probabilità di manifestazione. Una qualsiasi
grandezza aziendale, se valutata in ottica prospettica, è una variabile aleatoria aziendale. Una
variabile aleatoria può essere vista come un insieme costituito da N coppie di elementi a
ciascuna delle quali corrisponde uno scenario possibile, a cui sono assegnati due numeri, uno
rappresentativo della probabilità di realizzazione dello scenario e l’altro del valore assunto
dalla variabile in quello scenario. Le variabili aleatorie sono quindi un insieme di numeri. Ad
esempio se chiamiamo Ua l’utile del prossimo esercizio di una impresa a, ipotizziamo tre
scenari possibili di risultato con diverse probabilità, la rappresentazione della variabile
aleatoria Ua sarebbe la seguente:
Ua = (50,100,150; 25%,50%,25%)
Scenario Utile (mln €) Probabilità
Cattivo 50 25%
Normale 100 50%
Buono 150 25%
Le caratteristiche di una variabile aleatoria aziendale sono percepibili nell’immediato solo
quando questa è descritta da un numero limitato di scenari. Nella realtà il confronto fra
variabili aleatorie viene effettuato mediante degli indicatori sintetici. Nel risk management le
tre principali classi di indicatori sono:
Gli indicatori di posizione: il valore atteso;
Gli indicatori di rischio: lo scarto quadratico medio, la perdita massima potenziale e il
concetto di VaR (value at risk);
Gli indicatori di simmetria.
52 Questi contributi sono offerti da una interpretazione aziendalistica di concetti statistici eseguita da Floreani nelle sue due opere citate in bibliografia.
33
1.5.2 Il valore atteso
Il principale indicatore di posizione è il valore atteso: indica il risultato medio che si
otterrebbe se fosse possibile ripetere indefinitamente l’esperimento che coinvolge la variabile
aleatoria in esame. Il valore atteso si calcola come una media delle possibili realizzazioni della
variabile aleatoria, ponderata per le rispettive probabilità.
E(Ua) = 50*25% + 100*50% + 150*25%
Il valore atteso rappresenta il primo e principale parametro a cui guardare per avere una
prima idea delle caratteristiche della variabile aleatoria ed è dotato di due importanti
proprietà:
Additività: l’additività afferma che il valore atteso della somma di due variabili
aleatorie è pari alla somma dei valori attesi delle variabili aleatorie di partenza;
Linearità: la linearità afferma che il valore atteso di una trasformazione lineare di una
variabile aleatoria è pari alla trasformazione lineare del valore atteso della variabile
aleatoria originaria.
1.5.3 Gli indicatori di rischio
1.5.3.1 Lo scarto quadratico medio
Lo scarto quadratico medio () indica di quanto mediamente le realizzazioni della variabile
aleatoria si scosteranno dal valore atteso: è una media delle possibili distanze dal valore atteso
che considera sia le manifestazioni peggiori della media (downside risk), sia quelle migliori
(upside risk). Riprendendo l’esempio della variabile Ua, nello scenario cattivo si ha uno scarto
dal valore atteso di 50, nello scenario normale uno scarto nullo mentre in quello favorevole
uno scarto di 50. Lo scarto medio sarebbe dato da:
50*25% + 0*50% + 50*25% = 25
Invece per calcolare lo scarto quadratico medio è necessario elevare al quadrato gli scarti,
farne la media ponderata per le probabilità ed estrarre la radice quadrata. La media ponderata
per le probabilità è detta varianza (2). Nel caso di Ua:
2(Ua) = 502*25% + 02*50% + 502*25% = 1250
(Ua) = 35,35
34
La radice quadrata della varianza è lo scarto quadratico medio che indica di quanto si può
mediamente scostare dal valore atteso, l’effettiva realizzazione di una variabile aleatoria. Nel
risk management allo scarto quadratico medio viene spesso preferito il value at risk (VaR) in
quanto quest’ultimo indicatore è ritenuto più semplice e intuitivo (ne parleremo in seguito).
1.5.3.2 La perdita massima potenziale
La perdita massima potenziale (PMP) è un indicatore utilizzato soprattutto in circostanze
interessate da rischio di downside, cioè dalla possibilità che si verifichino scenari avversi che
comportano perdite per l’azienda. La PMP rappresenta la perdita conseguibile nello scenario
peggiore. La PMP applicata a variabili aleatorie monetarie, fornisce un’indicazione
probabilistica delle perdite a cui si può andare incontro mantenendo una determinata
esposizione al rischio. La PMP indica la massima perdita a cui si può andare incontro, a meno
che non si verifichi uno scenario eccezionalmente negativo, dotato di una probabilità di
realizzazione prefissata e molto bassa (es. 1%). Per questo motivo è importante definire
preliminarmente il livello di confidenza desiderato:
Con livello di confidenza al 99,9%, la PMP sarà utilizzata per indicare il massimo
livello di perdita a meno di scenari del tutto eccezionali (1 caso su 1000).
Con livello di confidenza al 95%, la PMP indica un livello di perdite improbabile ma
non del tutto eccezionale (1 caso peggiore ogni 20).
Tuttavia la PMP non è considerata una buona misura di rischio, sia perché non si hanno
informazioni su cosa accada quando si supera la PMP, sia perché è una misura non
subadditiva53. Viene comunque ritenuta un adeguato indicatore del rischio di downside.
1.5.3.3 Il concetto di VaR
La definizione del value at risk è da riferire alla distanza tra la perdita massima potenziale e il
valore atteso: il value at risk di una variabile aleatoria monetaria di flusso è la differenza tra il
valore atteso della variabile aleatoria e il percentile a cui corrisponde il livello di confidenza
prefissato. Nel linguaggio aziendale al temine value at risk viene spesso sostituita una
53 Subadditività: il rischio della somma di due variabili aleatorie è inferiore alla somma dei rischi delle variabili aleatorie singolarmente analizzate, tranne nel caso in cui vi sia una perfetta correlazione tra di esse. Per chi deve prendere decisioni razionali, la non additività dei rischi determina un aumento della complessità. Implica infatti la non separabilità delle decisioni dal contesto aziendale di riferimento. La subadditività dei rischi è una proprietà desiderabile per chi è avverso ai rischi. Infatti il rischio complessivo di un’azienda è inferiore alla somma dei rischi delle singole fonti di rischio. Tale proprietà è alla base della teoria della diversificazione, estremamente importante nel risk management. (Floreani, Introduzione al Risk Management, 2005) op.cit. pag. 14
35
denominazione in grado di richiamare la variabile aleatoria su cui l’indicatore di rischio è
calcolato. Ad esempio il VaR calcolato sull’utile di esercizio di un’impresa viene denominato
earning at risk (EaR) mentre quello calcolato sui flussi monetari prodotti dall’impresa è detto
cash flow at risk (CFaR).
Il VaR è una misura statistica che sintetizza il rischio attraverso una distribuzione di
probabilità dei potenziali profitti e delle perdite: indica la perdita peggiore a cui è possibile
andare incontro, in condizioni di mercato normali, dato un certo livello di confidenza, in un
certo intervallo di tempo. Nella pratica quotidiana esistono diverse metodologie per il calcolo
del VaR, ognuna con i suoi punti di forza e di debolezza. Le più utilizzate sono54:
Le metodologie analitiche (o parametriche): I metodi analitici sono basati su una
serie di ipotesi, la più importante delle quali vuole che la distribuzione empirica dei
profitti e delle perdite (la distribuzione dei rendimenti) abbia una determinata forma,
cioè sia una distribuzione normale;
La simulazione storica: Tale metodologia tenta di predire come i prezzi si
muoveranno in futuro sulla base dell’analisi degli eventi di mercato passati. I
rendimenti storici sono esplorati in modo tale da generare un gran numero di scenari
di mercato realistici. Il VaR viene in questo caso stimato sulla base della distribuzione
empirica dei profitti e delle perdite potenziali costruiti sugli scenari simulati;
Il metodo di Monte Carlo: Tale metodo presenta alcune similitudini con la
simulazione storica, in quanto anch’esso simula una serie di scenari sulla base di dati
storici. A differenza della simulazione storica tuttavia è necessario presupporre una
precisa distribuzione di probabilità per i fattori di rischio, e questo costituisce un
punto di contatto con le metodologie analitiche. Il punto di forza del metodo Monte
Carlo è che consente di generare un numero molto elevato di scenari. I dati storici
sono utilizzati per determinare i parametri (ad esempio la media, la volatilità e le
correlazioni) con cui descrivere la distribuzione di probabilità scelta.
I tre gruppi di metodologie sono basati su ipotesi molto diverse tra loro e per tale motivo i
risultati che si ottengono possono differire sensibilmente. Il value at risk è la misura di rischio
attualmente più utilizzata nella pratica. Il suo successo è dovuta alla sua intuitività. Inoltre, in
54 Cfr. (Rischio e calcolo del VaR, 1996)
36
circostanze particolari, il value at risk fornisce le medesime informazioni dello scarto
quadratico medio. Ciò si verifica, ad esempio, quando la variabile aleatoria di riferimento ha
una distribuzione normale. In questo caso la conoscenza del value at risk permette
univocamente di ricavare lo scarto quadratico medio della distribuzione e viceversa.
1.5.4 L’asimmetria
Due variabili aleatorie aziendali possono essere profondamente diverse pur avendo uguale
valore atteso e scarto quadratico medio. Ciò che le rende differenti è l’asimmetria positiva o
negativa. Nel caso di asimmetria positiva, la variabilità è prevalentemente determinata dalle
opportunità (upside risk), mentre nel caso di asimmetria negativa, la variabilità è
prevalentemente determinata dalle minacce (downside risk). Per distinguere variabili aleatorie
con differente asimmetria:
Si affianca al valore atteso e allo scarto quadratico medio un indicatore capace di
evidenziare se la dispersione dei valori della variabile aleatoria dipenda maggiormente
dagli scenari positivi o da quelli negativi;
Si determinano due indicatori di rischio, uno per misurare il downside e uno per
l’upside;
Si affianca ad una misura di rischio che considera opportunità e minacce, una misura
del solo rischio di downside, considerato più rilevante.
Rappresentare una variabile aleatoria mediante degli indicatori sintetici, permette di iniziare
a descrivere una realtà complessa limitando la perdita di informazioni. Tali indicatori
permettono al risk management di prendere delle decisioni in maniera consapevole. Tuttavia
l’analisi tecnica di una variabile aleatoria, deve continuare verso la quantificazione del suo
valore per l’azienda in esame. Cioè andrà valutato il costo-opportunità di “acquisire” o
“cedere” quella specifica variabile. Nella realtà la stima di una variabile aleatoria è molto
complessa e proprio di questi aspetti si occupa la fase di risk assessment, una delle principali
tappe del processo di risk management, di cui parleremo nel prossimo capitolo.
37
CAPITOLO 2 – LA GESTIONE DEI RISCHI D’IMPRESA: DAI
PROCESSI DI RISK MANAGEMENT ALL’ENTERPRISE RISK
MANAGEMENT
2.1 Le strategie di gestione dei rischi aziendali
Prima di focalizzare l’attenzione sul concetto di risk management e sulla sua evoluzione verso
una gestione integrata dei rischi aziendali (Enterprise Risk Management - ERM), ci
focalizzeremo sulle principali strategie adottate per fronteggiare internamente ed
esternamente i rischi.
Arthur Andersen55 affermava che: “la gestione dei rischi costituisce l’elemento caratterizzante
la gestione d’impresa, di qualsiasi impresa: saper gestire adeguatamente tutti i rischi cui
un’attività aziendale è esposta, rappresenta l’elemento essenziale del successo”. Quindi
un’impresa deve conoscere e comprendere i rischi a cui è potenzialmente esposta,
identificandone la portata e collegando il piano di risk management alle strategie aziendali.
Nonostante sia necessaria un’apposita funzione interna preposta al presidio e al controllo dei
rischi (risk management), si possono identificare una serie di politiche e decisioni che
l’impresa può porre in essere al fine di una preliminare gestione del rischio. Come evidenziato
da Crouhy56, le possibili strategie sono quattro:
1. Non compiere alcuna attività così da evitare il rischio ad esse associato: ciò può
comportare la perdita di opportunità per l’impresa, è un comportamento tipico dei
soggetti avversi al rischio, cioè da chi lo evita invece di gestirlo o sfruttarlo;
2. Trasferire il rischio a terzi attraverso assicurazioni, strumenti di copertura o
outsourcing: il trasferimento implica dei costi legati al servizio, ma tali strategie,
opportunamente gestite, riescono ad eliminare i rischi connessi;
3. Mitigare il rischio attraverso controlli preventivi: prevede una serie di controlli interni
per prevenire la manifestazione dei rischi;
55 Fondatore nel 1913 della società Arthur Andersen, che è stata per lungo tempo una delle principali società multinazionali di revisione di bilancio e consulenza a livello mondiale, parte delle "Big Five", gruppo delle principali società di revisione di bilancio e consulenza per grandi aziende. Nel 2002 la società statunitense del gruppoha rimesso la sua licenza di "Certified Public Accountant" a causa del processo Enron. Questo ha generato a catena la frammentazione del gruppo a livello mondiale, con le società di ciascun paese che sono in breve tempo confluite, attraverso acquisizioni o fusioni, nelle rimanenti "Big Four". da www.wikipedia.org 56 Cfr. (Crouhy, 2006)
38
4. Accettare il rischio riconoscendo che le attività rischiose possono creare valore per gli
azionisti: atteggiamento tipico di soggetti propensi all’assunzione di rischio a scopo
speculativo.
Il mix tra trasferimento, mitigazione e accettazione del rischio, risulta essere la strategia
migliore che si espleta mediante delle politiche interne o esterne all’impresa stessa.
2.1.1 Le strategie interne di gestione
In questa categoria rientrano tutte le strategie volte alla mitigazione e all’accettazione del
rischio. Ci riferiamo alle cosiddette tecniche di controllo57, che agiscono direttamente sulle
caratteristiche intrinseche delle determinanti di rischio e possono prevedere l’eliminazione
dei rischi o la loro riduzione mediante la prevenzione o la protezione. Le tecniche di
prevenzione hanno l’obiettivo di eliminare o ridurre la probabilità di manifestazione degli
eventi dannosi quindi sono legati alle ipotesi in cui il fattore di rischio è, almeno in parte,
controllabile da parte dell’impresa. Le tecniche di protezione, invece, hanno l’obiettivo di
limitare le conseguenze derivanti dal verificarsi dei fenomeni rischiosi e si applicano a rischi
particolari che derivano da cause non controllabili da parte dell’impresa. Si prenderanno ad
esempio le strategie interne di gestione riferibili al rischio operativo e al rischio finanziario.
Per quanto concerne il rischio operativo, sono tre le principali strategie interne per gestire e
mitigare tale rischio58:
Riduzione delle perdite: a tal fine l’impresa dovrebbe cercare di mitigare i costi legati
agli errori che possono sorgere a seguito di inefficienze nel processo produttivo o
nello svolgimento delle varie attività, dunque dovrà porre in essere un costante
efficientamento del processo produttivo. Quest’ultimo consiste nel ricercare tutti gli
elementi, gli eventi e i modi di fare degli operatori che potrebbero creare costi
eccedenti rispetto al budget previsto;
Prevenzione delle perdite: tale strategia può essere perseguita attraverso la
pianificazione delle attività e la corretta dotazione di materiali e macchinari che
permettono un risparmio negli sprechi;
Evitare l’esposizione: evitare completamente le attività idonee a creare perdite.
57 Cfr. (Crestani, 2012) 58 Cfr. (Segatto, 2013)
39
Per quanto riguarda i rischi finanziari, la loro prevenzione si realizza agendo sulle loro
determinanti come le scelte di struttura finanziaria, le modalità di regolamento delle
transazioni, la selezione della clientela ecc. Riportiamo alcuni esempi:
La prevenzione del rischio di tasso di interesse su un finanziamento può essere
effettuata quando sia l’incidenza degli oneri finanziari che l’ammontare di capitale da
rimborsare, vengono trasformati in dati certi permettendo all’azienda di pianificare le
proprie uscite e di eliminare l’incertezza legata alle eventuali variazioni del livello dei
tassi di mercato;
La prevenzione del rischio di liquidità si realizza solamente attraverso la
pianificazione finanziaria ovvero attraverso politiche di gestione dei flussi finanziari
che siano finalizzate a garantire la coerenza temporale e dimensionale tra entrate e
uscite monetarie;
La prevenzione del rischio di cambio può essere attuata contrapponendo ai flussi
finanziari in entrata, dei flussi finanziari in uscita che abbiano uguale importo
nominale e uguale valuta, in modo tale che il saldo di tali flussi per ammontare e
scadenza si annulli.
La prevenzione del rischio di credito, invece, è difficilmente realizzabile dall’impresa
in quanto dipende prevalentemente da fattori esterni all’impresa e non controllabili.
Per tale ragione, molte volte le imprese sono costrette ad adottare interventi ex-post
(strategie esterne) di copertura o trasferimento dei rischi stessi.
2.1.2 Le strategie esterne di gestione
Nel caso in cui gli strumenti interni di prevenzione e mitigazione non siano sufficienti a
ridurre i rischi al di sotto del limite tollerabile, l’impresa può affidarsi alle strategie esterne di
gestione dette strategie di copertura o hedging, attraverso degli strumenti di trasferimento
dei rischi che permettono di agire sugli effetti prodotti dagli eventi dannosi anziché sulle
cause che li determinano. Gli strumenti a cui ci riferiamo sono i contratti derivati e le polizze
assicurative. I rischi che tipicamente si prestano all’adozione di queste politiche sono i rischi
finanziari e di mercato per quanto riguarda l’uso dei derivati, mentre l’assicurazione permette
di gestire rischi operativi e alcuni rischi di business.
Nel caso dei derivati il soggetto offerente è rappresentato dall’intermediario creditizio,
mentre nel secondo caso dalla compagnia di assicurazione. Gli strumenti finanziari di
40
trasferimento possono essere standardizzati o non standardizzati, a seconda che siano
negoziati in mercati regolamentati o in mercati over the counter e possono, essi stessi, generare
rischi finanziari che, in funzione dell’andamento delle variabili di mercato, potrebbero
contribuire ad incrementare il livello complessivo di esposizione aziendale anziché ridurne il
grado di rischiosità. Al contrario, gli strumenti assicurativi di trasferimento operano
esclusivamente in termini riduttivi del rischio intervenendo sugli effetti negativi prodotti
dall’evento dannoso, non dispongono di mercati secondari e vincolano le parti fino alla
scadenza o fino a una loro revoca anticipata59.
I contratti derivati
Gli strumenti finanziari derivati sono contratti il cui valore dipende dall'andamento di
un'attività sottostante nota anche come "underlying asset". Le attività sottostanti possono avere
natura finanziaria (come ad esempio i titoli azionari, i tassi di interesse e di cambio, gli indici)
o reale (come ad esempio il caffè, il cacao, l'oro, il petrolio, ecc.). Gli strumenti finanziari
derivati possono essere simmetrici o asimmetrici. Nel primo caso entrambi i contraenti
(acquirente e venditore) si impegnano ad effettuare una prestazione alla data di scadenza,
viceversa, nei derivati asimmetrici, soltanto il venditore è obbligato a soddisfare la volontà
del compratore. Nei derivati asimmetrici, infatti, il compratore, pagando un prezzo (detto
premio), acquisisce il diritto di decidere in data futura se effettuare oppure no la
compravendita del bene sottostante. Un’ulteriore distinzione concerne i derivati negoziati sui
mercati regolamentati ed i derivati over-the-counter (OTC). I primi sono rappresentati da
contratti le cui caratteristiche sono standardizzate e definite dall’autorità del mercato su cui
vengono negoziati; tali caratteristiche riguardano l’attività sottostante, la durata, il taglio
minimo di negoziazione, le modalità di liquidazione, ecc.
I contratti derivati prevedono un rapporto bilaterale tra banca e impresa e i contenuti tecnico-
operativi possono essere definiti sulla base delle specifiche esigenze delle parti o avere
carattere standardizzato. Nel caso in cui i contenuti tecnico-operativi siano definiti sulla base
delle specifiche esigenze delle parti, se da un lato si ha la possibilità di eliminare in modo
pressoché totale il rischio che si intende coprire, dall’altro si ha una ridotta possibilità di
scambio e un basso livello di liquidità dei contratti dovuti alla loro forte specificità. Al
contrario, i contratti standardizzati, se da un lato sono caratterizzati da dimensioni e
condizioni generali che ne facilitano la diffusione e lo scambio, dall’altro lato hanno una
59 Cfr. (Crestani, 2012)
41
limitata capacità di trasferire integralmente i rischi finanziari. Difficilmente, infatti, un
contratto preconfezionato sarà in grado di adattarsi per importo, valuta e scadenza alla
posizione aperta che l’impresa intende coprire. Gli strumenti derivati più diffusi sono i
forward, i futures, gli swap e le opzioni, tuttavia non andremo ad approfondire le singole
tipologie di strumento in questa sede.
Le polizze assicurative
Tra le strategie esterne di gestione annoveriamo anche gli strumenti assicurativi, contratti che
prevedono il trasferimento di un rischio ad una compagnia di assicurazione previo
pagamento di un premio. Sono strumenti che operano in ottica risarcitoria ossia operano ex-
post rispetto al verificarsi dell’evento dannoso. Infatti, un rischio che non si può eliminare,
ridurre o assumere in proprio, si può assicurare.
Mentre gli strumenti finanziari di copertura permettono di gestire sia i rischi puri che i rischi
speculativi, gli strumenti assicurativi permettono di realizzare la copertura solamente dei
rischi puri. Il vantaggio principale derivante del trasferimento del rischio a terzi è quello di
trasformare l’incertezza del verificarsi dell’evento dannoso e delle conseguenze economiche,
in un costo conosciuto: il premio della polizza. Gli altri vantaggi sono riconducibili a:
agevolazioni nell’ottenimento di finanziamenti, assorbimento del rischio, consulenza
continua in materia da parte della compagnia assicurativa.
Quando si stipula una polizza, si può decidere la quantità di rischi dai quali coprirsi: ci si può
coprire da tutti i rischi o ci si può coprire solo dai grandi rischi, cioè da quelli non tollerabili.
E’ chiaro che nel primo caso la polizza sarà molto più costosa rispetto al secondo. Solo
lavorando sulle quantità ossia fissando il limite di rischio non tollerabile e coprendosi solo da
quest’ultimo, è possibile ridurre il costo della copertura.
I rischi che maggiormente si prestano alla copertura mediante polizza sono il rischio
operativo e il rischio di credito. Per il primo, i rischi relativi a danni, interruzione dei processi
o fallimento del sistema, possono essere esternalizzati efficacemente con le polizze a
rimborso dei costi che si manifestano; mentre per il secondo, nel caso ad esempio, di crediti
commerciali insoluti, la compagnia assicuratrice provvederà per conto dell’assicurato al
recupero del credito.
42
Nel prossimo capitolo verrà analizzato tutto il processo di risk management, che non si limita
alla scelta della migliore strategia di gestione, ma che prevede una serie di fasi che vanno
dall’identificazione dei rischi fino al monitoraggio costante delle strategie adottate.
2.2 Definizione ed evoluzione del sistema di Risk Management
L’attuale contesto macroeconomico, caratterizzato da elevata incertezza e instabilità, cresce
il numero dei rischi a cui le imprese sono esposte, inoltre l’esigenza imprenditoriale di dover
gestire simultaneamente più obiettivi strategici, porta ad un continuo accrescimento della
rischiosità e della volatilità. La gestione del rischio in tale contesto appare particolarmente
critica e complessa.
Come abbiamo avuto modo di valutare nel primo capitolo, il concetto stesso di rischio ha
subito un’evoluzione nel corso del tempo, passando da una visione del rischio downside (solo
minacce), alla considerazione anche dell’aspetto upside (considerare anche i vantaggi
connessi all’assunzione dei rischi). In concomitanza a tale evoluzione, si è assistito anche ad
importanti variazioni nell’approccio alla gestione dei rischi e quindi del sistema di risk
management. In questo paragrafo andremo infatti a definire preliminarmente il risk
management, per poi presentare un excursus in merito alla sua evoluzione pratica e
concettuale nel tempo.
L’attività di gestione dei rischi o risk management, consiste nell’identificazione dei fattori di
rischio, nella misurazione dell’esposizione da essi derivante e nel costante monitoraggio con
lo scopo di valutare la convenienza della realizzazione di operazioni di trasferimento dei
rischi sul mercato finanziario e assicurativo o di interventi correttivi sulle posizioni
originarie60. Secondo Urciuoli e Crenca61, il risk management è “il processo che tende a
salvaguardare il patrimonio dell’impresa contro le perdite che possono colpirla nell’esercizio
della propria attività, attraverso l’uso di strumenti di varia natura (prevenzione, ritenzione,
assicurativo, ecc.) e nelle migliori condizioni di costo.”
A partire dagli anni Venti la letteratura italiana e internazionale ha iniziato ad evidenziare la
stretta relazione tra la gestione dell’impresa ed il rischio, inteso nell’accezione negativa, come
condizione di incertezza da cui può derivare il pericolo di insuccesso nell’agire dell’impresa.
In questo periodo Henry Fayol62 individuò l’esigenza di predisporre un organo aziendale che
60 Cfr. (Potrich, n.16 - 2002) 61 Cfr. (Crenca, 1989) 62 Cfr. (Henry, 1916)
43
si dedicasse costantemente alla gestione delle polizze assicurative e dei relativi rischi. Infatti
a partire dal suo contributo, la gestione del rischio nelle organizzazioni, assunse un carattere
di processo, cioè di sistema di attività tra loro collegate, volte alla protezione dell’impresa da
eventi avversi. Negli anni Cinquanta si rileva la vera nascita del concetto più moderno di risk
management negli Stati Uniti, grazie al contributo di una serie di accademici sull’Harvard
Business Review. In questa fase si registra il passaggio dall’Insurance Management, al Risk
Management. Quest’ultimo doveva diventare un insieme di strumenti volti ad eliminare
gradualmente il tradizionale approccio assicurativo per abbracciare una logica di gestione
interna dei rischi. Negli anni Sessanta, il risk management si diffuse anche in Europa e iniziò
ad ottenere una certa rilevanza anche a livello istituzionale. A questo periodo risalgono i primi
principi e linee guida sul tema proposti da Robert Mehr e Bob Hedges, considerati i padri del
risk management, i quali nel 1963 pubblicarono “Risk Management in the Business
Enterprise”, il primo testo che ha individuato le diverse fasi del processo di gestione del
rischio, con l’obiettivo di massimizzare l’efficienza produttiva dell’impresa63. Negli anni
Settanta, invece, si rilevano i primi tentativi volti a realizzare in maniera operativa, una
gestione appropriata dei rischi. Infatti in questo periodo nascono i primi approcci alla
gestione dei rischi in ottica integrata: si distinguono per la prima volta i rischi puri, in grado
di generare solo perdite, dai rischi imprenditoriali, in grado di generare anche guadagni64.
Questa nuova percezione dei rischi ha portato all’affermarsi di due scuole di pensiero: una
che identifica la gestione del rischio con un approccio di tipo finanziario, l’altra che sostiene
la gestione del rischio nei processi aziendali. Questi due orientamenti non sono gli unici: nei
decenni successivi si sono diffusi una serie di approcci al risk management con metodologie
differenti di gestione del rischio (ci occuperemo successivamente di alcuni approcci). Dagli
anni Ottanta in poi, infatti, si rileva una notevole evoluzione e diffusione di differenti
orientamenti alla gestione del rischio in azienda: era ormai assodato che un’attenta attività di
gestione dei rischi poteva consentire all’impresa non solo di risparmiare dei costi ma anche
di sfruttare delle opportunità. Nei decenni successivi, infine, si riscontra un avvicendarsi di
diversi approcci alla gestione dei rischi caratterizzati da contributi teorici e applicativi con
caratteristiche indipendenti e finalità diverse. Alcuni di questi filoni verranno analizzati
successivamente, ma principalmente si andrà a delineare la gestione integrata dei rischi
prevista dall’Enterprise Risk Management (ERM). Tendenzialmente si può affermare che il
63 Cfr. (Monda & Giorgino, Dal risk management all'enterprise risk management, 2013) 64 Cfr. (Gaudenzi, 2006)
44
risk management si evolve da un’attività settoriale, limitata all’analisi di particolari tipologie
di rischio commissionata a pochi referenti aziendali, ad un approccio maggiormente integrato
che coinvolge un maggior numero di rischi e una molteplicità di attori. Si rileva il passaggio
dal Traditional Risk Management (TRM) all’Enterprise Risk Management (ERM). In tabella
si riportano i principali stadi di sviluppo del Risk Management mutuate dalla ricostruzione
effettuata da Marco Giorgino e Barbara Monda:
Anni ‘60
Le prime forme di risk management erano finalizzate alla sola gestione dei rischi
puri, quelli che si prestano bene ad essere assicurati perché:
Il risk management iniziò a svilupparsi ad opera di soggetti che lavoravano nel
campo assicurativo e quindi focalizzati su quella tipologia di rischio;
Negli anni ’60 la maggior parte delle minacce aziendali proveniva da rischi puri in
quanto non vi era particolare interesse nei confronti dei rischi finanziari (tassi di
cambio fissi, inflazione e tassi di interesse stabili)
L’obiettivo del risk management consisteva quindi, nella mera riduzione delle perdite:
era un approccio di tipo difensivo e di minimizzazione delle perdite nel breve periodo.
Anni ’70-‘80
Le crisi finanziarie che hanno interessato gli anni ’70 hanno introdotto i rischi finanziari
come ulteriore fonte di incertezza. L’instabilità dei tassi di cambio, l’aumento dei prezzi
del petrolio e la lotta all’inflazione con l’immissione di liquidità, portò ad un rapido
incremento dei tassi d’interesse con effetti significativi sugli asset aziendali. Il secondo
stadio del risk management si focalizza quindi sulla volatilità del business e dei
risultati finanziari, possibile grazie allo sviluppo degli strumenti derivati. Nascono le
prime tecniche di ART Alternative Risk Transfer, studiate per garantire il trasferimento
dei rischi non assicurabili sul mercato e per offrire un’alternativa efficiente di
trasferimento dei rischi tradizionalmente accettati dal mercato.
Anni ‘90
La terza fase di sviluppo del risk management si focalizza sull’ottimizzazione delle
performance aziendali, a partire dalla progressiva integrazione nella gestione delle
diverse tipologie di rischio fino ai processi di razionalizzazione delle strategie di
individuazione e trasferimento dei rischi. Il rischio, se ben gestito, comincia a non
avere una connotazione meramente negativa, diventando una leva per creare vantaggio
competitivo.
Anni 2000
L’ultima fase di sviluppo del risk management si è indirizzata verso una gestione
sempre più integrata del rischio e nell’abbandono di una logica meramente difensiva a
favore di un approccio proattivo e finalizzato ad incrementare le performance.
45
2.2.1 Gli obiettivi e il processo di Risk Management
Lo Standard di Risk Management di Ferma65, definisce il risk management come parte
integrante del management strategico di ogni organizzazione. È il processo attraverso il quale
le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici
durevoli nell’ambito di ogni attività. La base di un buon risk management consiste
nell’identificazione e nel trattamento di questi rischi. Il suo scopo è di conferire il massimo
valore sostenibile ad ogni attività dell’organizzazione.
Come discusso nel primo capitolo, i rischi che minacciano un’organizzazione e la sua gestione
possono avere origine da fattori sia esterni che interni. Il seguente diagramma li riassume:
Tabella n.1 - Fattori di stimolo dei rischi principali - (FERMA, 2003)
65 (FERMA, 2003) Lo Standard di Risk Management è il risultato del lavoro di un team creato dalle più importanti organizzazioni di risk management del Regno Unito - The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) e ALARM, The National Forum for Risk Management in the Public Sector. Esso rappresenta il punto di riferimento principale nella definizione degli obiettivi e del processo di risk management a livello europeo.
46
La struttura del processo di risk management può avere molteplici articolazioni, infatti in
letteratura sono presenti numerose proposte alternative, ma sostanzialmente l’approccio
standard è quello teorizzato da Ferma. Le fasi centrali che caratterizzano qualsiasi approccio
sono l’identificazione (risk identification), la stima (risk estimation) e la gestione (risk treatment).
Figura n.2 - Rielaborazione personale del processo di risk management proposto da Ferma
Il risk management protegge e dà valore all’organizzazione e ai suoi stakeholder, sostenendo
gli obiettivi dell’organizzazione con:
La predisposizione di un quadro metodologico che consente uno svolgimento
coerente e controllato di ogni futura attività;
Il miglioramento del processo decisionale, della pianificazione e della creazione di
priorità attraverso una comprensione esauriente e strutturata dell’attività
commerciale, della volatilità e degli elementi positivi /negativi del progetto;
Risk
Identification
Risk
Estimation
Risk
Treatment
Risk
Assessment
Risk
Reporting
Risk
Monitoring
47
Il contributo ad un utilizzo/allocazione più efficace del capitale e delle risorse
all’interno dell’organizzazione;
La riduzione della volatilità nelle aree non essenziali dell’attività;
La protezione e il potenziamento del patrimonio e dell’immagine aziendale;
Lo sviluppo e il sostegno delle persone e della base di conoscenza
dell’organizzazione;
L’ottimizzazione dell’efficienza operativa.
Gli obiettivi strategici
Gli obiettivi strategici e il contesto di mercato in cui si muove l’impresa contribuiscono a
determinare l’atteggiamento della stessa di fronte alle varie tipologie di rischio, le risorse da
dedicare all’attività di risk management, la sua strutturazione e i criteri da adottare per la
valutazione e il trattamento dei rischi. Tale aspetto è particolarmente complesso in quanto
ogni impresa ha obiettivi, risorse e criteri propri. Considerando in linea generale lo shareholder
approach, l’obiettivo dell’impresa è quello di massimizzare il valore aziendale a favore degli
azionisti. In tale ottica:
L’obiettivo dell’attività di risk management è quello di contribuire a creare valore per
gli azionisti;
Le risorse assegnate al risk management e la struttura del processo sono tali da
massimizzare la differenza tra valore aziendale e costi del processo di risk
management;
Il criterio adottato è quello del massimo valore aziendale creato a fronte delle diverse
alternative decisionali.
Dunque la riduzione dei rischi aziendali sarebbe auspicabile solo quanto contribuisce a creare
valore aziendale, cioè se i benefici economici derivanti dalla riduzione dei rischi sono
maggiori dei costi che è necessario sostenere per ottenerla66.
Risk Assessment
Questa fase consiste nella identificazione, descrizione, stima, integrazione e valutazione dei
rischi.
66 Cfr. (Floreani, Introduzione al Risk Management, 2005)
48
Identificazione – tale fase consiste nell’individuare le fonti di aleatorietà, cioè quegli eventi
rischiosi che possono determinare effetti inattesi sugli obiettivi dell’impresa. La mancata o
non corretta identificazione dei rischi può pregiudicare il successo di determinati progetti o
mettere in pericolo l’equilibrio economico-patrimoniale dell’azienda. L’identificazione del
rischio va affrontata con metodo per garantire che tutte le attività significative all’interno
dell’organizzazione siano state individuate e che tutti i rischi derivanti da tali attività siano
stati determinati.
Descrizione – tale fase consiste nel descrivere le principali caratteristiche dei singoli rischi
identificati secondo una modalità standardizzata. La descrizione serve da un lato ad agevolare
le successive fasi del processo, dall’altro a disporre in ogni momento di un’informativa
sintetica e aggiornata dei rischi. La descrizione dei rischi deve avvenire in forma strutturata,
ad esempio mediante una tabella che può favorire la valutazione dei rischi descritti.
Tabella n.3 - Descrizione del rischio - (FERMA, 2003)
Stima – rappresenta la fase centrale del risk assessment. Attraverso opportune tecniche, si
procede a definire probabilità e conseguenze del rischio. La stima del rischio può essere
quantitativa, semi-quantitativa o qualitativa in termini di probabilità dell’evento e di possibili
conseguenze. Le conseguenze in termini sia di minacce (rischi negativi) sia di opportunità
(rischi positivi) possono essere alte, medie o basse. Il diverso grado di probabilità richiede
definizioni distinte in quanto a minacce e opportunità. Stimare quantitativamente un rischio,
significa determinare sia la distribuzione di probabilità delle variabili aleatorie obiettivo, sia
49
degli indicatori sintetici più importanti. Le tecniche di stima qualitative e semi-qualitative si
limitano, invece, a fornire una descrizione qualitativa o numerica delle possibili frequenze e
conseguenze del rischio.
Tabella n.4 - Minacce & Opportunità - (FERMA, 2003)
Probabilità dell’evento: Minacce Vs. Opportunità
Integrazione67 - questa fase consiste nell’aggregazione di tutti i rischi individuati e stimati, e
nella stima dell’impatto che ciascuno di questi ha sulla rischiosità complessiva dell’impresa
(rischio incrementale). Tale aspetto risulta di particolare importanza nell’ enterprise risk
management.
Valutazione – con questa fase si conclude il processo di risk assessment. Si vanno a
confrontare i rischi stimati e i criteri di rischio fissati dall’organizzazione. Essi possono
comprendere costi e benefici associati, requisiti legali, fattori socioeconomici ed ambientali,
questioni riguardanti gli stakeholder, ecc. La valutazione del rischio serve quindi a definire la
rilevanza dei rischi per l’organizzazione e l’accettazione o meno di ogni rischio specifico.
67 (Floreani, Introduzione al Risk Management, 2005)
50
2.2.1.1 Risk Reporting
Il risk assessment genera un report sintetico volto ad evidenziare i principali risultati
dell’analisi e permettere ai responsabili aziendali di prendere le adeguate decisioni.
L’assessment è una fase tecnica, mentre il successivo risk treatment è una fase decisoria, di
responsabilità. Il report presenta il rischio così com’è o come sarà. Se il rischio risulterà
adeguato, non andrà trattato, ma al massimo monitorato, mentre se risulterà non adeguato,
l’intervento da porre in atto dovrà essere deciso nella fase successiva.
2.2.1.2 Risk Treatment
Il trattamento del rischio coincide con la fase di gestione del rischio. Rappresenta il processo
di selezione e di attuazione di misure che modificano il rischio. Questo processo ha come
elemento principale il controllo e la mitigazione del rischio, ma si estende fino a
comprendere, per esempio, l’eliminazione del rischio, il trasferimento del rischio, il
finanziamento del rischio ecc. Qualsiasi sistema di trattamento del rischio deve consentire
quanto meno:
Il funzionamento efficace ed efficiente dell’organizzazione;
Efficaci controlli interni;
La conformità alle leggi e ai regolamenti.
In questo momento del processo di risk management, si selezionano e implementano le
misure più adatte a modificare il profilo di rischio, in linea con gli obiettivi e i criteri stabiliti.
Si devono prendere delle decisioni aziendali in merito ai rischi esaminati. Alcune strategie di
gestione del rischio sono state descritte all’inizio del capitolo: ci sono quelle interne, quelle
esterne ma anche le modalità di gestione ex-ante ed ex-post.
Le misure ex-ante sono principalmente due:
Quelle di prevenzione/protezione, volte a ridurre la probabilità o le conseguenze del
downside risk;
Quelle di copertura, volte a controbilanciare il rischio originario assumendosi un
rischio aziendale con caratteristiche speculari a quello in essere.
51
Le misure ex-post invece, sono quelle azioni attuate dopo la manifestazione del rischio:
misure di contenimento, di riduzione del danno, crisis management68 ecc.
Dopo aver individuato ed implementato la modalità di gestione più adatta, è necessario
effettuare una nuova stima del rischio residuale. Questa genera un nuovo report sui rischi
residuali, che conclude il processo di risk management.
Risk Monitoring
Un’efficace gestione del rischio richiede una struttura di reporting e revisione che assicuri
l’efficace identificazione e valutazione dei rischi e l’esistenza di controlli e di risposte
adeguate. L’ultima fase del processo di risk management, infatti è quella di controllo o
monitoring.
Le organizzazioni sono dinamiche e operano in ambienti dinamici, quindi risulta
fondamentale identificare i cambiamenti interni ed esterni all’organizzazione ed effettuare le
opportune modifiche ai sistemi. Il processo di controllo deve garantire l’esistenza di un
monitoraggio adeguato delle attività dell’organizzazione, nonché la comprensione e il rispetto
delle procedure. Il processo di controllo e revisione consiste nello svolgimento delle seguenti
attività:
Controllo dell’esposizione al rischio e dell’andamento dei rischi assunti;
Reiterazione parziale o totale del processo di risk management in caso di modifiche
sostanziali alle condizioni di ambiente;
Validazione dell’efficacia del processo di risk management ed eventuale revisione
dello stesso;
Sottoporre il risk management all’auditing interno, verificando che le persone
chiamate a definire obiettivi, politiche, processi e procedure, agiscano correttamente.
2.2.2 I diversi approcci al Risk Management
Le principali fasi del processo di risk management sono per lo più condivise dalla maggior
parte degli approcci alla materia. Infatti l’articolazione del processo mantiene per lo più gli
stessi passaggi. I principali elementi di differenziazione tra i diversi filoni di risk management
possono essere ricondotti a diversi obiettivi dell’impresa e ad un diverso peso attribuito alle
fasi del processo e alle modalità di gestione adottati. Gli approcci che andremo a delineare
68 Con l’espressione crisis management si definisce il processo attraverso il quale una qualunque organizzazione fronteggia un evento che rischia di danneggiarla.
52
sono parziali rispetto a tutti quelli presenti in letteratura, ma funzionali a comprendere
l’evoluzione verso un approccio integrato alla gestione dei rischi.
Il contributo di Gaudenzi69, ci evidenzia che già a partire dagli anni Cinquanta nell’ambito
del Risk Management si erano affermate due scuole di pensiero, quella del Financial Risk
Management (FRM) e quella del Business Risk Management (BRM). Il FRM identificava il
risk manager come soggetto che dovesse gestire tutti i rischi dell’impresa mediante un
approccio integrato e trasversale e quindi con una gestione del rischio integrata in tutti i
processi e in tutte le funzioni aziendali. Il BRM, invece, indentificava il risk manager come
soggetto atto a gestire i soli rischi assicurabili, quindi concepiva il risk management come una
disciplina finanziaria/assicurativa. Successivamente, negli anni Ottanta, il FRM si evolve
verso una gestione simultanea sia dei rischi assicurabili che di quelli finanziari, quindi apre le
porte alla nascita del Financial risk management Integrato, diretto antenato dell’attuale
ERM70.
Dallo sviluppo di queste due scuole di pensiero, al fine di giungere ad una definizione
dell’ERM, possiamo identificare quattro principali filoni di risk management71:
1. Traditional risk management;
2. Financial risk management;
3. Project risk management;
4. Control risk management;
Traditional risk management (TRM)
Il risk management tradizionale si occupa dell’identificazione, stima e gestione dei rischi puri,
abbracciando una accezione di rischio solo negativa e trascurando la globalità dei rischi
aziendali. Si pone come obiettivo quello di creare valore aziendale. Il TRM è da molti
considerato l’antenato più vicino dell’ERM. Il passaggio dal TRM all’ERM è da considerarsi
maturo quando:
Un rischio aziendale viene valutato congiuntamente agli altri rischi e, di conseguenza,
risulta necessario considerare tutti i rischi aziendali adottando un approccio integrato;
69 Cfr. (Gaudenzi, 2006) 70 Cfr. (Gaudenzi, 2006) 71 Gli approcci qui riportati, non risultano esaustivi, ma funzionali al proseguimento della trattazione. Si veda a riguardo (Prandi, 2010) e (Cardin, 2014)
53
I rischi puri vengono messi in secondo piano, riconoscendo ai rischi strategici,
operativi e finanziari, la centralità nel contribuire al successo o insuccesso
dell’impresa.
Sono quattro le fasi che caratterizzano il TRM:
a) Identificazione dei potenziali rischi in grado di generare dei danni all’impresa. Si
organizza un sistema informativo in grado di descrivere in maniera esaustiva e chiara
il profilo di rischio al quale è esposta l’impresa;
b) Valutazione dei rischi a cui è esposta l’impresa. Questa fase si concretizza nella
conduzione di analisi di convenienza e quindi nella selezione del piano di gestione
ottimale;
c) Gestione dei rischi. Essa consiste nell’applicazione delle misure di prevenzione e
trasferimento a terzi individuate nella fase precedente;
d) Control risk. È un processo di continua verifica dei risultati raggiunti nel prevenire,
eliminare e gestire i rischi aziendali, e di eventuale identificazione e monitoraggio di
nuove esposizioni.
Financial Risk Management (FRM)
Il FRM è un ulteriore approccio alla gestione dei rischi che si focalizza esclusivamente sulla
gestione dei rischi finanziari, che possono riguardare tanto l’area operativa (cambiamenti
metereologici, variazione dei prezzi delle materie prime e così via) quanto l’area finanziaria
(variazione dei tassi di interesse, di cambio, ecc.)72. Il FRM rappresenta una funzione
aziendale che si pone lo scopo di assicurare l’allocazione ottimale del capitale aziendale,
garantendone la remunerazione nel tempo sotto opportune condizioni di rischio accettate,
che consentano all’impresa di sopravvivere nel tempo. Le tecniche di Capital Management73
e di Asset & Liability Management (ALM)74, largamente diffuse nel mondo bancario e
assicurativo, sono strettamente connesse a questo approccio che si concentra prettamente su
obiettivi di natura finanziaria. Le principali fasi che caratterizzano il FRM sono:
72 (Prandi, 2010) 73 La politica di capital management ha lo scopo di presidiare vincoli gestionali e regolamentari in modo da poter anticipare eventuali situazioni di criticità, ricostituendo le necessarie riserve di capitale. 74 Le tecniche di Asset & Liability Management mirano a definire e gestire il rischio che variazioni nel livello di interesse possono provocare sul conto economico di una organizzazione. Sono caratterizzate da tre momenti: distinzione tra attività e passività sensibili, misurazione del relativo gap e governo del gap, in relazione alla previsione sul futuro andamento dei tassi.
54
Individuare i vari possibili scenari di manifestazione e definire l’orizzonte
temporale di riferimento;
Determinare i flussi di cassa dell’attivo e del passivo per tipologia e scadenza in
modo da ottenere il matching tra attivo e passivo;
Riuscire a determinare l’andamento futuro dei tassi di interesse e dei flussi di
cassa avvalendosi di tecniche statistico-finanziarie la cui analisi e valutazione è
resa attendibile dalla possibilità di disporre di serie storiche consolidate.
Il FRM presenta gli stessi obiettivi dell’ERM, tuttavia, come affermato per il TRM, l’ambito
di analisi risulta ristretta ai soli rischi finanziari, trascurando i più rilevanti rischi operativi e
strategici.
Project risk management (PRM)
Il PRM si occupa più limitatamente dell’identificazione, dell’analisi e del trattamento dei rischi
associati a grandi opere di fornitura, ad esempio è molto utilizzato nell’industria edile o
meccanica. L’approccio al rischio previsto nel PRM risente dell’orientamento tecnico,
tecnologico e ingegneristico che caratterizza le grandi opere per cui potremmo parlare di
approccio qualitativo o semi-quantitativo piuttosto che di un approccio quantitativo. È
considerato rischio tutto ciò che può costituire una minaccia alla realizzazione del progetto.
Il successo di un progetto va misurato sulla base dei tempi di realizzazione, dei costi di
esecuzione e della performance tecnica dell’opera. L’obiettivo principale, quando si adotta
questa modalità di gestione dei rischi, non è tanto risparmiare i costi che si potrebbero
generare durante la realizzazione del progetto quanto piuttosto giungere alla conclusione e
alla realizzazione dell’opera. L’atteggiamento verso i rischi è meramente “difensivo”.
L’approccio tecnologico-ingegneristico è in netta contrapposizione con la componente
economico-finanziaria dell’ERM, dunque anche questo filone risulta piuttosto distante dalla
gestione integrata del complesso dei rischi d’impresa.
Control Risk Management (CRM)
Tale approccio al rischio può essere definito come una modalità gestionale che ha il fine di
garantire che lo svolgersi delle attività aziendali avvenga nel rispetto di quelle che sono le
procedure e le norme definite dall’impresa. Il CRM è interessato a tutti i rischi aziendali,
anche se si focalizza soprattutto sul rischio downside e assume connotazioni differenti a
55
seconda dei soggetti a cui si rivolge e a seconda del soggetto che ha il compito di controllare
che l’attività rispetti i parametri e le indicazioni definite a livello aziendale.
2.3 Il passaggio dal Risk Management alla gestione integrata dei
rischi
Dopo aver definito e presentato il processo di risk management con alcune delle sue
accezioni, nel seguente paragrafo andremo a definire il passaggio da un processo di gestione
dei rischi “settoriale” a quello integrato, gettando le basi per la definizione dell’Enterprise
Risk Management, più volte citato ma non ancora delineato.
Negli ultimi quindici anni, a seguito di una serie di eventi che hanno cambiato la mentalità di
imprese e manager nell’approcciarsi al rischio, possiamo rilevare un graduale passaggio da un
approccio tradizionale alla gestione dei rischi, ad un metodo innovativo e più completo quale
quello dell’ERM. I fattori che hanno portato all’affermarsi di questo modello sono molteplici:
il mutamento dello stesso concetto di rischio (inclusione dell’upside risk), gli eventi e gli
incessanti cambiamenti che, soprattutto a seguito della crisi finanziaria degli ultimi anni,
hanno posto al centro delle preoccupazioni aziendali, il rischio. Segal75 rileva una serie di
avvenimenti chiave che hanno segnato questo passaggio negli Stati Uniti:
L’attacco alle Torri Gemelle del 2001;
L’uragano Katrina del 2005, che ha segnato l’inclusione dei disastri naturali all’interno
del risk management;
L’inclusione nel calcolo del rating delle società di assicurazioni, anche della presenza
o meno dei sistemi di ERM, considerati un elemento positivo nella valutazione della
probabilità di default delle imprese. Standard & Poor introdusse questo fattore a
partire dal 2005;
La crisi finanziaria del 2008 che ha portato all’introduzione di regole sulla trasparenza,
sull’informazione e sulle modalità di approcciarsi ai vari strumenti finanziari,
ponendo le basi ad approcci più trasversali alla gestione del rischio come l’ERM.
I metodi di gestione del rischio precedenti all’ERM, trattavano il rischio con una concezione
a silos gestendo il rischio a livello di ogni singola business unit: ognuna opera per proprio
conto senza comunicare con le altre e con l’obiettivo di contenere il costo della propria
75 Cfr. (Segal, 2011)
56
strategia di gestione del rischio. Tale sistema non considera le interrelazioni esistenti tra alcuni
rischi, pecca nella coordinazione tra le varie funzioni oltre che in una gestione
economicamente vantaggiosa. Inoltre la gestione a silos, valuta il management sulla base di
obiettivi di breve termine, senza considerare gli effetti delle scelte nel lungo periodo. Altro
aspetto negativo riguarda la considerazione del solo downside risk, cioè la concezione della
sola esistenza di danni provenienti dal rischio e non dei possibili effetti positivi. Quindi i
principali limiti e svantaggi dei metodi precedenti la gestione integrata del rischio sono
incompletezza, inefficacia e inconsistenza76:
L’incompletezza si lega alla valutazione dei singoli rischi senza considerare le
implicazioni del verificarsi di altri eventi dannosi che potrebbero aggravare
ulteriormente la situazione (eccesiva semplificazione della realtà);
L’inefficienza riferita ai problemi di comunicazione che possono svilupparsi o al
sostenimento di costi in eccesso dovuti alla gestione separata dei rischi;
L’inconsistenza riferita alla diversità delle valutazioni di scenario tra le varie
funzioni. Ciò si connette alla mancanza di una condivisione di visioni, regole e
modalità di valutazione dei rischi, che invece sono presenti in una gestione integrata.
Figura n.5 - Enterprise risk management trends - Lab ERM – SDA Bocconi – Livatino &
Tagliavini77
Come abbiamo avuto modo di comprendere, il termine ERM viene spesso tradotto come
gestione integrata dei rischi. Ciò è dovuto principalmente all’approccio olistico rilevabile in
una gestione evoluta dei rischi di impresa. L’approccio olistico altrimenti detto enterprise, si
76 Cfr. (Segal, 2011) 77 Cfr. (Livatino & Tagliavini, 2013)
57
riferisce all’analisi della struttura aziendale nel suo complesso da cui si deriva come
conseguenza la struttura dei rischi sottostanti. Tale approccio (si veda la figura sotto riportata)
si contrappone a quello statico e retrospettivo che si basa in primis sull’analisi di ciò che ‘sta
sopra all’acqua’ ossia sulle conseguenze di un rischi (ad esempio: eventi di perdita derivanti
dal rischio operativo). Al contrario, un approccio di tipo enterprise analizza in primis ciò che
‘sta sotto l’acqua’ cioè la struttura del sistema e considera le manifestazioni del rischio come
conseguenze del possibile malfunzionamento di una o più componenti del sistema stesso.
Considerare la struttura nella sua essenza significa recepirne l’evoluzione nel tempo e
potenzialmente prevedere rischi emergenti, quelli cioè che non hanno mai prodotto
conseguenze in passato e che quindi non possono essere recepiti da un approccio di tipo
retrospettivo. Un approccio efficace per la gestione del rischio deve essere in sostanza in
grado di adattarsi all’evoluzione strutturale della realtà di riferimento. In altre parole deve
essere di tipo dinamico.
Figura n.6 - Milliman Enterprise Risk Management – Approccio olistico di tipo enterprise78
La Casualty Actuarial Society79 ha individuato i fattori chiave che hanno contribuito allo
sviluppo della logica integrata nella gestione dei rischi. Ne elenchiamo alcuni:
L’aumento della molteplicità e della complessità dei rischi è sicuramente il più
rilevante. Le imprese, infatti, si trovano a dover affrontare rischi legati al progresso
tecnologico, alla globalizzazione e alla maggior sofisticazione degli strumenti
finanziari, che precedentemente non erano assolutamente contemplati.
78 (Luraschi, 2011) 79 (Casualty Actuarial Society, 2003)
58
La crescita delle pressioni esterne derivanti da regolamentazioni e normative,
Comunitarie e nazionali, da società di rating e da investitori istituzionali, rappresenta
un altro importante fattore di stimolo insieme alla nascita della “portfolio point of view”,
alla tendenza cioè a valutare il rischio secondo una logica integrata e non più
funzionale o a silos, e alla crescente necessità di quantificarlo, per valutarne l’impatto
sul business dell’impresa, non più solo in termini economici e finanziari,
evidenziando eventuali correlazioni con altri rischi con l’obiettivo di facilitare il
processo di decision making.
Il “boundary-less benchmarking factor” fa invece riferimento al fatto che lo sviluppo di
questo approccio, non più correlato alle sole organizzazioni che forniscono servizi
assicurativi o finanziari, ma comune ad ogni attività di tipo imprenditoriale, abbia
permesso, grazie anche al progressivo sviluppo tecnologico, l’agevolazione degli
scambi interaziendali di informazioni relative ai rischi.
Grande rilevanza infine deve essere data alla rinnovata concezione di rischio, che
non si limita più alla sola accezione negativa della parola, ma ne accredita anche quella
positiva, sviluppando quindi una ambivalenza minaccia-opportunità.
Sui vantaggi dell’approccio integrato, si tornerà successivamente, al fine di spiegare i benefici
connessi all’adozione dell’ERM.
A seguito di quanto esposto finora, dopo aver anticipato le caratteristiche principali della
gestione integrata/olistica dei rischi, si andranno a delineare le principali differenze rilevabili
dal TRM, presentato nel precedente paragrafo, e l’ERM.
Si prende come riferimento l’evoluzione del risk management teorizzato da Monda e
Giorgino80 riportato di seguito:
80 Cfr. (Monda & Giorgino, Dal risk management all'enterprise risk management, 2013)
59
Diversi autori hanno cercato di delineare le principali differenze che intercorrono tra la
gestione tradizionale del rischio e l’ERM. Come possiamo notare dalle tabelle sotto riportate
e da quanto illustrato precedentemente, l’ERM ambisce a superare molti limiti del TRM,
come quelli dovuti ad una visione funzionale e parcellizzata dei rischi, a silos, che impedisce
di cogliere le correlazioni tra rischi di natura differente o della stessa natura; quelli dovuti
all’assenza di collegamento tra i criteri di valutazione dei rischi e il cambiamento nelle
strategie aziendali; infine quelli causati dalla mancanza di una sensibilizzazione, di una cultura
del rischio condivisa a tutti i livelli dell’organizzazione. Un approccio integrato consente di
trattare ciascun rischio come parte di un portafoglio complessivo definito a livello di impresa:
ogni rischio viene affrontato e valutato in ragione del suo impatto globale sull’impresa sia nel
breve che nel lungo periodo, garantendo così una maggiore efficacia ed efficienza del
processo di gestione. A tal fine, l’ERM incentiva, all’interno dell’impresa, una maggiore
comunicazione inerente i rischi e un migliore coordinamento organizzativo, sia verticale,
verso il vertice aziendale, che orizzontale, data la natura integrata del processo. Prevede,
inoltre, che vengano assegnate in maniera chiara tutte le responsabilità relative al rischio e
che vengano eventualmente introdotti sistemi di remunerazione collegati a performance di
risk-adjusted, incentivando così modalità adeguate di gestione e promuovendo al tempo
stesso la diffusione di una cultura del rischio all’interno dell’impresa. Passando dal TRM
all’ERM muta anche il concetto stesso di rischio: non è più concepito come una minaccia da
eliminare a tutti i costi ma anche come un’opportunità. L’abbandono di un approccio
puramente difensivo a favore di uno proattivo ed integrato, consente di identificare
precocemente i mutamenti del contesto e di cogliere le occasioni favorevoli, con un impatto
positivo sul valore aziendale. La capacità di identificare, misurare e gestire i rischi, finisce per
Riduzione delle perdite
Gestione della volatilità
Ottimizzazione della
performace
Enterprise Risk Management
Traditional Risk Management
60
configurarsi quale differenziale competitivo che l’impresa può sfruttare per cogliere
opportunità di business compatibili con il profilo di rischio prescelto.
L’evoluzione proposta in questo paragrafo permette di comprendere le ragioni principali del
passaggio da una logica di traditional risk management ad una logica integrata nella gestione
dei rischi aziendali. Sono state evidenziate una serie di caratteristiche dell’ERM che ci
agevoleranno nella sua definizione nel prossimo capitolo, dando enfasi ai principi ispiratori
di questo processo e ad alcuni dei vantaggi rilevabili dalla sua adozione in azienda. Le tabelle
di seguito, oltre ad evidenziare le principali differenze tra il TRM e l’ERM, riassumono
sinteticamente i cardini su cui si poggia l’intero impianto di una gestione integrata dei rischi.
Tabella n.7 - Le principali differenze secondo De Loach81
TRM ERM
Frammentato Integrato
Reattivo Proattivo
Discontinuo Continuo
Cost-based Value-based
Funzionale Eseguito con logica di processo
Tabella n.8- Le principali differenze secondo Olson & Wu82
TRM ERM
Rischi come pericoli individuali Rischi valutati nel contesto delle strategie di business
Identificazione e assessment dei rischi Sviluppo del “portafoglio dei rischi”
Focus sui rischi discreti (parcellizzazione dei rischi) Focus sui rischi critici per l’organizzazione
Mitigazione dei rischi (visione solo negativa) Ottimizzazione dei rischi (rischi anche come opportunità)
Soglia di rischio Strategia di rischio
Rischi senza responsabilità Assegnazione di responsabilità (“risk ownership”)
Quantificazione dei rischi non sistematica Monitoraggio e misurazione dei rischi
“Il rischio non è di mia competenza” “La gestione dei rischi è di competenza di tutti”
81 Cfr. (DeLoach & Temple, 2000) 82 Cfr. (Olson & Wu, 2007)
61
Tabella n.9 - Le sette dimensioni di analisi del risk management secondo Spinard83
2.4 Definizione del processo di Enterprise Risk Management
Come analizzato nel precedente paragrafo, l’ERM, a differenza del risk management
tradizionale, in cui le singole categorie di rischio sono considerate con una prospettiva a silos,
comporta una visione olistica dei rischi che consente di considerare i legami tra i vari rischi
del sistema aziendale. L’ERM cerca di allineare gli obiettivi strategici indicati dal Consiglio di
Amministrazione con le operazioni giornaliere. Una peculiare caratteristica è data dal fatto
che il rischio non è più considerato dal punto di vista downside, ma anche come opportunità
che può essere sfruttata per ottenere un vantaggio competitivo. Nella letteratura il nome
ERM è a volte sostituito da sinonimi come Enterprise-wide Risk Management, Holistic Risk
Management, Integrated Risk Management o Strategic Risk Management.
L'implementazione di un sistema di ERM rappresenta un grande cambiamento di gestione
e assorbe molte risorse sia in termini finanziari che di risorse umane. La definizione di ERM
non è unica, infatti molti autori ed enti hanno proposto differenti interpretazioni, alcune delle
quali riportiamo di seguito:
83 Cfr. (Spinard, 2005)
62
De Loach (2000)84 afferma che l’ERM è un approccio metodologico strutturato, proattivo e
disciplinato che prende in considerazione, in un’ottica di conoscenza e valutazione dei rischi,
tutti gli aspetti della gestione aziendale: strategie, mercato, processi, risorse finanziarie, risorse
umane, tecnologie.
Meulbroek85 parla di Integrated Risk Management e lo definisce come un processo continuo,
proattivo e sistematico per capire, gestire e comunicare il rischio da una prospettiva globale
di impresa. Tale approccio supporta il raggiungimento degli obiettivi primari di
un’organizzazione.
Casualty Actuarial Society (2003)86 definisce l’ERM come la filosofia di gestione dei rischi
secondo la quale un’impresa di qualsiasi settore valuta, controlla, finanzia e monitora i rischi
da tutte le possibili fonti con lo scopo di incrementare il valore di breve e lungo periodo per
i suoi stakeholder.
Committee of Sponsoring Organizations of the Threadway Commission (COSO,2004)87
afferma che l’ERM è un processo svolto dal personale dell’impresa, a qualunque livello in
essa operante, che interessa l’impresa sin dalla fase di elaborazione della strategia, disegnato
allo scopo di evidenziare e gestire quegli eventi potenziali che possono colpire l’impresa e
con la finalità di fornire ragionevole supporto al conseguimento degli obiettivi aziendali.
Al fine di individuare le migliori prassi, considerando i contributi forniti non solo dalla
letteratura accademica, ma anche da professionisti, società di consulenza e dagli standard più
comuni, è importante soffermarsi su tre aspetti principali dell’ERM88:
a) La cultura del rischio;
b) L'organizzazione;
c) Il processo.
84 Cfr. (DeLoach & Temple, 2000) 85 Cfr. (Meulbroek , 2002) 86 Cfr. (Casualty Actuarial Society, 2003) 87 Cfr. (AIIA & PWC, 2006) 88 Cfr. (Monda & Giorgino, An ERM maturity model, 2013)
63
2.4.1 La cultura del rischio
Tale concetto si focalizza su quel sistema di valori, norme e comportamenti condivisi da tutti
gli individui operanti all’interno di un’impresa e che determinano le modalità con cui essi
identificano, comprendono, discutono e agiscono, relativamente ai rischi che l’impresa si
trova ad affrontare. La cultura del rischio quindi, influenza le decisioni a tutti i livelli
dell’organizzazione, così come il raggiungimento degli obiettivi strategici e del
valore89. Lo sviluppo di una cultura del rischio rappresenta l’elemento basilare, necessario
per mettere in atto buone pratiche di ERM. L’importanza di tale aspetto è evidenziato anche
dal COSO – ERM Framework, che pone alla base del corretto funzionamento del sistema di
controllo, l’ambiente interno, definito come l’insieme delle caratteristiche del contesto
aziendale di riferimento (tra le quali rientrano l’integrità e i valori etici), che influenzano tutte
le altre componenti di ERM.
Le organizzazioni non caratterizzate da una forte e radicata cultura del rischio, possono
inavvertitamente trovarsi ad operare completamente al di fuori delle policy e procedure
stabilite o a consentire attività totalmente in contrasto con esse; nel migliore dei casi, ciò può
ostacolare il raggiungimento degli obiettivi strategici, tattici e operativi; nel peggiore, può
portare a gravi danni reputazionali e finanziari. La cultura non è un concetto intangibile: può
essere misurata dal livello di consistenza che le decisioni sui rischi hanno con le policy
aziendali e il profilo di rischio desiderato.
Tra gli aspetti principali che caratterizzano una solida e ben sviluppata cultura del rischio, è
fondamentale il Commitment da parte del board e del top management: il comportamento
esemplare degli alti livelli dirigenziali rappresenta una condizione necessaria, ma non
sufficiente, per il successo di un’iniziativa di ERM. È fondamentale che il senior e il middle
management forniscano un esempio di buona condotta tale da influenzare il comportamento
dei livelli organizzativi inferiori.
Risk Policy
Per favorire il coinvolgimento e la sensibilizzazione di tutto il personale è importante che
venga definita e comunicata all’interno dell’organizzazione una ERM policy, considerata
uno dei primi step da compiere nello sviluppo di un sistema di ERM. Esplicitando l’impegno
dell’impresa nella gestione del rischio ed il suo livello di propensione al rischio (risk appetite),
89 (Monda & Giorgino, Dal risk management all'enterprise risk management, 2013), op.cit. pag. 30-32
64
la policy aiuta a comunicare l’approccio complessivo al risk management attraverso l’intera
organizzazione. I contenuti tipici di tale documento sono:
Obiettivi di rischio;
Misurazione dell’esposizione;
Reporting e previsione dell’esposizione;
Struttura organizzativa e di controllo;
Politiche di hedging e mitigazione;
Processo di valutazione;
Principi e regole contabili;
Misurazione e diffusione della performance.
Le policy di ERM possono essere suddivise in due gruppi:
a) Policy per l’ERM framework, i relativi processi e le procedure: è un breve
documento che evidenzia il contesto di applicazione del framework di ERM,
includendo la gap analysis (le modalità con cui il processo esistente di ERM viene
confrontato con un benchmark per testarne l’efficacia), l’approccio dell’impresa
verso il risk management, la terminologia utilizzata, le fasi del processo, i ruoli e le
responsabilità degli attori coinvolti, le modalità di monitoraggio del rischio, la
revisione del processo e il controllo delle performance.
b) Policy per le decisioni di risk management, riguardanti:
1. Il risk appetite (risk appetite statement);
2. La definizione dei criteri di rischio in funzione degli obiettivi aziendali, così
come del risk appetite e del contesto di risk management;
3. Il reporting interno dei rischi, ovvero le modalità di aggregazione dei rischi e
di disaggregazione del risk appetite ai diversi livelli organizzativi.
È fondamentale che le policy siano semplici da comprendere, facili da implementare e
continuamente aggiornate al fine di renderne possibile la costante attuazione all’interno
dell’impresa.
La formulazione di una policy di ERM, la sua comunicazione a tutti i livelli organizzativi e
l’agire coerente con essa, consente di integrare la gestione del rischio all’interno della cultura
aziendale.
65
2.4.2 L’organizzazione
Trai tratti distintivi dell’approccio integrato, vi rientrano adeguate scelte al fine di diffondere
la cultura del rischio, per ottenere l'impegno del personale e per garantire che il processo di
ERM venga effettuato in modo corretto e che le politiche e le procedure siano rispettate.
Una organizzazione adeguata per supportare le attività di ERM dovrebbe prendere in
considerazione i seguenti elementi:
Nominare un Chief Risk Officer (CRO);
Costruire una funzione dedicata all’ERM;
Designare un gruppo di lavoro per supportare le attività del CRO;
Creare una funzione ERM indipendente (il CRO risponde direttamente al Board o al
CEO);
Nominare dei risk owner, cioè dei responsabili all'identificazione e alla gestione di
ogni rischio;
Definire e comunicare chiaramente i ruoli e le responsabilità nell’ambito del risk
management;
Integrare il processo di ERM in tutte le funzioni e le unità aziendali;
Coinvolgere tutti i dipendenti, a tutti i livelli, nel processo di ERM.
2.4.3 Il Processo
La maggior parte dei framework prodotti in letteratura, si sofferma sulla descrizione del
processo di ERM. Ogni contributo descrive le fasi che compongono il processo, dalla scelta
degli obiettivi, all’identificazione e valutazione, fino al trattamento, al controllo e alla
reportistica dei rischi. La letteratura e i framework sull’ERM forniscono una serie di elementi
chiave che dovrebbero essere inclusi nella progettazione di sistemi ERM. Li elenchiamo di
seguito:
Integrazione dell’ERM nei piani strategici e di business;
Implementazione di un processo efficiente ed efficace per identificare tutti i rischi
potenziali rilevanti;
Creazione e manutenzione di un registro dei rischi;
Classificazione dei rischi nelle categorie di riferimento (ad esempio, strategici,
operativi, finanziari e di compliance ecc.);
66
Definizione di un processo formale per la valutazione dei rischi con tecniche
qualitative e quantitative;
Ripetizione periodica del processo di valutazione del rischio;
Valutazione dei rischi in via residuale;
Integrazione di tutti i rischi in un portafoglio di rischio e la valutazione delle
correlazioni tra loro;
Definizione di una strategia di trattamento (evitare, ridurre, condividere, mantenere)
per ciascun rischio, considerando un trade-off tra costi e benefici;
Sviluppo di adeguati contingency plan90;
Sviluppo di un sistema KRI91 per monitorare l'esposizione al rischio e assicurarsi che
sia coerente con il KPI92 predefinito e con la strategia aziendale, includendo piani di
correzione e intensificazione se i rischi superano i limiti prefissati;
Creazione di un sistema di reporting periodico rivolto ai diversi livelli
dell'organizzazione con informazioni diverso grado di approfondimento;
Introduzione della tecnologia al fine di sostenere le attività di gestione del rischio.
2.5 Le linee guida e gli standard internazionali
Dopo aver evidenziato alcune delle possibili definizioni del processo di ERM, dando enfasi
ai tre aspetti caratterizzanti su cui la letteratura si è pronunciata uniformemente, andremo a
descrivere i due principali standard internazionali cioè quelli pubblicati dal Commitee of
Sponsoring Organizations of the Treadway Commission (COSO) e dall’organizzazione per
gli standard internazionali (ISO). Essi costituiscono dei modelli di base che hanno permesso
l’evoluzione dei sistemi di ERM, influenzando in maniera consistente anche le funzioni di
controllo interno, strettamente legate alla gestione del rischio. Queste due istituzioni hanno
fornito le principali linee guida in materia, delineando definizioni, processi e strutture talvolta
affini e talvolta differenti. Ai fini di questo lavoro di ricerca, il modello che si andrà ad
90 Il contingency plan o piano di emergenza, è un programma operativo che delinea preventivamente le azioni di determinati soggetti nel caso in cui si verifichi un evento dannoso per l’impresa. Il piano prevede linee guida più o meno dettagliate su cosa ciascuno dei soggetti interessati, debba fare al verificarsi dell'evento. 91 KRI, acronimo di key risk indicator. È una misura utilizzata nel risk management per indicare quanto sia rischiosa un’attività. 92 KPI, acronimo di key performance indicator. E’ un indice che monitora l'andamento di un processo aziendale.
67
approfondire e di cui verranno adottati i processi nel successivo paragrafo, è quello proposto
da COSO.
2.5.1 COSO ERM FRAMEWORK93
I framework proposti da COSO hanno subito la seguente evoluzione:
Internal Control - Integrated Framework nel 1992;
Enterprise Risk Management Framework nel 2004;
Enterprise Risk Management Framework nel 2007, revisione del precedente.
La Committee of Sponsoring Organization of the Treadway Commission, una
Commissione indipendente statunitense sponsorizzata delle maggiori associazioni
professionali e industriali, ha prodotto nel 1992 il primo framework denominato Internal
Control over Finacial Reporting, nel 2004 una primo aggiornamento chiamato ERM
Integrated Framework, che include il primo modello e offre una ricca sezione di tecniche
applicative a supporto dell'applicazione del modello, infine nel 2007, ha pubblicato un
secondo aggiornamento, mantenendo invariate le basi, ma ampliando sia i principi guida, sia
le materie trattate. E' uno dei primi standard internazionale in materia di ERM e risulta essere
il più utilizzato dalle imprese che instaurano processi integrati di gestione dei rischi. L’ERM
Framework 2004 ha lo scopo di determinare il "quantum" di rischio che l'impresa/ente è
93 I contenuti di questo paragrafo sono stati tratti da rielaborazioni del testo ufficiale (AIIA & PWC, 2006) e dal sito www.coso.org
68
disposta ad accettare per creare valore per i suoi stakeholders e fornire un unico riferimento
per gestire le varie tipologie di eventi incerti con efficacia, in relazione agli obiettivi
prestabiliti.
Come è stato proposto nel precedente paragrafo, COSO ci ha fornito una delle più ampie e
condivise definizioni di ERM che andremo a descrivere nello specifico:
Un processo continuo, applicabile anche da enti non profit e pubblici;
Posto in essere dalla direzione per la formulazione di missione, strategie e obiettivi;
Utilizzato da persone in tutta l'organizzazione (dunque multi-direzionale e
interattivo)
Progettato per individuare eventi potenziali di rilievo, interni ed esterni (cioè rischi e
opportunità);
Per gestire il rischio entro limiti accettabili (dunque guidare all'allocazione delle
risorse);
Per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
Processo continuo e pervasivo: L’ERM non è un evento isolato e statico ma al contrario è
un processo continuo e pervasivo ossia una serie continua di azioni che interagiscono
reciprocamente, pervadono l’intera azienda e sono legate al modo in cui il management
gestisce l’impresa. La gestione del rischio, inoltre, non è un’attività aggiuntiva all’attività
aziendale ma è parte integrante delle attività operative di base dell’impresa e può raggiungere
il massimo della sua efficacia, solo quando è radicata nella struttura organizzativa e fa parte
della cultura aziendale.
Posto in essere da persone: L’ERM è posto in essere dal consiglio di amministrazione, dal
management e da altre persone. In particolare il consiglio di amministrazione ha il ruolo di
supervisionare il processo di gestione del rischio aziendale e contribuisce alla determinazione
del livello di rischio accettabile. Il management ha il compito di promuovere la filosofia di
gestione del rischio, l’osservanza del livello di rischio ritenuto accettabile e di gestire i rischi
nella sua sfera di responsabilità in modo coerente con la propensione al rischio dell’impresa.
Infine, per altre persone, si intendono sia gli individui che operano all’interno dell’azienda e
che svolgono compiti puramente esecutivi nell’attività di gestione del rischio in conformità
69
alle direttive e ai protocolli, sia persone esterne all’impresa (come, ad esempio, i clienti, i
fornitori, i partner, i revisori esterni, gli analisti finanziari e così via) che spesso forniscono
informazioni utili per il buon funzionamento del processo di ERM pur non facendo parte
dello stesso e non essendo così responsabili della sua efficacia.
Utilizzato per la formulazione delle strategie: L’ERM è utilizzato nella formulazione della
strategia, dove il management considera i rischi relativi alle varie alternative strategiche
possibili e seleziona la strategia più appropriata e i relativi obiettivi. Infatti, al fine di creare
valore l’impresa deve indicare la propria missione e perseguirla attraverso la fissazione di
coerenti obiettivi strategici ossia obiettivi generali definiti ai livelli più elevati della struttura
organizzativa. Per il conseguimento di questi ultimi, la direzione seleziona un’opportuna
strategia e fissa dei coerenti obiettivi specifici che desidera conseguire.
Utilizzato in tutta l’organizzazione: L’ERM è utilizzato in tutta l’organizzazione, sia nella
sua attività complessiva che nelle sue singole attività svolte in ogni livello aziendale (come,
ad esempio, la pianificazione strategica e l’allocazione delle risorse), in ogni unità operativa
(come il marketing e le risorse umane) e in ogni processo operativo (come la produzione e il
controllo del credito). Al fine di determinare e considerare il rischio complessivo dell’attività
di un’impresa (rischio a livello aziendale), ogni manager responsabile di una unità, di una
funzione, di un processo o di una attività, formula una valutazione (quantitativa o qualitativa)
del rischio per l’attività da lui svolta. Si ottiene, in questo modo, un quadro formato da tante
singole valutazioni di rischio relative ai vari livelli della struttura organizzativa, che permette
all’alta direzione di determinare e di verificare se il rischio a livello aziendale è allineato con
il rischio accettabile. E’ necessario, inoltre, che il management individui anche la correlazione
a livello aziendale tra i singoli rischi e attivi gli interventi necessari per fare in modo che il
rischio a livello aziendale sia in linea con il rischio accettabile. Infatti, ci possono essere casi
in cui il rischio di ogni singola unità operativa è in linea con il livello di rischio accettabile
individuato per l’unità stessa, mentre se tali rischi vengono considerati nel loro insieme a
livello di intera azienda, essi potrebbero eccedere il rischio accettabile individuato per
l’azienda stessa. Al contrario, ci possono essere casi in cui il rischio di qualche unità operativa
eccede la soglia accettabile individuata per l’unità stessa, ma poi a livello di intera azienda
potrebbero verificarsi delle compensazioni tali per cui il rischio a livello aziendale è allineato
con il rischio accettabile. Infine, l’ERM potrebbe essere utilizzato anche per progetti speciali
o per nuove iniziative per le quali non sono state ancora attribuite le relative responsabilità.
70
Rischio accettabile: L’ERM deve essere progettato per gestire il rischio nei limiti del rischio
accettabile e quindi considerando la propensione al rischio dell’impresa. I concetti di
propensione al rischio (risk appetite) e di rischio accettabile, sono due componenti
cruciali della definizione. La propensione al rischio riflette la disponibilità dell’impresa e la
sua abilità ad assumere rischi allo scopo di raggiungere i suoi obiettivi, mentre, il rischio
accettabile rappresenta l’ammontare di rischio che l’impresa è disposta ad accettare nel
perseguire i suoi obiettivi e nella creazione di valore. Gli elementi che dirigono il processo di
determinazione del livello di propensione al rischio dell’impresa (come, ad esempio, le
preoccupazioni dell’impresa relative alla solvibilità, ai giudizi di rating, alla volatilità degli utili
e così via), dovrebbero essere coerenti con la cultura del rischio dell’impresa e con le sue
strategie globali. Di conseguenza, il rischio accettabile riflette la filosofia di gestione del
rischio dell’impresa ed è correlato alla sua strategia aziendale. L’ERM, infatti, aiuta la
direzione a scegliere la strategia che allinea la creazione di valore al rischio accettabile visto
che, generalmente, esistono varie strategie che sono in grado di raggiungere gli obiettivi
fissati, ma ogni strategia ha rischi diversi. L’ERM dovrebbe così aiutare a selezionare una
strategia coerente con il rischio accettabile, e a respingere o modificare le altre. Una volta che
l’impresa ha stabilito il livello di risk appetite, tutte le successive decisioni relative alla gestione
dei rischi saranno prese nei limiti della sua propensione al rischio. Il rischio accettabile,
inoltre, costituisce una guida per l’allocazione delle risorse: il management alloca le risorse
tra le diverse unità operative o tra le diverse iniziative, tenendo conto del rischio accettabile
dell’impresa in modo tale da trarre un certo profitto dalle risorse investite. La tolleranza al
rischio, infine, rappresenta il livello accettabile di variazione o di scostamento rispetto
all’obiettivo aziendale da conseguire. Per la sua determinazione il management considera
l’importanza degli obiettivi e allinea la tolleranza al rischio al rischio accettabile.
Fornire una ragionevole sicurezza: Anche se ben progettato e ben funzionante, l’ERM
può fornire al consiglio di amministrazione e al management solo una ragionevole sicurezza
sul conseguimento degli obiettivi aziendali. Il concetto di ragionevole sicurezza riflette il fatto
che l’incertezza degli eventi che l’impresa si trova ad affrontare e i relativi rischi, riguardano
il futuro, che è molto difficile, se non impossibile da prevedere con precisione. Ragionevole
sicurezza quindi, non significa né certezza assoluta né frequente inaffidabilità o fallimento
dell’ERM. Inoltre, dal momento che non tutti gli obiettivi hanno lo stesso grado
d’importanza e la stessa priorità, affermare che l’impresa dovrebbe avere una ragionevole
certezza di realizzarli, non significa che tutti gli obiettivi fissati si possano realizzare.
71
Conseguimento degli obiettivi aziendali: L’ERM ha come scopo fondamentale quello di
aiutare le imprese a gestire, in modo più efficace, i rischi connessi al conseguimento degli
obiettivi aziendali. Infatti, al fine di creare valore l’impresa deve indicare la propria missione
e perseguirla attraverso la fissazione di obiettivi strategici. Per il conseguimento di questi
ultimi, la direzione seleziona un’opportuna strategia e fissa degli obiettivi specifici ad essa
coerenti, assegnandoli ai vari livelli della struttura organizzativa. Gli obiettivi aziendali
devono essere chiari e misurabili e possono essere classificati in quattro categorie:
Obiettivi strategici ossia obiettivi di natura generale definiti dai più alti livelli della
struttura organizzativa, che supportano la mission aziendale e devono essere ad essa
allineati;
Obiettivi operativi ossia obiettivi che riguardano l’impiego efficace ed efficiente
delle risorse dell’impresa. In particolare essi si riferiscono all’efficacia e all’efficienza
delle attività operative dell’impresa inclusi i livelli di performance, di redditività e di
protezione delle risorse da eventuali perdite;
Obiettivi di reporting ossia obiettivi che si riferiscono alla qualità, alla frequenza,
alla correttezza e all’affidabilità delle informazioni fornite dal reporting che l’azienda
offre al management, al mercato, agli azionisti, ai dipendenti, ai fornitori. Tali
obiettivi si riferiscono ai report elaborati per fini interni (si pensi, ad esempio, ai
report sulle vendite giornaliere, ai report sulla qualità della produzione e così via) ed
esterni (ad esempio il bilancio d’esercizio, i commenti e le analisi effettuate dal
management, i documenti depositati presso le autorità di vigilanza e via dicendo) che
possono, quindi, includere informazioni contabili e non contabili, finanziarie e non
finanziarie;
Obiettivi di conformità ossia obiettivi che riguardano l’osservanza e il rispetto delle
leggi e dei regolamenti in vigore applicabili all’impresa. Questi ultimi, in particolare,
stabiliscono degli standard minimi di comportamento (che possono riguardare le
imposte, l’ambiente, la previdenza sociale dei dipendenti, il mercato, i prezzi, l’igiene
e la sicurezza sul lavoro e così via) che l’impresa dovrà integrare quando determina i
suoi obiettivi di conformità.
Il modello ERM proposto da COSO è rappresentato da un cubo le cui dimensioni sono
costituite da:
72
8 componenti dell'ERM, le "righe" del cubo;
4 tipi di obiettivi, le "colonne";
4 livelli organizzativi dell'impresa, le "sezioni".
Le componenti del Framework COSO ERM
Il modello ERM94 proposto da COSO è costituito da 8 componenti interconnesse che
presentiamo brevemente ma che rappresentano il punto di partenza per definire le fasi del
processo di ERM (nel prossimo paragrafo):
Ambiente interno: L’ambiente interno rappresenta l’identità essenziale di un’organizzazione
e costituisce le fondamenta di tutti gli altri componenti dell’ERM in quanto fornisce
disciplina e struttura: esso, infatti, influenza profondamente il modo in cui gli obiettivi sono
definiti, le strategie sono stabilite, le attività sono strutturate, i rischi sono identificati, valutati
e gestiti e, analogamente, influenza la progettazione e il funzionamento delle attività di
controllo, dei sistemi di informazione e comunicazione e delle attività di monitoraggio.
L’ambiente interno è costituito da molti elementi tra cui: i valori etici aziendali, le competenze
del personale, lo stile manageriale, la filosofia della gestione del rischio, i modi in cui sono
assegnati i poteri e le responsabilità e così via. Esso determina i modi in cui il rischio è
considerato e affrontato dalle persone che operano in azienda, come pure la cultura della
94 I contenuti di questo paragrafo sono stati tratti da rielaborazioni del testo ufficiale (AIIA & PWC, 2006) e dal sito www.coso.org
73
gestione del rischio, i livelli di accettabilità del rischio, l’integrità, i valori etici e l’ambiente di
lavoro in generale. Il processo inizia con l’identificazione delle unità organizzative
dell’impresa considerata nel suo complesso. Questo include le azioni volte a sviluppare una
cultura di gestione del rischio e a progettare una struttura organizzativa di gestione dello
stesso.
Definizione degli obiettivi: Il processo continua poi con la definizione degli obiettivi
aziendali in funzione dell’ambiente interno e delle strategie alternative e in linea con la visione
di successo per l’impresa. Dal momento che il modello di ERM considera rischio, qualsiasi
evento che può potenzialmente influenzare gli obiettivi dell’impresa, allora la corretta
identificazione di questi ultimi, costituisce il presupposto per l’identificazione degli eventi
rischiosi. Questi obiettivi, quindi, devono essere fissati prima di procedere all’identificazione
degli eventi che possono pregiudicare il loro conseguimento e dovrebbero riflettere il livello
di propensione al rischio dell’impresa. In particolare, l’impresa per creare valore deve indicare
la propria missione che, a sua volta, viene perseguita attraverso la fissazione di obiettivi
strategici. Per il conseguimento di questi ultimi, la direzione seleziona un’opportuna strategia
e definisce i relativi obiettivi specifici (obiettivi operativi, di conformità e di reporting).
Mentre la missione e gli obiettivi strategici rimangono sostanzialmente immutati nel tempo
o comunque non sono soggetti a variazioni significative, le strategie e gli obiettivi correlati
sono molto più dinamici e possono essere soggetti a variazioni nel momento in cui dovesse
verificarsi un cambiamento delle condizioni interne ed esterne. L’ERM assicura che il
management abbia attivato un adeguato processo di definizione degli obiettivi e che gli
obiettivi selezionati supportino la mission aziendale e la strategia dell’impresa, che siano
coerenti con esse e che siano in linea con il rischio accettabile fissato dall’impresa (dal quale
si determinano i livelli di tolleranza al rischio). Eventuali disallineamenti, infatti, potrebbero
significare che l’impresa non sta assumendo abbastanza rischi nel perseguire i suoi obiettivi
o, al contrario, che sta assumendo rischi eccessivi. E’ necessario notare, infine, che rischio
accettabile e strategia aziendale, sono due elementi strettamente correlati. Generalmente,
infatti, esistono varie strategie che sono in grado di raggiungere gli obiettivi fissati, ma ogni
strategia ha dei rischi diversi. L’ERM impiegato nella definizione degli obiettivi, dovrebbe
aiutare il management a selezionare solamente le strategie che sono coerenti con il rischio
accettabile e a respingere o modificare le altre.
74
Identificazione degli eventi: Solo dopo aver fissato gli obiettivi, devono essere identificati
correttamente gli eventi33 che potrebbero influenzare le performance aziendali, sia
positivamente (in tal caso si parla di opportunità) che negativamente (in tal caso si parla di
rischi), pregiudicando così il conseguimento degli obiettivi. Le opportunità richiedono un
riesame delle strategie definite in precedenza o dei processi di definizione degli obiettivi in
atto in modo che si possano definire gli interventi necessari per coglierle, mentre, i rischi
richiedono una valutazione e una risposta da parte del management. E’ necessario notare,
tuttavia, che il management quando identifica gli eventi non sa se essi si verificheranno e né
tantomeno se essi avranno un impatto positivo o negativo. Inizialmente, quindi, il
management considererà una serie di eventi potenziali, senza necessariamente soffermarsi
sulla positività o sulla negatività del loro impatto. Alcuni eventi, inoltre, possono essere
isolati, mentre altri possono essere correlati e interdipendenti. Il management, quindi,
nell’identificare gli eventi deve capire, innanzitutto, se esistono correlazioni tra gli eventi (in
quanto mentre l’impatto di un singolo evento potrebbe essere irrilevante, l’impatto di un
aggregato di eventi potrebbe essere significativo) e, successivamente, deve capire come gli
eventi sono correlati tra loro e valutare queste relazioni per determinare dove è più
conveniente dirigere gli sforzi per gestire il rischio. Devono essere inoltre considerati i
problemi di misurazione associati con le metodologie e le tecniche di valutazione del rischio.
Valutazione del rischio: Ciascuno dei rischi identificato nel passo precedente deve essere
analizzato, valutato e classificato sia in termini di probabilità di accadimento che in termini
di impatto sull’organizzazione, al fine di stabilire come esso deve essere gestito. In particolare,
i rischi che hanno una bassa probabilità di accadimento e un impatto potenzialmente basso,
generalmente, non meritano di essere presi in considerazione, mentre i rischi che hanno
un’elevata probabilità di accadimento e un impatto significativo, richiedono una particolare
attenzione. I rischi, invece, che si posizionano tra questi due estremi, generalmente
richiedono giudizi difficili da formulare. Considerando poi il fatto che i rischi sono collegati
agli obiettivi e possono pregiudicarne il raggiungimento, la valutazione del rischio non è altro
che la misurazione dell’incidenza di un evento potenziale sul conseguimento degli obiettivi,
mediante un’approfondita analisi dell’impresa dall’interno e dall’esterno.34 In particolare, nel
valutare il rischio, il management innanzitutto determina e distingue gli eventi previsti o
possibili da quelli inattesi. Molti eventi, infatti, si presentano con una certa frequenza e sono
già considerati nei programmi operativi e nei budget, mentre altri sono inaspettati. Il
management, valuta il rischio degli eventi potenziali possibili e inattesi, che possono avere
75
un impatto significativo sull’azienda. I rischi, inoltre, devono essere valutati sia in termini di
rischio inerente (ossia il rischio che l’impresa assume quando non viene attivato nessun
intervento per modificarne le probabilità e l’impatto), che in termini di rischio residuo (ossia
il rischio rimanente dopo aver attuato degli interventi per ridurlo) determinando la probabilità
che il rischio si verifichi e il relativo impatto. In particolare, la valutazione del rischio viene
fatta, innanzitutto, in termini di rischio inerente e solo successivamente, dopo che la risposta
al rischio è stata attivata, viene determinato il rischio residuo. I rischi, infine, devono essere
gestiti sia come rischi potenziali che come rischi effettivi.
Risposte al rischio: Dopo aver classificato i rischi e valutato la loro probabilità di
accadimento e il loro impatto, è necessario sviluppare le strategie che possono essere attuate
per la loro gestione. In altre parole, devono essere selezionate le possibili azioni di risposta
al rischio in rapporto alla loro capacità di ricondurre ciascun rischio entro i livelli di tolleranza
ritenuti accettabili. Per selezionare la risposta al rischio di volta in volta più idonea, è
necessario quantificare l’esposizione al rischio secondo una matrice probabilità/impatto,
valutare l’effetto delle potenziali risposte sulla probabilità e sull’impatto del rischio e valutare
i costi e i benefici che derivano dalle risposte alternative al rischio in modo da scegliere quella
risposta (o combinazione di risposte) che consente di ricondurre il rischio entro i livelli di
tolleranza al rischio desiderata.
Attività di controllo: Dopo aver selezionato le risposte al rischio, è necessario identificare
le attività di controllo ossia le politiche e le procedure35 che devono essere opportunamente
definite, rese pubbliche e realizzate per far sì che le risposte al rischio siano effettive, eseguite
in modo efficace e nei tempi previsti. Le attività di controllo vengono attuale in tutta
l’organizzazione, in tutti i livelli della struttura organizzativa e possono essere suddivise in
quattro categorie in base alla natura degli obiettivi aziendali ai quali si riferiscono: strategiche,
operative, di reporting e di conformità. E’ necessario precisare che in alcuni casi le attività di
controllo si riferiscono in modo specifico a una categoria di obiettivi, mentre in altri casi si
sovrappongono. Esistono svariate tipologie di attività di controllo come, ad esempio, i
controlli preventivi (per bloccare le operazioni prima che vengano effettuate), i controlli
successivi (per identificare altre operazioni in tempo utile), i controlli manuali, automatici,
informatici e gestionali. Le attività di controllo possono includere un insieme di operazioni
diverse, come, ad esempio, le approvazioni, le autorizzazioni, le verifiche, le riconciliazioni
dei saldi contabili, l’esame della performance operativa, la protezione dei beni aziendali e la
76
separazione dei compiti. E’ indispensabile, inoltre, selezionare i controlli necessari per
mitigare i rischi individuati valutando i costi di ciascuna risposta al rischio disponibile e
considerando le attività di riduzione del rischio.
Informazioni e comunicazione: Nonostante la vasta attenzione rivolta agli aspetti tecnici,
un fattore chiave per il successo del modello di ERM, è dato dall’efficace comunicazione dei
rischi effettuata dal consiglio di amministrazione alle unità operative e dalla comunicazione
tra le diverse parti dell’impresa. In particolare, le informazioni più importanti e pertinenti
devono essere identificate, raccolte e comunicate nei modi e nei tempi idonei a rendere il
personale cosciente dei propri compiti in modo tale da consentirgli di adempiere
correttamente alle proprie responsabilità. I sistemi informativi trattano sia i dati prodotti
internamente che quelli provenienti da fonti esterne, fornendo le informazioni necessarie per
prendere le decisioni relative agli obiettivi e per gestire i rischi. E’ necessario, da un lato, che
vengano attivate delle comunicazioni efficaci, in modo che esse fluiscano in tutta la struttura
organizzativa (verso il basso, verso l’alto e trasversalmente) e, dall’atro lato, che le
informazioni siano diffuse e raggiungano ogni livello della struttura organizzativa sia al fine
di identificare, valutare il rischio e selezionare un’adeguata risposta al rischio, sia al fine di
gestire l’impresa e realizzare i suoi obiettivi. Nel contesto dell’ERM le organizzazioni devono
assicurare che i sistemi di informazione misurino, riferiscano e segnalino i rischi in modo
accurato e devono comunicare l’efficacia e i costi del processo di ERM.
Monitoraggio: L’intero processo di ERM muta nel tempo e deve essere, quindi,
continuamente monitorato al fine di permettere, se necessario, di operare delle correzioni.
Monitorare significa, infatti, valutare la presenza e il funzionamento continuo nel tempo di
tutti i componenti dell’ERM. In tal modo si attivano delle rapidi reazioni, in funzione dei
cambiamenti che si verificano nel contesto operativo aziendale, che possono rendere
insufficienti o inapplicabili, le risposte al rischio che in passato erano efficaci. Questi
cambiamenti possono riguardare: gli obiettivi aziendali, la struttura o la direzione aziendale,
l’arrivo di nuovo personale, l’introduzione di nuovi processi. Il monitoraggio può
concretizzarsi in interventi continui integrati nella normale attività operativa aziendale o in
valutazioni separate36 o ancora in una combinazione dei due metodi. Il monitoraggio
continuo viene svolto in tempo reale consentendo, così, di reagire in modo dinamico ai
cambiamenti che si verificano, mentre le valutazioni separate vengono effettuate solamente
a posteriori. Di conseguenza, il monitoraggio continuo è più efficiente delle valutazioni
77
separate e spesso consente di identificare le eventuali carenze in modo più rapido.
Generalmente l’ERM è strutturato per auto-monitorarsi in modo continuo, almeno fino ad
un certo livello oltre il quale sono necessarie delle valutazioni separate. Alcune imprese,
infatti, che svolgono un efficace monitoraggio continuo, periodicamente effettuano anche
valutazioni separate. Se, invece, un’azienda avverte frequentemente la necessità di fare
valutazioni separate, significa che l’attività di monitoraggio continuo deve essere rafforzata.
Il monitoraggio dell’efficacia del piano di attuazione dell’ERM, può prevedere la retroazione
alla fase del controllo nel caso in cui si verificassero dei problemi. Il monitoraggio, inoltre,
include la valutazione del rischio confrontando le occorrenze degli eventi reali con le
precedenti stime di probabilità, frequenza e costo.
2.5.2 ISO 31000
Lo standard internazionale ISO 3100095 descrive le componenti di un framework per
l’implementazione di una strategia di risk management all’interno delle aziende. Nonostante
l’appellativo di standard, il fine ultimo di questo documento è una definizione di linee guida
efficaci, più che la messa in atto di una certificazione. L’ISO 31000, presentato nel 2009, trae
i principi di base dell’ERM dal COSO e si basa sull’esperienza dello standard neozelandese
AS/NZS 4360:2004, di cui si propone come evoluzione. L’ISO 31000 si basa su 3 pilastri: i
principi, il framework e il processo.
I principi ISO 31000
Il risk management crea e protegge il valore: contribuisce in maniera misurabile al
raggiungimento degli obiettivi e al miglioramento delle prestazioni;
Il risk management è una parte integrante di tutti i processi aziendali: non deve essere
considerato un’attività avulsa dai processi core dell’azienda. Al contrario, è necessario
considerare quest’operazione come inclusa nelle responsabilità del management,
oltre che una parte imprescindibile di tutti i processi aziendali, tra cui la pianificazione
strategica e tutti i progetti e processi di change management96;
95 I contenuti di questo paragrafo sono stati tratti da rielaborazioni delle seguenti fonti: (Pomodoro & Luccini, 2012) e (AIRMIC, A structured approach to ERM and the requirements of ISO 31000, 2010). 96 Per Change Management si intende un approccio strutturato al cambiamento negli individui, nei gruppi, nelle organizzazioni e nelle società che rende possibile la transizione da un assetto corrente ad un futuro assetto desiderato. Il Change Management fornisce strumenti e processi per riconoscere e comprendere il cambiamento e gestire l'impatto umano di una transizione.
78
Il risk management è una parte integrante di tutti i processi decisionali: aiuta i decision
maker a compiere scelte informate, anticipando determinate azioni rispetto ad altre e
distinguendo tra diverse modalità di approccio;
Il risk management indirizza l’incertezza: questo processo tiene esplicitamente conto
dell’incertezza, della sua natura e di come possa essere affrontata;
Il risk management è sistematico, strutturato e puntuale: un approccio di questo tipo
al risk management, contribuisce all’efficienza e all’ottenimento di risultati
consistenti, comparabili e affidabili;
Il risk management è basato sulle migliori informazioni disponibili: gli input al
processo di risk management si basano anche su fonti di informazioni relativamente
affidabili, quali dati storici, esperienza, feedback degli stakeholder, osservazione
diretta, previsioni e giudizi di esperti. Ciononostante, i decision maker dovrebbero
informarsi e tenere in considerazione tutti i limiti connaturati all’entità dei dati a
disposizione dei modelli adottati, oltre che considerare le possibilità di divergenza tra
le opinioni degli esperti;
Il risk management è customizzato: questo processo deve essere allineato al contesto
interno ed esterno dell’organizzazione, oltre che al suo profilo di rischio;
Il risk management tiene in considerazione i fattori umani e culturali: riconosce infatti
le capacità, le percezioni e le intenzioni delle risorse umane, interne ed esterne
all’organizzazione, che abbiano le potenzialità di facilitare o intralciare il
conseguimento degli obiettivi;
Il risk management è trasparente e inclusivo: un livello di coinvolgimento puntuale e
appropriato degli stakeholder e, in particolare, dei decision maker di tutti i livelli
dell’organizzazione, nelle operazioni di risk management assicura la loro rilevanza ed
il loro aggiornamento. Inoltre, il coinvolgimento di queste figure permette agli
stakeholder di godere di una rappresentazione in sede di decision making, anche per
quel che riguarda le loro opinioni, tenute seriamente in considerazione nella
determinazione dei criteri di rischio;
Il risk management è dinamico, iterativo e sensibile al cambiamento: questo processo
ha l’obbligo di percepire e reagire in maniera appropriata al cambiamento senza
soluzione di continuità. In caso di eventi, interni o esterni, che comportino un
cambiamento del contesto e delle conoscenze, si mettono in atto una revisione e un
79
monitoraggio dei rischi: sulla base di questi processi si è quindi in grado di veder
emergere nuove eventualità dannose e di assistere alla scomparsa di altre;
Il risk management facilita il continuo miglioramento dell’organizzazione: le aziende
hanno la necessità di mettere a punto e di rendere effettive delle strategie per
migliorare il loro livello di maturità nella gestione dei rischi, oltre che in ogni altro
aspetto della vita aziendale.
Il framework ISO 31000: Rappresenta l’approccio da adottare per eseguire una corretta
gestione e monitoraggio del rischio. Consta di cinque fasi:
Mandato dell’alta direzione: è la fase in cui il vertice della società dà indirizzi
specifici e distribuisce le responsabilità nell’implementazione di un sistema di ERM;
Costruzione di una struttura di gestione del rischio: stabilire le politiche di
gestione del rischio, integrare i processi organizzativi, individuare le risorse,
individuare il funzionamento del sistema di reportistica e di comunicazione interna
ed esterna, pianificazione degli interventi da introdurre e definizione delle aree di
azioni;
Implementazione della gestione integrata: attuazione degli interventi pianificati
all’interno dei processi aziendali;
Monitoraggio: fase di monitoraggio e misurazione, che permette l’individuazione
dei punti di debolezza delle soluzioni introdotte;
Miglioramento del framework: adozione di un approccio di continuo
miglioramento come prassi aziendale.
80
Il processo ISO 31000: gli elementi del processo considerato sono:
Definizione del contesto: significa Definire l’ambiente interno ed esterno nel quale
l’organizzazione cerca di conseguire i propri obiettivi, Definire il contesto del processo
di gestione del rischio e Definire i criteri di rischio (che devono riflettere valori, obiettivi
e risorse dell’organizzazione);
Valutazione del rischio (Identificazione, Analisi, Ponderazione);
Trattamento del rischio: Il trattamento del rischio implica la selezione di una o più
opzioni per modificare i rischi e l’attuazione di tali opzioni. E’ un processo ciclico che
prevede:
o Valutazione del trattamento;
o Decisione circa la tollerabilità del rischio residuo (in caso negativo la generazione
di un nuovo trattamento);
o Valutazione dell’efficacia del trattamento.
Le opzioni possono comprendere:
o Evitare il rischio (non avviare o continuare l’attività);
o Assumere o aumentare il rischio (al fine di perseguire una opportunità);
o Rimuovere la fonte di rischio;
o Modificare la probabilità o le conseguenze;
o Condividere il rischio con altre parti;
o Ritenere il rischio con una decisione informata.
Trasversalmente si evidenziano le attività di: comunicazione e consultazione,
monitoraggio e riesame.
La figura mette in evidenza gli elementi che concorrono al processo.
81
2.6 Il processo e i principali strumenti operativi dell’ERM
Il processo di ERM97 è definibile come l’insieme delle fasi che permettono il raggiungimento
degli obiettivi previsti da una gestione integrata dei rischi d’impresa. Al riguardo si è avuto
già modo di osservare come il concetto di framework per la gestione integrata dei rischi
d’impresa non sia unico e universale per tutte le imprese. Sebbene, infatti, siano stati definiti
negli anni alcuni framework standardizzati per l’implementazione del modello ERM (tra cui
il più quotato è il framework COSO 2004) essi non vanno intesi come la regola da seguire
per la definizione del modello stesso, ma vanno intesi come un suggerimento di best practice
da adattare alla struttura dell’impresa e ai suoi processi interni. Lo sviluppo delle diverse fasi
del processo di Enterprise Risk Management non è universale. Questo fatto è osservabile
dalle diverse denominazioni che sono state date, sia in letteratura sia da parte delle
organizzazioni che hanno definito i principali framework, alle fasi costitutive il processo di
gestione integrata del rischio. In questo lavoro il framework adottato sarà quello proposto da
Giorgino e Travaglini98 (se ne ripropone una rielaborazione personale in figura). Questo
modello è nato come sintesi ed approfondimento dei contributi finora trattati.
Il processo di ERM viene suddiviso nelle seguenti fasi:
Definizione degli obiettivi strategici dell’impresa e di risk management;
Risk assessment, che inizia con l’identificazione dei rischi e si conclude con la loro
valutazione;
Reporting sui risultati del risk assessment;
97 I contenuti di questo paragrafo sono stati realizzati mediante la rielaborazione dei seguenti contributi: (AIIA & PWC, 2006), (Floreani, Introduzione al Risk Management, 2005) e (Monda & Giorgino, Dal risk management all'enterprise risk management, 2013). 98 Cfr. (Giorgino & Travaglini, 2008)
82
Gestione/trattamento dei rischi;
Assessment e reporting sui rischi residui;
Monitoraggio continuo dei rischi, supportato da idonei indicatori KRI.
2.6.1 Identificazione degli obiettivi e del Risk Appetite
Aderendo ad una gestione proattiva dei rischi, il processo di ERM è chiamato ad interagire
con il processo di pianificazione strategica, supportando con informazioni aggiuntive le
decisioni di investimento e finanziamento dell’azienda, favorendo così l’individuazione di
alternative strategiche coerenti con il profilo di rischio desiderato dagli stakeholder. Una volta
identificati gli obiettivi strategici, di alto livello, l’impresa deve preoccuparsi della gestione dei
rischi insiti nella proprie attività, in modo da massimizzare le probabilità di risultati positivi e
minimizzare il pericolo di perdite: è necessario definire un piano di gestione del rischio che
sia funzionale al raggiungimento degli obiettivi strategici. Ogni impresa è quindi chiamata a
definire l’atteggiamento che deve essere assunto di fronte alle diverse tipologie di rischio, le
risorse da dedicare alle attività di ERM, la strutturazione del processo e le modalità di
valutazione e trattamento dei rischi.
Identificazione
Valutazione
RISK ASSESSMENT
Integrazione
Reporting
Assessment e reporting rischi residui
Obiettivi impresa ed ERM
Trattamento
Mo
nit
ora
gg
io r
isch
i re
sid
ui
83
Contestualmente alla definizione degli obiettivi, l’impresa si trova a definire il cosiddetto Risk
Appetite, cioè l’ammontare di rischio complessivo, definito sulla base delle aspettative degli
stakeholder, che è disposta ad assumere entro i limiti imposti dalla sua capacità di rischio, nel
raggiungimento degli obiettivi di crescita del valore aziendale. Esso riflette la propensione
al rischio dell’azienda, che influenza a sua volta le strategie di crescita del valore e il modello
di business adottato. Un aspetto di fondamentale importanza consiste quindi nella piena
integrazione del risk appetite all’interno del processo di definizione ed esecuzione della
strategia aziendale, rendendo così possibile l’individuazione di obiettivi strategici coerenti con
il profilo rischio/rendimento desiderato dagli stakeholder e di opportuni limiti di rischio con
cui guidare le attività di risk management internamente all’impresa.
La formalizzazione del risk appetite avviene mediante un documento approvato dal Board e
incluso nella Policy di ERM, cioè il Risk Appetite Statement, che esplicita la propensione
al rischio dell’impresa che dovrà essere declinata su tutta l’organizzazione. Questo statuto è
formulato tenendo presenti le diverse aspettative degli stakeholder e considerando tutti i
rischi significativi in cui si incorre nella conduzione del business. Una chiara definizione del
risk appetite consente di dare agli stakeholder una ragionevole certezza della piena
comprensione dei rischi da parte dell’impresa e del suo impegno a monitorarli
adeguatamente.
2.6.2 Risk Assessment: identificazione e valutazione dei rischi.
La fase di assessment è la fase più tecnica del processo di ERM e può essere scomposta nella
fase di identificazione dei rischi e nella fase di valutazione degli stessi (stima e
prioritizzazione). L’obiettivo è definire un elenco dei rischi accettabili e non accettabili
dall’impresa, per i quali è necessario intervenire con opportune misure di trattamento.
Identificazione dei rischi: consiste nel creare un inventario dei rischi significativi cui
l’impresa è esposta, classificandoli all’interno di determinate categorie. Come abbiamo visto
nel primo capitolo, in letteratura sono state proposte diverse classificazioni di rischio. In
questo lavoro per esser coerenti con la struttura adottata, abbracciamo la tassonomia
proposta da Giorgino e Travaglini99, nata dall’intersezione dei rischi previsti da COSO e da
quelli previsti dal CAS. Le macro-categorie di rischio sono100:
99 (Giorgino & Travaglini, 2008) 100 Andremo a dettagliare i soli rischi non introdotti nel capitolo 1.
84
I rischi strategici o di business;
I rischi finanziari;
I rischi operativi;
I rischi potenziali (hazard): sono quei rischi che possono essere identificati in via
residuare rispetto ai rischi precedenti, il cui effetto è unicamente negativo e può
spesso determinare ingenti perdite economiche, dirette e indirette;
I rischi di conformità alla normativa (compliance): sono quei rischi inerenti alla
conformità alle normative vigenti, specifiche del paese in cui opera l’impresa.
Le principali tecniche di identificazione dei rischi
La fase di identificazione è altamente critica in quanto non esistono tecniche che garantiscano
l’individuazione di tutti i rischi possibili. L’impresa è quindi chiamata a considerare una serie
di aspetti fondamentali al fine di massimizzare l’efficacia di tale fase:
Standardizzazione e omogeneità del linguaggio all’interno dell’impresa, al fine di
definire e denominare tutti i fattori di rischio in maniera consolidata a livello
aziendale;
Preferire l’utilizzo di più tecniche di identificazione, piuttosto che focalizzarsi su una
sola di esse;
Le tecniche adottate dovrebbero incoraggiare la discussione e lo scambio di idee tra
gli individui;
L’identificazione dovrebbe coinvolgere un team inter-funzionale al fine di rilevare i
rischi sull’intera organizzazione;
Il processo dovrebbe concludersi con una lista focalizzata sui rischi vitali per
l’impresa.
L’analisi dell’esperienza passata: L’analisi dell’esperienza passata è fondamentale per
giungere ad identificare le principali tipologie di rischi aziendali. Essa si può basare sia
sull’esperienza personale dei soggetti presenti in azienda sia sugli archivi appositamente
predisposti e volti a registrare gli eventi utili a tale scopo. Questa analisi può servire ad
individuare rischi puri e speculativi. Il principale limite dell’esperienza passata è la mancanza
a livello aziendale di archivi storici sufficientemente ampi dai quali poter trarre utili
indicazioni. In effetti, l’attenzione verso il risk management è, per la maggior parte delle
aziende, piuttosto recente. Inoltre la costituzione e, soprattutto, la manutenzione di archivi
85
storici volti a rilevare i fatti aziendali per le finalità di risk management può essere molto
onerosa. Infine l’analisi dell’esperienza passata non permette di identificare rischi che
possono essere presenti, ma che non si sono ancora verificati. In generale essa porta a
sovrastimare l’importanza dei rischi che si sono già verificati in passato ed a sottostimare i
rischi che non si sono ancora verificati.
Check o Prompt List: Una prompt list consiste in un elenco di categorie di rischi o un
elenco di rischi predisposta allo scopo di agevolare la fase di identificazione. Le prompt list
si presentano particolarmente utili quando si tratta di identificare dei rischi aziendali o di
progetti simili ad altre aziende o progetti su cui si è già svolta la fase di identificazione in
passato. Inoltre possono essere impiegate prima di altre tecniche quali il brainstorming e le
interviste. In questo caso “la lista” serve a chi la utilizza per arrivare già “preparato”
all’intervista o alla sessione di brainstorming. Le prompt list sono uno strumento poco
costoso ma si rivelano inadeguate ad identificare rischi che non trovano collocazione
nell’elenco formulato.
Self Assessment e interviste: Le interviste permettono di superare i problemi dell’analisi
della documentazione tecnica. Ogni soggetto che può contribuire alla corretta identificazione
e descrizione dei rischi viene intervistato. L’intervistatore si avvale solitamente di un
questionario predisposto allo scopo. L’intervista è particolarmente utile per l’identificazione
di rischi puri di natura tecnica difficilmente individuabili da chi non ha sufficienti competenze
in merito.
Il brainstorming: La tecnica del brainstorming è una tecnica di gruppo che può essere
utilmente impiegata per l’identificazione dei rischi. In generale la tecnica del brainstorming
ha lo scopo di generare idee per risolvere un’ampia gamma di problemi. Essa è
particolarmente utile per l’identificazione di rischi complessi. Con la sessione di
brainstorming i soggetti che possono contribuire all’identificazione dei rischi si riuniscono
sotto la giuda di un moderatore. La riunione è solitamente informale ed è finalizzata a far
esprimere liberamente l’opinione di ciascuno. Tutte le idee esposte durante la sessione sono
registrate e analizzate successivamente dal moderatore. La fase dell’analisi è centrale per la
corretta identificazione dei rischi. Spesso il moderatore può organizzare delle interviste con
i singoli partecipanti alla riunione al fine di meglio focalizzare l’attenzione sui rischi dei quali
si è discusso solo superficialmente nella sessione di brainstorming. La tecnica del
brainstorming ha il vantaggio di mettere a frutto le esperienze personali di un variegato
86
gruppo di persone e può permettere di individuare quei rischi che le prompt list o l’analisi
dell’esperienza passata non sono in grado di identificare.
Analisi SWOT: E’ una tecnica spesso usata nella formulazione della strategia. I punti di
forza e debolezza guardano l’organizzazione al proprio interno e di focalizzano su aspetti
quali la cultura la struttura e le risorse umane e finanziarie dell’impresa. Le opportunità e le
minacce si riferiscono invece a fattori politici, sociali, ambientali e connessi al settore in cui
opera, non controllabili dall’impresa. L’obiettivo dell’analisi SWOT consiste
nell’identificazione dei fattori essenziali, interni ed esterni, che influiscono sullo sviluppo e
sul valore dell’azienda.
I quattro punti dell'analisi SWOT (forze, debolezze, opportunità e minacce) provengono da
un'unica catena di valori intrinseci alla società e possono essere raggruppati in due categorie:
Fattori interni: sono i punti di forza e di debolezza interni dell'organizzazione;
Fattori esterni: sono le opportunità e le minacce presenti all'esterno
dell'organizzazione. L'identificazione di tali fattori può essere svolta attraverso
un'analisi PEST (acronimo di Politica, Economica, Sociale, Tecnologica, nota anche
come Analisi Quantitativa, STEER, STEEP, DESTEP, STEP).
Questionari e survey: un questionario di rischio include una serie di domande finalizzate
ad identificare una serie di rischi sia interni che esterni. È quindi utile in quanto, durante il
suo sviluppo, spinge l’impresa a riflettere su tutti i possibili rischi cui può essere esposta. Il
87
questionario è semi-strutturato così da rendere possibile l’inclusione di utili pareri, commenti
o esperienze. La survey di rischio può essere rivolta a vari livelli di management e solitamente
chiede di indicare i rischi più importanti associati al raggiungimento degli obiettivi. Le
informazioni ottenute da queste due tecniche, una volta consolidate, vengono utilizzate
all’interno di un workshop facilitato in cui vengono discussi ed analizzati i rischi emersi.
FMEA (Failure Mode Effects Analysis): è una tecnica induttiva che fornisce una
valutazione delle potenziali modalità di fallimento di un processo produttivo, delle relative
cause e del loro impatto sui risultati e/o sulle performance del prodotto. Stabilite le modalità
di fallimento, l’obiettivo è quello di eliminarle, contenerle, ridurle o controllarle.
FTA (Fault Tree Analysis): è una tecnica induttiva che partendo dal fallimento di una
funzionalità di un prodotto/processo, permette di identificarne le catene causali. Il grafico
che ne risulta è una rappresentazione ad albero, composta da vari livelli alla fine di ciascuno
dei quali, gli eventi intermedi si trasformano a loro volta in cause iniziali con una loro
probabilità di accadimento. La frequenza del Top Event dipende dalla probabilità delle
diverse catene causali, combinate con opportuni operatori logici.
HAZOP (Hazard Operability Analysis): è una tecnica induttiva basata sull’assunzione che
gli eventi rischiosi sono causati da deviazioni dal normale utilizzo di un prodotto/processo.
È una tecnica di brainstorming utilizzata per identificare fonti di potenziali danni, con l’aiuto
di parole guida che vengono applicate ad una serie di parametri rilevanti al fine di individuare
le potenziali deviazioni rispetto al progetto originario. È una tecnica applicabile ai processi
manifatturieri.
HACCP (Hazard analysis and critical control point): è uno strumento sistematico,
proattivo e preventivo utilizzato per assicurare qualità, affidabilità e sicurezza del prodotto.
Consiste nell’applicazione di principi tecnico scientifici per analizzare, valutare, prevenire e
controllare i rischi o le conseguenze negative di hazard connessi al progetto, allo sviluppo,
alla produzione e utilizzo del prodotto.
Risk Register
Le informazioni raccolte nella fase di identificazione, alimentano il registro di rischio, un
catalogo dinamico contenente tutti i rischi identificati corredati da una serie di informazioni,
raccolte secondo una modalità standardizzata, che supportano l’intero processo di risk
management. Il risk register, integrando tutte le principali informazioni relative ai rischi,
88
permette di agevolare le successive fasi del processo e di disporre in ogni momento, di una
informativa sintetica e aggiornata dei rischi. Le informazioni che dovrebbe contenere sono:
Data ultimo aggiornamento;
Codice riconoscimento univoco associato a ciascun rischio;
Nome e descrizione;
Natura del rischio;
Causa associata al manifestarsi del rischio;
Descrizione dei drivers di rischio;
Stima di probabilità di accadimento, severità dell’impatto e rating del rischio;
Definizione dei risk owners, dei soggetti responsabili dell’identificazione, del
trattamento e del monitoraggio dei rischi;
Il timing del rischio;
Le contromisure per rispondere al rischio:
La descrizione di eventuali rischi secondari;
Il data target entro cui devo essere realizzate le modalità di risposta al rischio.
Lo stato del rischio: gestito, non gestito, in fase di gestione.
Valutazione dei rischi. Questa fase ha inizio con la stima dei rischi e termina con la loro
prioritizzazione al fine di individuare quelli non accettabili e per cui procedere con misure di
trattamento. La stima dei rischi può avvenire tramite tecniche qualitative, semi-quantitative
o quantitative. La preferenza di una tecnica piuttosto che di un’altra, dipende da variabili
come la volatilità, il tipo di rischio, la rilevanza e il costo di implementazione.
Le principali tecniche di stima dei rischi
La misurazione dei rischi identificati può essere svolta attraverso tre tipologie di tecniche:
Qualitative: esse impiegano parole o scale descrittive per rappresentare probabilità
e impatto di ciascun rischio individuato; queste tecniche hanno un carattere generale
e nella maggior parte dei casi vengono utilizzate come base di partenza per uno studio
più dettagliato;
Semiquantitative: attribuiscono dei numeri alle categorie individuate attraverso
l’analisi qualitativa. Questi numeri non rappresentano però una vera e propria
89
quantificazione della probabilità e dell’impatto dei rischi, ma piuttosto servono a
ordinare le diverse tipologie di rischi che sono state individuate;
Quantitative: queste tecniche permettono di determinare la distribuzione di
probabilità associata ai possibili impatti di un certo evento rischioso. In generale la
scelta fra le possibili tecniche proposte presuppone una preventiva analisi di
convenienza economica attraverso la quale si confrontano i costi che l’azienda dovrà
sostenere per realizzarla, con i benefici derivanti da una migliore conoscenza dei
fenomeni esaminati.
Le tecniche qualitative e semiquantitative sono più semplici e meno costose da realizzare
rispetto a quelle quantitative. Nella valutazione della tecnica da utilizzare si deve tener conto
anche del tipo d’informazione a disposizione (effettiva conoscenza delle persone coinvolte o
di esperti, ricerche di mercato, informazioni storiche) e della tipologia di rischio che si vuole
misurare. Se l’informazione a disposizione sugli eventi rischiosi è scarsa, è consigliabile
utilizzare tecniche qualitative o semiquantitative viste la presenza di maggiore incertezza che
renderebbe meno significative le più onerose tecniche quantitative. Con riferimento alla
tipologia di rischio da stimare, l’adozione di tecniche quantitative è impiegata soprattutto per
la misurazione dei rischi finanziari, poiché l’incertezza dipende in questi casi da variabili
facilmente esaminabili nei mercati finanziari. Per la valutazione dei rischi operativi e strategici,
al contrario, l’impiego di tecniche qualitative o semiquantitative viene generalmente preferito
vista la maggiore incertezza legata ai continui cambiamenti dell’ambiente che rendono
difficilmente utilizzabili le informazioni storiche a disposizione.
La valutazione dei rischi, a prescindere dalla tecnica utilizzata, consiste nella stima di due
parametri fondamentali che definiscono il rischio: la probabilità di manifestazione
dell’evento incerto; l’impatto sulla capacità dell’organizzazione di conseguire gli obiettivi
prefissati. Il management inoltre, nello svolgimento di questa fase, deve considerare sia il
“rischio inerente”, che il “rischio residuo”. Il rischio inerente è il rischio che un’azienda
assume nel caso in cui il management non abbia realizzato alcun intervento per modificare
probabilità e impatto, cioè il rischio che prescinde dal tipo di controllo istituito in azienda. Il
rischio residuo è invece quello che resta dopo che il management ha avviato una risposta al
rischio. Il rischio viene quindi valutato prima di tutto come rischio inerente e, dopo
l’implementazione della risposta al rischio, come rischio residuo.
90
La stima qualitativa: la matrice probabilità-impatto.
La tecnica qualitativa più diffusa che permette di giungere a un ordinamento dei rischi
individuati è la “matrice probabilità-impatto”. In questo caso la valutazione viene eseguita
considerando unitamente i due parametri che definiscono il rischio, probabilità di
manifestazione e impatto atteso, i quali vengono stimati tramite valutazioni soggettive
L’impiego di questa tecnica richiede prima di tutto la definizione di una scala qualitativa che
rappresenti le probabilità di manifestazione dell’evento incerto e di una scala qualitativa che
rappresenti gli impatti attesi, ovvero le conseguenze economiche dell’evento. Ciascun
attributo utilizzato per la definizione delle due scale qualitative dovrà poi essere associato a
una breve descrizione, in modo tale da facilitare e dare maggiore uniformità al processo di
valutazione. Ciò permette di creare specifiche categorie di probabilità e d’impatto (sia
descrittive, sia numeriche) in base al quale saranno classificati i rischi individuati. Ponendo in
relazione probabilità e impatto dell’evento rischioso, il management potrà inserire ciascuno
di essi nella matrice probabilità-impatto ottenendo in tal modo una mappatura dei rischi
gravanti sull’organizzazione. Per essere realizzata la tecnica probabilità-impatto richiede di
definire:
Una scala qualitativa rappresentativa delle probabilità di verificazione dell’evento
avverso;
Una scala qualitativa rappresentativa degli impatti, cioè delle conseguenze
economiche dell’evento;
Una scala qualitativa che assegna ad ogni combinazione di probabilità e impatto un
giudizio detto risk rating; solitamente le combinazioni probabilità-impatto sono
rappresentate sotto forma matriciale denominata matrice P-I;
Dei criteri di valutazione del risk rating, cioè l’indicazione dell’atteggiamento da
assumere nei confronti di un rischio che ha un determinato risk rating.
La figura fornisce una esemplificazione dei passi evidenziati. Ovviamente la scelta delle scale
di probabilità, di impatto, di risk rating e dei criteri di valutazione sono affidate al buon senso
del risk manager. Nella figura sono formate cinque classi di probabilità (da rara a quasi certa),
cinque classi di impatto (da insignificante a catastrofico) e quattro classi di risk rating (da
basso a estremo). A ciascuna classe di rating corrisponde una valutazione del rischio.
91
I rischi con rating alto/estremo, sono caratterizzati da un danno elevato e da una
probabilità di accadimento significativa. Sono rischi che, al limite, possono
compromettere la sopravvivenza dell’impressa e che pertanto non è possibile non
controllare e prevenire;
Alla base dei rischi con rating moderato, c’è il verificarsi di un evento che può
potenzialmente provocare danni all’operatività dell’organizzazione anche se non ne
dovrebbero compromettere la sopravvivenza. Potrebbe trattarsi di rischi
caratterizzati da entità di danno minori ma con una probabilità di accadimento
significativa o, al contrario, di rischi caratterizzati da entità di danno critica ma con
una scarsa probabilità di accadimento;
I rischi con rating basso sono quelli che possono essere tralasciati in sede di
allocazione delle risorse per il controllo. In ogni caso devono essere periodicamente
controllati per assicurarsi che mantengano lo stesso livello di criticità. Sono
caratterizzati da un impatto trascurabile e da un’esigua probabilità di accadimento.
92
La tecnica probabilità-impatto è sicuramente molto semplice e poco costosa da
implementare. Si ritiene però che il suo ambito di applicazione sia necessariamente limitato
all’attività di screening dei rischi puri, cioè all’individuazione di quei rischi puri che necessitano
di un approfondimento da attuare tramite un’opportuna tecnica quantitativa. Per costruzione
questa tecnica non è applicabile ai rischi speculativi cioè a quei rischi in cui sono importanti
anche le opportunità oltre che le minacce. L’effettiva applicabilità è inoltre limitata ai rischi
nei quali esistono due soli scenari possibili: lo scenario in cui non accade nulla; lo scenario in
cui si verifica un danno che determina un impatto ben definito.
La stima semiquantititativa
Le tecniche semiquantitative assegnano alle classi individuate tramite le valutazioni qualitative
dei numeri (o pesi) a ogni livello di probabilità e impatto individuato, permettendo così
all’azienda di valutare sinteticamente i rischi tramite un punteggio, detto risk score (o
esposizione). Il punteggio concernente l’esposizione di ciascun rischio identificato si calcola
quindi moltiplicando il peso associato a ogni livello di probabilità di accadimento (score di
probabilità) con quello associato al corrispondente impatto atteso. I pesi assegnati alle classi
e i punteggi che si riferiscono all’esposizione, non rappresentano tuttavia una vera e propria
quantificazione di probabilità, impatto e rischio, ma piuttosto permettono all’azienda di
ordinare e confrontare più rischi. L’aspetto chiave di questa tecnica è rappresentato dalla
scelta dei pesi associati ad ogni classe di probabilità ed impatto individuata. Possono, infatti,
essere assegnati dei punteggi lineari, cioè proporzionali all’effettiva probabilità di
accadimento e all’impatto atteso, oppure punteggi più che proporzionali o ancora punteggi
che crescono con tasso decrescente. Dopo aver svolto questa misurazione relativamente ad
ogni rischio identificato, tutti i rischi così stimati vengono inseriti nella matrice probabilità-
impatto, che permette all’azienda di avere una visione congiunta degli stessi e una
rappresentazione complessiva dell’esposizione al rischio del processo o dell’unità
93
organizzativa oggetto di valutazione. Tale mappa dei rischi permette all’azienda di creare un
ordinamento degli stessi in base al livello di esposizione (elevata/media/bassa). Le attenzioni
maggiori saranno date a quei rischi che presentano un elevato livello di esposizione, come
specificato nel precedente paragrafo. Il management deve quindi pianificare e realizzare degli
adeguati interventi finalizzati a ridurre la probabilità di manifestazione di tali rischi, in modo
tale da ricondurla a un livello ritenuto accettabile dall’azienda. La stima semiquantitativa si
presta a essere utilizzata nella stima e nella valutazione dei rischi puri, mentre l’adattamento
ai rischi speculativi risulta essere complesso. In sintesi l’utilizzo di tecniche qualitative o
semiquantitative di stima sembra essere giustificato solo per fare uno screening dei rischi
puri, cioè per individuare quei rischi che devono essere analizzati e approfonditi tramite
un’analisi quantitativa e quei rischi che possono essere trascurati o gestiti senza ricorrere a
una più complessa analisi.
La stima quantitativa
L’obiettivo delle tecniche quantitative è quello di determinare la distribuzione delle variabili
aleatorie rappresentative dei rischi oggetto d’indagine. Esistono tipicamente due
rappresentazioni: la distribuzione dei risultati possibili e la distribuzione delle perdite
possibili. Quella di maggior interesse è la distribuzione dei risultati possibili. Questa indica
l’impatto del rischio sulla variabile obiettivo aziendale (patrimonio d’impresa, valore
economico o risultato economico) assumendo la neutralità degli altri rischi aziendali.
Per il processo di stima quantitativa esistono molti modelli scientifici che possono essere
impiegati. E’ possibile, tuttavia, individuare alcune tappe fondamentali comuni a tutti i
modelli:
Costruzione del modello;
Determinazione delle caratteristiche delle variabili aleatorie e non aleatorie;
Determinazione della distribuzione dei risultati e degli indicatori di sintesi;
Validazione e verifica del modello;
La distribuzione della variabile aleatoria obiettivo, invece, è generalmente determinata
attraverso la simulazione: si tratta di una particolare modalità decisionale basata sulla
costruzione di sistemi d’ipotesi e sullo svolgimento di esperimenti. Le tecniche più conosciute
sono:
94
La risoluzione analitica - Nella risoluzione analitica la distribuzione della variabile
aleatoria obiettivo viene individuata direttamente dal modello, in forza delle proprietà
delle variabili aleatorie che lo costituiscono. La risoluzione analitica è
possibile esclusivamente per modelli estremamente semplificati;
La simulazione Monte Carlo - La simulazione Monte Carlo è attualmente la più
diffusa modalità di risoluzione dei problemi che coinvolgono variabili aleatorie. Il
metodo Monte Carlo determina la variabile aleatoria obiettivo generando un numero
sufficientemente elevato di sentieri casuali (scenari o iterazioni). Ciascuno scenario
giunge a determinare una possibile realizzazione della variabile obiettivo. Per
raggiungere questo scopo le singole realizzazioni delle variabili aleatorie, che sono
alla base del modello, sono generate in modo da rispettare le caratteristiche della loro
distribuzione originaria. Più precisamente la simulazione Monte Carlo si basa sui
seguenti passi fondamentali:
o Simulazione di una realizzazione casuale della variabile aleatoria obiettivo;
o Ripetizione N volte il punto precedente, così da ottenere N realizzazioni
casuali della variabile aleatoria obiettivo;
o Stima della distribuzione della variabile aleatoria obiettivo dalle N
realizzazioni casuali;
o Stima degli indicatori sintetici della variabile aleatoria obiettivo (valore atteso,
scarto quadratico medio, value at risk).
All’interno del gruppo generico delle tecniche quantitative, occorre poi distinguere tra
tecniche probabilistiche e non probabilistiche. I modelli non probabilistici utilizzano
ipotesi soggettive per stimare l’impatto di eventi senza quantificare una probabilità associata
ai singoli eventi. Tra questi modelli si evidenziano: l’analisi di sensitività, finalizzata a
misurare l’impatto sui risultati aziendali derivante dalla variazione di alcuni fattori di rischio
interni all’impresa; l’analisi di scenario, che si fonda sulla stessa logica dell’analisi di
sensitività, considerando però i fattori di rischio esterni all’impresa. Infine i modelli
probabilistici che utilizzano ipotesi soggettive per stimare l’impatto di eventi senza
quantificare una probabilità associata ai singoli eventi.
La prioritizzazione dei rischi
I rischi identificati e stimati nelle fasi precedenti, vengono confrontati con le soglie di
rischiosità fissate dall’organizzazione, definite in funzione del risk appetite, al fine di
95
discriminare la rilevanza o meno di ogni specifico rischio. L’obiettivo è quello di definire una
priorità tra i rischi identificati, distinguendo quelli che necessitano di investimenti o azioni
organizzative urgenti, da quelli che richiedono interventi nulli o ridotti. Si sottolinea che
l’ordinamento dei rischi deve essere effettuato su base residuale, al netto dell’efficacia di
eventuali controlli già in essere nell’impresa.
Se i rischi sono stati valutati qualitativamente con la matrice P-I, verranno considerati critici,
i rischi che superano il valore soglia prefissato, considerando congiuntamente la probabilità
di accadimento e la severità dell’impatto. Nel caso in cui i rischi siano stati valutati
quantitativamente, verrà valutato l’impatto di ciascun fattore di rischio sulla distribuzione di
probabilità di determinati obiettivi di performance: verranno classificati come critici, tutti i
rischi aventi un’incidenza maggiore di una soglia percentuale sulla variazione delle prestazioni
aziendali.
L’esposizione dell’impresa ai rischi non è statica: l’azienda e i singoli progetti sono realtà che
evolvono nel tempo; pertanto la fase di risk assessment, non può essere effettuata una
tantum, ma periodicamente. Inoltre è necessario un livello minimo di frequenza del risk
assessment al dine di agevolare l’integrazione del risk management all’interno del normale
funzionamento aziendale, evitando così di farlo diventare un rituale esercizio di compliance.
2.6.2 Integrazione dei rischi
Dopo aver classificato i rischi in ordine decrescente di esposizione, la loro successiva
aggregazione all’interno di un portafoglio complessivo, costituisce l’essenza dell’ERM.
Ciò consente all’impresa di avere una visione completa dei rischi cui è esposta, di
coglierne le correlazioni, le interdipendenze e di ricorrere a coperture naturali. Solitamente,
la diversificazione esistente tra le diverse categorie di rischio fa sì che la somma dei rispettivi
VAR, sia maggiore del VAR calcolato a livello d’impresa, di una quantità che dipende dal
grado di correlazione esistente tra i rischi stessi.
L’oggetto del trattamento non sono più i singoli rischi, ma è l’esposizione netta
dell’impresa, ottenuta dopo aver considerato eventuali compensazioni, parziali o totali, tra
i differenti rischi. Tale approccio integrato consente di creare valore grazie alla significativa
riduzione dei costi di transazione e gestione. L’integrazione, inoltre, può mettere in luce
eventuali correlazioni tra rischi a prima vista insignificanti ma che, se accostati tra loro,
possono comportare effetti significativi sull’impresa: permette quindi di evitare potenziali
96
sovrapposizioni degli effetti a prima vista non evidenti, perseverando in tal modo il valore
aziendale.
2.6.3 Reporting dei rischi
Nella fase di risk reporting, devono essere redatti dei report sintetici volti ad evidenziare i
principali risultati dell’assessment e integrazione dei rischi in modo tale da permettere, a chi
ne ha la responsabilità, di prendere adeguate decisioni nella successiva fase di trattamento del
rischio. Il report è quindi un documento strutturato in cui si presentano tutti i rischi emersi
nella fase di identificazione, descrivendone le principali caratteristiche, lo stato di gestione
attuale e il ranking ottenuto nelle fasi precedenti. Il report consentirà ai responsabili di
prendere decisioni sulla base di un quadro completo e dettagliato dei rischi che insistono
sull’organizzazione.
2.6.4 Trattamento dei rischi
La fase di trattamento consiste in un complesso di attività finalizzate a ridurre i rischi, al fine
di ricondurli entro i limiti di tolleranza e il risk appetite dell’impresa. La scelta della tecnica
più idonea dipende dalla tipologia di rischio da trattare e da un’attenta analisi costi-benefici.
Le principali tecniche di trattamento dei rischi
Le modalità di gestione del rischio possono essere classificate in ex- ante e in ex-post. Le
modalità ex-ante riguardano interventi di gestione prima che il rischio si sia effettivamente
manifestato. Le modalità ex-post intervengono dopo che il rischio si è manifestato.
Le misure ex-ante possono a loro volta essere distinte in:
Non assunzione;
Prevenzione;
Protezione;
Diversificazione;
Copertura;
Ritenzione;
Monitoraggio ex-ante (controllo dell’esposizione al rischio).
Le misure ex-post possono invece essere distinte in:
Monitoraggio ex-post (controllo dell’andamento dei rischi);
Misure di contenimento e riduzione del danno (crisis management);
97
Piani di finanziamento dei flussi finanziari e dei flussi economici.
In questa sede, ci soffermeremo solo sulle tecniche maggiormente diffuse e condivise in
letteratura.
Non Assunzione (Evitare): La non assunzione dei rischi consiste nel rinunciare, se
possibile, ad assumersi un determinato rischio. La non assunzione ovviamente è il
riconoscimento che le altre misure di gestione dei rischi non sono idonee a rendere
accettabile un determinato rischio. Solitamente questo può accadere quando le altre misure
di gestione sono troppo onerose, cioè comporterebbero il sostenimento di costi troppo
elevati in rapporto al beneficio ottenuto in termini di riduzione dei rischi. Si può decidere di
non dare esecuzione ad un progetto che comporti l’assunzione di dati rischi, anche quando
non esistono misure di gestione in grado di ridurre il rischio sotto la soglia giudicata minimale
dall’azienda interessata.
Riduzione: Le misure di contenimento e di riduzione del danno sono tutte quelle azioni che
vengono stabilite e intraprese successivamente al manifestarsi del rischio, al fine di ridurne
gli effetti economici negativi o di amplificarne gli effetti economici positivi. Affinché le
misure di contenimento e riduzione del danno siano efficaci è ovviamente necessario che
esse siano studiate nelle loro linee essenziali ex-ante.
EX-ANTE EX-ANTE
EX-ANTE EX-POST
98
Condividere (Copertura): La copertura dei rischi consiste nell’assunzione di una posizione
rischiosa opposta a quella che si desidera gestire. Ne consegue una riduzione dei rischi per
compensazione.
Le operazioni di copertura comportano tipicamente la stipulazione di un contratto
finanziario in senso lato tra il soggetto che intende coprirsi e una controparte
individuata allo scopo;
Il rischio originario non risulta in alcun modo influenzato dall’operazione di
copertura, come invece avviene con le misure di prevenzione in senso lato;
Le assicurazioni sono le tipiche operazioni di copertura dei rischi puri (come visto
nel paragrafo 2.1);
La copertura di numerosi rischi finanziari può avvenire tramite la negoziazione su
mercati regolamentati di contratti standardizzati, principalmente futures e options
(come visto nel paragrafo 2.1).
Le operazioni di copertura non trasferiscono alcun rischio. Il rischio originario continua a
rimanere saldamente in capo all’azienda interessata. La denominazione di trasferimento delle
conseguenze economiche del rischio può essere invece ritenuta corretta da un punto di vista
sostanziale anche se è imprecisa. Infatti un’azienda che si copre stipula un contratto
finanziario con il quale una controparte si impegna a compensare gli effetti economici di un
certo rischio. Se la controparte effettivamente adempie al contratto è come se vi fosse stato
un trasferimento delle conseguenze economiche del rischio. Se però la controparte non
adempie al contratto, gli effetti economici del rischio originario rimangono in capo all’azienda
che si è coperta.
Accettare (Ritenzione): La ritenzione consiste nell’assunzione di un rischio senza adottare
alcuna esplicita misura di gestione dello stesso. Ciò si verifica quando il rischio è giudicato
trascurabile o quando, pur essendo rilevante, l’adozione di vere e proprie misure di gestione
volto a ridurlo non sono giudicate convenienti.
2.6.5 Assessment e Reporting dei rischi residui
Al termine della fase di trattamento dei rischi, è necessario effettuare una nuova stima dei
rischi che continuano ad interessare l’impresa nonostante gli interventi analizzati. Questi
ultimi sono denominati rischi residui e richiedono una mappatura dettagliata e un’accurata
attività di monitoraggio. A seguito di questa fase, viene redatto un nuovo report, sintesi di
99
tutto il processo di ERM, che contiene tutte le informazioni utili ai diversi livelli aziendali e
agli stakeholder esterni per supportare le decisioni aziendali e per valutare l’efficienza del
processo.
2.6.6 Monitoraggio dei rischi
Alla fine del processo di ERM si colloca la fase di monitoraggio. Monitorare significa
verificare la qualità del sistema di gestione di rischi attuato dall’impresa, valutando in itinere
il raggiungimento degli obiettivi individuati in fase di programmazione. I sistemi di ERM
infatti devono essere continuamente modificati, permettendo di adattarsi flessibilmente ai
variabili andamenti di mercato e alle evoluzioni della struttura interna. Quindi nel momento
in cui si modificano gli obiettivi da perseguire, devono essere modificati di conseguenza gli
strumenti con cui perseguirli. Una volta individuati i rischi residuali, l’impresa deve attuare il
processo di monitoraggio dell’intera gestione dei rischi. I due principali metodi individuati
differiscono tra loro per la frequenza con cui sono compiuti i controlli:
Valutazione continua: La valutazione continua è eseguita con costanza durante
tutto il processo di ERM, in modo da permettere un’individuazione simultanea degli
scostamenti dei risultati dagli obiettivi individuati. Per attuare concretamente il
monitoraggio continuo, devono essere coinvolti tutti gli operatori aziendali, i quali
devono conoscere i propri compiti e quelli dei colleghi, in modo da valutare sia
l’attività propria che quella dell’area a cui fanno riferimento.
Valutazione separata: La valutazione separata, al contrario della precedente, non è
costante, ma è svolta a intervalli prefissati, la cui frequenza varia in base al grado di
analisi desiderato dall’impresa. Questi controlli non offrono l’efficacia di
monitoraggio dei precedenti, ma sono utilizzati in determinate situazioni, in cui la
continuità risulterebbe troppo onerosa o quando l’area monitorata risulti essere
sufficientemente stabile. Gli intervalli di monitoraggio sono determinati in base alla
probabilità di manifestazione dei rischi, e difatti rischi con maggior probabilità
avranno controlli più frequenti, a esempio controlli settimanali, e rischi con bassa
probabilità avranno controlli più dilatati nel tempo, a esempio mensili o trimestrali.
Questi due metodi di monitoraggio devono essere utilizzati insieme, in modo da controllare
con continuità le aree maggiormente soggette a rischi, e ridurre la frequenza di controllo man
mano che si riduce la probabilità di manifestazione di un rischio.
100
2.7 La struttura organizzativa dell’ERM
Il processo di gestione integrata dei rischi, richiede che le imprese che lo implementano siano
strutturate opportunamente, in modo che ogni figura organizzativa coinvolta sia
consapevole, fin dalla fase iniziale di progettazione, di quale sia il suo ruolo all’interno
dell’intero processo. Per l’ERM è individuata una possibile configurazione organizzativa, la
quale è ovviamente il più flessibile possibile, tenendo presente che ogni impresa possa
individuare altre soluzioni proprie al fine di implementare efficacemente il processo di
gestione dei rischi. Nella struttura proposta di ERM sono identificate diverse figure
organizzative con dei compiti precisi e delle responsabilità predeterminate: il consiglio di
amministrazione, i responsabili delle singole funzioni aziendali, la funzione risk management
e la funzione di internal auditing. La vera novità dell’ERM è l’introduzione di una nuova
figura organizzativa: il Chief Risk Officer (CRO) o dirigente per i rischi.
Introducendo anche se sommariamente, gli attori coinvolti nel processo di ERM, parliamo
della cosiddetta Risk Governance, ovvero la componente della Corporate Governance
finalizzata a definire i rapporti tra gli organi e le funzioni deputate all’assunzione dei rischi ed
alla loro gestione. I componenti della Risk Governance, assicurano trasparenza e
consapevolezza ai processi di assunzione dei rischi e pongono in essere efficaci strumenti per
la loro gestione perseguendo l’obiettivo di ottimizzare il rapporto rischio/rendimento.
2.7.1 Il Consiglio di Amministrazione
Il Consiglio di Amministrazione di un'impresa ne rappresenta l'organo sovraordinato e
definisce le linee di indirizzo del sistema di controllo interno e di gestione integrata dei rischi
identificando, misurando, gestendo, monitorando e determinando il profilo di rischio in linea
con la gestione aziendale e gli obiettivi strategici prefissati. In particolare, secondo il COSO
ERM Framework, il Consiglio di Amministrazione esercita le sue funzioni di controllo nei
seguenti modi:
Conoscendo ed appoggiando le modalità secondo le quali il management ha posto in
essere il processo di ERM;
Conoscendo e condividendo il livello di rischio tollerabile definito dall'impresa;
analizzando il rischio effettivo cui è esposta l'azienda e ponendolo a confronto con
il livello di rischio accettabile;
101
Ricevendo informazioni sui rischi più significativi e sull'efficacia dell'operato del
management.
Al CDA sembrano spettare almeno tre compiti fondamentali:
La definizione delle strategie inerenti lo sviluppo e la realizzazione di un effettivo ed
efficace processo di risk management (tra queste in primo luogo la definizione delle
risorse da stanziare allo scopo);
La definizione degli obiettivi generali in merito all’assunzione dei rischi da parte
dell’azienda;
La valutazione dell’efficacia del processo di risk management e, strettamente
connesso, dell’effettivo rispetto degli obiettivi generali di cui al punto precedente.
Il Chief Executive Officer
Il Chief Executive Officer (CEO) rappresenta il principale responsabile della gestione del
rischio e deve assumersi la responsabilità dell'intero processo di Enterprise Risk
Management, assicurando lo sviluppo e l'implementazione di tutti i componenti richiesti per
un'efficace gestione integrata del rischio. Il CEO è, agli occhi del mondo esterno, il principale
rappresentante dell'azienda e dell'intera cultura aziendale. Egli, in costante collaborazione
con il senior management, ha il compito di definire le politiche strategiche dell'azienda e le
risposte al rischio mirate al conseguimento degli obiettivi stabiliti. Per assolvere ai suoi
compiti il CEO deve possedere una conoscenza a 360 gradi del profilo di rischio dell'impresa
e pertanto deve incontrare regolarmente i senior manager e i responsabili delle principali aree
funzionali. In questo modo egli è in grado di monitorare le diverse attività e i relativi rischi,
evidenziando eventuali scostamenti in relazione al livello di rischio accettabile definito
dall'impresa.
102
2.7.2 I singoli centri di responsabilità
I singoli centri di responsabilità dell’azienda dovrebbero essere strettamente coinvolti nel
processo di risk management. In particolare i manager dei centri dovrebbero:
Realizzare operativamente, con il supporto della funzione di risk management,
l’intero processo con riferimento ai rischi del centro e, in particolare, essere
responsabili della gestione operativa dei rischi;
Essere responsabili per la diffusione della cultura del risk management all’interno del
centro;
Dovrebbero assumete delle decisioni operative considerando sempre adeguatamente
i rischi che esse comportano.
2.7.3 La funzione risk management
La funzione di risk management svolge un ruolo centrale in tutto l’iter. Si osserva da subito
che il risk manager è responsabile del corretto funzionamento del processo di risk
management, mentre non dovrebbe avere la responsabilità operativa sulla gestione dei singoli
rischi aziendali che spetta tipicamente ai responsabili del centro da cui il rischio si origina. La
funzione risk management definisce e implementa le metodologie di misurazione dei rischi
aziendali, monitora il continuo rispetto dei livelli di rischio definiti e l’adeguatezza del sistema
di misurazione dei rischi. Le sue principali funzioni sono:
Concorre alla individuazione dei rischi aziendali;
Concorre alla definizione ed alla implementazione delle metodologie di misurazione
dei rischi tecnici (Mercato, Credito ed altri) e di valutazione di quelli operativi;
Convalida i flussi informativi necessari ad assicurare tempestività nel controllo delle
esposizioni ai rischi e nella rilevazione di anomalie operative;
Produce un sistematico reporting previsionale e consuntivo sull’esposizione ai rischi
con livelli informativi differenziati per destinatario (del responsabile unità operativa al
Consiglio di Amministrazione);
Verifica la coerenza delle scelte e dei risultati ottenuti con i profili di rischio -
rendimento definiti dal Consiglio di Amministrazione supportando quest’ultimo nella
definizione di obiettivi e strategie;
Verifica la aderenza dei modelli di misurazione dei rischi con l’operatività
effettivamente svolta e propone eventuali adeguamenti degli stessi;
103
Si coordina con le altre funzioni di controllo (Internal Audit e Compliance) per lo
scambio di informazioni e per la pianificazione e la realizzazione delle attività di
verifica.
Il Chief Risk Officer
Con il passaggio ad una gestione integrata del rischio viene individuata l’inserimento una
nuova figura, il Chief Risk Officer (CRO) che si pone al centro tra il vertice, l’audit interno e
le funzioni aziendali. Il CRO ha il compito di interfacciarsi con l'intera l'organizzazione,
interagendo con le diverse attività, i processi e le funzioni, allo scopo di coordinare e garantire
l'efficacia del processo, mantenendo il corretto equilibrio tra costi ed opportunità. Il CRO
viene direttamente nominato dal CEO e si pone come figura intermedia tra quest'ultimo e il
management, rappresentando il principale canale di comunicazione tra i due organi.
La funzione di Risk Manager si evolve da un ruolo di “misuratore”, ad un ruolo di
partecipazione sistematica e di indirizzo (CRO). In particolare il CRO:
Racchiude sotto un’unica responsabilità compiti di pianificazione, controllo di
gestione e di risk management;
Partecipa al processo di business (pianificazione, selezione e governo dei rischi)
assicurando una generale coerenza tra gli obiettivi definiti ed i risultati conseguiti;
Fornisce supporto tecnico agli organi di vertice ed al CDA per la formulazione di
obiettivi, piani strategici ed operazioni significative;
Amministra in maniera dinamica i limiti di rischio tra le diverse linee di business;
Contribuisce al processo decisionale;
Ha un ruolo chiave nella creazione del valore e nel raggiungimento degli obiettivi di
rischio rendimento.
2.7.4 L’Internal Audit
Il sistema di internal auditing, definito dal Codice di Autodisciplina delle società quotate
emanato in Italia dal Comitato per la corporate governance delle società quotate, è l’insieme
dei processi diretti a monitorare:
L’efficienza delle operazioni aziendali;
L’affidabilità dell’informazione finanziaria;
Il rispetto di leggi e regolamenti;
La salvaguardia dei beni aziendali.
104
Il ruolo dell’internal auditor si è andato modificando con lo sviluppo dei processi di risk
management e la crescente attenzione verso la gestione dei rischi. Infatti per quanto riguarda
l’implementazione dell’ERM, la funzione di controllo interno deve porsi come supporto
alle altre funzioni aziendali, aiutandole nell’attività sistematica di identificazione e
valutazione dei rischi aziendali, e nel conseguente monitoraggio degli stessi, date le sue
competenze tecniche in materia. Infine svolge una funzione di monitoraggio e divulgazione
dell’applicazione e dei risultati dell’ERM lungo tutta la struttura organizzativa identificata.
Questo è possibile perché essa svolge le seguenti attività:
Compie il controllo sui rischi critici;
Verifica l’efficacia e l’efficienza i processi di ERM all’interno dell’impresa;
Fornisce garanzie sulla gestione del rischio;
Fornisce supporto agli operatori coinvolti nell’ERM;
Coordina la reportistica sul rischio e aiuta lo staff dedicato all’ERM.
Le funzioni svolte possono variare da impresa a impresa, in base alle loro necessità e
alla loro struttura organizzativa, ma la funzione di controllo interno risulta necessaria al fine
di implementare correttamente la gestione integrata dei rischi.
2.8 Benefici e limiti dell’ERM
Una corretta gestione integrata del rischio, grazie alle sue caratteristiche, è in grado di fornire
all’impresa numerosi vantaggi e di apportare importanti benefici, supportandola nel
raggiungimento degli obiettivi, diminuendo la volatilità dei guadagni e dei prezzi dei titoli,
riducendo i costi del capitale esterno, aumentando l’efficienza del capitale e creando delle
sinergie tra le varie attività di gestione del rischio. Di seguito si riportano i principali benefici
rilevati in letteratura dai più autorevoli esperti in materia:
Coerenza e allineamento tra la propensione al rischio e le strategie aziendali.
Il livello di rischio accettabile deve essere stabilito e considerato, innanzitutto, per
valutare le strategie alternative e, successivamente, per fissare degli obiettivi. Questi
ultimi devono essere in linea con la strategia selezionata, con i limiti stabiliti per il
downside risk e con i meccanismi di gestione dei rischi che ne derivano;
Miglioramento e rafforzamento del sistema decisionale relativo alle risposte al
rischio ovvero alle azioni da intraprendere a fronte dei rischi individuati. L’ERM
fornisce, infatti, da un lato delle regole rigorose per identificare tali risposte ai rischi
105
individuati (evitare, ridurre, trasferire e accettare i rischi) e, dall’altro, fornisce delle
tecniche per selezionare la risposta al rischio più adeguata101 tra le varie alternative;
Minimizzazione o contenimento degli eventi imprevisti e delle relative perdite
potenziali. Le imprese, infatti, migliorando la loro capacità di identificare i potenziali
eventi di rischio, di valutare i relativi rischi e di formulare le risposte più adeguate,
riducono sia la frequenza degli eventi imprevisti che i costi o le perdite conseguenti;
Identificazione e gestione dei rischi correlati e multipli. Ogni impresa, infatti,
deve affrontare una miriade di rischi che interessano varie parti dell’organizzazione
ed è chiamata a gestire sia i molteplici impatti che uno stesso rischio può avere
all’interno dell’organizzazione che la correlazione tra gli impatti dei diversi rischi.
L’ERM facilita la formulazione di risposte univoche ai rischi multipli e una risposta
efficace ai rischi con impatti correlati. I vantaggi dell’ERM sono ottimizzati solo
quando a livello aziendale viene adottato un approccio integrato di gestione dei rischi.
Quest’ultimo piuttosto che essere puramente un meccanismo difensivo, dovrebbe
essere uno strumento per massimizzare le opportunità;
Possibilità di legare crescita, rischio e rendimento. L’ERM fornisce una migliore
capacità di identificare e valutare i rischi, stabilisce un livello accettabile di rischio in
relazione alla crescita potenziale, al raggiungimento degli obiettivi e all’ottenimento
di rendimenti commisurati ai rischi102.
Aumento della probabilità di perseguimento degli obiettivi aziendali.
L'obiettivo primario di ogni azienda è rappresentato dalla creazione di valore. Come
è stato più volte affermato, l'ERM fornisce alle imprese una serie di tecniche e
metodologie per identificare, verificare e valutare le opportunità che intendono
perseguire e sfruttare, in modo consapevole e responsabile. Allo stesso tempo
supporta l'impresa nell'identificazione, misurazione e monitoraggio delle sorgenti di
rischio strettamente connesse alle opportunità selezionate, al fine di favorire la buona
riuscita del processo e di realizzare gli obiettivi aziendali;
Riduzione della volatilità dei guadagni e connessa riduzione del costo del
capitale a seguito della minore rischiosità percepita dell’azienda. Questo permette di
contenere la parte di rendimento che viene richiesta, al fine di remunerare il livello di
101 Cfr. (Prandi, 2010) 102 Cfr. (Chapman, 2006)
106
rischio. Il fatto che Standard & Poor’s, come citato in precedenza, abbia introdotto
la valutazione del livello di implementazione dell’ERM nel computo dei rating per
alcune tipologie di imprese, implica anche che la valutazione positiva che viene data
per una corretta implementazione del modello, favorisce gli investimenti da parte
degli azionisti103;
Migliore reputazione aziendale. La reputazione è sempre più un driver di
creazione di valore per le imprese, e la capacità di saper gestire i rischi è una delle
componenti che influisce positivamente sulla reputazione aziendale, sia permettendo
all’impresa di difendersi preventivamente da possibili perdite, sia dando un’immagine
di affidabilità agli stakeholders. Infatti, la reputazione ha due principali caratteristiche:
o Può essere rapidamente acquisita ma altrettanto rapidamente perduta;
o Su di essa agiscono i comportamenti di tutti i membri dell’organizzazione.
In quest’ottica, l’adozione di sistemi di ERM, permette di creare capitale
reputazionale, riducendo la probabilità di impatti dannosi, migliorando i
comportamenti percepiti dagli stakeholders e in particolare sviluppa una cultura
aziendale che riduce i comportamenti dannosi. Infine è importante sottolineare che
la reputazione è un driver di creazione del valore d’impresa perché:
o Le imprese con una buona reputazione sono considerate più affidabili dal
mercato, il quale non le penalizza in situazioni di crisi;
o Le imprese con una buona reputazione riescono più facilmente ad attrarre risorse
finanziarie e a ottenerle a minor costo;
o Le imprese con una buona reputazione attraggono dipendenti competenti, con
esperienza e li fidelizzano.
Migliore resilienza organizzativa: poiché l'ambiente di business è soggetto a
continui cambiamenti è molto importante sviluppare un buon livello di "resilienza
organizzativa", intesa come il grado di flessibilità e capacità di un'impresa di
rispondere alle mutazioni della realtà. Il processo di ERM si rivela funzionale a tale
scopo, in quanto supporta l'impresa nel comprendere i cambiamenti potenziali e la
prepara a fronteggiarli predisponendo sia meccanismi di risposta al rischio, sia
sviluppando delle strategie di sfruttamento delle opportunità (upside);
103 Cfr. (Segal, 2011)
107
Sfruttamento delle opportunità: infine, il processo di identificazione ed analisi dei
potenziali fattori di rischio che caratterizza l'ERM, consente all'impresa di individuare
sia le minacce sia le opportunità che le si possono presentare di fronte. Così come le
minacce richiedono delle strategie in grado di contrastarle, è necessario sviluppare
dei meccanismi che consentano di sfruttare al meglio le opportunità generate.
Sebbene l’ERM apporti tutti questi benefici, esso presenta anche una serie di limiti. Infatti è
lo stesso COSO ERM Framework a identificare i principali punti deboli del processo. I limiti
vengono ricondotti a tre principali motivazioni: in primo luogo il rischio che deve essere
gestito fa riferimento ad un evento futuro incerto e pertanto non è prevedibile dall'impresa
con certezza; in secondo luogo l'ERM è finalizzato al conseguimento di diverse categorie di
obiettivi e, con riferimento agli obiettivi di tipo strategico ed operativo, non è in grado di
fornire alcuna ragionevole sicurezza circa il loro raggiungimento; infine l'ERM non può
fornire la sicurezza assoluta per nessuna delle quattro categorie di obiettivi.
Queste limitazioni sono determinate da diversi fattori: innanzitutto in qualsiasi processo
gestionale è sempre presente l'eventualità che gli individui coinvolti possano effettuare delle
scelte errate o che si verifichino anomalie nel sistema provocate dalle scelte assunte o dovute
semplicemente ad errori di valutazione o sbagli del personale che possono provocare, nei
casi più gravi, l'intero fallimento del sistema. E' inoltre possibile che all'interno di un'impresa
si verifichino degli episodi di collusione, nei quali due o più soggetti si accordino tra loro per
commettere atti impropri od illeciti al fine di conseguire, per sé o per altri, un ingiusto profitto
ai danni dell'organizzazione, rendendo inefficace il processo di gestione integrata dei rischi.
L'intero processo può altresì essere “aggirato” dal management, ponendo in essere
operazioni per scopi illegittimi o violando politiche prescritte. Si tratta solitamente di attività
non documentate o trasparenti, in quanto esse vengono effettuate con l'intenzione di
occultare le medesime operazioni104.
Oltre alle problematiche sopra riportate, il processo di ERM presenta delle limitazioni anche
dal punto di vista dell’implementazione. Un primo limite, facilmente identificabile, è il costo
di implementazione. L’ERM infatti richiede all’impresa di sostenere dei costi iniziali elevati,
che non sempre sono facilmente identificabili in rapporto con i benefici raggiungibili.
Adottare una gestione integrata del rischio significa:
104 Cfr. (AIIA & PWC, 2006)
108
Assumere figure organizzative ad hoc per l’implementazione (CRO);
Introdurre sistemi di valutazione dei rischi, talvolta molto complessi, basati su
calcoli statistico-matematici;
Aumentare la produzione di dati sia operativi sia direzionali.
Tali cambiamenti presentano spesso dei costi che sono assorbiti solo in orizzonti medio-
lunghi e per le imprese di dimensioni più piccole, talvolta tali orizzonti si dilatano
maggiormente.
In secondo luogo risulta difficile permeare l’intera impresa di una cultura di gestione
dei rischi. In imprese di grandi dimensioni coinvolgere i diversi livelli risulta spesso difficile,
perché esistono enormi distanze tra chi definisce gli obiettivi e chi aziona le leve operative.
Creare una comunicazione globale e spingere nella stessa direzione tutti i responsabili
aziendali è un risultato che si può ottenere solo nel lungo periodo, attraverso opportune
tecniche di formazione e comunicazione aziendale. In questo senso, molto spesso le imprese
non riescono a identificare il rapporto tra costo e beneficio derivante dall’adozione di sistemi
di gestione integrata.
Un altro limite da considerare è la scarsa conoscenza che le imprese hanno di questo
nuovo approccio, delle sue potenzialità e della sua flessibilità. Essendo un filone
recente, le imprese spesso non ne conoscono le potenzialità, inoltre risultando ancora assenti
dei riscontri da parte di imprese che stanno adottando questo sistema, non vi è la dovuta
informazione nel mercato.
Infine, va sempre tenuto presente che la gestione dei rischi si basa su stime e non su dati
certi. Queste stime, nascendo dalle attività delle persone, scontano due grandi difetti: i
possibili errori che possono essere commessi e la soggettività con cui gli operatori valutano
i risultati ottenuti. Quindi va considerato che durante la valutazione, i rischi possono essere
misurati non correttamente, generando dei risultati di gestione diversi dagli
obiettivi definiti all’inizio del processo. Tali differenze sono insite in qualsiasi attività, quindi
anche nella fase di progettazione di un sistema di ERM va tenuto conto dei possibili errori
di calcolo, umani e dati dalla soggettività delle analisi e delle decisioni prese.
Sulla base dei benefici e dei limiti proposti, nel prossimo capitolo, si andrà ad analizzare la
situazione delle imprese italiane nella gestione del rischio. Nello specifico si andrà a valutare
lo stato dell’arte all’interno delle PMI, che costituiscono il 99% delle imprese sul territorio
109
italiano, evidenziando quanto è stato realizzato e quali sono le lacune, secondo l’ultimo
Osservatorio sul risk management realizzato dal Politecnico di Milano.
110
CAPITOLO 3 – L’ ENTERPRISE RISK MANAGEMENT NELLE
PMI ITALIANE
3.1 Il punto di vista delle PMI
La scelta di rivolgere questo capitolo alle piccole e medie imprese è dettato dal fatto che il
tessuto imprenditoriale italiano è caratterizzato per il 99,9%105 da aziende di questa
dimensione. Tuttavia gli studi in tema di RM applicati alle PMI risultano quasi assenti, come
anche le ricerche volte ad aiutare i piccoli imprenditori nelle sfide a cui, a causa dei
cambiamenti del mercato, sono sottoposti quotidianamente.
L’implementazione dell’ERM prevede una struttura organizzativa ad hoc e un processo ben
definito e integrato con tutte le funzioni aziendali. Tutto questo ha un prezzo, sia in termini
di risorse economiche sia di risorse umane. Innanzitutto le PMI hanno una modalità di
gestione radicalmente differente da quella delle grandi imprese. Infatti, normalmente, a capo
dell’impresa vi è una sola persona (imprenditore) che detiene l’intero potere decisionale.
Difficilmente è presente un livello intermedio di management, poiché il “padrone” vuole
solitamente mantenere il potere e il controllo sulle attività. Spesso il rimanere “piccola” è una
scelta stessa dell’imprenditore, che, pur di non perdere il controllo, rinuncia all’opportunità
di finanziarsi con capitale di terzi. Spesso invece è una scelta dovuta alla difficoltà di accesso
al credito nel mercato dei capitali106.
Gli standard presentati nel precedente capitolo, COSO e ISO 31000, sono framework
estremamente validi per le big company, ma presentano delle criticità applicative dal punto
di vista delle PMI:
a) La componente culturale: il sistema di gestione dei rischi viene percepito più come
un onere che come un’occasione per creare valore;
b) Le PMI non possiedono le risorse sufficienti a creare un sistema di controllo del
rischio adatto e conforme agli standard qualitativi previsti dalle principali best
practice;
105 Come riportato nello SBA (Small Business Act), edizione 2012, pubblicato dalla European Commission, sono PMI il 99,9% delle imprese italiane e rappresentano l'80,3% dell'occupazione nel settore privato non finanziario. 106 Cfr. (Risk Governance, 2014)
111
c) Il coinvolgimento diretto dell’imprenditore, non sempre permette una corretta
identificazione e valutazione della totalità dei rischi presenti, inficiando le principali
fasi del processo di ERM come la stima di probabilità e impatto;
d) Di rado una PMI possiede un codice di condotta scritto, ma la comunicazione dei
valori di integrità e di corretto comportamento avvengono prevalentemente in
modalità verbale all’interno dell’organizzazione;
e) La gestione delle risorse umane il più delle volte non risulta formalizzata nelle PMI,
dunque si possono rilevare delle inadeguatezze nell’assegnazione dei ruoli;
f) I sistemi informativi utilizzati dalle PMI sono solitamente meno sofisticati. Tuttavia
il loro ruolo risulta altrettanto importante: grazie alle tecnologie IT i dati grezzi
disponibili possono essere processati in maniera efficiente in tutte le organizzazioni
(torneremo successivamente su questo aspetto).
Dunque appare chiaramente come la dimensione aziendale limiti notevolmente lo sviluppo
di un processo di RM. Si evidenzia un problema di risorse da dedicare alla funzione RM,
l’assenza di un organigramma strutturato per funzioni (talvolta la funzione risk management
e internal auditing sono riunite) e la mancanza di pratiche codificate al fine di diffondere la
cultura del rischio. Comunque come afferma Floreani107, al fine di creare degli strumenti
idonei alla gestione del rischio nelle PMI, è importante sottolineare che le imprese di tutte le
dimensioni devono affrontare il problema della gestione dei rischi aziendali, scegliendo una
soluzione organizzativa coerente con le risorse disponibili e con gli obiettivi di RM e,
prestando attenzione all’esistenza di conflitti di interesse inerenti l’attività di RM.
Bendinelli in un famoso articolo del Sole 24 Ore108, sottolinea come la sopravvivenza delle
PMI Italiane, oggi sempre più esposte a questioni di mercato, dimensione, infrastrutture,
finanza e compliance, richieda delle nuove capacità:
Sapere: un mix di visione, internazionalizzazione, innovazione e pensiero digitale;
Saper fare: un mix di flessibilità, fare rete, efficienza e velocità;
Farlo sapere: saper comunicare aumenta il valore dell’impresa e dei prodotti verso
clienti, fornitori, dipendenti, partner, finanziatori.
107 Cfr. (Floreani, Introduzione al Risk Management, 2005) 108 Cfr. (Bendinelli, Perchè un approccio ERM per le PMI complesse, 2009)
112
La necessità odierna di sviluppare queste nuove capacità è di per sé fonte di complessità, a
prescindere dalle dimensioni dell’impresa, tradizionalmente misurate con parametri
quantitativi quali il fatturato o il numero di addetti. La complessità nell’era digitale è invece
una variabile qualitativa, in cui una impresa piccola per fatturato può essere complessa quanto
una grande in base all’esame di diversi criteri: numero aree di business e di prodotti, numero
di mercati e di canali di vendita coperti, numero di soggetti esterni coinvolti nel processo di
produzione e/o commercializzazione, etc.
Un approccio ERM può dare alla gestione delle PMI complesse un modello dinamico di
direzione per gestire la complessità, sia strategica che operativa, le 4 attività chiave per il
successo di un’impresa moderna: quantificare, coinvolgere (tutti gli stakeholder), decidere,
comunicare.
In generale, la questione ci porta a una domanda cruciale: i benefici dell’implementazione
dell’ERM in una PMI sono tali da giustificarne i costi? Inoltre, qual è attualmente il livello di
conoscenza che le PMI italiane hanno in tema di risk management? Quale invece il livello di
attuazione? Le PMI sono in grado di identificare e valutare correttamente i rischi cui sono
esposte? Posseggono gli strumenti e le competenze per gestirli al meglio? Con l'obiettivo di
rispondere a queste domande in modo approfondito e completo, nasce l'Osservatorio sul
Risk Management nelle PMI, colmando il vuoto che si registra per quanto riguarda la
letteratura, scientifica e non, sulle pratiche di gestione del rischio nelle PMI.
3.2 L’Osservatorio sul Risk Management nelle PMI Italiane
L’Osservatorio sul Risk Management nelle PMI Italiane109, realizzato da Risk Governance-
Politecnico di Milano, è un’iniziativa volta a dare informazioni su come le Piccole e Medie
Imprese italiane vivono il tema del rischio al loro interno. Si prefigge di contribuire a creare
consapevolezza sui temi del rischio e a sviluppare la cultura del rischio nelle PMI.
L’Osservatorio ha natura permanente ed esercita, pertanto, un monitoraggio attivo e
sistematico nel tempo dell’evoluzione del risk management nelle PMI italiane. Sono analizzati
l’organizzazione e le tecniche più utilizzate per l’analisi e la gestione del rischio, ma anche la
cultura del rischio, le principali categorie di esposizione e l’outlook. L’obiettivo è quello di
fotografare, con la risoluzione più alta possibile, lo stato dell’arte del Risk Management nel
mercato italiano, all’interno del sistema delle Piccole e Medie Imprese. L’osservatorio
109 Quanto riportato nel paragrafo 3.2 è stato realizzato mediante una rielaborazione del report completo dell'Osservatorio sul Risk Management nelle PMI Italiane ed.2013 (Risk Governance, 2014)
113
rappresenta la prima iniziativa in Italia che vuole dare luce a come la gestione dei rischi è
vissuta e operata all’interno delle PMI. I dati riportati in questo elaborato fanno riferimento
alla seconda edizione dell’Osservatorio, riferita ai dati raccolti nel 2013. Il report sulla
successiva edizione 2014 ancora non è stato pubblicato, ma ne anticiperemo alcuni risultati
alla fine.
Il campione di imprese su cui si effettua l’analisi si compone di 701 PMI che appartengono
a tutti i settori dell’economia, dalla manifattura ai servizi. Le imprese sono selezionate
discriminando sulla variabile fatturato in base alle soglie incluse nella definizione di PMI
stabilita dall’Unione Europea, che stabilisce complessivamente i seguenti criteri:
Micro imprese ‐ fatturato o totale attivo entro i 2 milioni di Euro e numero di
dipendenti inferiore a 10;
Piccole ‐ fatturato o totale attivo entro i 10 milioni di Euro e numero di dipendenti
inferiore a 50;
Medie ‐ fatturato entro i 50 milioni di Euro o totale attivo entro i 43 milioni di Euro
e numero di dipendenti inferiore a 250
Il questionario sottoposto alle aziende è composto di 43 domande che vanno ad analizzare
tre principali aree di indagine:
Anagrafica, contesto e cultura sociale;
Processo di Risk Management;
Valutazione, gestione, monitoraggio dei rischi e reportistica.
3.2.1 Il Campione
La base di partenza dell’indagine è rappresentata da 9.864 contatti di PMI distribuite su tutto
il territorio nazionale. Il questionario è stato distribuito con l’aiuto di un piattaforma web
dedicata, grazie alla quale si è poi provveduto a raccogliere le risposte. La survey è rimasta
aperta per un periodo di un mese, al termine del quale sono state raccolte 701 risposte
complete e se ne è verificata l’attendibilità e la correttezza. Di seguito si riporta La
distribuzione iniziale delle 9.864 PMI, da cui l’indagine è partita, e la distribuzione dei tassi
di risposta delle 700 aziende del campione:
114
Nel 2013 le aziende rispondenti che appartengono al settore “servizi” sono il 36% del totale,
contro un ben più modesto 11% dello scorso anno. La percentuale di rispondenti del settore
commercio appare abbastanza stabile, come anche quella del settore “costruzioni”. Si registra
una significativa riduzione del peso relativo del settore manifatturiero, che lo scorso anno
pesava il 66% del totale, contro il 41% del 2013.
Le 701 aziende del campione sono state divise in tre categorie di fatturato:
Inferiore a 2 milioni Euro (micro imprese);
Tra 2 milioni Euro e 10 milioni Euro (piccole imprese);
Tra 10 milioni Euro e 50 milioni di Euro (medie imprese).
115
La maggior parte delle aziende appartiene alla fascia intermedia (piccole imprese) e la somma
di piccole e micro imprese equivale al 78% del campione. Incrociando i dati sul fatturato
2013 con quelli sulla spesa in Risk Management sostenuta nello stesso anno, si nota una
correlazione positiva. Più le PMI fatturano e più tendono ad aumentare, in termini
percentuali sui ricavi, il proprio impegno in Risk Management.
3.2.2 La percezione del rischio nelle PMI
I risultati dell’analisi sulle PMI evidenziano una relazione “difficile” tra PMI e gestione del
rischio. Si tratta di un rapporto da sempre pieno di ostacoli, permeato da una forte
incomunicabilità, che ha origine dalla difficoltà di individuare un vocabolario comune utile a
definire processi aziendali snelli e coerenti tra loro.
Il RM ci insegna che il rischio non va visto solo come un evento dannoso, è stato quindi
chiesto alle aziende intervistate cosa fosse per loro il rischio. Nel grafico che segue vengono
riportate le risposte registrate durante questa edizione dell’osservatorio (Osservatorio 2013),
comparate con quelle ottenute lo scorso anno (Osservatorio 2012).
116
In leggera diminuzione la percentuale di aziende che intende il rischio come opportunità, si
nota invece una certa riduzione del numero di aziende che reputa i rischi come “aspetti
marginali” e conseguentemente un aumento di quelle che li vedono come “eventi negativi da
evitare”. Se da un lato questo risultato appare negativo, poiché una discreta percentuale non
ha ben chiaro il binomio rischio‐opportunità, è comunque positivo che ci sia una percentuale
in netta diminuzione di aziende che considerano il rischio come aspetto non importante per
il business. Inoltre le medie imprese appaiono maggiormente consapevoli del corretto
significato di rischio. Il che evidenzia uno stato di maturità più avanzato rispetto alle piccole,
sicuramente facilitato dalla alta percentuale di medie imprese che ha alle sue spalle una grande
impresa o un gruppo.
3.2.3 Il Profilo di rischio attuale
Al fine di valutare la percezione del rischio che hanno le imprese della survey, è stato chiesto
loro quale fosse la situazione del profilo di rischio attuale. Rispetto al 2012 non si nota una
significativa variazione nelle risposte e viene confermato che il profilo più frequente è il
“medio”. In diminuzione i profili di rischio “alto” e in lieve aumento i profili di rischio
“basso”
Coloro che percepiscono un basso rischio sono anche, in maggior parte, coloro che
vedono il rischio come opportunità da gestire attivamente. Un basso profilo di rischio
implica dunque una buona gestione e visione dei rischi;
Le imprese che percepiscono un profilo di rischio medio, il 61% del totale, appaiono
invece meno facili da interpretare sulla definizione di rischio. Il 55% di queste intende
il rischio come un evento da evitare assolutamente, mentre il 43% ha una concezione
più matura del rischio, vedendolo come opportunità da gestire attivamente;
Le aziende che hanno affermato di avere un profilo di rischio alto, mostrano una
discreta maturità in termini di consapevolezza del significato di rischio. Il 65%
117
risponde infatti di intenderlo come opportunità da gestire attivamente, il 32% come
eventi negativi da evitare e solo il 3% considera il rischio un aspetto marginale.
Per quanto riguarda la differenziazione tra piccole e medie imprese in merito al profilo attuale
di rischio, si registrano percentuali piuttosto simili tra le due categorie. La maggior parte delle
aziende ha dichiarato di avere un profilo di rischio attuale medio (60% Piccole, 57% Medie).
Il 33% delle medie risponde di avere un profilo attuale basso, contro un 26% delle piccole.
Mentre il 9% delle medie ritiene di avere un rischio attuale alto, contro un 12% delle piccole.
Le operazioni societarie effettuate negli ultimi cinque anni sono in grado di influenzare
fortemente il profilo di rischio percepito. Le operazioni che rappresentano i maggiori driver
del profilo di rischio (PdR) sono:
A livello teorico ci si sarebbe aspettati che il rischio percepito fosse influenzato dal
settore e dalle dinamiche di mercato al suo interno: invece è possibile notare come non ci sia
una sensibile differenza tra i quattro macro settori considerati. Qualunque sia il settore
di appartenenza, la percezione del rischio risulta di tipo medio.
118
3.2.4 Modello integrato di RM
L’Osservatorio inoltre, si pone l’obiettivo di censire i modelli di gestione scelti dalle aziende
per organizzare e governare in maniera efficace ed efficiente i propri processi, in ottica di
minimizzazione delle perdite e massimizzazione delle proprie performance, con un
approccio basato sul rischio e sulla semplificazione della gestione d’impresa attraverso un
unico sistema di gestione. Emerge che il percorso da compiere verso l’applicazione concreta
di un approccio olistico è ancora lungo. Si tratta di effettuare un profondo e radicale
cambiamento nella cultura di impresa, attribuendo un peso e un ruolo diverso alla gestione
del rischio intesa come opportunità per il business.
Perché le imprese non adottano processi di RM - Nel 2013, rispetto allo scorso anno,
sono in aumento le realtà che non adottano tecniche di gestione del rischio. Inoltre, quando
viene chiesto il motivo della non adozione, il 44,7% risponde che il RM non è significativo
rispetto al contesto in cui l’azienda opera. Quasi la metà di coloro che non utilizzano RM
pensano quindi che esso non sia utile al loro business, non vedono vantaggi
nell’implementarlo. Questo dato è nettamente peggiorato rispetto allo scorso anno in cui si
registrava un 31%. Nel 2012 infatti appariva più importante, come driver decisionale, il costo
di implementazione dell’ERM, con un 60% che risponde che i costi sono troppo elevati e
che il rapporto beneficio/costo è sfavorevole.
119
Perché le imprese decidono di adottare processi di RM – Si evince che l’adozione del
RM sia dovuta perlopiù alla volontà di rimediare all’impatto che fattori esogeni hanno avuto
su tutto il settore/economia e in particolare sull’azienda. Il 21% del campione ha
implementato la gestione del rischio come mitigazione degli effetti di scelte passate molto
rischiose, contro un 32% dello scorso anno. In diminuzione la percentuale di coloro che
usano il RM al fine di migliorare il rapporto con le banche, e in aumento quella di coloro che
seguono le best practice di settore.
3.2.5 Ruoli e Responsabilità
Successivamente l’Osservatorio si focalizza sulle persone coinvolte nello sviluppo del
progetto di RM, sul loro ruolo e responsabilità.
120
Le medie imprese, forti di una dimensione maggiore, riescono a permettersi in alcuni casi
(11%) una figura interna dedicata a tempo pieno al RM e, per il 7%, affidano il compito a
terzi. Rimane comunque altissima la percentuale di medie imprese che non prevede una
funzione dedicata esclusivamente al RM. I dati delle piccole imprese non destano sorprese:
è normale e piuttosto prevedibile, che una piccola azienda non possa dedicare una funzione
a tempo pieno alla gestione del rischio, sia in termini di risorse disponibili, sia di economie
di scala. Infatti si rileva come, nel caso di figure interne non dedicate esclusivamente al RM,
queste ricoprano altri incarichi come l’Amministratore, il CFO, il Direttore Opertations o
altre mansioni.
3.2.6 I principali rischi considerati dalle PMI
Come abbiamo avuto modo di evidenziare sin dal cap.1, i rischi standard considerati nel
processo di risk management, sono il rischio finanziario, quello operativo e quello strategico.
L’Osservatorio ne aggiunge un quarto tipo, cioè il rischio normativo o di compliance, incluso
tra i rischi strategici.
In merito al rischio finanziario, come già visto, questo può essere ricondotto ad una serie
di sotto categorie: rischio di credito, di cambio, di interesse, di mercato, di liquidità ed
inflazionistico. L’Osservatorio rileva che nel 2013 le due sotto categorie alle quali si è
maggiormente esposti sono il rischio di credito e il rischio di liquidità. Ciò che si deduce da
questi due dati, è che la situazione italiana riguardo la liquidità è decisamente più critica
rispetto allo scorso anno. Altro dato rilevante riguarda il rischio di inflazione, che lo scorso
anno colpiva il 52% delle imprese e nel 2013 solamente il 2%. Non ci sono stati particolari
differenze tra l’inflazione 2013 e quella 2012, come anche non dovrebbe esserci stato un
121
significativo cambiamento di aspettative di inflazione futura. Non si spiega quindi una
diminuzione della percentuale dal 53% al 2%.
Per quanto riguarda il rischio operativo, l’Osservatorio prende in considerazione le seguenti
accezioni: rischio connesso alle risorse umane, rischio esterno fisico, rischio informatico,
ambientale e catastrofale. Tra i rischi operativi descritti poc’anzi, le aziende rispondono di
tenere maggiormente in considerazione quelli connessi alle risorse umane (42%), quegli
esterni fisici (39%), i rischi informatici (30%) e i rischi ambientali (20%). Si nota quindi una
tendenza nel porre più attenzione a rischi più “probabili” e causati da attività umane. Il 12,4%
delle imprese non tiene in considerazione nessun rischio di natura operativa.
Infine in merito al rischio strategico, riguardante le decisioni strategiche dell’impresa che
possono portare a una flessione futura degli utili, è possibile distinguere tra: rischio di
concentrazione, rischio di controparte, rischio di compliance e rischio politico. Nel 2013 i
rischi strategici maggiormente rilevabili sono quello di concentrazione (49,2%), quello di
controparte (46%) e quello di compliance (30,4%). Viene attribuito un peso inferiore al
rischio politico/governativo (8,3%). Questo può essere spiegato dalla natura di questo
rischio, che nasce quando ci si espone a business in paesi esteri.
Rischio
inflazionistico Rischio di
Liquidità
Rischio di
interesse
122
3.2.7 Utilizzo di software a sostegno del RM
Il 48% delle aziende del campione non utilizza alcun software, quasi il doppio rispetto al
2012; il 28% usa Excel, strumento affidabile anche se non specificamente ideato per il RM.
Nel 2012 ben il 45,8% utilizzava Excel, confermato quindi il trend negativo. Per il resto dati
piuttosto stabili rispetto allo scorso anno, con un 13,2% che utilizza un software sviluppato
ad hoc per la gestione del rischio e un 8,3% che utilizza sistemi ERP (Enterprise Resource
Planning). Lo scarso utilizzo di software a sostegno del RM rappresenta un limite che le PMI
devono superare al fine di ottenere una migliore comunicazione e condivisione delle
informazioni riguardanti la gestione del rischio. Sul tema torneremo nel prossimo capitolo in
cui, mediante l’utilizzo di un software innovativo per la gestione dei rischi, realizzeremo le
principali fasi del processo di ERM in una PMI, identificando i numerosi vantaggi
conseguibili per l’impresa.
U
3.2.8 Procedure formali di RM
Infine l’Osservatorio ha intervistato le imprese in merito alla presenza o meno di procedure
formali e di processi standardizzati riferiti all’area RM. Rispetto allo scorso anno viene posta
maggiore attenzione alla valutazione dei rischi, infatti per il 51,5% delle adottanti il RM esiste
123
un processo formalizzato di risk assessment. Scende però la percentuale di coloro che hanno
una procedura di identificazione del rischio, dato negativo vista la grande importanza di
questa fase iniziale dell’ERM. Complessivamente viene registrato, rispetto al 2012, un
incremento del numero di aziende che prevede processi formali per la gestione del rischio.
Identificazione dei rischi
L’identificazione dei rischi è una fase critica dell’ERM, poiché non esistono tecniche che
garantiscono l’identificazione di tutti i rischi possibili. Ne esistono comunque molte,
differenti, che si distinguono per la complessità di utilizzo e per la convenienza economica
nell’adottarle.
Nell’edizione 2013 dell’Osservatorio, circa il 70% delle aziende dichiara di basarsi sulle
esperienze passate per l’identificazione dei rischi. Questa è una tecnica sicuramente
laboriosa, se supportata da un database di archivi storici e presenta il grande svantaggio di
non considerare rischi nuovi e situazioni mai verificatesi nell’esperienza passata. Il 37%
124
risponde di utilizzare l’analisi dei processi, cercando di prevedere eventuali problemi durante
i processi aziendali. Quest’ultima è sicuramente una tecnica valida per l’identificazione dei
rischi operativi, ma difficilmente potrà cogliere quelli finanziari e strategici. Decisamente
bassa la percentuale di aziende che utilizza tecniche come il brainstorming, le interviste e i
focus group, fondamentali per la generazione di nuove idee. Poco implementata anche
l’analisi SWOT (Strenghts, Weaknesses, Opportunities, Threats) che in base
all’identificazione dei propri punti di forza e debolezza mette in luce possibili minacce e
opportunità. In generale, rispetto al 2012, si registra un significativo incremento di coloro
che utilizzano le esperienze passate e una riduzione nell’analisi dei processi.
Valutazione dei rischi
Valutare un rischio significa stimarne la probabilità di accadimento e l’impatto potenziale.
Dall’osservatorio del 2013 si evince che quasi il 100% delle aziende intervistate valuta gli
impatti economico‐finanziari dei rischi. Molte meno sono invece quelle che considerano
anche gli impatti reputazionali (20%). Dato piuttosto allarmante è notare come solo il 56%
valuti la probabilità di accadimento, ci sono quindi moltissime aziende che considerano
solamente l’impatto nella valutazione del rischio, rischiando quindi di valutare come
prioritario un rischio che, potenzialmente avrebbe un impatto alto, ma con probabilità anche
bassissime di accadimento. In generale, significativo miglioramento rispetto al 2013, in
termini di utilizzo di criteri di valutazione.
È stato poi chiesto alle imprese del campione, quale tipo di valutazione utilizzassero. Nel
2013 il 47% dichiara di utilizzare una combinazione di stime quantitative e qualitative,
dato in forte aumento rispetto al 2012. Il 22% utilizza tecniche quantitative, stimando quindi
puntualmente i valori di impatto e probabilità, dato questo in forte calo rispetto allo scorso
anno. L’8% dichiara di utilizzare tecniche qualitative. In aumento la percentuale di coloro
che non stimano probabilità e impatto, 22,5% nel 2013 contro 18% nel 2012.
125
Gestione del rischio
Come abbiamo avuto modo di analizzare nel capitolo precedente, il trattamento del rischio,
o risk treatment, consiste nel selezionare e implementare le più idonee misure atte a
modificare il profilo di rischio dell’impresa, in linea con gli obiettivi dell’impresa e di RM.
L’osservatorio distingue le strategie in ex- ante e il ex- post e le classifica in: non assunzione,
riduzione delle probabilità, mitigazione, trasferimento, condivisione e accettazione. Dai dati
dell’osservatorio si evince che per tutte e tre le categorie di rischio principali (finanziari,
strategici, operativi) ci sia una netta preferenza, da parte delle PMI, per le strategie ex‐ante.
Vengono mostrate infatti percentuali sempre alte per quanto riguarda il trasferimento a terzi
(risk transfer) e la riduzione delle probabilità di accadimento (risk reduction). In generale, nel
2013 si verifica un radicale incremento del trasferimento a terzi e della risk reduction
(diversificazione e abbattimento probabilità) sia per quanto riguarda i rischi finanziari che i
rischi operativi, il che evidenzia una tendenza forte alla riduzione della rischiosità complessiva
e al salvaguardarsi dal rischio di concentrazione. Un segnale negativo viene dalle percentuali
in aumento, nelle tre categorie, della strategia di non assunzione. La decisione di non
assumere il rischio, viene solitamente presa quando si pensa che nessuna delle altre forme di
trattamento sia in grado di portare il rischio al di sotto della soglia accettabile, o comunque
non siano economicamente convenienti o si ritenga di non avere le risorse sufficienti per
implementarle. Il dato in aumento è negativo poiché ci si preclude lo sfruttamento delle
opportunità legate all’assunzione del rischio.
Risk Transfer - La strategia di trattamento più utilizzata dalle PMI risulta essere il risk
transfer. Affermazione giustificata dal fatto che il trasferimento a terzi è un vero e proprio
outsourcing della gestione del rischio a banche, assicurazioni, e istituti specializzate in
questo campo, che hanno le risorse, le competenze e la scala per gestire in maniera efficiente
ed efficace i rischi, requisiti che una PMI difficilmente potrà avere. È stato inoltre domandato
126
per quali rischi esse acquistassero almeno una polizza assicurativa. L’84% si assicura sulla
responsabilità civile (D&O, RCT, RCO, etc.), il 75% verso furto/incendio o
vetri/cristalli, il 40% verso rischi legati ai trasporti. Solo il 17% si assicura verso il rischio di
credito, in generale quindi una forte tendenza a trasferire rischi operativi e molto meno rischi
di natura finanziaria.
Monitoraggio dei rischi
Il monitoraggio dei rischi, è un sotto‐ processo continuo e integrato con tutte le fasi
dell’ERM. Esso accompagna il processo di ERM monitorando la situazione dei rischi attuali
attraverso opportuni indicatori. Le best practice suggeriscono di stabilire una soglia
(threshold) per ogni indicatore, entro la quale il rischio è ritenuto sotto controllo e oltre la
quale un campanello d’allarme evidenzia la necessità di ulteriori indagini e azioni da
intraprendere sul rischio in esame. Il risultato del processo di monitoraggio è quindi un
cruscotto di indicatori, sempre aggiornati, che consentono al risk manager di avere a
disposizione un quadro completo dei rischi e degli eventi trigger di tali rischi.
È stato domandato alle imprese del campione, quale indicatore venisse utilizzato in azienda
come misura della performance/ esposizione al rischio. Le PMI italiane difficilmente avranno
a disposizione le risorse, economiche e gestionali, per implementare un cruscotto di Key
Risk Indicator (KRI) a supporto del monitoraggio. Tra le opzioni sono stati quindi inseriti
indicatori più semplici e diffusi in ogni tipo di impresa, come il risultato operativo, il
risultato della gestione ordinaria e la volatilità degli utili. Nel 2013, oltre il 50% delle imprese
risponde di utilizzare il risultato operativo per monitorare i rischi, fissando quindi una soglia
minima oltre la quale cominciare a preoccuparsi e prendere le dovute misure di azione. Il
40% utilizza il risultato della gestione ordinaria. Percentuali ben minori invece per gli
indicatori più “tecnici” come volatilità degli utili, VAR, EVA, RAROC, RWA110 che fanno
intuire come le piccole medie imprese italiane non siano ancora mature in ambito RM.
110 Una breve descrizione degli indicatori sopra descritti - da www.wikipedia.it., www.bakpedia.it, www.agenzia50.it VAR - Value at Risk - è una misura di rischio applicata agli investimenti finanziari. Tale misura indica la perdita potenziale di una posizione di investimento in un certo orizzonte temporale. Indicatore presentato nel corso del primo capitolo. EVA - Si definisce Economic Value Added una metodologia per il calcolo del rendimento di un investimento. Lo scopo del modello è quello di compensare alcune lacune derivanti da determinati indicatori contabili. L'indice deriva dalla differenza tra il reddito operativo e il costo del capitale impiegato per ottenerlo.
127
Reportistica e Comunicazione
Ultima fase del processo di ERM è quella di reportistica e comunicazione dei rischi. Il risk
manager identifica, cattura e comunica informazioni pertinenti al RM in una forma e con una
tempistica, tali da consentire alle persone coinvolte di prendersi carico delle proprie
responsabilità. È opportuno attivare comunicazioni efficaci, in modo che queste fluiscano
per l’intera struttura organizzativa: verso il basso, verso l’alto e trasversalmente.
Le aziende intervistate, nell’80% dei casi utilizzano un canale di comunicazione rivolto
esclusivamente ai diretti interessati, nel 21% una comunicazione diffusa per tutta
l’organizzazione, semplice ed alla portata di tutti, il 2% diffonde in tutta l’azienda
informazioni tecniche. Rispetto al 2012 si nota una maggiore implementazione della fase di
comunicazione all’interno dell’ERM, rimanendo comunque lontani da una diffusione di
informazioni integrata. La comunicazione avviene perlopiù verbalmente (70% del
campione), solo il 30% utilizza una documentazione da diffondere internamente. Inoltre le
piccole imprese sembrerebbero avere una maggiore tendenza a utilizzare il mezzo di
comunicazione verbale rispetto alle medie imprese, per le quali vi è una buona percentuale
(47%) che predilige documentazione a uso interno. Sicuramente su quest’ultimo dato ha
grande influenza la dimensione dell’azienda, per cui una piccola impresa è sicuramente più
giustificata a utilizzare un canale verbale dato il ristretto numero di dipendenti, mentre una
media impresa trova più efficiente diffondere le informazioni sotto forma di documenti.
RAROC - Il Risk-Adjusted Return On Capital è un indicatore che vorrebbe rappresentare la redditività di una determinata attività (cliente, portafoglio clienti, unità di business) corretta per il rischio di perdita e costo del capitale impiegato per finanziare quella attività. RWA- Le attività ponderate per il rischio o Risk-Weighted Assets rappresentano la sintesi dei principali fattori di rischio riconducibili a una data attività finanziaria. Tali fattori vengono contemplati allo scopo di “correggere” il valore nominale dell’attività in modo da poter esprimere una più appropriata misurazione del suo valore.
128
Cultura del rischio
Per cultura del rischio si intende la diffusione, all’interno dell’organizzazione, dei principi
fondamentali del risk management, dell’ERM e delle best practice. Avere una buona cultura
del rischio significa per esempio conoscere il significato stesso di rischio, implementare e
capire il funzionamento del processo di ERM e delle sue fasi, valutare il rischio non solo in
termini di impatto (come spesso accade) ma anche di probabilità, conoscere qual è il risk
appetite dell’impresa e quale la risk capacity, avere ben chiara la divisione delle responsabilità
e gestire i rischi in maniera integrata. Non è affatto immediato, anzi è improbabile, quindi
che un’impresa, soprattutto se giovane, possegga una cultura del rischio matura. È compito
del top management diffonderla a tutti i livelli dell’azienda, guidando tutti con l’esempio ed
indicando quali sono le best practice, stabilendo un sistema di remunerazioni collegato agli
obiettivi di RM, comunicando in maniera chiara i vantaggi ottenibili. È stato chiesto alle PMI
del campione quali fossero, se presenti, le iniziative intraprese per diffondere la cultura del
rischio ai vari livelli: responsabili della gestione del rischio, top management, dipendenti.
Innanzitutto stupisce come non ci sia differenziazione tra le iniziative rivolte alle tre diverse
categorie, ma ben più grave è che circa il 70% delle aziende non effettua attualmente
nessun tipo di iniziativa (includendo anche quelle aziende che prevedono iniziative future).
129
Tra quelle che attualmente trasmettono la cultura del rischio il metodo preferito sembra
essere quello dei corsi di formazione ad hoc.
3.2.9 Gli aggiornamenti dell’edizione 2015
Dall’edizione 2015 dell’Osservatorio sul Risk Management111 nelle imprese italiane, realizzato
da Risk Governance in collaborazione con ANRA e Confapi Industria, emergono segnali
positivi sulla diffusione del risk management e sulla sua percezione come strumento
competitivo. L’Osservatorio rileva una crescita nella consapevolezza e nella cultura dei
rischi nel nostro Paese: le azioni di risk management risultano un fattore critico di successo
e possono rappresentare un vantaggio nello scacchiere competitivo per quasi l’82% delle
imprese italiane (era il 49,5% delle aziende nel 2013). Sono soprattutto le Medie imprese a
fare un balzo in avanti nell’adozione di tecniche di gestione dei rischi, passando dal 50% della
rilevazione precedente all’85% dell’analisi attuale, superando di misura anche le grandi
imprese (82%).
Si osservano evoluzioni positive sia sotto il profilo della visione del rischio da parte delle
aziende analizzate nel campione (712 imprese su tutto il su tutto il territorio nazionale e
appartenenti a tutti i settori dell’economia) sia nel processo di organizzazione e gestione dei
rischi, sia nella scelta degli strumenti di copertura assicurativa e ancora nella comunicazione
e formazione a una cultura del rischio. Peraltro, l’Osservatorio nell’edizione 2015 ha
affiancato all’analisi delle PMI svolto negli anni scorsi, anche lo studio dei comportamenti
delle grandi aziende, proprio con l’obiettivo di cogliere le differenze riguardanti la tematica
della gestione del rischio anche in relazione alla dimensione aziendale.
I risultati dell’Osservatorio mostrano che nel 2014 ci sono netti miglioramenti relativamente
alla percezione che hanno le imprese del mercato. Ben il 33% in meno rispetto al 2013 ritiene
111 Cfr. (ANRA, 2015)
Strumenti di diffusione della Cultura del rischio
130
che il mercato in cui opera sia in contrazione, mentre le aziende che vedono il mercato in
crescita sono passate dall’11,2% del 2013 al 27,8% del 2014. Le imprese sembrano, quindi,
confermare i primi segnali di una possibile ripresa del mercato. In merito invece al profilo
di rischio, il profilo più diffuso tra le imprese italiane risulta quello medio. Dal 2012 al 2014
si è passati da un 58,1% ad un 69,6% di aziende che adottano tale profilo: un virtuoso trade-
off tra la necessità di limitare il rischio assunto e il desiderio di migliorare i risultati
economico-finanziari cogliendo le opportunità offerte dal mercato. Oggi ben l’81,9% del
campione vede il rischio come opportunità da gestire attivamente, contro il solo 49,5% del
2013.
In merito al processo di RM, la percentuale di PMI che nel 2014 adottano tecniche di
gestione dei rischi, si attesta all’85%, superando di misura addirittura le grandi imprese (82%),
facendo emergere un significativo miglioramento culturale. Per la fase di identificazione, a
differenza degli anni precedenti, nel 2014 si è fatto ricorso maggiormente all’analisi dei
processi (69% nel 2014 contro il 38% nel 2013) rispetto al metodo delle esperienze passate
(diminuito dal 63% al 62% nell’ultimo anno). Tale inversione di tendenza può essere dovuta
alla consapevolezza, in un periodo storico caratterizzato da elevata incertezza e volatilità, che
i dati passati non sono sempre idonei per prevedere scenari futuri; ciò è ancor più vero se si
pensa ai nuovi rischi emergenti che non hanno uno “storico”. La successiva fase di
valutazione dei rischi, per definire e per calcolare la probabilità di accadimento di un evento
dannoso, evidenzia una prevalenza nell’adozione di tecniche sia quantitative che qualitative
(60% dei casi). Infine in merito agli indicatori rilevanti per misurare l’esposizione al rischio,
le piccole imprese utilizzano principalmente il risultato della gestione ordinaria (64% dei casi),
mentre le medie e grandi aziende puntano invece maggiormente su possibili variazioni del
risultato operativo e su indicatori più specifici per il risk management quali Value at Risk
131
(VaR), Economic Value Added (EVA), Risk Adjusted Return On Capital (RAROC) e altre
misure risk-adjusted112.
Riguardo all’organizzazione, quasi la metà delle grandi aziende hanno una figura interna
dedicata a tempo pieno alla gestione del rischio (47% dei casi), mentre lo stesso accade solo
nel 6% dei casi per le piccole imprese e nel 29% delle medie. Nell’altra metà delle grandi
aziende (53%) il rischio viene gestito da una figura interna che ricopre anche altri ruoli, scelta
che risulta preponderante per le piccole (80%) e medie (64%) imprese. Nei casi restanti, le
piccole (14%) e medie (7%) imprese si affidano ad una figura esterna all’azienda. Infine la
comunicazione sul rischio si è indirizzata verso una comunicazione “diffusa e semplice”
all’interno dell’impresa (49% nel 2014 contro il 20% circa del 2012 e 2013), utilizzata per il
70% all’interno delle medie imprese. Anche le modalità attraverso le quali avviene tale
comunicazione lascia trasparire segnali di una crescente cultura e maturità del rischio da parte
delle imprese italiane: in aumento la comunicazione mediante documenti scritti ad uso
interno, rispetto alla comunicazione verbale che si attesta in forte diminuzione.
I dati che emergono dall’indagine 2015 evidenziano un aumento della maturità culturale
sulla gestione del rischio espressa dalle PMI del campione in risposta all’incertezza generata
dalla instabilità degli attuali contesti economici. La comunicazione interna, insieme alle
iniziative seminariali e di formazione rivolte ai dipendenti, possono apportare un prezioso
contributo alla diffusione di una buona cultura del rischio e pongono le basi all’introduzione,
laddove non già presente, di approcci avanzati e integrati alla gestione dei rischi, quali
l’Enterprise Risk Management, che consentirebbe di proseguire in questo graduale
miglioramento della maturità delle aziende italiane in termini di risk management.
3.3 Un ERM semplificato per le PMI
I risultati offerti dall’Osservatorio113 sul RM nelle PMI, ci permettono di riflettere sulle
criticità rilevabili nell’implementazione di sistemi di RM in contesti medio-piccoli.
Nonostante risultino in netto miglioramento sia la percezione del rischio (adozione del
concetto di rischio come opportunità) che il profilo di rischio da parte delle medie e delle
piccole imprese, le quali dichiarano di rispecchiare un profilo medio, sono molti gli aspetti
del processo di RM che vanno migliorati, anzi più che altro semplificati.
112 Vedi nota n.108 113 Ci riferiamo sempre all’edizione 2013, in quanto per l’Osservatorio 2014 non è ancora disponibile il report completo.
132
Innanzitutto ancora molte imprese ritengono che la funzione RM non sia significativa
rispetto al contesto in cui opera e che i costi siano troppo elevati rispetto ai benefici
riscontrabili. Inoltre sono solo mediamente diffusi i documenti formali volti a individuare i
processi per identificare, valutare, gestire e monitorare i rischi. Da ciò traspare che c’è ancora
molto da fare in tema di sensibilizzazione alla “cultura del rischio”.
Soffermandoci sulle fasi del processo, l’identificazione dei rischi si basa ancora in maniera
eccessiva sull’esperienza passata, metodo piuttosto limitante, in quanto basato su database
storici che non permettono di cogliere l’incidenza dei rischi emergenti. Nella valutazione,
invece, positivo il dato sull’adozione sia della stima qualitativa che di quella quantitativa,
negativo invece il dato sulla quantificazione dell’impatto piuttosto che della probabilità degli
eventi dannosi. Riguardo alla gestione del rischio, risulta ancora molto alto e tra l’altro in
aumento, il dato riferito al risk transfer: troppe imprese ricorrono tuttora a polizze
assicurative per attenuare rischi di natura finanziaria ed operativa, inoltre sono davvero poche
le imprese che propendono per l’assunzione di rischi, precludendosi la possibilità di sfruttare
le opportunità collegate ai rischi associati. In tema di monitoraggio, gli indicatori utilizzati
sono ancora i più classici, come il risultato operativo e il risultato di gestione ordinaria,
sintomo di una gran lontananza dai più complessi KRI, quali VAR, EVA ecc. Infine il canale
di comunicazione prevalente risulta ancora rivolto ai soli interessati e di tipo verbale. Si è
purtroppo distanti da una comunicazione integrata e diffusa all’interno dell’organizzazione.
Il quadro presentato ci permette di cogliere lo stato dell’arte nelle PMI del nostro paese, che
risultano ancora “arretrate” in materia di RM, tanto che, sempre dall’Osservatorio, emerge
che il 70% del campione non effettua annualmente alcun tipo di iniziativa per promuovere
la cultura del rischio. Le ragioni di tale “chiusura”, trovano origine in parte dalla scarsità di
risorse economiche ed umane, ma in parte anche dalle criticità applicative dei framework
internazionali predisposti soprattutto per le grandi imprese. Dunque semplificare il processo
di ERM potrebbe essere uno delle soluzioni al problema.
In tema di semplificazione del modello di ERM proposto da COSO e da ISO 31000, molti
studiosi si sono espressi con versioni light del sistema originario, ma mai realizzandone uno
specifico per le PMI. In questa sede presenteremo brevemente quello proposto da
Bendinelli114 in un articolo del Sole 24 ore. Bendinelli sostiene che qualsiasi riproposizione
114 Cfr. (Bendinelli, Pianificazione strategica: un ERM semplificato per le PMI, 2009)
133
del modello ERM originario dovrà basarsi su due pilastri: cultura del rischio e quantificazione
del rischio accettabile, entrambe variabili da impresa a impresa. Infatti per tale ragione non
esiste un ERM semplificato standard, in quanto questo dovrà necessariamente variare a
seconda dei contesti e del tipo di impresa, inoltre, bisogna evitare che la semplificazione
generi un’amputazione della metodologia ERM classica. Semplificare quindi, vuol dire andare
all’essenza delle questioni strategiche e del loro concreto controllo. Il modello proposto si
basa su due passaggi logici:
a) La semplificazione del cubo 8x4x4 proposto da COSO, in un modello a matrice 5x2;
b) L’applicazione concreta di tale modello mediante tre tipi di report (SWOT, Risk
Analysis, Risk Monitor).
La semplificazione è avvenuta in questo modo:
Abolizione della terza dimensione del cubo, quella dei 4 livelli organizzativi
d'impresa, dando per scontato che una PMI sia sempre mono-business. In realtà
il modello andrà replicato per ogni area strategica di affari, in cui il tipo di business
sia nettamente diverso;
Riduzione dei quattro obiettivi a due essenziali, quelli strategici e quelli operativi,
dando per scontato che gli obiettivi di reporting (essenzialmente di
comunicazione verso terzi) e di compliance (adeguatezza alle norme) siano
incorporati;
Riduzione da otto a cinque delle componenti del processo di gestione del rischio.
E’ evidente che bisogna in concreto tener sempre conto anche delle altre 3
omesse (ma non eliminate): l'ambiente interno (che determina la consapevolezza
degli eventi basilari e delle azioni di risposta ad ogni livello organizzativo),
l'informazione e comunicazione (flussi informativi pertinenti e chiari da/verso i
responsabili di funzione), il monitoraggio (continuo aggiornamento di obiettivi,
sistemi e processi).
134
Obiettivi Aziendali Prassi
suggerita per le
PMI Strategici Operativi
Fasi di un
ERM
Semplificato
Fissazione obiettivi X X SWOT Analysis
Identificazione eventi X X
Valutazione dei rischi X X RISK Analysis
Risposte ai rischi X X
Controllo delle
attività X X RISK Monitor
Dunque semplificare, con le dovute cautele, è possibile, ma come spronare le PMI ad
adottare questi modelli? E quali potrebbero essere gli strumenti operativi tali da agevolare
l’inserimento di un ERM semplificato in azienda?
Uno dei possibili incentivi per le PMI è di carattere normativo ed è di recente approvazione
(settembre 2015). È la nuova ISO 9001:2015115, la quale ha introdotto il principio del Risk
Based Thinking e non solo. Aggiornarsi alla nuova versione della norma vuol dire aderire alle
seguenti novità:
Approccio per processi: il conseguimento di risultati consistenti e prevedibili
diventa più efficace ed efficiente quando le attività sono inquadrate e gestite come
processi tra loro interrelati che funzionano come un sistema coerente;
Metodologia PDCA: tale metodologia conosciuta come “plan-do-check-act” è
applicabile a tutti i processi. Plan, cioè stabilire gli obiettivi ed i processi necessari
per fornire risultati in conformità ai requisiti del cliente e alle politiche
dell'organizzazione; Do, attuare i processi; Check, monitorare e misurare i processi
ed il prodotto a fronte delle politiche, degli obiettivi e dei requisiti relativi al prodotto
e riportarne i risultati; Act: intraprendere azioni per migliorare in continuo le
prestazioni dei processi.
Risk Based Thinking: è il processo con cui l’organizzazione dimostra di aver
compreso quali siano i rischi connessi al proprio sistema e ai processi che lo
costituiscono, i quali possono influenzare la capacità di raggiungere gli obiettivi
previsti. È dunque necessario dimostrare di aver identificato i rischi e di aver previsto
delle eventuali ed opportune misure correttive proporzionali alle conseguenze.
115 Cfr. (Tuccoli, 2015)
135
Tale norma stimola le imprese certificate e quelle non ancora certificate, ad adottare una
strategia aziendale per processi e a considerare i rischi connessi alle proprie attività. Questo
tipo di approccio può essere considerato un’altra modalità di semplificazione del modello
ERM, in quanto prende spunto dal framework della ISO 31000. Questa non è la sede per
entrare nel merito della norma, ma per completezza è giusto annoverarla tra gli indirizzi più
recenti favorevoli all’adozione di modelli di gestione del rischio all’interno delle PMI.
Concludendo, al fine di rispondere al quesito posto sugli strumenti operativi per il RM, la
soluzione più idonea proviene dall’IT. L’Osservatorio ha evidenziato come quasi metà del
campione non utilizza software a sostegno del RM. Ciò rappresenta un forte limite che le
PMI devono superare al fine di ottenere una migliore comunicazione e condivisione delle
informazioni riguardanti la gestione del rischio. Sono presenti sul mercato soluzioni
innovative che permettono anche a piccole realtà di poter costruire il proprio sistema di RM,
mediante applicativi semplici ed intuitivi che non prevedono né eccessivi costi di gestione,
né particolari requisiti in termini di conoscenza e dotazioni informatiche. Nel prossimo
capitolo infatti, si andrà ad analizzare il sistema dei rischi di una piccola impresa mediante
l’ausilio del modulo ERM di un software. Ciò permetterà di cogliere la semplicità di utilizzo
e i relativi benefici per l’impresa, ed infine la conformità del procedimento “informatico” ai
principali step previsti dai framework internazionali. Tale soluzione consentirebbe alle PMI
il superamento dei limiti in termini di risorse economiche e di complessità del processo,
mentre lascia ancora in discussione il nodo “risorse umane”, che siamo costretti a tralasciare
in questa sede.
136
CAPITOLO 4 - PROGETTAZIONE ED IMPLEMENTAZIONE
DI UN SISTEMA DI ERM IN UNA PMI
4.1 Descrizione del progetto
Il progetto che si andrà ad illustrare riguarda la progettazione e l'implementazione di un
sistema di ERM all'interno della società L.T. FORM S.r.l. di Montorio al Vomano in
provincia di Teramo, piccola impresa produttrice di sedute per ufficio.
LT FORM 2 S.r.l. è stata fondata nel 1989 con l’oggetto sociale di produzione e vendita di
sedie, poltrone ed accessori per ufficio e comunità. Per la produzione utilizza un capannone
industriale di proprietà, con una superficie totale coperta di circa 1800 metri quadrati. Le
attività amministrative e gestionali sono espletate nella palazzina uffici su due piani di
sviluppo totale di circa 500 metri quadrati, di cui 200 destinati ad esposizione dei prodotti
finiti. L’obiettivo di LT FORM 2 S.r.l. è quello di produrre sedute e poltrone per ufficio, sale
convegni e cinematografiche di alta qualità attraverso strumenti di design innovativi facendo
attenzione alla sostenibilità e alla soddisfazione del cliente.
A partire dai risultati ottenuti dall'analisi interna ed esterna realizzata da Ingegna Finanza s.r.l.
per conto della società in oggetto, è stato strutturato l'intero sistema di ERM mediante
l'ausilio di un apposito software per l'analisi dei rischi, tenendo conto delle specificità tipiche
di una PMI.
Il piano industriale sulla società L.T. FORM è stato svolto formulando e strutturando le
seguenti attività:
1. Analisi interna;
2. Analisi esterna;
3. Opzioni strategiche;
4. Piano economico-finanziario;
5. Piano operativo;
6. Attuazione del piano.
I dati necessari per la costruzione del sistema di ERM, sono stati raccolti nelle prime due fasi
del piano operativo. Nello specifico dall’analisi interna sono stati ottenuti i dati relativi ai
processi primari e secondari, all’organigramma aziendale, all’analisi del fatturato per gamma
prodotto e per tipologia di cliente, l’analisi dei clienti e quella dei fornitori. L’obiettivo di
137
questa prima fase è stato quello di classificare i punti di forza e di debolezza
dell’organizzazione. Dall’analisi esterna invece, sono stati ottenuti i dati sul mercato di
riferimento (report Federlegno 2015) e quelli sui principali competitors. L’obiettivo di questa
seconda fase è stato quello di cogliere le opportunità e le minacce dell’organizzazione.
A questo punto si è giunti alla costruzione dell’analisi SWOT della società (riassunta nella
matrice sotto riportata) che rappresenta il principale input, insieme ai dati delle due analisi
precedenti, per la realizzazione del sistema ERM116.
PUNTI DI FORZA
Storia aziendale
Competenze
Certificazioni
PUNTI DI DEBOLEZZA
Governance
Organizzazione e ruoli
Marketing e commercializzazione
OPPORTUNITÀ
Mercati internazionali
Made in Italy & Innovazione
Sviluppo nuovi segmenti di mercato
Progettazione e servizio al cliente
MINACCE
Crisi economica
Competitors
Processo di innovazione ed
internazionalizzazione
4.2 La costruzione di un sistema ERM
A questo punto le informazioni e i dati raccolti ed analizzati confluiscono in un database
utilizzato all’interno di un software per l’identificazione dei rischi connessi all’attività di L.T.
FORM. Di seguito si descrivono brevemente le principali tappe del progetto per giungere
alla valutazione quali-quantitativa prendendo in esame, a titolo esemplificativo, uno dei rischi
identificati.
L’iter procedurale seguito ha previsto le seguenti fasi:
1. Analisi dei principali processi aziendali.
L’attività di analisi e di individuazione dei processi aziendali svolti all’interno della
società LT FORM 2 ha consentito la classificazione sulla base delle principali aree
aziendali coinvolte. La tabella seguente offre la sintesi del lavoro svolto
evidenziando i sei processi principali analizzati e i reparti coinvolti.
116 Tutta la documentazione in merito è stata raccolta nell’Allegato 1 in calce alla tesi.
138
Processi Reparti
Acquisti MP e magazzino Ufficio acquisti
Marketing e sviluppo prodotto Ufficio tecnico
Produzione sedie e poltrone Reparto produzione
Spedizione Ufficio Vendite
Vendita e raccolta ordini Ufficio Vendite
2. Costruzione del Business Model.
La raccolta delle informazioni riguardanti clienti, fornitori, prodotti, costi e ricavi,
costituisce il requisito essenziale per poter identificare in maniera appropriata il
Business Model della società più adatto.
A tal fine il framework scelto è quello del Business Model Canvas, ritenuto il più
adatto a fornire in maniera sintetica ed integrata il funzionamento e le leve
competitive dell’impresa. E’ un framework all’interno del quale sono
rappresentati sotto forma di blocchi i 9 elementi costitutivi di un’azienda: i clienti,
il valore offerto, i canali di distribuzione, la relazione con il cliente, le risorse
chiave, le attività chiave, i partner chiave ed infine la struttura di costi e ricavi117.
Questo framework consente di rilevare il modello di business dell’impresa,
evidenziando le principali aree esposte al rischio: i 9 elementi rappresentano le
aree su cui il risk management costruisce gli obiettivi strategici e di ERM,
funzionali ad integrare la gestione dei rischi con il processo di pianificazione
strategica. Inoltre si sottolinea come la definizione delle “aree a rischio”
all’interno di un modello di business consenta di misurare e monitorare la risposta
della singola area a stress interni ed esterni e quindi di rivisitare in maniera
costante anche il risk appetite dell’impresa stessa118.
117 (Business Model Canvas, s.d.) 118 Tutta la documentazione in merito alla progettazione dell’ERM è stata raccolta nell’Allegato 2 in calce alla tesi.
139
3. Identificazione dei rischi.
Sulla base del business model redatto, sono stati predisposti tre questionari al fine
di definire il valore offerto, la struttura di costi e ricavi, l’infrastruttura e
l’interfaccia verso il cliente. In particolare la struttura seguita è la seguente:
a. Il primo questionario consente la determinazione del valore aziendale offerto
complessivamente da ciascuna delle aree descritte precedentemente;
b. Il secondo questionario valuta le opportunità generate da una proficua
gestione delle attività aziendali;
c. Il terzo questionario permette di evidenziare i principali rischi collegati alla
gestione delle attività aziendali.
Successivamente, una volta rilevati ed identificati i rischi principali connessi ai
processi aziendali definiti in precedenza, sono stati considerati i rischi finanziari,
puri, strategici, operativi e di compliance. Sulla base dei punti di debolezza e delle
minacce evidenziate nell’analisi SWOT, dei punteggi rilevati nei report dall’analisi
dei questionari, i principali rischi a cui l’impresa risulta essere esposta sono i
seguenti:
140
PROCESSO RISCHI
IDENTIFICATI CATEGORIA DI RISCHIO
IMPATTO DANNO
Acquisti MP e
Magazzino
Conformità alle
norme ambientali Compliance
Interruzione
attività
Minori ricavi
nell’esercizio
Mercato di fornitura Operativo Variazione prezzo
di acquisto MP
Maggiori costi di
acquisto MP
Marketing e
sviluppo prodotto
Perdita di una
risorsa chiave
(designer)
Strategico Sviluppo della
tecnologia
Costi per
personale e
consulenza
Produzione sedie
e poltrone
Inefficienza taglio
tessuti
Operativo Efficienza dei
processi
Alta quantità degli
scarti
Spedizione
Furto Puro Penale da contratto Costi per liti e
contenziosi
Logistica Operativo Movimentazione
merci
Costi per ritardi o
mancate forniture
Vendita & raccolta
ordini
Capital Budgeting Finanziario Scelte di copertura
finanziaria
Minori ricavi e/o
maggiori oneri fin.
Mercato di sbocco Operativo Variazioni termini
di pagamento
Minori ricavi
nell’esercizio
4.3 Un esempio di valutazione e trattamento di un rischio
Dopo l’identificazione dei rischi a cui è esposta l’organizzazione, il processo di ERM prevede
la stima e la valutazione con tecniche qualitative e/o quantitative di ciascun rischio. In questa
sede si è scelto di analizzare il rischio operativo connesso al processo di acquisto di materie
prime collegato alle variazioni di prezzo praticato dal mercato di fornitura.
La scelta effettuata è motivata dal fatto che, come rilevato dall’analisi SWOT, la minaccia da
parte dei fornitori di componenti, costituisce il principale elemento di debolezza a cui risulta
esposta l’azienda. I principali fornitori dell’azienda, inoltre, sono rappresentati dai produttori
di componentistica di grandi dimensioni di fatturato e forte presenza sui mercati
internazionali. Ne deriva che nel processo di acquisto il potere contrattuale è a loro favore.
Questi fornitori, inoltre, rappresentano dei potenziali competitors per la
commercializzazione dei prodotti più semplici e a basso contenuto di design.
4.3.1 Analisi qualitativa
Come anticipato nel secondo capitolo, la tecnica maggiormente utilizzata per l’analisi
qualitativa dei rischi è la matrice probabilità- impatto che nel software adottato è stata
141
rivisitata in versione “probabilità-capacità di gestione”. La matrice consente di calcolare il
cosiddetto risk rating che permetterà di scegliere il trattamento più opportuno.
La matrice è di natura 4x4: la probabilità può assumere valore 1 se è nulla, 2 se è bassa, 3 se
è media e 4 se è alta; la conoscenza assume valore 1 se l’impresa gestisce già il rischio, 2 se lo
ha sotto controllo, 3 se ne ha una minima conoscenza, 4 se lo conosce ma non attua alcuna
misura a presidio.
Risk Rating
CO
NO
SC
EN
ZA
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
PROBABILITA’
Il rischio operativo prescelto viene inizialmente valutato con questa matrice: la probabilità
che il danno connesso si verifichi è piuttosto alta, assume valore 3, cioè l'evento rischioso
può manifestarsi più di una volta durante l'esercizio; invece per quanto riguarda la capacità
di gestione da parte dell'azienda, il valore assegnato è 4, cioè l'organizzazione conosce il
problema ma non si tutela in alcun modo. Il rating assegnato a questo rischio dunque è 12.
La stima qualitativa colloca il rischio analizzato tra quelli del quadrante più pericoloso. I rischi
con alto rating possono compromettere la sopravvivenza dell'impresa e sono difficili da
controllare o prevenire.
4.3.2 Analisi quantitativa
Successivamente il rischio analizzato viene valutato quantitativamente con l'ausilio del
software. Innanzitutto si fissa un obiettivo "qualitativo" cioè si stabilisce di mantenere
costante la probabilità che l'evento rischioso si verifichi, ma di aumentare al massimo (1) la
capacità dell'impresa di gestire tale rischio. Dunque l'obiettivo è ridurre il risk rating a 3.
142
Per l'analisi quantitativa vanno effettuate delle ipotesi numeriche: per analizzare il rischio di
variazioni di prezzo praticato dal mercato di fornitura, l'analisi dei fornitori rappresenta la
principale fonte di informazioni. Da questa analisi emerge come il fornitore IV SPA sia il
principale fornitore di componenti di LT FORM, il secondo per fatturato, quello di più
grandi dimensioni con cui l'impresa si relaziona e che rappresenta un suo diretto competitors
per i prodotti più standardizzati. Supponiamo che nel 2015 IV SPA abbia aumentato
improvvisamente i propri prezzi del 20% dunque a parità di fornitura, LT FORM 2
spenderebbe €70.000,00 in più dell'anno precedente. Questo importo rappresenta la perdita
massima potenziale connessa ad un basso potere contrattuale nei confronti del principale
fornitore di componenti.
A questa si somma una ulteriore perdita in termini di clientela quantificabile in una riduzione
del 5% del fatturato generato dalla vendita di detti componenti per un importo pari a
€23.925,00, cioè una riduzione della produttività giornaliera di circa €66,00.
Una volta inseriti questi dati, il software realizza una simulazione di scenari differenti sulla
base della probabilità che l'evento rischioso analizzato (aumento dei prezzi di fornitura) si
verifichi. Impiegando una simulazione secondo la tecnica cosiddetta Monte Carlo si
disegnano differenti scenari a seconda del livello raggiunto dalla variabile aleatoria che in
questo caso è rappresentata sia dai maggiori costi sostenuti per l'acquisto di MP, sia dalla
connessa riduzione del fatturato.
La situazione ex-ante dell’impresa (riquadro rosso) è tale da farle percepire un importo del
danno connesso al manifestarsi del rischio, pari a quello simulato nello scenario mediano
(probabilità 3 della matrice). Il percepito risulta maggiore del danno atteso (valore atteso della
variabile aleatoria) in quanto l’impresa ha solo identificato il rischio ma non ha attuato alcuna
strategia di difesa, dunque sta sottovalutando i potenziali impatti connessi ad un aumento dei
prezzi da parte del principale fornitore. Il software infatti indica che in questa situazione
143
l’impresa si trova in pericolo perché non sta gestendo in alcun modo un rischio valutato con
alto rating.
4.3.3 Il trattamento del rischio
La scelta della tecnica di trattamento più idonea dipende sia dalla tipologia di rischio da
trattare (in questo caso un rischio operativo), sia da un’analisi costi-benefici. In questa sede
proporremo due diverse strategie e ne valuteremo l’impatto sull’impresa in termini di
guadagno.
Strategia di riduzione mediante una diversificazione del portafoglio fornitori.
Adottando questa misura di contenimento del danno, a livello qualitativo la valutazione del
rischio è quantificata in 3 per la probabilità e 1 per la capacità di gestione. Dunque il risk
rating si riduce a 3. Questo risultato è giustificato dal fatto che la probabilità connessa ad un
aumento dei prezzi conserva lo stesso valore (non è possibile incidere su di essa) ma
l’impresa, avendo diversificato il portafoglio fornitori, non è più legata esclusivamente ad IV
SPA per l’acquisto dei componenti. La capacità di gestione risulta migliorata in quanto
l’azienda ha adottato una specifica strategia.
144
In termini numerici, il valore percepito del danno resta pari a quello previsto dallo scenario
mediano (la probabilità non cambia), ma il valore atteso del danno risulta notevolmente
ridotto. Infatti il passaggio da un sistema di gestione assente, ad una strategia di riduzione,
permette all’impresa di conseguire un guadagno/risparmio compreso tra €8.000,00 (se
consideriamo solo il danno connesso all’aumento dei costi di acquisto) e €11.000,00 (se
consideriamo il danno precedente insieme alla perdita di fatturato).
Strategia di copertura mediante un accordo contrattuale oneroso con il fornitore
stimato in €10.000,00 all’anno.
Adottando questa misura di contenimento del danno, a livello qualitativo la valutazione del
rischio è quantificata in 2 per la probabilità e 1 per la capacità di gestione. Dunque il risk
rating si riduce a 2. Questo risultato è giustificato dal fatto che la probabilità connessa ad un
aumento dei prezzi si riduce sensibilmente dopo la sottoscrizione dell’accordo contrattuale
di fissazione dei prezzi con IV SPA. Inoltre la capacità di gestione risulta migliorata in quanto
l’azienda ha adottato una strategia onerosa di copertura. Tuttavia la probabilità non si annulla
in quanto l'accordo è sottoscritto con il singolo fornitore, pertanto non permette una
copertura dalle eventuali oscillazioni di prezzo applicate dagli altri fornitori.
In termini numerici, il valore percepito del danno risulta ridotto rispetto a quello della
situazione ex-ante. Infatti con questa tipologia di trattamento, lo scenario di riferimento è
quello basso (la probabilità si riduce). La differenza tra valore percepito e valore atteso è quasi
nulla, dato che evidenzia una corretta gestione del rischio. Tuttavia tale gestione prevede dei
costi accessori per il contratto con il fornitore. Valutando i risultati ottenuti, il passaggio da
un sistema di gestione assente, ad una strategia di trasferimento, permette all’impresa di
145
conseguire una perdita di circa €2.000,00 qualora si considerino i soli danni patrimoniali, ed
un guadagno di circa €1.000.00, qualora si considerino entrambe le tipologie di danno.
Tra le due strategie, la preferibile è quella di riduzione, in quanto genera un risparmio netto
superiore alla soluzione di copertura nonostante non riesca ad incidere sulla probabilità che
l’evento si manifesti. La strategia di trasferimento, invece, prevedendo dei costi di
trattamento, limita notevolmente il risparmio pur incidendo positivamente sulla probabilità
che l’evento dannoso si manifesti.
4.3.4 Il monitoraggio del rischio
Al fine di concludere l’iter previsto dal processo di ERM per il rischio operativo analizzato,
si stabiliscono le attività di controllo da porre in essere per monitorare i parametri di
riferimento o KRI identificati per questa tipologia di rischio.
I KRI identificati per il rischio connesso ai prezzi del mercato di fornitura, sono:
a) I costi sostenuti per le forniture;
b) La dimensione dei principali fornitori del portafoglio;
c) La concentrazione degli acquisti su un unico fornitore.
Questi indicatori, rilevabili nella ABC Analysis 2014 (allegato 1), vanno monitorati con il
metodo della valutazione separata, cioè svolta ad intervalli prefissati. In questo caso la
frequenza dei controlli viene stabilita con cadenza trimestrale, data l’alta probabilità di
manifestazione del rischio.
146
CONCLUSIONI
Questo lavoro di ricerca nasce con lo scopo di evidenziare la rilevanza dell'Enterprise Risk
Management all'interno delle PMI cercando di prospettare una possibile soluzione alle
difficoltà riscontrate da queste ultime nell'implementazione di sistemi integrati di gestione
del rischio. Da quanto esposto finora l’ERM risulta essere uno strumento importante
all’interno delle imprese, in grado di fornire una serie di benefici strategici, operativi e
gestionali che permettono un continuo monitoraggio dell’esposizione al rischio
dell’organizzazione e un costante miglioramento di tutti gli aspetti connessi alla creazione di
valore. Tuttavia i vantaggi associati alla sua implementazione sono percepiti maggiormente
dalle grandi imprese piuttosto che dalle piccole, le quali, limitate dalla scarsità di risorse
economiche ed umane e dalle criticità applicative degli standard internazionali, non riescono
ancora a comprendere il costo-opportunità legato a questi sistemi di gestione del rischio.
Infatti come emerso dall’Osservatorio sul RM nelle PMI, il 44% del campione ritiene che la
funzione RM non sia significativa rispetto al contesto in cui opera l’azienda, il 34% ritiene
che i costi siano troppo elevati e il 18% che i benefici sono risibili rispetto ai costi.
Le lacune dei sistemi di risk management per le PMI devono essere colmate per permettere
a queste realtà di gestire in maniera idonea i rischi, coerentemente con le proprie risorse
economiche ed organizzative, al fine di rispondere in maniera efficace e dinamica alla
complessità del mercato in cui operano.
Il progetto svolto sulla società LT FORM 2 è stato un ottimo caso studio da cui poter rilevare
a livello operativo le difficoltà e i limiti connessi all’implementazione di un sistema di ERM
in una piccola impresa e i successivi vantaggi a seguito dell’esecuzione delle principali fasi del
processo. La società non aveva mai sentito l’esigenza di strutturare un sistema di gestione del
rischio. Solo successivamente alla presentazione dei risultati, raccolti nell’analisi interna ed
esterna, sono emerse tutte le criticità gestionali ed operative che hanno evidenziato la
rischiosità di alcune aree ed attività del proprio business model.
Nella fase iniziale del progetto sono stati rilevate nell’azienda la maggior parte delle criticità
applicative presentate in precedenza: assenza di una cultura del rischio, assenza di regole o
codici di condotta scritti, assenza di un organigramma strutturato per funzioni e di soggetti
da dedicare alle attività di gestione dei rischi, e forti lacune dal punto di vista informativo
(database aziendali grezzi e incompleti) ed informatico (assenza di software adeguati).
147
Le attività svolte per la redazione del piano industriale, hanno permesso di costruire l’analisi
SWOT aziendale che è stata il punto di partenza per l’avvio delle principali fasi del processo
di ERM. Infatti l’analisi SWOT è stata la principale tecnica adottata per l’identificazione dei
rischi collegati ai principali processi aziendali, insieme ai tre questionari riportati nell’allegato
2. Dall’identificazione emerge una prevalenza di rischi operativi che ricalca quanto
evidenziato nei punti di debolezza dell’impresa. Infatti il rischio preso in esame nel progetto
è un rischio operativo connesso al processo di fornitura delle materie prime.
La fase più critica del progetto e quindi la più complessa dal punto di vista di una PMI,
riguarda la fase di valutazione quantitativa dei rischi. In particolare si rileva come in assenza
dei dati sull’analisi del fatturato, dei clienti e dei fornitori, sarebbe stato impossibile ottenere
dei valori numerici di partenza per realizzare le ipotesi e gli scenari previsti dalla tecnica
Monte Carlo. In questo step il supporto di un database aziendale strutturato e di un software
per la gestione dei rischi, sono risultati fondamentali. La fase di trattamento invece ha aperto
una serie di spunti connessi all’aspetto delle risorse economiche (scegliere tra strategie di
copertura onerose o meno) e anche alla considerazione di eventuali risparmi o guadagni
connessi ad un tipo di trattamento piuttosto che ad un altro. Invece per quanto riguarda il
monitoraggio, non è risultato particolarmente difficile scegliere gli indicatori di rischio da
controllare, in quanto sono gli stessi di cui si è tenuto conto nella fase di valutazione.
Al termine del progetto l’impresa ha percepito concretamente una serie di benefici
riguardanti vari aspetti. Innanzitutto in termini di conoscenza della propria organizzazione,
dei rischi a cui è esposta, dei punti deboli e delle minacce a cui porre rimedio, ma anche dei
propri punti di forza ed opportunità su cui far leva. Inoltre ha compreso l’importanza di
costruire e mantenere un database completo e aggiornato su tutte le aree aziendali e la
necessità di affidarsi a sistemi informatici e software per valorizzare i dati raccolti. Dal punto
di vista del risk management l’impresa ha avuto modo di considerare i danni potenziali e gli
eventuali impatti di ogni singolo rischio sia in termini qualitativi che in termini quantitativi,
valorizzando a livello monetario la convenienza di adottare una determinata strategia
piuttosto che un’altra. Un primo passo verso l’instaurarsi di una vera cultura del rischio
aziendale.
Il lavoro svolto conferma buona parte dei limiti e delle difficoltà che le PMI si trovano a
dover affrontare nella fase di implementazione di un sistema integrato di gestione dei rischi.
Il modello adottato per il caso LT FORM 2 risulta semplificato rispetto a quelli teorizzati dai
148
principali standard internazionali: semplificare vuol dire raggiungere gli stessi obiettivi
riducendo la complessità dei processi, quindi adattare l’infrastruttura dell’ERM alle necessità
delle PMI senza perdere di efficacia, come teorizzato dal modello di Bendinelli nel terzo
capitolo. I risultati ottenuti sono perfettamente comparabili con i principali benefici
riscontrati nelle big company che adottano una gestione integrata dei rischi secondo i
principali framework. Tra questi si annoverano: il miglioramento del sistema decisionale,
l’allineamento delle strategie aziendali con il risk appetite, il contenimento di eventi e perdite
impreviste, il miglioramento della resilienza organizzativa ecc.
L’Osservatorio sul risk management nelle PMI italiane ha contattato 9.864 PMI sul territorio
nazionale, ma solo 700 hanno partecipato al questionario. Questo dato rappresenta un chiaro
segnale di arretratezza del nostro paese sul tema del risk management. Nonostante ogni anno
aumenti l’elenco dei cosiddetti rischi emergenti, purtroppo le PMI ancora non riescono a
cogliere l’importanza di considerare la gestione dei rischi come una opportunità di tutela e
miglioramento del valore offerto. Dunque c’è ancora molto da fare in tema di
alfabetizzazione al rischio.
149
Analisi Interna ed Esterna
ALLEGATO N. 1
Materiale Riservato – Ingegna Finanza srl
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
Analisi ERM
ALLEGATO N. 2
Materiale Riservato – Ingegna Finanza srl
170
BU
SIN
ESS M
OD
EL
L.T
. FO
RM
srl
171
172
173
174
175
176
177
178
179
BIBLIOGRAFIA E SITOGRAFIA
ACE European Group. (2013). Emerging risk barometer.
AIIA, & PWC. (2006). La gestione del rischio aziendale. Milano: Il Sole 24 Ore.
AIRMIC, A. I. (2002). Association of insurance and risk management professionals. Tratto da
www.airmic.com.
AIRMIC, A. I. (2010). A structured approach to ERM and the requirements of ISO 31000.
Allianz Risk Pulse. (2015). Top Business Risk.
Ammann, M. (2001). Credit Risk Valuation. Methods, Models, and Applications. Berlin: Springer-
Verlag.
ANRA. (2015). Il rischio: una fonte di vantaggio competitivo per le imprese italiane. Risk
Management News n.39.
Basel Committee on Banking Supervision. (2009). International Convergence of Capital
Measurement and Capital. Basel.
Bendinelli, M. (2009). Perchè un approccio ERM per le PMI complesse. Il Sole 24 Ore.
Bendinelli, M. (2009). Pianificazione strategica: un ERM semplificato per le PMI. Il Sole 24
ore.
Beretta, S. (2004). Valutazione dei rischi e controllo interno. Milano: EGEA.
Bertini, U. (1968). Introduzione allo studio dei rischi in economia aziendale. Milano: Giuffrè Editore.
Borsa Italiana. (s.d.). Tratto da www.borsaitaliana.it.
Bruni, G. (2003). Il sistema dei rischi di valore dell'impresa. Evoluzione Bancassicurazione, 5-6.
Business Model Canvas. (s.d.). Tratto da www.businessmodelcanvas.it.
Cardin, G. (2014). L'adozione dell'Enterprise Risk Management e le scelte di struttura
finanziaria delle imprese. Università Cà Foscari.
Casualty Actuarial Society. (2003). Overview of enterprise risk management. Tratto da
www.casact.org.
180
Centro Studi Finanza. (s.d.). Tratto da www.centrostudifinanza.it.
Chapman, R. (2006). Simple tools and techniques for enterprise risk management. John Wiley and
Sons.
Conti, C. (1996). L'esposizione dell'impresa ai rischi finanziari. Milano: Egea.
Corsani, G. (1936). La gestione delle imprese mercantili e industriali. Padova: CEDAM.
Crenca, U. e. (1989). Risk Management: strategie e processi decisionali nella gestione dei rischi puri
d'impresa. Edizioni Isba.
Crestani, M. (2012). Gli effetti dell’Enterprise Risk Management sul valore delle imprese. Un’analisi
empirica del mercato internazionale. Venezia.
Crouhy, G. M. (2006). The essentials of risk management. McGraw-Hill.
DeLoach, J., & Temple, N. (2000). Enterprise-Wide Risk Management: Strategies for Linking Risk
& Opportunity. Prentice Hall.
Deloitte. (2005). Integrated enterprise risk management.
Dessì, A. (2012). Enterprise risk management, aspetti teorici e applicativi.
Dowd, K. (1998). Beyond value at risk. Wiley.
Drzik, J. e. (2005). Countering the Biggest Risk of All. Harvard Business Review.
ERM “Casistiche aziendali di rischi operativi”. (Sett-Ott 2007). Amministrazione e Finanza Oro.
FERMA. (2003). Standard di risk management.
Ferrero, G. (1968). Istituzioni di economia d'azienda. Giuffrè.
Floreani, A. (2004). La valutazione dei rischi e le decisioni di risk management. Milano: ISU
Università Cattolica.
Floreani, A. (2005). Introduzione al Risk Management. Rizzoli Etas.
Furlanetto, N. (2014). L'ERM e l'impatto sulla struttura del capitale delle imprese non
finanziarie. Università Cà Foscari .
Gaudenzi, B. (2006). Nuovi approcci di gestione dei rischi di impresa. Sinergie n.71.
181
Giesecke, K. (2004). Correlated default with incomplete information. Journal of banking and
finance.
Giorgino, M., & Travaglini, F. (2008). Il risk management nelle imprese italiane. Come progettare e
costruire sistemi e soluzioni per la gestione dei rischi d'impresa. Il Sole 24 Ore.
Giunta, F. (1996). Appunti di economia aziendale. Padova: Cedam.
Gobbi, U. (1974). L'assicurazione in generale. INA.
Gobbi, U. (1974). Trattato di economia. Milano: Libraria.
Henry, F. (1916). Administration industrielle et gènèrale. Paris: Dunod.
Knight, F. (1921). Risk, uncertainty and profit. Chigago University Press.
Lin, K. J. (2009, 04). Management Risk Reporting Practices and their Determinants. Tratto da
uhdspace.uhasselt.be.
Livatino, M., & Tagliavini, P. (2013). Enterprise Risk Management Trends. Milano: Lab ERM -
SDA Bocconi.
Luraschi, P. (2011). Milliman Enterprise Risk Management. Tratto da www.milliman.cm.
Marinoni, M. A. (2012). Reddito, rischio e incertezza. Università degli studi di Parma.
Meulbroek , L. (2002). Integrated Risk Management for the Firm: A Senior Manager's Guide.
Claremont Colleges - Robert Day School of Economics and Finance.
Monda, B., & Giorgino, M. (2013). An ERM maturity model. Chicago.
Monda, B., & Giorgino, M. (2013). Dal risk management all'enterprise risk management. Londra:
Polifinance Publishing.
Olson, D. L., & Wu, D. D. (2007). Enterprise Risk Management. World Scientific Publishing
Company.
Pomodoro, C., & Luccini, T. (2012). Enterprise Risk Management e linee guida dello standard ISO
31000. HSPI.
Potrich, B. e. (n.16 - 2002). Il risk management nelle medie imprese del nord est. ALEA Tech
reports.
182
Prandi, P. (2010). Il risk management. Teoria e pratica nel rispetto della normativa. Franco Angeli.
Rija, M. (2006). Casi aziendali sul rischio di impresa. Franco Angeli.
Rischio e calcolo del VaR. (1996). Tratto da www.carifvg.it.
Risk Governance. (2014). Il Risk Management nelle PMI Italiane ed. 2013. Milano: Politecnico di
Milano, Dip. Ingegneria Gestionale.
Rosa, M. (2013, 12). Barometro dei rischi ACE Group. Tratto da www.ilbroker.wordpress.com.
Segal, S. (2011). Corporate Value of Enterprise Risk Management. Wiley Corporate.
Segatto, C. (2013). La gestione dei rischi aziendali e l'ERM: il caso italiano. Venezia.
Selleri, L. (2006). L'impresa e il rischio - Introduzione all'enterprise risk management. Milano: I.S.U.
Università Cattolica.
Spinard. (2005). Enterprise risk management: a holistic approach.
Swiss RE. (2015). SONAR - New emerging risk insides.
Tuccoli, M. (2015). Atti del convegno ISO 9001:2015 Innovazioni e Modifiche. Tratto da
www.puntosicuro.it.
Unicredit Group. (s.d.). Tratto da www.unicreditgroup.eu.
