POLITECNICO DI MILANO

Facoltà di Ingegneria dei Sistemi

Corso di Laurea Magistrale in Ingegneria

Gestionale

L’implementazione dell’Enterprise Risk

Management: una rassegna dei principali

framework e best practice

Relatore: Professor Marco Giorgino

Correlatore: Dottoressa Barbara Monda

Tesi di Laurea di:

Deborah RAVASI 784372

Anno Accademico 2013 - 2014

Εἰπέ, πόθεν σὺ μετρεῖς κόσμον καὶ πείρατα γαίης

ἐξ ὀλίγης γαίης σῶμα φέρων ὀλίγον.

Σαυτὸν ἀρίθμησον πρότερον καὶ γνῶθι σεαυτόν,

καὶ τότ᾽ ἀριθμήσεις γαῖαν ἀπειρεσίην.

Εἰ δ᾽ ὀλίγον πηλὸν τοῦ σώματος οὐ καταριθμεῖς,

πῶς δύνασαι γνῶναι τῶν ἀμέτρων τὰ μέτρα;1

(Pallada, Antologia Palatina, xi 349)

1 Trad. “Dimmi, come puoi misurare l’universo e i limiti della terra, tu con un piccolo corpo fatto di poca

terra? Prima misura e conosci te stesso. Potrai così misurare la terra infinita. Se non sai misurare

nemmeno il poco fango del tuo corpo, come puoi conoscere la misura delle cose che non hanno misura?”

INDICE

i

INDICE

Indice delle figure ……………………………………………………………….....vi

Indice delle tabelle ………………………………………………….........................x

Sommario .……...……………………………………………………………………xi

Abstract ……………………………………....……………………………….……xiii

Capitolo 1 - Introduzione al rischio e all’Enterprise risk

management ………………………………………………………………..........pag.1

1. Il concetto di rischio …………………………………………………………...pag.1

2. Tassonomia dei rischi …………………………………………........................pag.3

2.1. Rischi connessi al contesto esterno ………………………...…….………..pag.3

2.2. Rischi interni all’impresa ………………………………………………......pag.4

2.2.1. Rischi strategici ……………………………………………….…….pag.4

2.2.2. Rischi operativi ……………………………………………………..pag.5

2.2.3. Rischi finanziari …………………………………………………….pag.6

2.2.4. Rischi connessi al conferimento di responsabilità ………………….pag.7

2.2.5. Rischi di information processing/technology ……………………….pag.7

2.2.6. Rischi legati all’informazione nei processi aziendali ……………….pag.8

2.3. Altre tipologie di rischi ………………………………………………….…pag.8

3. La gestione dei rischi aziendali: il risk management …………………..........pag.9

3.1. Origini ed evoluzione storica del risk management ……………….............pag.9

3.2. Il passaggio dal traditional risk management all’ERM ……………………pag.9

3.3. Le principali differenze tra l’approccio tradizionale e l’ERM ……….......pag.12

3.4. Obiettivi e fasi del processo di ERM ……………………………………..pag.13

3.5. Gli attori coinvolti nel processo di ERM ……………………………........pag.18

3.6. I benefici e gli ostacoli all’ERM ………………………………………….pag.2o

Capitolo 2 – Presentazione dei principali standards e framework di

Enterprise Risk Management ……………………………………………..pag.23

1. Introduzione ………………………………………………………………….pag.23

INDICE

ii

2. BS 6079-3:2000 ……………………………………………………………….pag.24

2.1. Introduzione ………………………………………………………………pag.24

2.2. Processo di risk management …………………………………………….pag.27

2.2.1. Definizione del contesto e degli obiettivo …………………………pag.28

2.2.2. Risk identification …………………………………………………pag.32

2.2.3. Risk analysis ……………………………………………………….pag.34

2.2.4. Risk evaluation …………………………………………………….pag.35

2.2.5. Risk treatment ……………………………………………………..pag.36

2.2.6. Monitoraggio ………………………………………………………pag.37

2.3. Gestione del processo ………………………………………………….....pag.38

2.4. Reporting e comunicazione ………………………………………………pag.38

3. IEEE Standard for Software Life Cycle Processes – Risk Management …pag.39

3.1. Introduzione ………………………………………………………………pag.39

3.2. Processo di Risk management ……………………………………………pag.40

3.2.1. Plan and implement risk management …………………………….pag.41

3.2.2. Manage the project risk profile ……………………………………pag.43

3.2.3. Perform risk analysis ………………………………………………pag.44

3.2.4. Perform risk treatment ……………………………………………..pag.45

3.2.5. Perform risk monitoring …………………………………………...pag.47

3.2.6. Evaluate the risk management process ……………………….........pag.48

4. Standard di Risk Management (FERMA, 2002) ...........................................pag.48

4.1. Introduzione ……………………………………………………………....pag.48

4.2. Il processo di Risk Management ................................................................pag.49

4.2.1. Analisi del rischio .............................................................................pag.50

4.2.2. Valutazione del rischio .....................................................................pag.54

4.2.3. Trattamento del rischio .....................................................................pag.54

4.2.4. Reporting e comunicazione del rischio ............................................pag.54

4.3. Controllo e revisione del processo di risk management ……………….....pag.55

4.4. La struttura e l’amministrazione di risk management …………………....pag.56

4.4.1. Il consiglio ………………………………………………………....pag.56

4.4.2. Le unità operative ……………………………………………….....pag.56

4.4.3. La funzione di risk management ………………………………......pag.57

INDICE

iii

4.4.4. L’audit interno …………………………………………………......pag.57

5. AZ/NZS 4360:2004 ……………………………………………………….......pag.57

5.1. Introduzione ……………………………………………………………....pag.57

5.2. Il processo di Risk Management …………………....…………………....pag.58

5.2.1. Communicate and consult ………………………………………....pag.61

5.2.2. Establish the context ……………………………………………….pag.62

5.2.3. Risk identification …………………………………………………pag.66

5.2.4. Risk analysis ……………………………………………………….pag.66

5.2.5. Risk evaluation …………………………………………………….pag.70

5.2.6. Risk treatment ……………………………………………………..pag.72

5.2.7. Monitoring and review …………………………………………….pag.79

5.3. Recording the risk management process …………………………………pag.80

5.4. Establishing effective risk management ………………………………….pag.87

6. ISO 31000:2009 ……………………………………………………………....pag.88

6.1. Introduzione ……………………………………………………………....pag.88

6.2. Framework ………………………………………………………………..pag.93

6.2.1. Mandate and commitment …………………………………………pag.93

6.2.2. Design of framework for managing risk …………………………..pag.94

6.2.3. Implementing the framework and the risk management process .....pag.95

6.2.4. Monitoring and review of the framework……………………….....pag.96

6.3. Process ……………………………………………………………………pag.96

6.3.1. Communication and consultation ………………………………….pag.97

6.3.2. Establishing the internal and external context …………………..…pag.97

6.3.3. Risk Assessment …………………………………………….……..pag.98

6.3.4. Risk treatment ………………...………………………………….pag.101

6.3.5. Monitoring and review …………………………………………...pag.103

6.3.6. Recording the risk management process ………………………....pag.103

7. CAN/CSA – Q850: 2010, Implementation of CAN/CSA – ISO31000 …...pag.103

7.1. Introduzione …………………………………………………………......pag.103

7.2. Framework for managing risk …………………………………………..pag.105

7.2.1. Mandate and commitment ………………………………………..pag.107

7.2.2. Design of framework for managing risk …………………………pag.107

INDICE

iv

7.2.3. Implementing risk management ………………………………….pag.108

7.2.4. Monitoring and review of framework ……………………………pag.109

7.2.5. Continual improvement of the framework ……………………….pag.109

7.2.6. Governance and the risk management framework ……………….pag.109

7.2.7. Frameworks for public risk organizations ………………………..pag.110

7.3. Process for managing risk ……………………………………………….pag.110

7.3.1. Risk communication and consultation ………...…………………pag.111

7.3.2. Establish the internal and external context ……………………….pag.112

7.3.3. Risk assessment …………………………………………………..pag.113

7.3.4. Risk treatment ……………………………………………………pag.115

7.3.5. Monitoring and review …………………………………………...pag.115

7.3.6. Recording the risk management process …………………………pag.118

8. COSO ………………………………………………………………………..pag.118

8.1. Introduzione al framework ……………………………………………...pag.118

8.2. Internal environment …………………………………………………….pag.120

8.3. Objective setting …………………………………………………….......pag.121

8.4. Event identification ……………………………………………………...pag.122

8.5. Risk assessment …………………………………………………………pag.124

8.6. Risk response ………………………………………………………........pag.125

8.7. Control activities …………………………………………………….......pag.126

8.8. Information and communication ………………………………………..pag.126

8.9. Monitoring ………………………………………………………………pag.128

8.10. Roles and responsibilities ………………………………………...…...pag.129

8.11. Limitations on enterprise risk management ……………………….….pag.131

Capitolo 3 – Analisi comparata dei principali standard e framework di

Risk Management …………………………………………..……….............pag.132 1. Introduzione …………………………………………………………….......pag.132

2. Principali differenze e affinità tra i diversi standards e frameworks di Risk

Management ………………………………………………………………...pag.132

3. Conclusioni ……………………………………………………………….....pag.143

Capitolo 4 – Best practices di Enterprise Risk Management ….....pag.146

1. Introduzione ………………………………………………………………...pag.146

INDICE

v

2. Best practices di ERM ……………………………………………………...pag.146

2.1. Risk culture ………………………………………………………….....pag.146

2.2. Organization …………………………………………………………....pag.165

2.3. Process ……………………………………………………………….....pag.171

Capitolo 5 – L’Enterprise Risk Management nel settore bancario

italiano ………………………………………………………………………....pag.185

1. La crisi finanziaria e l’evoluzione dell’enterprise risk management nel settore

bancario ……………………………………………………………..............pag.186

2. La normativa in tema di gestione del rischio ……………………………..pag.188

2.1. Da Basilea I a Basilea III ………………………………………………..pag.188

2.2. La circolare n.263 della Banca d’Italia ……………………………….....pag.197

2.3. La circolare n.285 e la ricezione della direttiva CRR e CRD IV …….....pag.202

2.4. Il rischio di Compliance: il D. Lgs 231/01 ……………………………...pag.205

3. L’Enterprise Risk Management nel gruppo UNICREDIT ……………....pag.207

3.1. L’assetto organizzativo ……………………………………………….....pag.207

3.2. La gestione del rischio di credito ……………………………………......pag.211

3.3. La gestione del rischio di mercato …………………………………........pag.217

3.4. La gestione del rischio di liquidità ………………………………….......pag.220

3.5. La gestione dei rischi operativi ……………………………………….....pag.223

3.6. Altri rischi …………………………………………………………….....pag.224

3.7. Aspetti essenziali della governance del rischio ………………………....pag.225

Capitolo 6 – Enterprise Risk Management Survey ………………....pag.230

1. Introduzione ………………………………………………………………...pag.230

2. Analisi delle survey ……………………………………………………........pag.230

3. Conclusioni …………………………………………………………….........pag.251

CONCLUSIONI …………………………………………………………......pag.254

BIBLIOGRAFIA ………………………………………………………........pag.257

INDICE DELLE FIGURE

vi

Indice delle figure

Figura 1.1 – The value proposition of the ERM [Protiviti, Guide to Enterprise Risk

Management, 2006]

Figura 1.2 - I principali componenti del processo di enterprise risk management

Figura 1.3 - Matrice probabilità-impatto [M. Giorgino & F. Travaglini, Il risk management

nelle imprese italiane, 2008]

Figura 1.4 - Gli attori coinvolti nel processo di ERM

Figura 2.1 - Il processo di risk management [BS 6079-3:2000, pag.2]

Figura 2.2 - Business level risk management steps [BS 6079-3:2000, pag.8]

Figura 2.3 - Project and sub-project level risk management step [BS 6079-3:2000, pag.9]

Figura 2.4 - Esempi di rischi globali e di progetto [BS 6079-3:2000, pag.21]

Figura 2.5 - Processo di risk evaluation [BS 6079-3:2000, pag.13]

Figura 2.6 - Risk management process model [IEEE Std 1540-2001, pag. 6]

Figura 2.7 - Risk management plan [IEEE Std 1540-2001, pag.14-15]

Figura 2.8 - Risk action request [IEEE Std1540-2001, pag.16-17]

Figura 2.9 - Risk treatment plan [IEEEStd 1540-2001, pag.18-19]

Figura 2.10 - Il processo di risk management [FERMA, Standard di Risk Management,

2002, pag.5]

Figura 2.11 - Fattori di stimolo dei principali rischi [FERMA, Standard di Risk

Management, 2002, pag,4]

Figura 2.12- Risk Management Process [AS/NZS 4360:2004, pag.15]

Figura 2.13 - Processo di risk management in dettaglio [AS/NZS 4360:2004, pag.17]

Figura 2.14 - Range di rischi [AS/NZS 4360:2004, pag.56]

Figura 2.15 - Modello ALARP [AS/NZS 4360:2004, pag.66]

Figura 2.16 - Il Processo di trattamento dei rischi [AS/NZS 4360:2004, pag.73]

Figura 2.17 - Schema per l'individuazione di cause e conseguenze nel trattamento dei rischi

Figura 2.18 - Processo di gestione degli eventi critici [AS/NZS 4360:2004, pag.76]

Figura 2.19 - Trade-off tra livello di rischio e costi di riduzione [AS/NZS 4360:2004,

pag.83]

Figura 2.20 - Livelli di monitoraggio [AS/NZS 4360:2004, pag.90]

Figure 2.21, 2.22 - Esempi di risk register [AS/NZS 4360:2004, pag.99-100]

INDICE DELLE FIGURE

vii

Figure 2.23, 2.24 - Esempio di risk treatment plan [AS/NZS 4360:2004, pag.101-102]

Figura 2.25 - Diagramma delle responsabilità [The Institute of Internal Auditors, The role of

the Internal Audit in Enterprise risk management, 2009]

Figura 2.26 - The relationship between the risk management principles, framework and

process [ISO 31000:2009, vii]

Figura 2.27 - The relationship between the components of the framework for managing risk

[ISO 31000:2009, pag.9]

Figura 2.28 - Risk management process [ISO 31000:2009, pag.14]

Figura 2.29 - Relationship between the risk management framework and the process

[CAN/CSA-Q850:2010, xi]

Figura 2.30 - Relationship between the risk management framework and the process

[CAN/CSA-Q850:2010, xi]

Figura 2.31 - COSO cube [COSO Enterprise Risk Management-Integrated Framework,

2004, pag.7]

Figura 2.32 - Risk appetite [COSO Enterprise Risk Management-Application techniques,

2004, pag.17]

Figura 2.33 - Categorie di eventi [COSO Enterprise Risk Management-Integrated framework,

2004, pag.46-47]

Figura 2.34 - Rappresentazione di probabilità e impatto in una tecnica qualitativa [COSO

Enterprise Risk Management-Apllication techniques, 2004, pag.36]

Figura 2.35 - Alcuni esempi di risk response [COSO Enterprise Risk Management-

Application techniques, 2004, pag.55]

Figura 2.36 - Flussi informativi all’interno del processo di risk management [COSO

Enterprise Risk Management-Application techniques, 2004, pag.69]

Figura 4.1 - Deloitte risk culture framework [Deloitte, Cultivating a risk intelligent culture,

2012, pag.3]

Figura 4.2 - Road map for continuous cultural improvement [Deloitte, Cultivating a risk

intelligent culture, 2012, pag.4]

Figura 4.3 - Overview of considerations affecting Risk Appetite [Rittenberg, Martens,

Understanding and Communicating Risk Appetite, 2012, pag.4]

Figura 4.4 - Relazione tra risk tolerances, risk appetite e obiettivi [Rittenberg, Martens,

Understanding and Communicating Risk Appetite, 2012, pag.11]

INDICE DELLE FIGURE

viii

Figura 4.5 - ERM-BSC process cycle [Kaplan & Norton, 1996, Nagumo, 2005, e Segal,

2005]

Figura 4.6 - Critical incident management [AS/NZS 4360:2004]

Figura 5.1 - La ponderazioni per il rischio nel nuovo approccio standard [Basel Committee

on banking supervision, 2004]

Figura 5.2 - Fasi di applicazione dei nuovi requisiti [Basilea III, Schema di

regolamentazione internazionale per il rafforzamento delle banche e dei sistemi bancari,

Dicembre 2010, Allegato 4]

Figura 5.3 - Stilizzazione dei livelli di controllo interno [Renato Maino, Banche e corporate

governance: un passaggio critico verso Basilea 3, pag.69]

Figura 6.1 - Livello di maturità dell’ERM process [COSO’s Report on ERM, pag.2]

Figura 6.2 - Livello di maturità dell’enterprise risk management [AICPA, Current State of

Enterprise Risk Oversight 2012, pag.15]

Figura 6.3 - Current stage on ERM [COSO’s Report on ERM, pag.3]

Figura 6.4 - ERM Adoption Rates [2013 RIMS Enterprise Risk Management Survey, pag.4]

Figura 6.5 - ERM program in place [Deloitte, Global risk management survey, eighth

edition 2013, pag.14]

Figura 6.6 - The adoption of ERM [AICPA, Current State of Enterprise Risk Oversight,

2012]

Figura 6.7 - Principali barriere [AICPA, Current State of Enterprise Risk Oversight 2012

Figura 6.8 - Fattori motivazionali [FERMA, Risk Management Benchmarking Survey 2012]

Figura 6.9 - Primary implementation motivations [2013 RIMS Enterprise Risk Management

Survey, pag.6]

Figura 6.10 – Fattori esterni di spinta all’ERM [AON, Global Risk Management Survey

2013, pag.70]

Figura 6.11 - Percentuali relative alle percezioni riguardanti l’aumento dei rischi [AICPA,

Current State of Enterprise Risk Oversight 2012, pag.7]

Figura 6.12 - Percentuali delle organizzazioni che hanno sviluppato dei risks inventories

[AICPA, Current State of Enterprise Risk Oversight 2012, pag.20]

Figura 6.13 - Top ten risks [FERMA, Risk Management Benchmarking Survey 2012,pag.10]

Figura 6.14 - Principali categorie di rischi inserite nel Risk Model [KPMG, Enterprise Risk

Management survey 2013, pag.17]

INDICE DELLE FIGURE

ix

Figura 6.15 – Adesione a Standard e framework di ERM [2013 RIMS Enterprise Risk

Management Survey, pag.7]

Figura 6.16 - Department primarily responsible for directing ERM activities [2013 RIMS

Enterprise Risk Management Survey, pag.5]

Figura 6.17 - Risk functions included in ERM activities [2013 RIMS Enterprise Risk

Management Survey, pag.5]

Figura 6.18 - Cooperation between Risk Management and other functions [FERMA, Risk

Management Benchmarking Survey 2012, pag.9]

Figura 6.19 - Percentuali delle organizzazioni in cui è presente la figura del CRO [Deloitte,

Global risk management survey 2013, pag.11]

Figura 6.20 - Principali attività in cui è coinvolta la funzione centrale [KPMG, L’Enterprise

Risk Management in Italia, 2012, pag.11]

Figura 6.21 - Coinvolgimento del board nell’ERM [AON, Global risk management survey

2013, pag.77]

Figura 6.22 - Attività svolte dal Consiglio di Amministrazione o dalle board risk

committees [Deloitte, Global risk management survey 2013, pag.9]

Figura 6.23 - Principali ruoli e responsabilità degli attori coinvolti nel processo di

assunzione e gestione dei rischi, in linea con il modello di Risk Governance [KPMG,

L’Enterprise Risk Management in Italia, 2012, pag.13]

Figura 6.24 - Livelli di efficacia nella gestione dei principali rischi [Deloitte, Global risk

management survey 2013, pag.24]

Figura 6.25 - Reportistica [2013 RIMS Enterprise Risk Management Survey, pag.10]

Figura 6.26 - Tipologia di informazioni oggetto di reportistica [Deloitte, Global risk

management survey 2013, pag.16]

Figura 6.27 - Modalità di comunicazione [AICPA, Current State of Enterprise Risk

Oversight, 2012, pag.23]

Figura 6.28 - Types of risk monitoring and reporting [2013 RIMS Enterprise Risk

Management Survey, pag.12]

Figura 6.29 - Periodicità della reportistica nelle imprese in Italia [KPMG, L’Enterprise Risk

Management in Italia 2012, pag.18]

Figura 6.30 - Primary value [2013 RIMS Enterprise Risk Management Survey, pag.8]

Figura 6.31 - Correlazione positiva tra risk management maturity e EBITDA/reddito

[FERMA, Risk Management Benchmarking Survey 2012, pag.11]

INDICE DELLE TABELLE

x

Indice delle tabelle

Tabella 1.1 - Principali differenze e affinità tra il risk management tradizionale e l’ERM

[Spinard, Enterprise risk management, 2002]

Tabella 2.2 - The relationship between decision making focus, and decision making levels

in the context of the risk management [BS 6079-3:2000, pag.6]

Tabella 2.3 - Analisi quanlitativa di base [BS 6079-3:2000, pag. 12]

Tabella 2.4 - Misure di risk treatment [BS 6079-3:2000, pag. 13]

Tabella 2.5 - Misure di opportunità [BS 6079-3:2000, pag. 14]

Tabella 2.5 - Tabella di descrizione del rischio [FERMA, Standard di Risk Management

2002, pag.7]

Tabella 2.6 - Conseguenze - Minacce ed opportunità [FERMA, Standard di Risk

Management 2002, pag.8]

Tabella 2.7 - Probabilità dell'evento- Minacce [FERMA, Standard di Risk Management]

Tabella 2.8 - Probabilità dell'evento - Opportunità [FERMA, Standard di Risk Management

2002, pag.9]

Tabella 2.9 - Criteri per lo sviluppo di un progetto [AS/NZS 4360:2004, pag.34]

Tabella 2.10 - Criteri per lo sviluppo di un piano di business [AS/NZS 4360:2004]

Tabella 2.11 - Matrici per determinare il livello di rischio [AS/NZS 4360:2004, pag.54]

Tabella 2.12 - Opportunità [AS/NZS 4360:2004, pag.59]

Tabella 2.13 - Matrice di assegnazione delle priorità [AS/NZS 4360:2004, pag.65]

Tabella 2.14 - Fattori decisionali da valutare [AS/NZS 4360:2004, pag.82]

Tabella 2.15 - Applicabilità delle tecniche alle diverse fasi di risk assessment

Tabella 2.16 - Esempio di risk maturity model [CAN/CSA-Q850:2010, xxxiii]

Tabella 3.6 - Definizioni di rischio

Tabella 3.2 - Definizioni di risk management process e risk management framework

Tabella 3.3 - Testi a supporto degli Standard di risk management

Tabella 3.4 - Scopo e livello di applicazione degli Standards

Tabelle 3.5 a, b, c - Confronto tra le diverse fasi del processo di ERM

Tabella 3.6 - Tecniche più diffuse di risk assessment

Tabella 3.7 – Questioni di rilievo nei differenti standards

SOMMARIO

xi

Sommario

Negli ultimi decenni, e in particolare in questi ultimi anni a seguito della recente crisi che ha

interessato il sistema economico globale, la disciplina del Risk Management, intesa nella

sua accezione più ampia come l’insieme di attività, metodologie e risorse coordinate per

individuare, valutare, gestire e monitorare i rischi, attraverso un processo continuo,

graduale, proattivo e integrato nella cultura aziendale, ha acquisito un’importanza sempre

maggiore ed è diventata uno strumento indispensabile per proteggere e incrementare il

valore d’impresa.

Al concetto di rischio, all’evoluzione, alle fasi e ai benefici/limiti del processo di enterprise

risk management è dedicato il primo capitolo, cui segue il secondo con lo scopo di

comprendere e analizzare i diversi Standards e Frameworks, sviluppati con l’obiettivo di

fornire linee guida nella gestione dei rischi a supporto del Management e dei processi

decisionali, che hanno contribuito in maniera sostanziale alla sua evoluzione, segnando in

modo definitivo il passaggio da una logica funzionale (a silo) ad una integrata.

Il terzo capitolo propone uno studio comparato dei principali Standards e dei Frameworks,

oggetto del secondo capitolo, con l’obiettivo di individuare le principali affinità e differenze

e comprendere se via sia o meno un elevato grado di somiglianza, tale da evidenziare lo

sviluppo di un consenso mondiale ormai diffuso riguardo alle modalità di realizzazione

della gestione dei rischi.

Il quarto capitolo offre una trattazione ampia e completa delle principali best practices in

materia di gestione dei rischi, derivate in parte dallo studio degli Standards/Frameworks di

ERM e dalle letture accademiche, in parte da relazioni e articoli redatti da professionisti e

da società di consulenza.

Il quinto capitolo affronta il tema del risk management limitatamente al settore finanziario,

nello specifico quello bancario, di particolare interesse a causa della presenza di una forte

regolamentazione Comunitaria e nazionale. L’obiettivo è quello di analizzare le recenti

disposizioni in tema di gestione dei rischi e valutare, in riferimento al gruppo bancario

UniCredit, i livelli di compliance alla normativa e le modalità di realizzazione

dell’enterprise risk management.

SOMMARIO

xii

L’ultimo capitolo, infine, si propone di identificare il livello di diffusione e integrazione

dell’ERM all’interno delle imprese europee ed extraeuropee, attraverso uno studio

approfondito di alcune survey, relative all’anno 2013 e agli anni precedenti, condotte da

società di consulenza o associazioni attive in questo campo.

ABSTRACT

xiii

Abstract

As a result of the recent crisis that has affected the global economic system, the discipline

of Risk Management has become an indispensable tool to protect and enhance enterprise

value, as the set of activities, methods and resources used to coordinate identify, assess,

manage and monitor risks through continuous and proactive processes.

Chapter one introduces the concept of risk. Here we deal with the evolution, the benefits

and the limitations of the process of enterprise risk management. In the second chapter, we

aim to understand and analyze the various Standards and Frameworks developed to support

the Management and decision-making processes. These processes have substantially have

become ever more apparent, marking a definitive shift from a functional to an integrated

view.

The third chapter offers a comparative study of risk management Standards and

Frameworks. Here we aim to identify the main similarities and differences between various

processes. We investigate the development of a various processes to identity whether a

widespread global consensus regarding the implementation of risk management has arisen.

Chapter four provides a wide and comprehensive discussion of the main best practices of

risk management. This discussion derived from the study of the ERM

Standards/Frameworks as well as academic lectures, reports and articles written by

professionals and consulting firms.

The fifth chapter deals with the topic of risk management limited to the financial sector,

specifically the banking industry. This topic is of particular interest due to the presence of

strong European and national regulation. Our objective is to analyze the recent provisions

concerning risk management. Setting our focus on the banking group UniCredit, we assess

the levels of compliance with the rules and the procedures for the implementation of

enterprise risk management within these groups.

Finally, in chapter six we seek to identify the level of diffusion and integration of ERM

within European and Extra European firms. We do this through a detailed study of specific

surveys taken throughout the year 2013 and previous years, that were conducted by

consulting firms or active associations in this relevant field.

CAPITOLO 1

1

Capitolo 1

Introduzione ai rischi e all’Enterprise Risk

Management

1. Il concetto di rischio

Il rischio è un'espressione dell'incertezza, che ha origine principalmente a causa della

limitata razionalità umana e dalla natura stocastica degli eventi, ed è una componente

fondamentale nel processo della vita. Ciascuno di noi, infatti, deve valutare ogni giorno il

contesto in cui vive, raccogliere informazioni e determinare quale sia il modo migliore per

adattarsi alle situazioni e ai cambiamenti che si presentano.

Il rischio può essere definito come “an uncertain future event which could influence the

achievement of the organization’s objective, including strategies operational, financial and

compliance objective” (Australian Standard, 1995).

In ogni caso la maggior parte delle definizioni fa riferimento ai concetti di incertezza e

variabilità dei risultati, i quali implicano che il decisore sia posto di fronte ad un numero

elevato di possibili scenari ambientali, di cui però non è in grado di conoscere in anticipo né

la probabilità di accadimento, né l’entità dei risultati potenziali, e possa solo proporre delle

stime soggettive del valore di tali variabili, facendo ricorso alla propria esperienza e

capacità previsionale.

Tuttavia, in ogni caso, è necessario operare una distinzione tra rischio e incertezza.

Knight2 sosteneva che fosse possibile distinguere tra “incertezza misurabile” o “quantità

suscettibile di misurazione” e “incertezza non misurabile”, associando quindi alla prima il

concetto di rischio e alla seconda quello di incertezza.

Sebbene in entrambi i casi non si possa essere certi dei risultati finali, in condizioni di

rischio il decisore è tuttavia in grado di associare impatti e probabilità di accadimento ai

diversi scenari, stimando oltretutto le perdite attese, mentre in condizioni di incertezza

rendimenti e probabilità non possono essere noti.

2 Frank Knight, economista dell’Università di Chicago (1885-1972), autore del libro Risk, uncertainty and

profit

CAPITOLO 1

2

Si richiamano quindi i concetti di probabilità oggettiva, secondo cui la funzione di

probabilità che raffigura gli eventi in questione è nota o è stimabile attraverso un’analisi

empirica, e soggettiva, che prevede invece un processo di valutazione soggettiva in quanto

la situazione trattata si caratterizza per le condizioni di singolarità e non ripetitività.

Anche se nella mentalità comune il concetto di rischio ha soprattutto una accezione

negativa, la prospettiva più coerente con le odierne dinamiche competitive suggerisce

invece di guardare il rischio nella sua naturale ambivalenza di opportunità (upside) e

minaccia (downside).

Esso, infatti, può costituire una forte spinta al cambiamento e al rinnovamento, per cogliere

opportunità emergenti che in precedenza non erano state individuate, né prese in

considerazione, e che potenzialmente sarebbero in grado di creare valore.

Negli ultimi decenni, a causa di un contesto ormai sempre più dinamico, caratterizzato da

una continua evoluzione dei sistemi economici, la rilevanza del concetto di rischio è

cresciuta notevolmente e l’indiscutibile proiezione aziendale nel futuro implica che il

rischio venga assunto come ineliminabile condizione di esistenza di qualsiasi impresa che è

soggetta incessantemente alle forze del mondo economico.

Qualsiasi organizzazione è soggetta non solo ai rischi derivanti da eventi indipendenti dalla

propria volontà, ma anche da quelli che scaturiscono dalle proprie scelte e decisioni.

Possiamo quindi affermare che “il rischio è un elemento tipico dell’impresa che opera in

un’economia di mercato e non solo un elemento accidentale” (Domenica Lamanna Di

Salvo, 2004) e l’imprenditore è colui che non si adatta passivamente a situazioni createsi sul

mercato o nell’ambiente (reazione adattiva), ma interviene con un’azione tesa a far volgere

le forze avverse a proprio favore (reazione creativa) (Shumpeter, 1932).

Egli si configura come consapevole assuntore del rischio, alla ricerca di quel profitto

“dinamico”, il cui scopo è quello di remunerare la specifica attività imprenditoriale di

assunzione del rischio (Knight, 1942).

È dunque in questo contesto che si afferma la disciplina del Risk Management come

strumento efficace ed efficiente per ridurre l’incertezza e soddisfare le crescenti aspettative

di shareholders e stakeholders.

CAPITOLO 1

3

2. Tassonomia dei rischi

Per comprendere al meglio il contesto ed identificare con certezza le diverse opportunità, è

necessario distinguere e classificare i diversi tipi di rischio, evidenziandone causa, effetti e

raggio di azione.

Di seguito viene proposta un possibile tassonomia dei rischi che le imprese sono, sempre

più spesso, chiamate a gestire.

2.1. Rischi connessi al contesto esterno (rischi dinamici)

Questi rischi si manifestano quando si verificano eventi esterni all’azienda che esulano dal

controllo dell’impresa stessa e sono connessi al cambiamento del contesto economico,

politico e sociale.

Tra questi possiamo trovare:

rischio di concorrenza: riguarda principalmente le azioni dei concorrenti o dei potenziali

entranti sul mercato, che possono compromettere il vantaggio competitivo dell’impresa

o minacciarne la sopravvivenza;

rischio connesso alle nuove tecnologie: deriva dal mancato sfruttamento delle

tecnologie esistenti o emergenti per migliorare le proprie performance in termini di

tempo, qualità, costi;

rischio connesso alle esigenze della clientela: si manifesta quando l’azienda non riesce a

comprendere appieno i bisogni dei propri clienti o non si accorge delle mutate necessità

o dei mutati desideri di questi ultimi;

rischio di sensibilità: si verifica quando l’impresa diviene fortemente sensibile ai

cambiamenti del contesto ambientale (ad esempio tassi d’interesse, cambiamenti

legislativi, ecc.) al di fuori del suo controllo;

rischio connesso alla disponibilità dei capitali: fa riferimento all’insufficiente accesso o

all’impossibilità di accedere ai capitali, che minaccia la crescita dell’impresa e la sua

sopravvivenza;

rischio connesso ai rapporti con gli azionisti: riguarda il deterioramento dei rapporti tra

managers e azionisti, che influenza la capacità dell’impresa di realizzare efficaci

aumenti di capitale e sostenere il valore delle sue azioni;

rischio legale: legato a mutamenti legislativi, può portare l’impresa all’impossibilità di

completare transazioni, far rispettare accordi contrattuali o implementare strategie;

CAPITOLO 1

4

rischio politico: connesso al contesto politico in cui l’impresa opera, può comportare

perdite in termini di risorse e cash flow attesi e minacciare l’esistenza stessa

dell’impresa;

rischio di settore: legato a congiunture del settore in cui l’impresa opera, può minare la

presenza dell’impresa nel settore stesso;

rischio connesso ai mercati finanziari: dovuto a cambiamenti dei tassi, dei prezzi o di

indici e può influenzare il valore degli asset finanziari dell’impresa;

rischio ambientale: legato ad una maggiore attenzione ai vincoli delle normative

ambientali;

rischio di perdite catastrofiche: riguarda la possibilità che si verifichino eventi

catastrofici naturali.

2.2. Rischi interni all’impresa (rischi statici)

In questo caso i rischi riguardano fattori interni all’impresa, prevedibili, e sui quali

l’impresa può esercitare un discreto controllo.

2.2.1. Rischi strategici

Si fa riferimento al rischio attuale o prospettico di flessione degli utili o del capitale,

derivante da: cambiamenti del contesto operativo, decisioni aziendali errate, attuazione

inadeguata di decisioni e scarsa reattività a variazioni del contesto competitivo.

Tra questi troviamo:

Rischio di concentrazione: legato alla presenza dell’impresa in un mercato “ristretto”

dove non è possibile realizzare margini soddisfacenti;

Rischio di controparte: relativo alla possibilità che la controparte risulti inadempiente

alle condizioni di un contratto e inaffidabile;

Rischio di reputazione: comprende il rischio attuale o futuro derivante da un

peggioramento dell’immagine della società;

Rischio di partnering: legato a inefficienti o inefficaci partnership e joint venture.

CAPITOLO 1

5

2.2.2. Rischi operativi (legati ai processi aziendali)

Questa tipologia di rischi fa riferimento all’inadeguatezza o alla disfunzione di procedure,

risorse umane e sistemi interni. Essi ineriscono esclusivamente alla dinamica operativa

dell’impresa. Si suddividono in:

Rischio connesso alla customer satisfaction: la mancata attenzione al cliente e ai suoi

bisogni determinano l’incapacità dell’impresa di soddisfare le sue aspettative;

Rischio connesso alle risorse umane: riguarda l’inadeguatezza del personale

operativo in termini di conoscenze, esperienze e abilità;

Rischio relativo al capitale di conoscenze: si distingue dal precedente in quanto

riguarda l’inadeguatezza o l’inesistenza dei processi di apprendimento;

Rischio connesso allo sviluppo dei prodotti: inefficace restyling di prodotti esistenti

o progettazione di nuovi;

Rischio di capacità: riguarda l’insufficiente capacità produttiva dell’impresa, che

rende difficile soddisfare le richieste dei clienti;

Rischio di efficienza: la mancata efficienza porta l’impresa ad avere costi più alti

rispetto ai suoi competitor;

Rischio connesso ai tempi dei cicli produttivi: legato allo svolgimento di azioni NVA

(not value added);

Rischio di performance: impossibilità di operare secondo gli standard previsti o ad

alti livelli di qualità, costi e tempi;

Rischio di sourcing: legato alla limitatezza delle risorse operative in termini di

infrastrutture, macchinari, energia e commodities;

Rischio relativo all’efficacia dei canali: dovuto all’inefficace posizionamento dei

canali distributivi;

Rischio di conformità: causa la mancata corrispondenza con le procedure richieste;

Rischio di fallimento di prodotti/servizi

Rischio di erosione del marchio: la possibilità che la forza del marchio possa venire

meno nel tempo costituisce una minaccia per la domanda di prodotti o servizi

dell'impresa e riduce la capacità di crescita futura della stessa.

CAPITOLO 1

6

2.2.3. Rischi finanziari

In questo caso i rischi incidono sulla liquidità aziendale e sono legati all’equilibrio tra flussi

monetari in entrata e in uscita. Questa tipologia di rischi è a sua volta suddivisibile in tre

diverse categorie.

2.2.3.1. Rischi di prezzo

Fanno parte di questa categoria di rischio:

Rischio connesso ai tassi di interesse: dovuto a movimenti significativi nei tassi di

interesse che espongono l’azienda a un più oneroso indebitamento, a minori ritorni

dagli investimenti e ad una riduzione del valore degli asset;

Rischio connesso ai tassi di cambio: la volatilità dei tassi di cambio espone l’azienda a

possibili perdite economiche;

Rischio relativo al prezzo delle commodities: fluttuazioni nei prezzi delle commodity

espongono a più bassi margini o a perdite;

Rischio connesso a strumenti finanziari: eccessivi costi di gestione o perdite derivanti

dalla tipologia di strumenti finanziari utilizzati;

Rischio inflazionistico: variazioni nel livello dei prezzi portino ad una perdita del

potere di acquisto della moneta detenuta e una perdita di valore dei crediti.

2.2.3.2. Rischi di liquidità

Questa categoria riunisce, invece, tutti i rischi che compromettono la capacità dell’impresa

di adempiere alle proprie obbligazioni alla loro scadenza. Essa comprende:

Rischio connesso ai cash flow: riguarda la possibile flessione dei ritorni e la

conseguente necessità di prendere a prestito capitale;

Rischio connesso a perdite di opportunità: riguarda l’utilizzo inefficiente e inefficace di

risorse liquide.

2.2.3.3. Rischi di credito

Questa categoria riguarda fondamentalmente il rischio che un debitore non assolva, anche

solo in parte, ai suoi obblighi di rimborso del capitale e di pagamento degli interessi.

CAPITOLO 1

7

2.2.4. Rischi connessi al conferimento di potere

Essi riguardano i rischi legati all’inadeguata attribuzione di ruoli e responsabilità ad ogni

livello della gerarchia aziendale.

Possono essere così suddivisi:

Rischio di leadership: comprende mancanza di direzione, scarsa motivazione o scarsa

fiducia;

Rischio di autorità/limiti: deriva dal fatto che un mancato esercizio dell’autorità o una

forte imposizioni di limiti, ostacolino il raggiungimento degli obiettivi;

Rischio connesso alla concessione di incentivi: dipende dal fatto che il personale possa

essere spinto ad operare senza tener conto di regole o standard etici;

Rischio connesso alle esternalizzazioni: possibilità che terzi, a cui sono state assegnate

responsabilità riguardanti alcune attività, possano agire in modo incoerente con gli

obiettivi e le strategie dell’azienda;

Rischio di comunicazione: inefficaci canali e modalità di comunicazione, determinano

criticità nell’assegnazione di responsabilità o di misurazione delle performance.

2.2.5. Rischi di information processing/technology

Questa tipologia di rischi è legata alla sicurezza fisica e alla trasparenza dei dati e, più in

generale, al fatto che il sistema informatico non sia affidabile sia in termini di strutture, di

risorse e modalità tecnologiche.

Include:

Rischio d’accesso: dovuto al libero accesso ad informazioni, che porterebbe ad una

conoscenza non autorizzata e ad un uso di informazioni riservate;

Rischio d’integrità: deterioramento dei dati stessi;

Rischio di disponibilità: riguarda l’effettiva accessibilità dei dati per garantire la

continuità dei processi aziendali;

Rischio di rilevanza: ogni dato immesso nel sistema deve essere rilevante ai fini

decisionali.

CAPITOLO 1

8

2.2.6. Rischi legati all’informazione nei processi aziendali

Si tratta sostanzialmente di rischi che intercorrono quando le informazioni che supportano il

processo decisionale sono incomplete, non aggiornate, poco accurate o del tutto irrilevanti

per il decision maker.

Questa categoria di rischi comprende tutti i rischi connessi ad informazioni su processi ed

operazioni, quelli connessi ad informazioni relative al reporting aziendale e quelli connessi

ad informazioni strategiche e ambientali.

2.3. Altre tipologie di rischi

Oltre a quelle sopra citate vengono identificate altre tipologie di rischi:

Rischi diversificabili: comprende il caso in cui la variabilità complessiva può essere

ridotta attraverso la compensazione dei rischi, quando cioè i rischi assunti non sono

direttamente correlati tra loro;

Rischi sistematici: sono rischi non diversificabili, poiché comuni all’intero sistema;

Rischi puri: derivano da eventi che hanno una connotazione esclusivamente negativa e

non presentano alcuna possibilità di profitto o opportunità;

Rischi speculativi: sono rischi che possono essere sia favorevoli (upside risk) che

sfavorevoli (downside risk);

Rischi core: riguardano da vicino il core-business dell’azienda. Se gestiti in modo

appropriato possono costituire opportunità, fonti di profitto e garantire un vantaggio

competitivo;

Rischi non-core: sono rischi non connessi al core-business dell’azienda, ma conseguenti

all’attività aziendale;

Rischi inerenti: comprende tutti i rischi che riguardano l’impresa non diretta

conseguenza di azioni di management e su cui sono concentrate le azioni di risk

management;

Rischi residui: sono i rischi che interessano l’impresa in via residuale, che rimangono

cioè per incapacità di gestirli o perché semplicemente non sono stati individuati.

CAPITOLO 1

9

3. La gestione dei rischi aziendali: il risk management

3.1. Origini ed evoluzione storica del risk management

Le origini di questa disciplina, dal punto di vista strettamente teorico, risalgono al 1918,

quando l’ingegnere francese Henry Fayol3 incluse tra le sei funzioni primarie del

management di un’impresa la gestione dei rischi.

Tuttavia la nascita vera e propria del risk management, nella sua accezione moderna, va

ricondotta agli inizi degli anni ’60 negli USA quando due professori, Robert Mehr e Bob

Hedges, pubblicarono un libro con il titolo “Risk management and the business enterprise”,

affermando che “il risk management doveva servire a migliorare l’efficienza produttiva

dell’impresa, concentrandosi esclusivamente sui rischi puri e su quelli speculativi”.

In ogni caso, in origine, la gestione dei rischi, relativa quasi ed esclusivamente ai rischi puri,

faceva riferimento alla gestione dei rapporti assicurativi, portando così a farla coincidere

con la ricerca in azienda di idonee coperture assicurative (insurance management).

E’ solo in seguito, tra gli anni ’80 e ’90, che, poiché la ricerca di coperture assicurative

come unico approccio al risk management forniva soluzioni sempre più inadeguate e

insoddisfacenti, la gestione del rischio si sviluppò come vera e propria disciplina autonoma

e coinvolse rischi attinenti alla sfera della finanza aziendale (rischio di cambio, rischio di

oscillazione dei tassi di interesse, rischio di rendimento del portafoglio titoli, ecc.) o del

credito commerciale, fino ad includere i rischi operativi, di mercato e di innovazione.

3.2. Il passaggio dal traditional risk management all’ERM4

Il risk management può essere definito come un processo di identificazione e valutazione

dei rischi cui l’azienda è esposta, al fine di decidere la migliore strategia di trattamento

degli stessi sulla base di adeguate valutazioni.

Esso comprende un insieme di azioni intraprese dalle aziende nel tentativo di modificare il

livello di rischio proveniente dalle principali aree di business.

Tuttavia secondo questa definizione il risk management si occupa di gestire esclusivamente

i rischi puri d’impresa (Forestieri, 1996). Un ulteriore passo in avanti portò invece il risk

management a svilupparsi secondo una logica integrata, ossia a considerare e prediligere gli

3 Ingegnere minerario francese, il primo a sviluppare un teoria generale della gestione aziendale 4 Enterprise risk management

CAPITOLO 1

10

interessi dell’azienda nel suo complesso, piuttosto che a guardare agli obiettivi delle singole

funzioni o unità operative.

La CAS5 individuò sei fattori fondamentali, di varia natura, che contribuirono allo sviluppo

di questo nuovo approccio.

L’aumento della molteplicità e della complessità dei rischi è sicuramente il più rilevante. Le

imprese, infatti, si trovavano a dover affrontare rischi, legati al progresso tecnologico, alla

globalizzazione e alla maggior sofisticazione degli strumenti finanziari, che

precedentemente non erano assolutamente contemplati.

La crescita delle pressioni esterne derivanti da regolamentazioni e normative, Comunitarie e

nazionali, da società di rating e da investitori istituzionali, rappresenta un altro importante

fattore di stimolo insieme alla nascita della “portfolio point of view”, alla tendenza cioè a

valutare il rischio secondo una logica integrata e non più funzionale o “a silos”, e alla

crescente necessità di quantificarlo, per valutarne l’impatto sul business dell’impresa, non

più solo in termini economici e finanziari, evidenziando eventuali correlazioni con altri

rischi con l’obiettivo di facilitare il processo di decision making.

Il “boundary-less benchmarking factor” fa invece riferimento al fatto che lo sviluppo di

questo approccio, non più correlato alle sole organizzazioni che forniscono servizi

assicurativi o finanziari, ma comune ad ogni attività di tipo imprenditoriale, abbia permesso,

grazie anche al progressivo sviluppo tecnologico, l’agevolazione degli scambi interaziendali

di informazioni relative ai rischi.

Grande rilevanza infine deve essere data alla rinnovata concezione di rischio, che non si

limita più alla sola accezione negativa della parola, ma ne accredita anche quella positiva,

sviluppando quindi una ambivalenza minaccia-opportunità.

Le definizioni proposte nel corso degli anni per delineare al meglio questo nuovo approccio

sono state diverse.

De Loach (2000) afferma che “l’ERM è un approccio metodologico strutturato, proattivo e

disciplinato che prende in considerazione, in un’ottica di conoscenza e valutazione dei

rischi, tutti gli aspetti della gestione aziendale: strategie, mercato, processi, risorse

finanziarie, risorse umane e tecnologie”.

5 Casualty Actuarial Society

CAPITOLO 1

11

Meulbroek (2002) parla di Integrated risk management e lo definisce come “un processo

continuo, proattivo e sistematico per capire, gestire e comunicare il rischio da una

prospettiva globale di impresa”.

La Casualty Actuarial Society (CAS) nel 2003 definisce l’ERM come “la filosofia di

gestione dei rischi secondo la quale un’impresa di qualsiasi settore valuta, controlla,

finanzia e monitora i rischi da tutte le possibili fonti con lo scopo di incrementare il valore

di breve e lungo periodo per i suoi stakeholder”.

Il Committee of Sponsoring Organizations of the Threadway Commission (COSO) nel 2000

afferma che “l’ERM è un processo svolto dal personale dell’impresa, a qualunque livello in

essa operante, che interessa l’impresa sin dalla fase di elaborazione della strategia,

disegnato allo scopo di evidenziare e gestire quegli eventi potenziali che possono colpire

l’impresa e con la finalità di fornire ragionevole supporto al conseguimento degli obiettivi

aziendali”.

J. Lam (2000) definisce l’ERM come “an integrated framework for managing credit risk,

market risk, operational risk, economic capital, and risk transfer in order to maximize firm

value”, mentre la federazione delle associazioni europee di risk management (FERMA,

2002)) propone la definizione secondo cui “risk management is a central part of any

organization’s strategic management. It is a process whereby organizations methodically

address the risks attached to their activities with the goal of achieving sustained benefit and

understanding the potential downside and upside of all the factors that can affect the

organization”.

La definizione più recente, e forse anche la più completa, è quella proposta da Alviunessen

e Jankensgard (2009) per cui “the ERM concerned about a holistic, company-wide

approach in managing risk, and centralized the information according to the risk

exposures. Questi due autori utilizzano il termine risk universe per identificare tutti i

possibili rischi che potrebbero impattare sui cash flow attesi dell’impresa, sulla sua

profittabilità e minare l’esistenza dell’impresa stessa.

È possibile osservare che la maggior parte delle definizioni sopra citate risultano essere

concordi nell’affermare che l’ERM svolge un ruolo fondamentale nell’integrare, coordinare

e gestire, tramite un unico approccio, tutti i tipi di rischio che riguardano l’impresa. Questo

approccio rende infatti più agevole la scelta della strategia di gestione migliore, in accordo

con gli obiettivi dell’impresa, e si dimostra essere uno strumento essenziale per la creazione

di valore.

CAPITOLO 1

12

3.3. Le principali differenze tra l’approccio tradizionale e l’ERM

Diversi autori hanno cercato di delineare le differenze che intercorrono tra una gestione

integrata del rischio e quella tradizionale.

Spinard (2005) ha proposto, al riguardo, la tassonomia più esaustiva, identificando sette

dimensioni di analisi (sintetizzate nella tabella seguente) rispetto alle quali posizionare

un’impresa lungo il continuum che va dal risk management tradizionale a quello integrato.

Dimensione di analisi Approccio tradizionale ERM

Relazione RM-Strategia

Influenza limitata del RM

nella definizione dei piani

strategici

Supporto effettivo del RM

alla definizione dei piani

strategici

Focus della gestione del

rischio

RM orientato a gestire le

minacce

RM proattivo orientato a

identificare i rischi da

evitare e quelli da gestire

Valutazione del rischio

Effettuata con bassa

frequenza, reattiva,

frammentata, focalizzata

su esposizioni di breve

periodo

Effettuata con continuità,

proattiva, focalizzata su

esposizioni di breve e

lungo periodo

Gestione del rischio

A “silo”, ossia affidata

alla funzione aziendale

interessata direttamente

dal rischio

Integrata, ossia trasversale

all’intera azienda

Reporting del rischio Report sul rischio assente

Report sul rischio

completo e consolidato a

livello di società

Comunicazione del

rischio e coordinamento

organizzativo

Comunicazione e

coordinamento limitati o

assenti

Comunicazione e

coordinamento diffusi in

azienda per ogni categoria

di rischi

Responsabilità

Limitata: assenza di

responsabilità specifiche

per la gestione di alcune

categorie di rischi

Diffusa: assegnazione

delle responsabilità della

gestione dei rischi in fase

di definizione dei piani

strategici (risk ownership)

Tabella 1.7- Principali differenze e affinità tra il risk management tradizionale e l’ERM [Spinard,

Enterprise risk management, 2002]

CAPITOLO 1

13

La svolta che segna dunque il passaggio definitivo dal traditional risk management

all’enterprise risk management risiede nell’implementazione trasversale di quest’ultimo

all’intera impresa, preferendo quindi ad una gestione a silos una logica integrata, fondata su

un RM proattivo, orientato ad identificare le opportunità, i rischi da evitare e quelli da

gestire, rispetto al tradizionale approccio reattivo di gestione delle minacce.

Secondo questa nuova visione l’ERM diviene uno strumento efficace e di supporto effettivo

nella definizione dei piani e degli obiettivi strategici, il cui processo di valutazione

continuo, focalizzato sia sul breve che sul lungo periodo, e di reporting completo e

consolidato, assicura all’intera impresa una gestione efficace dei rischi.

Rispetto all’approccio tradizionale, in cui comunicazione e coordinamento erano limitati o

assenti e non vi era una chiara definizione dei ruoli e delle responsabilità, il nuovo

paradigma nasce e si sviluppa con l’obiettivo di diffondere la cultura del rischio a tutti i

livelli d’impresa, attraverso l’assegnazione di responsabilità specifiche e la creazione di un

sistema di reporting e comunicazione efficiente.

3.4. Obiettivi e fasi del processo di ERM

Come affermato in precedenza l’enterprise risk management è un processo finalizzato alla

gestione integrata dei rischi. Tale strumento nasce come risposta all’esigenza di valutare in

modo sistematico il profilo di rischio associato al business di un’impresa, per consentire di

pianificare e migliorare le performance aziendali attraverso l’analisi della relazione tra

rischio e rendimento, orientata al perseguimento degli obiettivi aziendali.

Nel perseguire il suo obiettivo più importante, e cioè quello di proteggere e aumentare il

valore dell’organizzazione, l’ERM supporta l’impresa nella creazione di un vantaggio

competitivo sostenibile, fornendole gli strumenti necessari per diventare più preventiva ed

efficace nel valutare e gestire le incertezze, e il Management nello sviluppo di competenze

essenziali e nel miglioramento continuo delle performance aziendali.

Esso inoltre permette di ottimizzare i costi di gestione del rischio, attraverso l’eliminazione

di attività e procedure non necessarie o ridondanti e all’allineamento tra il risk appetite e le

strategie.

CAPITOLO 1

14

In sostanza un approccio ERM differenzia il modello di business dell'impresa e contribuisce

a costruire la propria immagine e reputazione con clienti, fornitori, dipendenti e mercati dei

capitali, chiavi indiscusse di un business di successo.

Figura 2.1 – The value proposition of the ERM [Protiviti, Guide to Enterprise Risk Management, 2006]

Affinché il processo di ERM supporti efficacemente l’impresa nel perseguire i suoi obiettivi

strategici, deve tuttavia possedere alcuni caratteristiche essenziali.

Prima tra tutte l’ERM deve configurarsi come un processo a sé, deve cioè esistere al di là

della struttura di governance dell’impresa, e deve disporre di risorse fisiche, umane e

tecnologiche e sistemi di reporting e di accountability propri, con il supporto però dalle

funzioni di Audit e di Compliance. In secondo luogo si rende necessaria la presenza di un

Chief Risk Officer (CRO), incaricato di assistere l’organizzazione per quanto concerne gli

aspetti di rischio legati alle diverse scelte strategiche.

CAPITOLO 1

15

Infine deve consistere in un processo iterativo, che consenta cioè di apportare modifiche al

processo in qualsiasi momento e sia orientato ad una logica di miglioramento continuo.

Andiamo ora a riportare in dettaglio le componenti principali del processo di risk

management.

Figura 1.2 - I principali componenti del processo di enterprise risk management

La fase iniziale di risk identification è finalizzata alla definizione del profilo di rischio

attuale dell’azienda e quello desiderato dagli stakeholders (risk appetite) e prevede il

RISK CONTROL

&

OPTIMIZATION

RISK

GOVERNANCE

& OVERSIGHT

RISK

IDENTIFICATION

RISK SCREENING RISK REGISTER

&

RISK CATALOG

RISK ASSESSMENT

RISK VALUTATION

RISK QUANTIFICATION

RISK AGGREGATION

REPORTING

RISK TREATMENT

RISK MONITORING

ERM

RISK ASSESSMENT & REPORTING DEI

RISCHI RESIDUALI

CAPITOLO 1

16

coinvolgimento del CdA, che vigila sul governo societario e fa in modo che vengano

rispettati gli obiettivi desiderati dagli azionisti, trasferendo il profilo di rischio di questi

ultimi all’impresa, e soprattutto del Risk manager che lo assiste, fornendo una maggiore

comprensione dell’impatto delle decisioni sul profilo di rischio desiderato.

Non vi è una metodologia unica e comune da utilizzare per la mappatura di ogni possibile

esposizione, bensì una molteplicità di tecniche, la cui scelta, basata fondamentalmente su

considerazioni di carattere economico, dipenderà dall’impresa in particolare e dal contesto

operativo in cui essa opera.

Rientrano in questa categorie analisi SWOT, che facilitano la comprensione dei punti di

forza interni (Strenghts), dei punti di debolezza interni (Weaknesses), delle opportunità

esterne (Opportunities) e delle minacce esterne (Threats), dell’esperienza passata, interviste

ai manager, checklists, brainstorming o workshop (Giorgino e Travaglini, 2008), per

identificare i fattori essenziali, interni ed esterni, che influiscono sullo sviluppo e sul valore

dell’azienda

I rischi così identificati vengono sottoposti al risk screening e inseriti, con una loro attenta

e precisa descrizione, in un risk register o risk catalog.

Potendo ora disporre di un registro completo ed esaustivo di tutte le possibili minacce cui

l’impresa dovrà far fronte, il processo prevede la classificazione dei rischi e la definizione

di un elenco di quelli giudicati accettabili dall’impresa e di quelli giudicati invece

inaccettabili, per i quali sarà necessario intervenire con opportune misure di trattamento,

passando attraverso un processo di valutazione (risk valutation), quantificazione (risk

quantification) e aggregazione (risk aggregation) degli stessi.

Il fine ultimo della fase di risk assessment è quindi quello di valutare le minacce

precedentemente individuate e stimarne la probabilità di accadimento e la magnitudo,

ovvero la severità dell’impatto sull’impresa, effettuando una netta distinzione tra eventi rari

e quelli che potrebbero facilmente verificarsi e comprendere se siano gestibili oppure no.

I metodi utilizzati per perseguire questo scopo sono sostanzialmente tre:

1. metodi quantitativi volti a determinare sia la distribuzione di probabilità delle

variabili aleatorie obiettivo, sia le misure di rischio vere e proprie. Essi a loro volta

si suddividono in:

a. modelli non probabilistici, che utilizzano cioè ipotesi soggettive per stimare

l’impatto di eventi senza quantificare la probabilità associata a ciascun

evento (ad es. le analisi di sensitività e di scenario);

CAPITOLO 1

17

b. modelli probabilistici, che associano invece all’impatto degli eventi una

probabilità di accadimento, sulla base però di ipotesi oggettive (ad es. il

Value at Risk, il Cash Flow at Risk, l’Earning at Risk);

2. metodi qualitativi, i quali utilizzano parole o scale descrittive per rappresentare

impatti e probabilità di accadimento. Il più famoso tra questi metodi è quello della

matrice probabilità-impatto, che fornisce una stima dei rischi come combinazione

di probabilità di accadimento e severità delle conseguenze e fornisce una

indicazione sommaria della tipologia di interventi necessari;

Figura 1.3 - Matrice probabilità-impatto [M. Giorgino & F. Travaglini, il risk management nelle imprese

italiane, 2008]

3. metodi semi-quantitativi, i quali assegnano, alle categorie individuate tramite la

tecnica qualitativa, dei numeri o risk core, che non rappresentano una

quantificazione degli effetti economici o delle probabilità di accadimento, ma

servono a perseguire un ordinamento delle diverse tipologie di rischi (risk

prioritization).

I principali risultati della fase di assessment dovranno a questo punto essere evidenziati e

raccolti in report (risk reporting) per realizzare una sintesi integrata dei dati, permettendo

così, a chi ne ha la responsabilità, di prendere delle decisioni.

Questo tipo di operazione non dovrà riguardare solo il consiglio di amministrazione, ma

interessare tutti i livelli d’impresa.

Supportato dalla robusta analisi frutto delle fasi precedenti, il processo di risk treatment si

focalizza sulla definizione degli interventi e delle modalità di gestione dei rischi, con

l’obiettivo di selezionare e implementare le misure più efficaci per la modifica del profilo di

CAPITOLO 1

18

rischio dell’impresa e l’allineamento di quest’ultimo agli obiettivi strategici di risk

management. Una delle classificazioni più diffuse distingue tra:

strategie di risk avoidance, non accettazione del rischio;

strategie di risk reduction, riduzione del rischio;

strategie di risk transfer, trasferimento del rischio ad un soggetto che si rende

disponibile a sopportarlo in cambio di un premio;

strategie di risk retention, mantenimento del rischio al proprio interno;

strategie di risk sharing, condivisione del rischio.

Tuttavia, al fine di rendere esaustiva e completa l’analisi, sarà necessario un ulteriore

assessment e reporting dei rischi residui, che continuano ad interessare l’impresa

nonostante gli interventi realizzati.

L’ultima fase di pianificazione del monitoraggio (risk monitoring), contempla un insieme

di attività finalizzate alla definizione di un livello di guardia, mediante l’utilizzo di Key

Risk Indicator (KRI) dotati di opportune soglie di allarme per la valutazione ex-ante di

eventi potenzialmente rischiosi, e alla realizzazione di un reporting per il controllo

continuo, assicurando così una risposta al rischio tempestiva ed efficace.

Questo lungo processo viene affiancato da due importanti componenti.

La prima è quella di Risk & Control Optimization per l’ottimizzazione dei controlli e il

miglioramento delle performance, la seconda è invece quella di Risk Governance &

Oversight per l’implementazione di una struttura organizzativa a supporto della definizione

ed attuazione delle politiche di risk management.

3.5. Gli attori coinvolti nel processo di ERM

Data la pervasività e la natura integrata di tale disciplina gli attori coinvolti in questo

processo sono molto numerosi.

Primo tra tutti, e che solo recentemente ha acquisito grande importanza, è il Consiglio di

Amministrazione, cui spetta la definizione degli obiettivi e degli indirizzi strategici, della

politica di gestione dei rischi e dei controlli interni, in accordo con il risk appetite

dell’impresa.

Il Management, nella sua accezione più ampia, responsabile di tutte le attività

dell’organizzazione, deve garantire un’esposizione coerente con il livello di rischio

accettato e supportare il CdA nella gestione dei rischi più critici. Deve inoltre promuovere

la cultura del rischio, assicurandone un’adeguata consapevolezza a tutti i livelli.

CAPITOLO 1

19

In particolare il CRO, introdotta solo di recente dalla maggior parte delle organizzazioni

come figura di coordinamento centrale delle attività di risk management, collabora con i

responsabili di tutte le funzioni per garantire una efficace implementazione di questo

processo.

Tale figura solitamente è posta a capo di una funzione specifica di risk management, con

l’obiettivo di definire ruoli e responsabilità, favorire l’integrazione della gestione del rischio

in tutta l’azienda e facilitare l’allineamento tra obiettivi e strategie di gestione del rischio.

Essa svolge un ruolo fondamentale nella gestione e realizzazione del risk assessment e nel

consolidamento delle informazioni sui rischi, riportando direttamente al CdA circa la

necessità di eventuali interventi.

Solo recentemente questa funzione è stata inserita all’interno del cosiddetto Sistema di

Controllo Interno (Sci), cui riferiscono anche:

la Funzione Compliance, incaricata della corretta applicazione e del rispetto del

framework normativo di riferimento, della sua coerente interpretazione a livello di

gruppo e dell'identificazione, valutazione, prevenzione e monitoraggio dei rischi

complessivi di Compliance;

l’Internal Audit, struttura finalizzata alla valutazione e verifica periodica della

completezza, della funzionalità e dell'adeguatezza del sistema dei controlli interni,

che partecipa attivamente al processo di gestione dei rischi e collabora con la

funzione di RM in fase di consolidamento delle informazioni e di stesura dei report,

verificando la corretta implementazione della procedura di RM e supportando il

Management stesso nella fase di risk assessment.

Di seguito viene riportato uno schema riassuntivo degli attori coinvolti nel processo di

enterprise risk management e delle loro principali funzioni.

CAPITOLO 1

20

Figura 1.4 - Gli attori coinvolti nel processo di ERM

3.6. I benefici e gli ostacoli all’ERM

I benefici legati all’implementazione dell’approccio integrato al risk management sono

molteplici.

Innanzitutto l’ERM consente di utilizzare un linguaggio comune che agevola la

comunicazione all’interno e all’esterno dell’azienda portando alla distruzione delle barriere

tra funzioni, nonché tra impresa e contesto esterno.

Configurandosi come un approccio sistematico, esso consente di identificare tutti i rischi a

cui l’azienda è esposta, favorendo una maggiore comprensione globale degli stessi e

permettendo di sviluppare strategie che migliorino la redditività, grazie all’allineamento tra

rischi e strategia.

La riduzione del rischio, in tutte le sue forme, porta ad una riduzione del costo del capitale

per l’impresa e della volatilità dei flussi di cassa.

CAPITOLO 1

21

Inoltre migliora i sistemi di monitoraggio, facilitando così il controllo continuo

dell’andamento dei rischi e della gestione aziendali, e migliorando notevolmente il processo

di misurazione delle performance, quello di incentivazione e di allocazione delle risorse,

attraverso l’attribuzione di priorità ai rischi.

Esso crea un business model in grado non solo di cogliere le potenziali opportunità, ma

anche di implementare strategie per sfruttarle al meglio, comunicando così agli stakeholders

e agli shareholders che l’impresa utilizza strumenti di gestione e controllo volti alla

creazione di valore aziendale, nel rispetto delle normative e del livello di rischio desiderato.

Tuttavia a fronte di tali benefici è necessario valutare anche gli ostacoli all’ERM.

Innanzitutto vanno osservati i costi. Infatti è necessario considerare che la prima

implementazione e il successivo esercizio dell’ERM comporta costi molto elevati e

nonostante gli evidenti benefici molto imprese potrebbero non essere disposte a sostenere

tale investimento.

Altri ostacoli fanno riferimento all’assenza di una adeguata cultura del rischio e di

competenze per sintetizzare ed integrare in modo corretto le informazioni raccolte, per non

parlare della grande complessità di questo approccio dovuta in gran parte alla necessità di

un forte coordinamento organizzativo e dell’esistenza di metodologie eterogenee di analisi e

valutazione dei rischi.

CAPITOLO 2

23

Capitolo 2

Presentazione dei principali standards e

frameworks di Enterprise Risk Management

1. Introduzione

La complessità nella gestione aziendale e la sempre maggiore necessità di integrare la

valutazione del rischio all’interno del processo decisionale, hanno spinto le organizzazioni

che si occupano di risk management a realizzare standards finalizzati ad una più chiara e

precisa formalizzazione della funzione di risk management, dei suoi contenuti e quindi alla

definizione del ruolo degli attori che vi partecipano.

Negli ultimi decenni inoltre, l’introduzione e lo sviluppo di norme per una corretta gestione

del rischio da parte delle autorità di regolamentazione e vigilanza hanno portato a tracciare

linee guida comuni e a individuare standard di processo adottabili da qualsiasi

organizzazione in qualsiasi settore.

Questi standard non rappresentano una rigida imposizione di regole e di norme da seguire,

quanto piuttosto uno strumento che delinea i principi base, lasciando spazio agli adattamenti

necessari affinché il suo impiego possa essere efficace (Prandi, 2012).

Alcuni di essi forniscono raccomandazioni molto dettagliate, mentre altri definiscono solo

un approccio generale che le imprese potranno personalizzare sulla base delle proprie

caratteristiche, esigenze e aspettative specifiche definite dal Management.

Il fine ultimo è quello di supportare i soggetti coinvolti nell’identificazione, nella

valutazione e nel controllo di eventi potenzialmente rischiosi, facilitando la comunicazione,

intra ed inter aziendale, di informazioni e la condivisione delle percezioni ad essi relative.

Nei paragrafi seguenti verranno riportati e analizzati tre dei più importanti standard

nazionali ed internazionali attualmente utilizzati e quattro altrettanto importanti standard

sviluppati da organizzazioni professionali operanti nel campo del risk management.

La prima categoria include il British Standard pubblicato nel 2000, che si focalizza sul

processo di gestione del rischio legato ai progetti, lo standard australiano AZ/NZS 4360 del

2004 che definisce un framework molto generico per permettere alle diverse organizzazioni

di implementarlo secondo le proprie necessità, i propri obiettivi, prodotti e servizi, i propri

processi e le pratiche specifiche, e quello canadese CAN/CSA – Q850 del 2010, guida

CAPITOLO 2

24

nell’implementazione dei principi, del framework e dei processi di risk management

delineati dalla ISO 31000.

Quest’ultimo per l’appunto rientra nella seconda categoria come frutto del lavoro

dell’International Organization for Standardization, insieme all’IEEE Standard for Software

Life Cycle Processes, specifico per prodotti software e servizi, allo standard europeo di risk

management adottato dalla FERMA e al framework proposto dalla COSO (Committee of

Sponsoring Organizations of the Treeadway Commission).

2. British Standard

2.1. Introduzione

Lo standard britannico BS 6079:2000 fu pubblicato dalla British Standard Institution (BSI)

nel 2000, grazie al lavoro della commissione tecnica MS/2.

E’ suddiviso in tre parti: la prima con titolo ”Part 1: Project Management- Guide to project

management”, la seconda “Part 2: Project Management – Vocabulary” e la terza “Part 3:

Project Management – Guide to the management of business relate project risk”, che sarà

oggetto di questo capitolo e contiene linee guida e raccomandazioni per l’identificazione e il

controllo di rischi legati all’implementazione di progetti. Questo standard è applicabile ad

un vasto numero di organizzazioni operanti nel settore industriale e dei servizi ed è diretto

ai project managers.

I progetti, infatti, sono visti in questo caso come “the principal means by which a business

moves forward” ed è proprio per questo motivo che i rischi che li riguardano devono essere

identificati e gestiti, poiché “managing business related project risk involves taking account

of business risks that affect its projects and project risk that affect the business” (BS6079-3,

2000).

Il modello proposto si fonda su due concetti fondamentali:

a. definire le relazioni tra attività svolte dall’impresa e progetti, valutando la

compatibilità degli obiettivi e i rischi da esse derivanti;

b. modellare il processo decisionale delle diverse attività all’interno di ciascun

progetto a tutti i livelli.

Il primo si basa sull’assunto secondo il quale ciascun progetto può essere visto come una

piccola impresa. Quest’ultima, infatti, opera all’interno di un contesto ambientale esterno,

CAPITOLO 2

25

da cui estrae input, con cui produce prodotti o servizi e altri output (come ad esempio

l’inquinamento) e influenza però il contesto esterno.

Allo stesso modo un progetto prende degli input dall’impresa che lo ha implementato, e che

in questo caso rappresenta l’ambiente esterno, restituendo degli output che la condizionano.

Gli effetti di ciascuna decisione, che riguardino il business dell’azienda o un particolare

progetto, hanno di solito conseguenze molto importanti sull’intero sistema aziendale e non

devono essere considerate in modo isolato.

Per questo è essenziale che vi sia una comunicazione attiva tra i diversi livelli dell’impresa,

tra questa e i progetti. Ed è questo il significato del secondo concetto.

Il processo di decision making relativo al risk management si sviluppa su tre diversi livelli:

il primo è quello strategico, in cui vengono modificati i vecchi obiettivi, ne vengono

identificati nuovi, vengono prese decisioni riguardo a cambiamenti nel business o nei

progetti, definite le modalità con cui raggiungere tali obiettivi e vengono individuati i

rischi chiave legati al business dell’impresa, in un’ottica di lungo termine. Solitamente

questo livello decisionale getta le basi su cui verranno poi prese le decisioni tattiche;

il secondo è quindi quello tattico, in cui vengono identificate le risorse da utilizzare per

raggiungere gli obiettivi richiesti, nel rispetto dei vincoli imposti, e vengono gestiti i

rischi connessi a queste attività;

il terzo, quello operativo, che implementa le scelte tattiche sopra definite e gestisce i

rischi operativi.

Di seguito viene riportata una tabella che sintetizza la relazione tra obiettivi e livello

decisionale, in ottica di risk management.

CAPITOLO 2

26

Tabella 2.8 - Tthe relationship between decision making focus, and decision making levels in the context

of the risk management [BS 6079-3:2000, pag.6]

CAPITOLO 2

27

2.2. Processo di risk management

Il processo di risk management delineato dal British Standard può essere sintetizzato nello

schema seguente.

Figura 2.3 - Il processo di risk management [BS 6079-3:2000, pag.2]

Il British Standard individua due macro-fasi all’interno di questo processo:

la prima consiste nell’identificazione del rischio e del suo raggio di azione e

comprende la definizione del contesto e la risk identification;

CAPITOLO 2

28

la seconda nella valutazione (risk assessment) e gestione di questo e comprende

la risk analysis, la risk evaluation e il risk treatment.

Non vi è tuttavia una rigida distinzione tra di esse in quanto deve essere possibile

ripercorrere iterativamente i propri passi qualora venga evidenziato, in una qualsiasi delle

fasi, un nuovo rischio.

2.2.1. Definizione del contesto e degli obiettivi

La definizione del contesto consiste nel delimitare l’ambiente esterno, valutare cioè il

contesto legislativo, politico, sociale, competitivo, finanziario e culturale entro cui l’impresa

opera.

In questa prima fase devono essere coinvolte tutte quelle persone le cui attività saranno

influenzate dalle decisioni prese in questo momento, con l’intento di individuare

chiaramente gli obiettivi relativi al business, ai progetti e ai sotto progetti, e comprendere se

questi siano effettivamente compatibili.

Questa prima fase è fondamentale per alcuni motivi:

il risk management agisce nel contesto degli obiettivi definiti ed entro i limiti stabiliti al

livello superiore;

il fallimento nell’individuazione e comunicazione di obiettivi chiari e di progetto,

costituisce di per se una fonte di rischio;

la definizione delle caratteristiche del business, del progetto o dei sotto progetti è

necessaria per il processo di risk management;

senza una chiara visione degli obiettivi, la fase di risk identification risulterà essere

molto limitata e porterà al verificarsi di eventi sfavorevoli all’impresa.

Per queste ragioni la prima fase viene articolata in due steps:

1. definizione degli obiettivi a livello di business: quelli cioè che riguardano l’intero

business dell’azienda nonché quelli relativi ai progetti in cui l’impresa è già coinvolta o

ha intenzione di investire.

CAPITOLO 2

29

È importante, infatti, valutare la compatibilità tra questi e la conformità alle restrizioni e

alle politiche imposte, al fine di garantire il successo dell’impresa;

Figura 4.2 - Business level risk management steps [BS 6079-3:2000, pag.8]

A differenza del traditional risk management, il nuovo paradigma associa grande

importanza al fattore umano e a quello organizzativo, come maggiori fonti di rischio,

ed è per questo che deve essere condotta un’approfondita stakeholders analysis.

In questo caso si tratta di considerare tutti gli individui, gruppi e organizzazioni che

hanno degli interessi nei confronti dell’impresa e del progetto stesso, sia in termini di

processi che di outcomes.

Un primo passo consiste nel valutare attentamente la risk perception, ossia

comprendere il modo in cui ciascuno percepisce le situazioni, i relativi fattori critici e il

modo in cui si pone nei confronti di essi e che influenza il processo di decision making.

Ciò contribuisce ad aiutare i managers a capire quali soluzioni utilizzare per

controllare i rischi derivanti dall’incapacità di essere totalmente obiettivi e

reazionali.

CAPITOLO 2

30

Il modo in cui ciascuno percepisce qualcosa non ha solo effetti sulle decisioni, ma

influenza anche le previsioni future e le aspettative. Ed è proprio per questo motivo

che è necessario tenere conto che managers e stakeholders non sempre hanno una

stessa visione delle cose.

Possono infatti individuare rischi, priorità, soluzioni di gestione e soprattutto avere

aspettative molto differenti e il fatto che abbiano degli interessi li rende potenziali,

se non addirittura certe, fonti di rischio.

Non prendere in considerazione all’interno del project risk management la

particolare percezione dei rischi da parte degli stakeholders potrebbe dunque

rendere questi ultimi ostili al progetto.

La stakeholders analysis supporta il processo di risk management in quattro diversi

modi:

- nell’identificazione dei rischi e delle fonti di rischio;

- nell’identificazione più precisa dei confini del business e di progetto;

- nell’identificazione più accurata degli obiettivi di business e di progetto;

- nell’identificazione delle relazioni tra i differenti tipi di rischio.

Infatti maggiori saranno le conoscenze possedute dai managers, soprattutto per

quanto riguarda uno specifico progetto, maggiore sarà la loro abilità

nell’identificare i possibili fattori di rischio.

Comprendere dunque chi sono gli stakeholders, quali sono i loro interessi,

aspettative e percezioni, permette ai mangers di individuare le potenziali aree di

conflitto, definire ruoli e responsabilità, identificare chiaramente obiettivi e

performance a cui mirare e implementare strategie per minimizzare possibili

minacce e massimizzare invece le opportunità.

Per tutti questi motivi la stakeholders analysis non deve essere assolutamente

sottovalutata e deve essere rivista nel caso in cui vengano effettuati dei

cambiamenti o vengano individuati e coinvolti nuovi stakeholders;

2. definizione degli obiettivi a livello di progetto/sotto progetto: consiste nel

confermare l’analisi precedente e nell’aggiungere agli obiettivi evidenziati, quelli

derivanti da un’attenta analisi e dalla programmazione delle attività relative al

progetto da implementare.

CAPITOLO 2

31

Questo ulteriore livello di analisi porterà inoltre in evidenza nuove parti interessate,

come risultato di decisioni prese dai project managers.

Figura 2.3 - Project and sub-project level risk management step [BS 6079-3:2000, pag.9]

I managers alla fine dovranno essere in grado di distinguere tra obiettivi e relativi rischi, di

cui possono essere direttamente responsabili e quelli invece che non possono essere da loro

gestiti.

Qualora non siano stati dati loro i mezzi necessari per gestirli, deve essere presente un

sistema di comunicazione in grado di far circolare le informazioni relative ad essi, verso

l’alto o verso il basso, a seconda del livello gerarchico di management più appropriato. La

responsabilità per la gestione dei singoli rischi, infatti, deve spettare al livello decisionale

più adatto a svolgere tale compito.

L'importanza relativa di ogni fase del processo di identificazione può variare con il livello

di business/progetto. A livelli più elevati è più probabile che l’enfasi sia data alle fasi

iniziali, garantendo in questo modo chiarezza di obiettivi e ampia comprensione delle

potenziali opportunità e delle minacce.

CAPITOLO 2

32

A livelli inferiori invece, l’attenzione verrà posta sull'attuazione della strategia di gestione

del rischio.

Tuttavia, deve esservi sempre la possibilità di poter comunicare potenziali minacce

impreviste o opportunità sia top-down che botton up. Una volta completata questa fase, si

procede all’individuazione dei singoli e specifici rischi e all’implementazione di una

strategia di gestione del rischio a ciascun livello gerarchico.

2.2.2. Risk identification

La fase di risk identification prevede un’attenta valutazione e una comprensione

approfondita dei rischi globali e di quelli correlati a ciascun progetto, con l’obiettivo di

evidenziare fonti/cause comuni di rischio.

CAPITOLO 2

33

Figura 2.4 - Esempi di rischi globali e di progetto [BS 6079-3:2000, pag.21]

Una volta identificati si procede quindi a verificare in che modo questi influenzino gli

obiettivi desiderati. Poiché in questo caso, spesso, si procede per ipotesi e assunzioni, è

necessario una modellizzazione efficace attraverso una comprensione delle cause e delle

relazioni causali tra i possibili eventi o processi stessi, e tra questi eventi o processi e gli

obiettivi desiderati. Qualora infatti venissero identificate cause comuni il trattamento potrà

essere diretto a queste, una soluzione sicuramente più cost effective rispetto alla valutazione

dei singoli rischi.

CAPITOLO 2

34

Come risultato di questa analisi vi sarà la creazione di un registro o database, all’interno del

quale saranno elencati e descritti, con diversi livelli di dettaglio, tutti i rischi identificati,

ordinati per importanza secondo indicatori quantitativi.

Esso costituisce la base su cui fondare la strategia di risk management inziale e rappresenta

uno strumento appropriato per continuare a valutare l’accettabilità dei rischi e la

compatibilità di questi con gli obiettivi d’impresa e di progetto.

2.2.3. Risk analysis

Questa fase contribuisce a definire la probabilità di accadimento e le potenziali conseguenze

dei singoli rischi o di un set di rischi, precedentemente individuati.

Sono quindi principalmente due le variabili da considerare:

i. le probabilità che questi si verifichino;

ii. le potenziali conseguenze sull’impresa e sui progetti.

Alcune fonti di informazioni includono dati storici, esperimenti con prototipi, test di

mercato, dati derivanti dall’applicazione di modelli matematici, finanziari ed economici e

esperti. Alcune delle tecniche più utilizzate comprendono brainstorming, checklists,

decision analysis, la tecnica Delphi, analisi ad albero degli eventi, analisi ad albero dei

guasti ecc. Le modalità con cui condurre la risk analysis sono essenzialmente due e

dipendono dalla natura dei dati a disposizione.

Il primo è il metodo qualitativo che utilizza parole e scale descrittive per mettere in

relazione la probabilità che un rischio si verifichi e le potenziali conseguenze.

Tabella 2.9 - Analisi quanlitativa di base [BS 6079-3:2000, pag. 12]

Qualora invece siano disponibili dati affidabili è possibile applicare un modello di tipo

quantitativo, che utilizza dei valori numerici per dettagliare le due variabili. L’affidabilità di

questa analisi dipenderà ovviamente dalla qualità dei dati utilizzati.

E’ necessario tenere conto che effettuare delle stime soggettive, che potrebbero essere errate

o prevedere presupposti inesatti, è rischioso, sebbene sia necessario in questo processo.

CAPITOLO 2

35

E poiché il passato raramente è un buon predittore, le conclusioni che emergono da questa

analisi devono essere usate con cautela più per informare che per decidere.

Qualora infatti i rischi siano essi stessi combinazioni di altri rischi, analisi di questo tipo

possono essere difficili da applicare.

Può accadere che la risk analysis evidenzi rischi con scarsa probabilità di accadimento e

impatto minimo che il management potrebbe decidere di non considerare perché non degni

di nota. Tuttavia, poiché già individuati, potranno essere riesaminati, qualora si verifichino

dei cambiamenti o nuove circostanze lo richiedano.

2.2.4. Risk evaluation

Questa fase mira a distinguere tra rischi ad alta priorità, che richiedono uno studio

approfondito e dettagliato, in quanto possono seriamente danneggiare l’impresa o il

progetto, e quelli invece a più bassa priorità, che necessitano quindi di minori attenzioni.

Il processo da seguire in questo caso viene illustrato nella figura seguente.

Figura 2.5 - Processo di risk evaluation [BS 6079-3:2000, pag.13]

Il primo step prevede di classificare minacce ed opportunità ciascuna in tre differenti

categorie:

a) minacce inaccettabili, come eventi catastrofici per il business dell’azienda o per il

progetto;

b) minacce trascurabili e che, se necessario, possono essere poi rivalutate;

c) minacce accettabili, che possono essere gestite;

d) opportunità critiche, che possono aumentare significativamente il valore

dell’impresa;

CAPITOLO 2

36

e) opportunità desiderabili, che facilitano il raggiungimento degli obiettivi;

f) opportunità trascurabili, che non comportano miglioramenti significativi.

Tutti i rischi che non sono accettabili o trascurabili devono essere oggetto di ulteriori analisi

al fine di comprendere se siano effettivamente gestibili o meno e il modo migliore per farlo.

Nel caso in cui questo non sia possibile si renderà necessaria una revisione degli obiettivi o

in casi estremi la cancellazione del progetto.

2.2.5. Risk treatment

Il processo di risk treatment prevede l’identificazione e la valutazione di un significativo

range di opzioni di trattamento dei rischi e la accurata preparazione ed implementazione di

un risk management plan.

Il primo passo consiste nel comprendere se le minacce e le opportunità necessitino di

trattamenti speciali ad hoc o possano essere gestiti con le normali procedure e attività di

management. Le possibili soluzioni di risk treatment sono evidenziate nella tabella

seguente.

Tabella 2.10 - Misure di risk treatment [BS 6079-3:2000, pag. 13]

Esistono anche strategie che permettono di aumentare le probabilità che le opportunità si

verifichino, come evidenziato dalla tabella 2.4.

CAPITOLO 2

37

Tabella 2.11 - Misure di opportunità [BS 6079-3:2000, pag. 14]

Ovviamente ciascuna soluzione dovrà essere attentamente valutata, tenendo in

considerazione alcuni fattori, quali il rapporto costi/benefici, la tipologia di azioni coinvolte

e l’efficacia nel contenere il rischio. Per ciascun rischio da trattare dovrebbero inoltre essere

identificati e monitorati degli indicatori di occorrenza.

A questo punto il piano di risk management è ultimato. Si procede quindi a sottoporlo ai

managers e ai più importanti stakeholders e ad allocare sufficienti risorse per

l’implementazione delle azioni previste.

La natura del piano dipenderà dalle misure di trattamento adottate; si avrà un piano di

prevenzione nel caso in cui le strategie siano finalizzate a prevenire eventuali rischi, uno di

mitigazione nel caso in cui le misure vengano attuate solo qualora si verifichi il rischio.

Fondamentale in questa fase di definizione del risk management plan è la comunicazione tra

i managers che implementano le strategie e coloro che sono soggetti direttamente ai rischi

individuati.

2.2.6. Monitoraggio

E’ necessario un monitoraggio continuo di tutte le fasi del processo di risk management e in

particolare di quella di risk treatment, poiché, qualora le strategie adottate si rivelino

inadeguate, sia possibile implementarne di nuove. Ciò consente un feedback continuo per

individuare quali attività di valutazione e di trattamento siano più efficaci.

In particolare le azioni di monitoraggio riguarderanno i rischi individuati, gli indicatori

selezionati e l’utilizzo delle risorse per il risk management plan.

CAPITOLO 2

38

2.3. Gestione del processo

Data la complessità del processo sopra descritto, è necessario prestare attenzione ad alcuni

fattori che giocano un ruolo decisivo al suo interno:

lo sviluppo di una politica integrata di risk management;

la definizione di un’infrastruttura organizzativa;

la creazione di un programma di risk management a livello organizzativo, cross-

organizzativo, di progetto e di sotto progetto;

il monitoraggio continuo e la revisione del processo di gestione dei rischi per

valutarne l’efficacia.

Nel facilitarne la comprensione e la gestione svolge un ruolo fondamentale la figura del risk

manager, il cui compito è quello di coinvolgere tutte le persone interessate.

Egli dovrà considerare con attenzione alcuni fattori, quali:

la possibile duplicazione o sovrapposizione di funzioni e compiti;

la diffusione e l’incoraggiamento di una cultura di risk management in tutta

l’impresa;

una comunicazione a tutti i livelli, per facilitare la comprensione e il

coinvolgimento di tutti il personale;

la creazione di una chiara gerarchia di responsabilità con un processo decisionale

decentrato per consentire risposte rapide e flessibili;

favorire un approccio “learning organisation” per una maggiore comprensione e

consapevolezza delle conseguenze dei propri errori.

Allo luce di tutto questo si evidenzia come il processo di risk management debba essere

interamente integrato con i processi relativi all’impresa e i progetti, sottolineando la

necessità di combinare una centralizzazione funzionale, al fine di garantire una corretta

visione panoramica e una gestione del rischio complessivo, con un adeguato livello di

decentramento decisionale, affinché ciascun individuo o gruppo possa gestire attivamente i

propri rischi.

2.4. Reporting e comunicazione

Come più volte sottolineato, la comunicazione è un fattore fondamentale nel risk

management e il più delle volte critico. Una scarsa comunicazione, infatti, può costituire di

per sé un rischio e minare l’efficacia del processo di risk management. Realizzare quindi

un’efficiente comunicazione richiede cura e attenzione ad alcuni fattori fondamentali.

CAPITOLO 2

39

Tuttavia, prima di definire gli aspetti più tecnici, i managers devono valutare lo scopo della

comunicazione e i destinatari di essa. Solo allora potranno stabilire quale sia la

communication strategy più appropriata da implementare e integrare con l’intero processo

di risk management.

Fatto ciò dovranno occuparsi di verificare che i giusti messaggi vengano inviati ai giusti

destinatari e che questi siano in grado di interpretarli correttamente.

La comunicazione non riguarderà solo ed esclusivamente i rischi, ma tutto ciò che potrebbe

avere degli effetti sul business o suoi progetti dell’impresa.

Questo processo dipenderà in gran parte dalla struttura organizzativa.

E’ fondamentale quindi che le strutture formali e fattori, come la paura di essere valutati

severamente o non ascoltati, non impediscano una upward communication al fine di evitare

la mancata o tardiva individuazione di rischi.

3. IEEE Standard for Software Life Cycle Processes – Risk

Management

3.1. Introduzione

La IEEE è la più grande associazione professionale al mondo impegnata a promuovere

l’innovazione tecnologia e a ricercare l’eccellenza per il bene dell’umanità.

Gli IEEE Standards sono documenti redatti all’interno delle società IEEE, dai Comitati di

Coordinamento Standards della IEEE Standards Association Standards Board (IEEE-SA).

Il metodo attraverso il quale vengono sviluppati è quello del consenso, approvato

dall’American National Standards Institute, che riunisce volontari con punti di vista e

interessi differenti per ottenere il prodotto finale.

Questo standard di gestione del rischio supporta l'acquisto, la fornitura, lo sviluppo, il

funzionamento e la manutenzione di prodotti software e servizi ed è stato sviluppato per

essere usato in combinazione con gli esistenti processi di gestione dei rischi organizzativi.

Ovviamente il contesto in cui verrà usato, la fase del ciclo di vita del software di progetto o

di prodotto e le specifiche caratteristiche dell’organizzazione ne influenzeranno le modalità

di implementazione.

CAPITOLO 2

40

Questo standard definisce un processo di gestione del rischio continuo, adatto sia a livello di

organizzazione, sia a livello di progetto, per diversi tipi, dimensioni e fasi del ciclo di vita di

progetti, e per sostenere diverse le prospettive degli stakeholders.

E poiché sarà adottato da singole organizzazioni per soddisfare esigenze specifiche, non

definisce l’uso di tecniche o strutture specifiche di risk management, ma ne supporta

implicitamente l'uso affinché possano rendere la gestione del rischio processo continuo,

incoraggiando la raccolta di informazioni in “forma elettronica” da parte di tutte le risorse

coinvolte.

Il fine ultimo è quindi quello di supportare acquirenti, sviluppatori e fornitori software

nell’individuazione e gestione dei rischi, attraverso la definizione di un processo all’interno

del quale qualsiasi delle diverse tecniche di management possano essere applicate.

Questo standard inoltre potrà essere applicato indipendentemente o in congiunzione con

l'IEEE/EIA 12207, che riguarda l'acquisto, la fornitura, lo sviluppo e la manutenzione di

software e riconosce che una gestione attiva del rischio è un fattore chiave di successo nella

gestione di un progetto software.

3.2. Processo di Risk management

In questo standard il risk management è “an organizational life cycle process” e le attività e

i compiti di tale processo sono diretta responsabilità delle organizzazioni che li svolgono.

La gestione dei rischi software sarebbe dunque più efficace qualora fosse implementata e

integrata con i processi di gestione del rischio organizzativo, come mostrato nella figura

seguente.

CAPITOLO 2

41

Figura 2.6 - Risk management process model [IEEE Std 1540-2001, pag. 6]

3.2.1. Plan and implement risk management

La fase di plan and implement individua le politiche riguardanti gli orientamenti generali in

base ai quali condurre la gestione del rischio. Include le procedure da utilizzare e le tecniche

da applicare. Questa attività dovrà essere svolta nella fase iniziale di qualsiasi progetto e i

suoi risultati dovranno essere evidenziati in un risk management plan modellato come

segue.

CAPITOLO 2

42

Figura 2.7 - Risk management plan [IEEE Std 1540-2001, pag.14-15]

Questa fase include la definizione di risk management policies, le quali dovrebbero

discutere di come implementare, amministrare, supportare e coordinare tramite il

CAPITOLO 2

43

management e lo staff questo processo, di come ottenere e mantenere l’impegno di tutti i

soggetti interessati, nonché di come formare e allocare il personale necessario e sviluppare

un efficiente sistema di comunicazione.

La valutazione delle procedure da implementare per definire in modo chiaro e preciso il risk

management process deve includere alcuni fattori quali:

la frequenza di analisi e monitoraggio dei rischi;

la tipologia di analisi richiesta (quantitativa/qualitativa);

i parametri utilizzati per stimare le priorità, le probabilità di accadimento, le

conseguenze e i valori soglia;

le categorie di rischio considerate.

I soggetti responsabili della gestione del rischio, i loro ruoli e responsabilità devono essere

esplicitamente identificati e a loro vanno assegnate le risorse necessarie per il corretto

funzionamento del processo, che verrà poi delineato e descritto in modo esplicito al fine di

migliorare le attività di risk management e la raccolta di informazioni, quali anche risultato

di gestioni precedenti.

3.2.2. Manage the project risk profile

La gestione del profilo di rischio del progetto deve includere la valutazione della somma

totale di tutti i profili relativi ad ogni singolo rischio, individuati nel tempo, e del contesto in

cui l’organizzazione opera. La definizione del contesto consiste principalmente nel

riconoscimento degli obiettivi, assunzioni e vincoli tecnici e di gestione, nonché delle

prospettive dei diversi stakeholders.

Di grande rilevanza per la definizione di un corretto risk profile è l’individuazione di valori

soglia/limite (risk thresholds) che si sostanzia nella definizione dei criteri attraverso cui

determinare sia l’accettabilità che lo stato del rischio, da associare a costi, tempi,

conseguenze rilevanti e al valore dell’esposizione. Inoltre sarà necessario sviluppare un

sistema di allarme che si attivi qualora una di queste soglie venga superata.

La definizione di un profilo di rischio deve includere le informazioni riguardanti l’intera

organizzazione o progetto e i profili di ogni singolo rischio, attuali e storici.

Dovrà quindi tenere conto:

del contesto di risk management;

del registro cronologico dello stato, delle probabilità, delle conseguenze, dei valori

soglia e dei metodi di trattamento individuati per ciascun rischio;

CAPITOLO 2

44

della priorità ad essi assegnata.

Questo profilo dovrà inoltre essere continuamente aggiornato, per valutare eventuali

cambiamenti o ripensamenti posti in essere, e soprattutto comunicato affinché lo stato di

ciascun rischio sia chiaro a qualsiasi livello decisionale e le informazioni rilevanti siano rese

disponibili per tutte le parti interessate.

3.2.3. Perform risk analysis

Lo scopo della fase di risk analysis è quello di:

identificare gli eventi scatenanti, i pericoli o in generale quelle situazioni che

potrebbero costituire dei rischi;

stimarne la probabilità, le conseguenze e la tempistica;

confrontare ciascun rischio con la sua soglia di accettabilità, generare alternative per

trattare quelli che la superano e associare delle priorità.

Il primo step prevede l’identificazione (risk identification) dei rischi cui è esposta

l’organizzazione, la verifica delle interazione tra essi e il loro ordinamento secondo precise

categorie, tenendo conto che i rischi non identificati in questa fase verranno implicitamente

considerati accettabili. Gli approcci possibili sono diversi: dai questionari, alle tassonomie,

ai brainstorming e alle analisi di scenario.

Successivamente verrà condotta una stima delle probabilità di accadimento e delle

conseguenze di ogni singolo rischio (risk estimation), a discrezione di chi svolge l’analisi,

mediante l’utilizzo di tecniche quantitative o qualitative.

Ogni rischio individuato dovrà essere quindi confrontato con la rispettiva soglia di

accettabilità (risk evaluation), al fine di valutarne l’accettabilità e determinare le diverse

alternative di trattamento, volte a ridurre o eliminare il rischio.

Le tecniche da utilizzare sono diverse: alberi di decisioni, pianificazione degli scenari,

teoria dei giochi, analisi probabilistica e programmazione lineare.

I rischi e le misure di gestione individuate dovranno quindi essere comunicate a tutte le parti

interessate, per la loro approvazione o modifica, con una “risk action request”, secondo lo

schema seguente.

CAPITOLO 2

45

Figura 2.8 - Risk action request [IEEE Std1540-2001, pag.16-17]

3.2.4. Perform risk treatment

Le finalità della fase di risk treatment sono principalmente due:

1) determinare se il rischio sia o meno accettabile per tutte le parti interessate;

2) implementare azioni per ridurre i rischi ad un rischio accettabile.

La scelta della strategia di gestione di ciascun rischio (selecting risk treatment) deve essere

effettuata tenendo conto di alcuni fattori, quali costi, benefici, tempi di implementazione, e

soprattutto del giudizio degli stakeholders.

CAPITOLO 2

46

Nonostante infatti un rischio possa superare la sua soglia limite, e qualora le parti

interessate lo ritengano comunque accettabile, si procederà ad individuare la modalità di

gestione più appropriata, supportandola con risorse adeguate.

Oltre a ciò, nel caso in cui una strategia fallisca, dovranno essere previste anche azioni di

emergenza.

Una volta quindi individuate e selezionate, queste strategie dovranno essere inserite in un

risk treatment plan, strutturato come segue.

CAPITOLO 2

47

Figura 2.9 - Risk treatment plan [IEEE Std 1540-2001, pag.18-19]

3.2.5. Perform risk monitoring

A questo punto si renderà necessario riesaminare e aggiornare lo stato dei ciascun rischio,

accertare l’efficacia delle strategie di gestione selezionate ed evidenziare nuovi potenziali

rischi.

La fase specifica di monitoraggio (monitor risk) deve riguardare il contesto di analisi, il risk

profile individuato per ogni singola minaccia e le priorità associate, al fine di individuare

eventuali cambiamenti, individuare nuovi rischi e procedere ad una loro rivalutazione.

Monitorare inoltre le modalità di gestione (monitor risk treatment) è fondamentale, per

assicurarne l’efficacia o individuare eventuali cause di inefficienza, e rimediare

prontamente.

CAPITOLO 2

48

3.2.6. Evaluate the risk management process

Lo scopo della fase di valutazione complessiva del risk management process è quello di

fornire un feedback agli stakeholders che riguardi non solo la qualità del processo di risk

management, ma anche l’individuazione delle aree interessate dalle procedure e dalle

politiche di risk management nonché l’identificazione di opportunità per modificare e

migliorare i processi e eliminare i rischi sistematici.

A tale scopo le informazioni acquisite durante tutte le fasi devono essere selezionate e

raccolte in forma elettronica al fine di ottimizzare la revisione sistematica del risk

management process e facilitare l’individuazione di lessons learned utili per la gestione dei

rischi sistemici.

4. Standard di Risk Management (FERMA, 2002)

4.1. Introduzione

Questo standard di risk management, distribuito dalla FERMA (Federation of European

Risk Management Association), è il frutto del lavoro di un team composto dalle più

importanti organizzazioni di risk management del Regno Unito, quali l’IRM6, l’AIRMIC7 e

l’ALARM8 e del contributo di altri organismi professionali attivi in questo campo.

Lo scopo di questo Standard è quello di rappresentare la migliore procedura, grazie ai

continui aggiornamenti, con la quale le organizzazioni possono misurarsi.

Esso si sviluppa a partire dalla concezione del risk management come attività legata non

solo agli aspetti negativi del rischio, ma anche a quelli positivi, valutando così entrambe le

prospettive.

Infatti, secondo questo standard, “il risk management è il processo attraverso il quale le

organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici

durevoli nell’ambito di ogni attività e permette la comprensione dei potenziali aspetti

positivi e negativi di tutti i fattori che possono influenzare l’organizzazione, incrementando

le probabilità di successo e riducendo sia le probabilità di fallimento, sia l’incertezza sul

raggiungimento degli obiettivi generali dell’organizzazione”(FERMA, 2002).

6 The Institute of Risk Management 7 The Association of Insurance and Risk Managers 8 The National Forum for Risk Management in the Public Sector

CAPITOLO 2

49

È chiaro quindi che debba coinvolgere tutta l’organizzazione e affrontare in modo

sistematico tutti i rischi che circondano le attività nel passato, nel presente e soprattutto nel

futuro. Deve trasformare la strategia in obiettivi e assegnare le responsabilità ad ogni livello

dell’organizzazione, misurando e premiando le performance, promuovendo a tutti i livelli

l’efficienza operativa. In sostanza deve “proteggere e dare valore all’organizzazione e ai

suoi stakeholders sostenendo gli obbiettivi dell’organizzazione”, tutto questo con:

la creazione di un quadro metodologico per il controllo di ogni attività;

il miglioramento del processo decisionale attraverso una comprensione approfondita

delle attività;

il contributo ad un’allocazione più efficiente di risorse e capitale;

la riduzione della volatilità;

la protezione e il potenziamento dell’immagine aziendale;

l’ottimizzazione dell’efficienza operativa.

4.2. Il processo di risk management

Il processo di risk management può essere rappresentato chiaramente nel seguente schema.

Figura 2.10 - Il processo di risk management [FERMA, Standard di Risk Management 2002, pag.5]

CAPITOLO 2

50

4.2.1. Analisi del rischio9

La fase di analisi del rischio ha lo scopo di misurare quanto un’organizzazione sia esposta

all’incertezza, cosa che richiede un’approfondita conoscenza dell’organizzazione stessa e

delle sua attività, del mercato in cui opera, dell’ambiente sociale, politico, culturale e legale

di riferimento, nonché una comprensione dei fattori critici di successo, degli obiettivi

strategici precedentemente definiti, e delle minacce ed opportunità ad essi connessi.

Fornendo la seguente classificazione lo standard identifica le principali attività e decisioni

aziendali che possono essere cause/fonte di minacce (risk identification) e sottolinea che i

rischi agenti su un’organizzazione possono avere origine non solo da fattori interni, ma

anche da fattori esterni ad essa.

a) Strategiche: riguardano gli obiettivi di lungo periodo e sono influenzate da variabili

quali la disponibilità del capitale, modifiche a regolamenti e leggi, rischi di reputazione

e cambiamenti dell’ambiente naturale;

b) Operative: inerenti problematiche quotidiane;

c) Finanziarie: relative alla gestione e al controllo delle finanze dell’organizzazione e

degli effetti di fattori esterni ad essa;

d) Di gestione della conoscenza: riguardano l’efficacia della gestione e del controllo delle

risorse della conoscenza;

e) Di conformità.

Tra le più diffuse tecniche di identificazione del rischio lo standard propone brainstorming,

questionari, analisi di benchmarking, studi interni, workshop di verifica del rischio, indagini

su incidenti avvenuti, attività di auditing e ispezioni e analisi HAZOP (studi di Hazard &

Operability).

9 La fase di definizione degli obiettivi strategici dell’organizzazione non viene dettagliata, ma viene

lasciata piena libertà di gestione alle organizzazioni.

CAPITOLO 2

51

Figura 2.11 - Fattori di stimolo dei principali rischi [FERMA, Standard di Risk Management 2002,

pag,4]

Una volta identificati i rischi, si procede a descriverli e dettagliarli accuratamente (risk

description) grazie all’ausilio di una struttura appositamente progettata, che garantisce un

processo esauriente di identificazione, descrizione e valutazione.

Lo studio della probabilità e delle conseguenze di ognuno di essi permette di associare una

priorità a quelli chiave che richiedono un’analisi più dettagliata.

Uno strumento particolarmente utile per questo tipo di analisi è la tabella di descrizione del

rischio.

CAPITOLO 2

52

Tabella 2.5 – Tabella di descrizione del rischio [FERMA, Standard di Risk Management 2002, pag.7]

Una volta descritti, la stima dei rischi (risk exstimation) può avvenire su base quantitativa,

semi-quantitativa e qualitativa. In ogni caso dovranno essere valutate le probabilità e le

possibili conseguenze associate a ciascun evento come mostrato nelle seguenti tabelle.

Tabella 2.6 - Conseguenze - Minacce ed opportunità [FERMA, Standard di Risk Management 2002,

pag.8]

CAPITOLO 2

53

Tabella 2.7 - Probabilità dell'evento- Minacce [FERMA, Standard di Risk Management 2002, pag.8]

Tabella 2.8 - Probabilità dell'evento – Opportunità [FERMA, Standard di Risk Management 2002, pag.9]

Alcune delle più importanti metodologie per l’analisi del rischio sono indagini di mercato,

prospezioni, test marketing, analisi delle minacce, analisi ad albero dei guasti, analisi

FMEA (analisi dei modi e degli effetti dei guasti), modelli di interdipendenza, analisi

CAPITOLO 2

54

SWOT, analisi ad albero degli eventi e analisi PESTLE (politica, economica, sociale,

tecnica, legale e ambientale).

Le fasi precedenti associano un voto di significatività ad ogni rischio, generando un profilo

di rischio (risk profile) utile per assegnare delle priorità di trattamento.

Ciascuno dei rischi identificati viene quindi classificato con lo scopo di determinarne

l’importanza relativa. Tutto ciò consente la mappatura del rischio nell’area interessata e

l’individuazione delle responsabilità, che garantisce la verifica della “proprietà” del rischio

e lo stanziamento di risorse adeguate per la sua gestione.

4.2.2. Valutazione del rischio

Una volta completato il processo di analisi sarà necessario confrontare i rischi stimati e i

criteri di rischio stabiliti dall’organizzazione quali ad esempio costi e benefici associati,

requisiti legali, fattori socioeconomici ed ambientali, questioni riguardanti gli stakeholder,

ecc, per definirne rilevanza e accettabilità (risk evaluation).

4.2.3. Trattamento del rischio

Identificati quindi quei rischi che richiedono attenzione da parte dell’organizzazione e le

priorità in base al beneficio potenziale, il processo di trattamento (risk treatment) ha lo

scopo di controllarli e mitigarli e comprendere se sia necessario eliminarli, trasferirli o

finanziarli (per esempio attraverso un’assicurazione), per garantire il funzionamento

efficace ed efficiente dell’intera organizzazione.

La convenienza di un controllo interno dovrà dipendere ovviamente dal rapporto tra i costi

di implementazione e i benefici attesi dalla riduzione del rischio in termini di effetti

economici potenziali. La strategia di effettuare tale controllo dovrà essere poi confrontata

con quella di assenza di iniziative.

Fondamentale in questa fase è la conformità dei sistemi di controllo alle leggi e ai

regolamenti esistenti.

4.2.4. Reporting e comunicazione del rischio

Il reporting avviene secondo due diverse modalità:

1) il reporting interno, che fa riferimento alla necessità di fornire informazioni differenti a

differenti livelli dell’organizzazione, quali:

CAPITOLO 2

55

Consiglio di Amministrazione. Questa istituzione deve poter conoscere i rischi più

significativi e i possibili effetti sul valore dell’organizzazione, sapere in quale

modo si intende affrontare le crisi ed essere certa che il processo di risk

management sia efficace e infine, consapevole dell’importanza della fiducia degli

stakeholders, sapere gestire le comunicazioni;

Unità operative che devono avere un’idea chiara dei rischi all’interno della loro

area responsabilità e delle possibili conseguenze che questi possono avere, valutare

con attenzione gli indicatori al fine di poter monitorare le attività chiave

dell’organizzazione e sviluppare un sistema di comunicazione che permetta uno

scambio efficiente di informazioni;

Singoli individui che devono comprendere le loro responsabilità nei singoli rischi

al fine di migliorare i risultati di risk management e comprenderne l’importanza

all’interno della cultura dell’organizzazione.

2) il reporting esterno, che fa riferimento alla necessità di informare regolarmente gli

stakeholders, i quali richiedono prove di una gestione efficace delle attività.

Il risultato di questo processo sarà un reporting ufficiale, messo a disposizione degli

stakeholders, e dovrà indicare le diverse metodologie di controllo applicate, i processi

utilizzati per identificare i rischi e le modalità in cui vengono affrontati, i sistemi primari di

controllo e revisione esistenti.

4.3. Controllo e revisione del processo di risk management

Un’efficace ed efficiente gestione del rischio richiede quindi una struttura di reporting e di

revisione che assicuri l’identificazione e la valutazione dei rischi e l’esistenza di controlli e

risposte appropriate. Questa revisione deve essere attuata attraverso controlli regolari di

conformità, agli standard aziendali e alla politica aziendale, e attraverso un monitoraggio

continuo delle attività e delle procedure, data la natura mutevole dell’organizzazione e del

sistema in cui essa opera.

Lo scopo ultimo sarà quindi quello di stabilire se le procedure adottate e le informazioni

raccolte per intraprendere la verifica erano adeguate, se le misure implementate hanno

prodotto i risultati attesi e se conoscenze maggiori avrebbero contribuito a far prendere

decisioni migliori e a trarre insegnamenti utili per future gestioni dei rischi.

CAPITOLO 2

56

4.4. La struttura e l’amministrazione di risk management

Il processo di risk management “fa parte di un insieme integrato di strumenti e tecniche da

utilizzare nelle sue varie fasi” (FERMA, 2002). Affinché dunque sia efficace esso richiede

l’impegno e l’attenzione del direttore generale e dei managers dell’organizzazione, una

chiara assegnazione delle responsabilità e una adeguata allocazione delle risorse, per lo

sviluppo di una maggiore consapevolezza del rischio a tutti i livelli decisionali.

Sono diverse quindi le strutture che il processo di risk management coinvolge.

È importante inoltre sottolineare che, al di là delle singole funzioni, ciascuna risorsa

all’interno dell’organizzazione deve conoscere con chiarezza il suo ruolo di coordinamento

della politica e della strategia di risk management.

4.4.1. Il consiglio

Il consiglio ha il compito di individuare e definire gli obiettivi strategici dell’organizzazione

e di creare un ambiente e delle strutture che permettano l’implementazione e il corretto

funzionamento del sistema di gestione del rischio.

Per queste ragioni sarà necessario istituire un gruppo esecutivo, o un comitato non

esecutivo, o in collegio di revisori o un’altra funzione analoga, con il ruolo di “garante” del

risk management. Questo organo deve valutare con attenzione:

la natura e l’estensione dei rischi;

le probabilità che questi si verifichino;

le modalità di gestione;

la capacità della società di minimizzare le probabilità e l’impatto sulle attività;

i costi e i benefici associati al rischi e all’attività di controllo;

l’efficacia del processo di risk management;

le implicazioni delle sue decisioni sul rischi d’impresa.

4.4.2. Le unità operative

Le unità operative hanno una responsabilità primaria nella quotidiana gestione del rischio.

Esse, infatti, hanno il compito di promuovere la consapevolezza del rischio e favorire

discussioni riguardanti il risk management, per consentire l’esame continuo

dell’esposizione al rischio e la modifica delle priorità, non solo nella fase concettuale di

definizione dei progetti, ma anche in quelle successive.

CAPITOLO 2

57

4.4.3. La funzione di risk management

La funzione di risk management, a seconda delle dimensioni dell’organizzazione, può

essere svolta da un singolo responsabile, da un risk manager part-time o da un intero reparto

dedicato. L’esercizio di questa funzione prevede:

di determinare una politica e una strategia di gestione del rischio e di creare strutture

interne atte a supportarle;

di progettare, implementare e revisionare i processi di risposta al rischio, grazie al

supporto di report destinati al consiglio e agli stakeholders;

di sviluppare una cultura consapevole del rischio a tutti i livelli decisionali, mediante

un’adeguata formazione delle risorse.

4.4.4. L’audit interno

Il ruolo dell’audit interno, come funzione indipendente, varia a seconda dell’organizzazione

e può quindi comprendere una parte o la totalità dei seguenti compiti:

sostenere la funzione di risk management nelle fasi di identificazione e verifica del

rischio;

concentrarsi sui rischi più significativi e verificare i processi di gestione del rischio;

favorire la cultura di risk management e coordinare il reporting sul rischio a tutti i

livelli dell’impresa.

5. AZ/NZS 4360:2004

5.1. Introduzione

Lo standard AS/NZS 4360:2004 - Risk Management è una revisione dello standard

AS/NZS 4360:1999 - Risk management ed è stato pubblicato dalla Joint Standards

Australia / Standards New Zeland Committee OB-007 - Risk Management.

Alcuni cambiamenti rispetto alla versione del 1999 includono:

una particolare enfasi sull'importanza di radicare la disciplina del risk management

nei processi e nella cultura dell'impresa;

l'enfasi sulla gestione non solo dei profitti, ma anche delle perdite.

CAPITOLO 2

58

In aggiunta a questo è stata pubblicata una guida, intitolata Risk Management Guidelines -

Companion to AS/NZS 4360:2004, che contiene principi specifici per l'implementazione di

questo Standard.

Questi due testi, insieme, costituiscono una guida generale per la gestione del rischio e

possono essere applicati ad una grande varietà di organizzazioni e ad ogni stadio del ciclo di

vita di un'attività, di una funzione, di un progetto o di un prodotto.

Al loro interno vengono specificati soprattutto gli elementi che compongono il processo di

risk management, delineando tuttavia un framework molto generico per permettere alle

diverse organizzazioni di implementarlo secondo le proprie necessità, i propri obiettivi,

prodotti e servizi, i propri processi e le pratiche specifiche.

L'obiettivo di questo Standard è quello di:

facilitare l'identificazione di opportunità e di minacce;

trarre profitto dalle situazioni incerte e variabili,

implementare un approccio proattivo, piuttosto che reattivo;

migliorare l'allocazione delle risorse;

migliorare la corporate governance e la compliance alle normative;

creare un rapporto di fiducia e di collaborazione con gli stakeholders;

promuovere la realizzazione di un processo di risk management che contribuisca a

supportare la corporate governance e che sia in grado di assicurare agli stakeholders

e ai managers il raggiungimento degli obiettivi con un livello di rischio accettabile.

5.2. Il processo di risk management

Le fasi principali del processo di risk management sono illustrate nelle figure seguenti.

CAPITOLO 2

59

Figura 2.12- Risk Management Process [AS/NZS 4360:2004, pag.15]

CAPITOLO 2

60

Figura 2.13 - Processo di risk management in dettaglio [AS/NZS 4360:2004, pag.17]

CAPITOLO 2

61

5.2.1. Communicate and consult

La fase di communicate and consult prevede il coinvolgimento e la consultazione di tutti

gli stakeholders, sia interni che esterni all'impresa.

Il loro punto di vista infatti può impattare significativamente sulle decisioni prese e la loro

percezione del rischio deve quindi essere integrata nel processo decisionale.

Solitamente un'assemblea consultiva è lo strumento più adatto per definire in modo

appropriato il contesto in cui si opera, evidenziare eventuali rischi, riunire insieme per un

confronto differenti aree di competenza e considerare le diverse modalità di gestione e

trattamento di questi.

Per migliorare questo processo, infatti, è necessario considerare tutte le diverse prospettive

e assicurarsi che ciascuno abbia perfettamente compreso il proprio ruolo e le proprie

responsabilità.

Il concetto di risk communication viene definito “as an interactive process of exchange of

information and opinion, involving multiple messages about the nature of risk and risk

management” (AS/NZS 4360, 2004).

Due sono i principali modelli di comunicazione proposti:

comunicazione one-way finalizzata alla semplice circolazione di informazioni (report

annuali, newsletter, meeting);

comunicazione two-way che mira invece a favorire la condivisione di prospettive,

opinioni e posizioni tra tutte le parti interessate.

La risk communication è un elemento essenziale all’interno di qualsiasi organizzazione e

soprattutto all’interno del processo di risk management poiché facilita la comprensione

della dimensione positiva e negativa del rischio, portando alla luce questo stesso processo e

sottolineandone l’importanza.

La condivisione di informazioni e di prospettive e la creazione di opportunità di dialogo,

non solo all’interno dell’organizzazione stessa, ma anche all’esterno, facilita

l’individuazione di aree critiche e porta alla nascita di una associazione, fondata su interessi

comuni, le cui relazioni si fondano sulla fiducia.

Tuttavia questa fase è tutt’altro che semplice.

Il primo passo consiste nell’identificare i diversi stakeholders, ossia ”who may affect, be

affected by, or perceive themselves to be affected by the organization or the risk

management process” (AS/NZS 4360, 2004).

CAPITOLO 2

62

Il secondo consiste nella realizzazione di un communication and consultation plan, ossia un

documento formale o una checklist, che includa:

a) gli obiettive della comunicazione;

b) i partecipanti a questo piano (stakeholders, specialisti, communication team);

c) le diverse prospettive da tenere in considerazione;

d) i metodi di comunicazioni e il processo di valutazione utilizzato.

5.2.2. Establish the context

Definire il contesto significa individuare quei confini entro i quali gestire i rischi e

comprendere, quindi, il background dell’organizzazione, le finalità delle attività e la

struttura più appropriata di risk management.

L’obiettivo ultimo è quello di fornire un quadro chiaro di tutti i fattori che possono

influenzare un’organizzazione e la sua capacità di raggiungere gli scopi prefissati.

L’output di questa fase sarà una dichiarazione concisa degli obiettivi organizzativi e dei

criteri specifici per la valutazione dei rischi, degli obiettivi della gestione del rischio, degli

attori coinvolti all’interno del processo di risk management e un insieme di elementi

fondamentali per la strutturazione dell’attività successiva di identificazione del rischio.

5.2.2.1. Establish the external and internal context

La definizione del contesto esterno include l’ambiente sociale, culturale, competitivo,

finanziario, politico e legale in cui l’organizzazione opera, i punti di forza, di debolezza, le

opportunità e le minacce e gli stakeholders esterni.

Definire il contesto esterno significa comprendere la struttura e i processi che danno vita ad

un’organizzazione complessa come insieme di cultura, strutture, processi, risorse e obiettivi.

Questa fase appare essere la più critica in quanto, proprio perché le attività di risk

management devono essere integrate con l’organizzazione stessa, il fallimento

nell’individuazione di un chiaro quadro del contesto interno, degli obiettivi e delle strategie,

potrebbe portare allo sviluppo di un processo inefficiente ed inefficace.

Il primo step consiste quindi nell’identificare gli obiettivi dell’organizzazione e l’ambiente

all’interno del quale dovranno essere perseguiti.

Il secondo consisterà nell’individuare i confini delle attività di risk management e il legame

tra la strategia aziendale e gli obiettivi di business.

CAPITOLO 2

63

Fondamentale sarà in questa fase il supporto di documenti quali piani strategici, di business,

budgets, reports annuali e analisi economiche e strategiche, come l’analisi SWOT, e

soprattutto regolamenti legislativi.

La stakeholders analysis è una fase fondamentale e non deve mai essere sottovalutata.

Questa grande categoria include infatti una grandissima moltitudine di attori, quali ad

esempio il Consiglio di Amministrazione e i soci di maggioranza, i dirigenti e i responsabili

delle unità organizzative, il personale e le istituzioni sindacali, i legislatori e i regolatori, i

clienti, le istituzioni finanziarie, gli appaltatori e i fornitori.

L’output generato è un completo profilo di tutti gli stakeholders, che faciliti la

comprensione delle loro esigenze e prospettive.

5.2.2.2. Establish the risk management context

Si tratta dunque di individuare quali parti dell’organizzazione saranno coinvolte nel

processo di risk management. Per questo sarà necessario individuarne confini e limiti,

valutando quali attività di progetto e quali funzioni includere, quali ruoli e responsabilità

coinvolgere e le interrelazioni tra le attività, i progetti e l’organizzazione stessa.

5.2.2.3. Develop risk criteria

Lo scopo di questa fase è invece quello di determinare dei criteri in base ai quali misurare il

rischio. Esso infatti potrà essere valutato secondo criteri operativi, tecnici, finanziari, legali,

sociali, ambientali, che dovrebbero riflettere il contesto sopra definito e che spesso

dipendono da politiche e obiettivi interni all’organizzazione, da interessi e percezioni degli

stakeholders e da regolamenti e leggi esterne.

I criteri in base ai quali viene valutato il livello di rischio avranno un ruolo fondamentale

nella definizione dei metodi da utilizzare per l'analisi del rischio. Ed è per questo che

devono essere individuati fin dall'inizio.

Non è indispensabile valutare a questo punto tutti gli aspetti dei criteri definiti, ma solo i più

critici in quanto possono essere influenzati dalle percezioni degli stakeholder e da

disposizioni di legge o regolamenti.

Tali misure critiche di performance forniranno perciò dei criteri in base ai quali, grazie

all’utilizzo di scale specifiche, valutare il rischio nelle fasi successive.

La gamma può essere ampia. Esempi riguardanti le fasi iniziali di pianificazione di un

progetto e un piano di business vengono riportati nelle tabelle seguenti.

CAPITOLO 2

64

Tabella 2.9 - Criteri per lo sviluppo di un progetto [AS/NZS 4360:2004, pag.34]

CAPITOLO 2

65

Tabella 2.10 - Criteri per lo sviluppo di un piano di business [AS/NZS 4360:2004, pag.35]

5.2.2.4. Define the structure

Si tratta ora di evidenziare e suddividere le attività, i processi, i progetti in una serie di

elementi al fine di fornire un framework logico, che aiuti a garantire che i rischi significativi

non vengano trascurati.

Lo scopo è quindi quello di individuare tutti gli elementi chiave e le questioni di interesse

per l'organizzazione e le altre parti interessate e stabilire delle priorità. La scelta della

struttura più appropriata dipenderà dalla natura dei rischi e dalla portata del progetto,

processo o attività e porterà a non tralasciare elementi significativi che potrebbero causare

conseguenze potenzialmente gravi.

CAPITOLO 2

66

5.2.3. Risk identification

La fase di risk identification consiste nell’identificazione di tutti i rischi che possono essere

posti o meno sotto il controllo dell’organizzazione e che saranno oggetto di successive

analisi e valutazioni.

Lo scopo è quello di costruire una lista delle fonti rischio e degli eventi che potrebbero

avere conseguenze significative sul business e sul perseguimento degli obiettivi sopra

definiti. Fondamentale sarà indentificarne le cause e individuare i possibili scenari.

Il processo di identificazione richiede di rispondere ad alcune domande:

a) qual è la fonte di ogni rischio?

b) cosa potrebbe accadere che potrebbe:

i. aumentare o diminuire l’effettivo raggiungimento degli obiettivi?

ii. realizzare il conseguimento più o meno efficiente degli obiettivi?

iii. fare sì che le parti interessate intraprendano azioni che possano influenzare

il raggiungimento degli obiettivi?

iv. produrre benefici aggiuntivi?

c) quale sarebbe l’effetto sugli obiettivi definiti?

d) quando, dove, perché e come sono questi rischi?

e) chi potrebbe esserne coinvolto o influenzato?

f) quali controlli sono attualmente effettuati su questi rischi?

Per garantire l’efficacia di questa fase, di fondamentale importanza sarà reperire

informazioni di alta qualità. Le principali fonti di tali informazioni possono essere

esperienze, valutazioni di esperti, interviste strutturate, interviste e questionari, liste di

controllo, documenti storici e database.

È essenziale che le persone siano sempre informate e coinvolte in questo processo per

garantire l’individuazione del maggior numero di rischi.

L'approccio utilizzato per l'identificazione rischio dipende tuttavia dal contesto in cui è

applicato.

5.2.4. Risk analysis

Lo scopo della risk analysis quello di fornire una maggiore comprensione del rischio. Essa

costituisce l’input per decidere quali siano le più appropriate e convenienti strategie di risk

treatment.

CAPITOLO 2

67

Questa analisi comporta la considerazione delle fonti di rischio, delle conseguenze positive

o negative e delle probabilità che queste si verifichino.

Un'analisi preliminare può essere effettuata in modo che rischi simili siano combinati, o

rischi di basso impatto siano esclusi dallo studio dettagliato.

5.2.4.1. Evaluate existing controls

Il primo passo consiste nell’identificare i processi, le procedure o gli strumenti esistenti, che

agiscono per minimizzare i rischi negativi o massimizzare rischi positivi, e valutare i loro

punti di forza e di debolezza.

5.2.4.2. Determine consequences and likelihood

Il secondo step consiste nel valutare l’entità delle conseguenze che un determinato evento

potrebbe avere sull’intera organizzazione e le probabilità che queste si verifichino per

misurare l’efficacia delle strategie e dei controlli esistenti.

Un evento può avere più conseguenze e impattare su diversi obiettivi.

Conseguenze e probabilità sono combinati per produrre un determinato livello di rischio,

che può essere stimato grazie all’utilizzo di tecniche statistiche. Qualora non vi siano dati

storici attendibili o rilevanti è possibile fare affidamento su stime soggettive che riflettono

la prospettiva di un singolo o di un gruppo.

L’analisi del rischio deve procedere attraverso diversi livelli di dettaglio a seconda del tipo

di rischio individuato, dello scopo dell’analisi e delle informazioni disponibili. Mentre a

livello strategico infatti sarà necessario individuare ampie categorie di rischi, a livello

operativo la priorità sarà evidenziare rischi specifici che minacciando il raggiungimento

degli obiettivi.

Le tecniche utilizzate saranno di tipo qualitativo, semi-quantitativo e qualitativo a seconda

dei rischi e delle variabili da considerare.

5.2.4.3. Determine level of risk

Il modo in cui verrà descritto il livello di rischio dipenderà quindi dal tipo di analisi

effettuata e dalla combinazione delle due variabili. Per questa ragione si avrà una

descrizione qualitativa qualora sia stato utilizzato un approccio di questo tipo, come

evidenziato nella seguente tabella.

CAPITOLO 2

68

Tabella 2.11 - Matrici per determinare il livello di rischio [AS/NZS 4360:2004, pag.54-55]

Le categorie sviluppate possono essere collegate con il livello di gestione più appropriato.

Per esempio:

(a) categoria alto rischio o molto alto: riferimento al senior management esecutivo per la

definizione di piani d'azione e la gestione delle responsabilità;

(b) categoria medio: risposta tramite il monitoraggio continuo e procedure specifiche;

(c) categoria Basso rischio: gestita con procedure di routine.

Molti eventi possono però verificarsi in molteplici modi, con una gamma estesa di risultati.

Solitamente, si individua un range di rischi, compresi tra quello a impatto minor, ma con

una maggiore provabilità di accadimento, e quello a impatto maggiore, ma con minori

probabilità, evidenziando eventuali outlier.

CAPITOLO 2

69

Figura 2.12 - Range di rischi [AS/NZS 4360:2004, pag.56]

I rischi sono inoltre caratterizzati da incertezza, pertanto grande attenzione dovrà essere data

ai dati utilizzati per eseguire l’analisi. Spesso una disponibilità maggiore di informazioni

può aiutare a ridurre l’incertezza, tuttavia è importante trovare un equilibrio tra lo sforzo

richiesto per ottenere tali informazioni e il loro valore per il processo decisionale.

Qualora queste non siano disponibili sarà fondamentale per il decisore stimarne il grado di

incertezza e l’effetto sull’analisi.

Tuttavia non solo i rischi negativi dovranno essere oggetto di analisi, ma anche quelli

positivi che andranno valutati come opportunità.

Come specificato in precedenza, le diverse categorie di opportunità evidenziate potranno

essere collegate con il livello di gestione più appropriato:

(A) molto alta: pianificazione dettagliata ad alti livelli per preparare e catturare l'occasione;

(B) Alta opportunità: attenzione a livello esecutivo;

(C) Media opportunità: gestita dal monitoraggio specifico o da procedure definite;

(D) basso/possibile: procedure di routine, improbabile bisogno di una specifica applicazione

delle risorse.

CAPITOLO 2

70

Tabella 2.13 – Opportunità [AS/NZS 4360:2004, pag.59]

Per quanto riguarda i metodi di analisi è possibile proporne un ampio elenco, che include

interviste e questionari strutturati, analisi delle conseguenze, analisi statistica dei dati

storici, albero dei guasti e analisi ad albero degli eventi, analisi delle probabilità, test

marketing e ricerche di mercato.

5.2.5. Risk evaluation

L’obiettivo della fase di valutazione è quello di prendere decisioni riguardanti la necessità

di definire opportune misure di trattamento dei rischi e stabilire le loro priorità, attraverso la

comparazione tra il livello di rischio rilevato durante la fase di analisi e i criteri

precedentemente definiti.

L’assegnazione di precise priorità e delle diverse modalità di azione è fondamentale per

garantire l’efficacia del processo e può essere supportata dall’utilizzo di matrici, come

evidenziato nella figura seguente.

CAPITOLO 2

71

Tabella 2.14 - Matrice di assegnazione delle priorità [AS/NZS 4360:2004, pag.65]

L’approccio più semplice per catalogare i diversi rischi e associare loro una giusta priorità è

il metodo ALARP10, illustrato nella figura 2.15.

Figura 2.15 - Modello ALARP [AS/NZS 4360:2004, pag.66]

10 “As Low As Reasonably Practicable”

CAPITOLO 2

72

Il primo passo consiste nel suddividere i rischi in tre gruppi e valutare la loro collocazione

in modo oggettivo:

1) rischi intollerabili, che necessitano assolutamente di misure di riduzione sebbene i

costi di tale intervento superino di gran lunga i benefici;

2) rischi tollerabili, di cui bisogna attentamente valutare costi e benefici;

3) rischi accettabili, che non richiedono alcun trattamento.

I criteri, secondo i quali decidere se un rischio debba essere trattato o meno, sono spesso

individuati grazie al confronto con esperienze o eventi passati.

Tuttavia i dati disponibili possono essere distorti da:

grandi incidenti, catastrofi inattese che dominano il set di dati;

un livello decrescente di rischio, causato da maggiori controlli;

una variazione delle attività o delle circostanze.

Impostare quindi questi criteri di valutazione partendo da stime di rischio storiche introduce

non pochi problemi, come ad esempio considerare accettabile un rischio accettato in

passato, ma che ora non lo è più, e spinge sempre di più ad aggiornare i criteri di

valutazione sulla base di circostanza attuali.

5.2.6. Risk treatment

La fase di trattamento ha l’obiettivo di valutare e identificare un range abbastanza ampio di

opzioni per la gestione di quei rischi individuati nella fase di risk evaluation

Tuttavia, affinché le misure prese siano appropriate ed efficaci, si rende necessario

revisionare ed approfondire le analisi precedentemente effettuate e comprendere le cause di

ciascun rischio.

Questo processo può essere rappresentato in modo chiaro dal seguente schema.

CAPITOLO 2

73

Figura 2.16 - Il Processo di trattamento dei rischi [AS/NZS 4360:2004, pag.73]

5.2.6.1. Identify options

Il primo passo consiste nell’identificare le diverse alternative a disposizione, spesso

revisionando quelle già esistenti, qualora siano disponibili.

Un’opzione consiste nell’evitare interamente il rischio, eliminandolo del tutto, decidendo di

non procedere con o interrompere un'attività. Questo rimuoverà le possibilità di eventuali

danni, ma potrebbe comportare anche il mancato sfruttamento di opportunità.

Le altre alternative di gestione solitamente comportano la modifica della probabilità che

l’evento si verifichi o delle sue conseguenze, o di entrambi, come illustrato in figura 2.17.

Figura 2.17 - Schema per l'individuazione di cause e conseguenze nel trattamento dei rischi

[AS/NZS 4360:2004, pag.74]

Il processo di risk treatment include la comprensione non solo delle cause immediate di un

determinato evento, ma anche e soprattutto dei fattori sottostanti, che potrebbero

notevolmente influenzare l’efficacia del trattamento proposto. Questi fattori sono chiamati

CAPITOLO 2

74

root cause e possono includere aspetti di una cultura organizzativa come processi, pratiche

o paradigmi radicati che hanno bisogno di essere modificati per garantire il successo della

gestione del rischio.

Fonti di rischio possono essere trattate attraverso meccanismi di rimozione, riduzione o

valorizzazione, a seconda che l'esito sia positivo o negativo.

Nel caso in cui ci si trovi di fronte a eventi esterni, non controllabili, la soluzione ottimale

sarà ridurre la vulnerabilità dell’organizzazione.

Qualora invece siano generati internamente, potranno essere prevenuti o incoraggiati,

modificandone le probabilità di accadimento (pre-event consequences).

In alcune situazioni, infatti, può risultare possibile ridurre l’esposizione ad un rischio

negativo grazie a meccanismi di rilevazione e di allarme che aumentano le possibilità di

azione.

L'analisi in questo caso ha lo scopo di comprendere le potenziali opportunità e i fattori che

amplificano le probabilità di raggiungere i propri obiettivi.

Le conseguenze possono anche essere modificate attraverso la pianificazione di azioni post-

evento (post-event treatment), quali piani di emergenza (progettati per le opportunità così

come per le perdite), piani di business continuity, o attraverso assicurazioni e strumenti

finanziari.

Affinché tutto questo sia possibile, l’organizzazione deve potere agire rapidamente per

approfittare dei guadagni inattesi o prevenire e contenere le perdite. Ciò richiede che i

principi di gestione del rischio siano ben presenti all’interno dell’organizzazione e, qualora

determinati eventi non possano essere gestiti dai normali processi di gestione, sia

implementato un approccio sistematico alla gestione degli incidenti critici.

CAPITOLO 2

75

Figura 2.18 - Processo di gestione degli eventi critici [AS/NZS 4360:2004, pag.76]

Al centro della gestione di eventi critici c’è il Business Continuity Management (BCM), che

fornisce all’organizzazione un framework per ridurre l’esposizione ai rischi in modo

efficace, efficiente e tempestivo.

5.2.6.2. Evalutate options

In generale, verrà selezionata una combinazione di opzioni di trattamento rispetto alle

alternative individuate. Queste dovranno ovviamente essere compatibili con gli obiettivi

generali dell’organizzazione e con i criteri di valutazione del rischio.

Lo Standard AS/NZS 4360:2004 propone 5 steps da seguire:

1) revisione delle cause e dei controlli: comporta una revisione dell’analisi dei rischi,

assicurando una piena comprensione dei fattori e delle misure di trattamento

esistenti;

2) obiettivi di gestione: l’obiettivo principale è quello di portare la gestione del rischio

ad un livello tale per cui il beneficio superi il costo totale. Gli obiettivi individuati

dovranno includere:

a. le fonti di rischio e i rischi stessi;

CAPITOLO 2

76

b. i meccanismi di gestione ottimali;

c. il livello di prestazioni richiesto in termini di efficacia, affidabilità e

disponibilità;

3) design dei meccanismi di gestione: il progetto dettagliato dei trattamenti dovrebbe

prendere in considerazione la loro praticità e manutenibilità. Molti dei rischi cui

l’organizzazione deve far fronte, infatti, possono essere modificati e mitigati

attraverso una diagnosi precoce. La chiave per la progettazione di un controllo

efficace è quella di coinvolgere nel processo tutte le parti interessate e, dove

possibile, progettare le misure all’interno delle normali attività e procedure

aziendali;

4) revisione: l’esame di controllo delle misure attuate si propone di verificare:

a. che siano soddisfatti gli obiettivi di gestione;

b. che il progetto attuato sia realistico;

c. che il livello di controllo sia accettabile;

d. che le misure proposte non introducano nuovi rischi;

5) comunicazione e implementazione: per garantire il successo e l’efficacia del

processo è necessaria una comprensione piena e profonda di tutti i meccanismi di

trattamento implementanti. A tale scopo, un piano di comunicazione deve essere

parte integrante di questo processo.

5.2.6.3. Selectiong options for treatment

Nella fase di selezione delle opzioni di trattamento devono essere valutate alcune questioni

fondamentali riassunte nella tabella seguente.

CAPITOLO 2

77

Tabella 2.14 - Fattori decisionali da valutare [AS/NZS 4360:2004, pag.82]

Le decisioni prese dovranno tenere però conto dell’analisi di trade off costi/benefici che

metterà in evidenza l’opportunità di sviluppare soluzioni soddisfacenti, ma non ottimali,

soluzioni convenienti o normalmente accettate e soluzioni best.

CAPITOLO 2

78

Figura 2.19 - Trade-off tra livello di rischio e costi di riduzione [AS/NZS 4360:2004, pag.83]

L’analisi costi-benefici (CBA) fornisce un confronto oggettivo tra i costi e i benefici

derivanti dalla scelta di trattare o meno un rischio. Può essere condotta in modo puramente

quantitativa, anche se, nella maggior parte dei casi, è importante tenere conto dei costi e dei

benefici meno tangibili e non quantificabili effettuando un’analisi qualitativa.

Il processo da seguire in questo ultimo caso è quello di:

a) elencare tutti i tipi di costi e benefici;

b) suddividere i costi e benefici in hard e soft;

c) valutarli quantitativamente;

d) presentare i risultati.

Se vi è notevole avversione o preferenza nei confronti di alcuni costi o benefici, allora

questo dovrà essere chiarito nella presentazione dei risultati al decisore.

Quando vi è incertezza circa le spese da sostenere o i vantaggi da ottenere, inoltre, i valori

utilizzati possono essere ponderati tenendo in considerazione la probabilità di accadimento

dell’evento, e, qualora i costi o i benefici non risultino attuali, sarà necessario attualizzarli.

Tra le soluzioni più adottate vi è quella del risk sharing che comporta la condivisione di

alcuni o di tutti i rischi, di solito tramite un contratto. Le più comuni forme di condivisione

dei rischi sono il sub-appalto, l’outsourcing e le assicurazioni.

I contratti sono accordi tra le parti per lo svolgimento di azioni specifiche o funzioni, in

cambio di una retribuzione concordata. Sono destinati spesso al trasferimento o alla

condivisione dei rischi e, data la loro natura incerta, sono anch’essi oggetto di un’analisi

costi/benefici in quanto portatori di ulteriori rischi.

CAPITOLO 2

79

Poche organizzazioni hanno adeguate risorse finanziarie interne in grado di coprire il costo

di gravi perdite. L'assicurazione è un mezzo per finanziare tali perdite in cambio del

pagamento di un premio.

Non tutti i rischi però sono assicurabili, come ad esempio danni all’immagine o alla

reputazione, ed è per questo che devono essere valutate con attenzione tutte le diverse

possibili soluzioni di gestione.

5.2.6.4. Preparing risk treatment plan

Una volta selezionate le opzioni di trattamento, esse dovrebbero essere riassunte in un risk

treatment plan, al fine di confrontare le diverse soluzioni, individuare ed eliminare

eventuali conflitti e ridondanze.

In particolare, un piano di gestione dei rischi dovrebbe:

identificare le responsabilità, la tempistica, i risultati attesi di ciascuna soluzione

applicata, tramite misure di performance;

includere sistemi di monitoraggio dell’efficacia dei trattamenti;

documentare come, in pratica , le opzioni scelte saranno implementate;

includere la valutazione e il monitoraggio del rischio residuo.

5.2.7. Monitoring and review

Cambiamenti nel contesto ambientale e nel livello di rischio potrebbero avere conseguenze

importanti, per questo motivo un monitoraggio continuo è fondamentale per valutare la

situazione corrente e verificare che le performance attuali siano in linea con quelle attese,

data la dinamicità del processo di risk management.

Le priorità andranno date al monitoraggio di alti rischi, probabili fallimenti di strategie di

gestione, attività con alta incidenza futura di cambiamento e progresso tecnologico.

L’attività di monitoraggio dovrà essere svolta a differenti livelli come mostrato in figura.

CAPITOLO 2

80

Figura 2.20 - Livelli di monitoraggio [AS/NZS 4360:2004, pag.90]

La creazione di Performance Indicators (PIs), ossia di misure quantitative che riflettono

l’andamento degli obiettivi chiave dell’organizzazione, faciliterà inoltre il processo di

monitoraggio.

5.3. Recording the risk management process

Ciascuna fase del processo risk management dovrà essere registrata nel modo più opportuno

per diverse ragioni:

per dimostrare agli stakeholders che il processo viene condotto in modo

appropriato;

per mettere in evidenza l’approccio sistematico di analisi e identificazione del

rischio;

per facilitare la revisione delle decisioni e dei processi e la costruzione di database

relativi all’organizzazione;

per agevolare la condivisione e la comunicazione di informazioni;

per dimostrare il rispetto della regolamentazione.

CAPITOLO 2

81

Per questi motivi ciascuna fase dovrà avere una documentazione di riferimento esaustiva ed

esauriente.

Spesso una dichiarazione di conformità e di due diligence è necessaria affinché i managers

riconoscano formalmente la loro responsabilità nel rispettare le politiche di gestione del

rischio e le procedure.

Per ogni rischio individuato verrà inoltre creato un risk register, che conterrà una

descrizione del rischio, incluse cause e impatti, informazioni riguardanti l’esistenza di

controlli efficaci, la priorità, la sua valutazione (risk rating) e le modalità di gestione, data la

sua probabilità di verificarsi.

Alcuni esempi sono riportati nelle seguenti figure.

CAPITOLO 2

82

CAPITOLO 2

83

Figure 2.21, 2.22 - Esempi di risk register [AS/NZS 4360:2004, pag.99-100]

Di fondamentale importanza sarà la stesura di un risk treatment schedule e di un action plan

con informazioni rilevanti circa le azioni di trattamento prese in considerazione, le

CAPITOLO 2

84

responsabilità e le risorse allocate, il budget disponibile, la tempistica, i meccanismi e la

frequenza di revisione.

Un esempio viene riportato in figura 2.23 e 2.24.

CAPITOLO 2

85

CAPITOLO 2

86

Figure 2.23, 2.24 - Esempio di risk treatment plan [AS/NZS 4360:2004, pag.101-102]

La produzione di record per la fase di monitoraggio e verifica sarà finalizzata a

documentare dettagli del meccanismo e della frequenza del riesame dei rischi e del processo

di gestione nel suo complesso, i risultati degli audit e delle altre procedure di monitoraggio

e, infine, informazioni su come precedenti raccomandazioni di revisione siano state seguite

e attuate.

CAPITOLO 2

87

È utile, inoltre, sviluppare un database di incidenti che consenta il rilevamento di modelli o

l’analisi di sequenze causali che possono fornire degli input per la progettazione o la

valutazione delle misure di controllo e che identifichino automaticamente insiemi di dati di

interesse e li comunichino automaticamente alle persone responsabili.

Il piano di Risk Management, infine, fornisce una visione complessiva del processo di

gestione del rischio all'interno dell'organizzazione e di come esso sia stato integrato. Questo

documento deve contenere:

a) una dichiarazione della politica di gestione del rischio dell'organizzazione;

b) una descrizione del contesto esterno ed interno in cui si opera, delle modalità di

governo societario e della vigilanza;

c) gli obiettivi della gestione del rischio e i criteri per valutare se i rischi siano

tollerabili;

d) l’allocazione delle responsabilità;

e) un elenco dei rischi identificati, la loro analisi e una sintesi dei piani per il loro

trattamento.

5.4. Establishing effective risk management

Lo scopo di questo paragrafo è quello di descrivere come sviluppare e sostenere la gestione

sistematica dei rischi in un'organizzazione in modo efficace, grazie allo sviluppo di un

piano per incorporare il risk management nei sistemi, nei processi e nelle pratiche

dell'organizzazione.

Fondamentale in questo senso è la consapevolezza e l'impegno dei livelli decisionali più

alti. L'attuazione di programmi di gestione del rischio efficaci a tutti livelli infatti, è

difficile. Il suo successo dipenderà in larga misura dal sostegno e dalla sponsorizzazione del

top manager e del team esecutivo.

Gli amministratori e dirigenti sono infatti, in ultima analisi, responsabili della gestione del

rischio nell'organizzazione, sebbene comunque tutto il personale ne sia responsabile nelle

proprie aree di controllo.

E poiché la filosofia del risk management deve penetrare all’interno della cultura stessa

dell’impresa, una leadership efficace deve essere quindi in grado di plasmare la cultura,

incoraggiando la gestione dei rischi attraverso l’allocazione efficiente delle responsabilità e

l’implementazione di sistemi di riconoscimento e ricompensa.

CAPITOLO 2

88

Le infrastrutture necessarie dovranno fornire sostegno e competenze per il personale,

acquisire le conoscenze e le competenze necessarie per gestire il rischio e integrarle nella

formazione del personale, integrare i principi di risk management nelle procedure già

esistenti, favorire la comunicazione e il dialogo in tutta l'organizzazione e programmi di

revisione interna e di valutazione delle prestazioni.

Gestire attivamente il rischio offre l’opportunità ai manager e al personale di ogni livello di

migliorare continuamente le prestazioni, fornire un approccio strutturato per il processo

decisionale, incoraggiando l'analisi di una vasta gamma di opzioni possibili, promuovere

l'identificazione di nuove opportunità e sostenere un uso più efficace, efficiente ed adeguato

delle risorse.

Lo standard AS/NZS 4360:2004 descrive un processo logico e sistematico che porterà

naturalmente al miglioramento continuo del processo di risk management di

un'organizzazione. Per questo motivo i manager dovranno segnalare costantemente

l’impegno di tutti nella gestione dei rischi come parte integrante del business dell’impresa.

6. ISO 31000:2009

6.1. Introduzione

La norma ISO 31000 del 2009 rappresenta l’evoluzione della cultura e delle pratiche, a

proposito di gestione del rischio, a partire da quelle contenute nello standard AS/NZS

4360del 2004, ed è stata redatta dalla ISO (International Organization for Standardization)

Technical Management Board Working Group on risk management.

Lo scopo è quello di mettere a disposizioni di tutti i principi e le linee guida generali sulla

gestione del rischio, tenendo conto dei punti di vista più accreditati, tanto da poter essere

utilizzata da ogni tipo di organizzazione pubblica o privata, da gruppi di persone associate

in qualsiasi forma o da singoli individui, in qualsiasi settore di attività.

Può essere infatti applicata a qualsiasi tipo di rischio, di qualsivoglia natura e con

conseguenze positive o negative, lungo tutta la vita di un’organizzazione, e ad un’ampia

gamma di attività, processi (operativi, di supporto, gestionali, strategici), funzioni, progetti,

prodotti e servizi.

Viene qui sottolineata la necessità di sviluppare, attuare e migliorare continuamente una

struttura di riferimento (framework) di risk management, il cui scopo è integrare il processo

di gestione del rischio nella governance complessiva dell’organizzazione, nella strategia e

CAPITOLO 2

89

nella pianificazione, nei processi di reporting, nelle politiche, nei valori e nella cultura, al

fine di assicurare un’efficace gestione del rischio, coerente in tutta l’organizzazione.

L’esigenza di promuovere, assistere, facilitare, coordinare, consolidare i risultati, le prassi, i

meccanismi, le strategie e gli strumenti che sostengono e alimentano il processo integrato a

tutti i livelli aziendali, viene affidata al Chief Risk Officer, come evidenziato nel seguente

diagramma delle responsabilità, che unisce a quelle del chief risk officer anche quelle della

funzione di Audit e quelle distribuite a tutti i livelli di management dell’organizzazione.

Figura 2.25 - Diagramma delle responsabilità [The Institute of Internal Auditors, The role of the Internal

Audit in Enterprise risk management, 2009]

L’implementazione di questa norma, in aggiunta alla ISO Guide 73:2009 – Vocabulary e

alla ISO/IEC 31010, Risk Management – Risk assessment techniques, garantisce alcuni

vantaggi, quali:

l’aumento della probabilità di raggiungere gli obiettivi;

l’incoraggiamento di una gestione proattiva, volta a favorire le opportunità, a

migliorare la prevenzione delle minacce e la gestione degli incidenti, per

minimizzare i danni;

il miglioramento dell’identificazione delle opportunità e delle minacce;

la promozione della consapevolezza della necessità di identificare e trattare il

rischio nell’intera organizzazione;

CAPITOLO 2

90

il miglioramento del reporting, della governance, dell’efficacia e dell’efficienza

operative, i controlli e l’assegnazione delle risorse per il trattamento dei rischi;

l’incremento la fiducia degli stakeholders;

lo sviluppo della resilienza organizzativa, intesa come capacità di sopportare le

avversità e reagire prontamente.

La ISO 31000:2009 è destinata a soddisfare le esigenze di una vasta gamma di stakeholders,

tra cui:

i responsabili dello sviluppo della politica di gestione del rischio all'interno

dell’organizzazione ;

coloro che devono assicurare che il rischio sia effettivamente gestito

dell'organizzazione nel suo complesso o all'interno di una determinata area ,

progetto o attività ;

coloro che hanno bisogno di valutare l'efficacia di una organizzazione nella gestione

del rischio.

Qualora sia già stato adottato un processo di questo tipo, l'organizzazione potrà decidere di

effettuare una revisione critica delle pratiche e dei processi esistenti alla luce della presente

norma internazionale. Affinché la gestione del rischio sia efficace, è necessario conformarsi

ad alcuni principi, quali:

a) risk management creates and protects value, in quanto contribuisce al

raggiungimento degli obiettivi e al miglioramento delle performance;

b) risk management is an integral part of all organizational processes;

c) risk management is part of decision making, poiché contribuisce ad associare una

priorità alle azioni e a distinguere tra le diverse opportunità di scelta;

d) risk management explicitly addresses uncertainty, tenendo conto della sua natura e

di come sia possibile affrontarla;

e) risk management is systematic, structured and timely, in quanto un approccio

strutturato, sistemico e puntuale contribuisce all’efficienza e all’ottenimento di

risultati coerenti, comparabili ed affidabili;

f) risk management is based on the best available information, tenendo conto di

eventuali limitazioni dei dati o dei modelli utilizzati;

g) risk management is tailored, allineata con il contesto e il profilo di rischio propri

dell’organizzazione;

CAPITOLO 2

91

h) risk management takes human and cultural factors into account, riconoscendo che

le capacità e per percezioni delle persone possono influenzare in maniera

significativa il raggiungimento degli obiettivi;

i) risk management is transparent and inclusive, poiché prevede il coinvolgimento di

tutte le parti interessati, a tutti I livelli dell’organizzazione;

j) risk management is dynamic, iterative and responsive to change, qualora si

verifichino cambiamenti nel contesto interno o esterno, o emergano nuovi rischi;

k) risk management facilitates continual improvement of the organization.

CAPITOLO 2

92

Figura 2.26 - The relationship between the risk management principles, framework and process [ISO

31000:2009, vii]

CAPITOLO 2

93

6.2. Framework

Il successo della gestione del rischio dipenderà in gran parte dall’efficacia del quadro di

gestione (framework) e dal suo livello di integrazione con l’intera organizzazione.

La figura seguente illustra come le componenti principali del framework siano in relazione

sequenziale tra loro, sottolineando l’importanza dell’applicazione del ciclo PDCA11 (Plan,

Do, Check, Act), che sta alla base del miglioramento continuo di qualsiasi processo.

Figura 2.27 - The relationship between the components of the framework for managing risk [ISO

31000:2009, pag.9]

6.2.1. Mandate and commitment

La norma sottolinea come un forte e continuo impegno da parte di tutta l’organizzazione sia

fondamentale per realizzare un’efficace gestione del rischio. A tal fine il management dovrà

garantire che la cultura, gli obiettivi dell’organizzazione, la politica e gli obiettivi di

gestione del rischio siano allineati a tutti i livelli, definendo degli indicatori di performance

11 Il ciclo di Deming o Deming Cycle (ciclo di PDCA - plan–do–check–act) è un modello studiato per il

miglioramento continuo della qualità in un'ottica a lungo raggio. Serve per promuovere una cultura della

qualità che è tesa al miglioramento continuo dei processi e all'utilizzo ottimale delle risorse.

CAPITOLO 2

94

di risk management che siano adeguati a quelli dell’organizzazione, assicurando conformità

alle normative esistenti.

Avrà inoltre il compito di allocare le responsabilità, definire i ruoli ai livelli appropriati ed

assegnare le risorse necessarie, assicurando che il quadro di gestione del rischio continui ad

essere adeguato.

6.2.2. Design of framework for managing risk

6.2.2.1. Understanding of framework for managing risk

Prima di procedere con il design e l’attuazione del framework di risk management, è

importante comprendere quale sia il contesto interno ed esterno dell’organizzazione e

quanto effettivamente possano influenzarne la progettazione.

Ciò significa comprendere variabili quali il contesto sociale, culturale, politico, giuridico,

normativo, finanziario, tecnologico, economico, naturale, competitivo, nazionale e

internazionale, i valori e le percezioni degli stakeholders esterni ed interni, la governance, la

struttura organizzativa, i ruoli e le responsabilità, le politiche, gli obiettivi e le strategie in

atto, i sistemi informativi e la cultura dell’organizzazione.

6.2.2.2. Establishing risk management policy

La risk management policy dovrebbe indicare chiaramente la logica dell’organizzazione per

la gestione del rischio, i collegamenti con gli obiettivi e le politiche dell'organizzazione, le

responsabilità e l'impegno a rendere disponibili le risorse necessarie, le modalità di misura

delle prestazioni del processo e l’impegno a rivedere e migliorare la politica e il framework

di gestione del rischio periodicamente e in risposta a un evento o un cambiamento delle

circostanze.

6.2.2.3. Accountability

Fondamentale sarà la corretta allocazione delle responsabilità grazie all’individuazione dei

risk owner, ovvero dei proprietari del rischio, dei responsabili per lo sviluppo,

l’implementazione e la manutenzione del framework, di tutti i ruoli a tutti i livelli

dell’organizzazione per una corretta misurazione delle prestazioni e reporting del processo

di gestione dei rischi.

CAPITOLO 2

95

6.2.2.4. Integration into organizational processes

La gestione del rischio deve diventare parte integrante dei processi organizzativi, e non un

processo stand-alone. In particolare, dovrebbe essere incorporata nella politica di sviluppo,

nella pianificazione aziendale e strategica, nei processi di revisione e cambiamento.

A supporto di tale scopo dovrebbe essere sviluppato un organization-wide risk management

plan, che includa lo stanziamento delle risorse adeguate per la gestione del rischio, tenendo

conto del personale a disposizione, delle competenze e dell’esperienza richiesta, dei

processi e degli strumenti da utilizzare, delle informazioni e dei sistemi di gestione della

conoscenza necessari.

6.2.2.5. Establishing the internal and external communication and

reporting mechanism

L'organizzazione deve definire dei meccanismi di comunicazione e di reporting interno al

fine di sostenere e incoraggiare la responsabilità e la titolarità del rischi.

Deve inoltre assicurare che le eventuali modifiche al framework di gestione e le

informazioni necessarie siano comunicate in modo tempestivo e adeguato ai livelli

appropriati, e che siano stati previsti momenti di consultazione con gli stakeholders interni.

Di fondamentale importanza è il coinvolgimento degli stakeholders esterni che assicura un

efficace scambio di informazioni, soprattutto in caso di crisi o emergenza, e promuove la

costruzione di un rapporto di fiducia tra questi e l’organizzazione.

Inoltre il reporting esterno aiuta a soddisfare requisiti legali, normativi e di governance.

6.2.3. Implementing the framework and the risk management process

Nell'attuazione del framework, l'organizzazione dovrà valutare i tempi e la strategia di

implementazione, verificando la conformità ai requisiti legali e normativi e assicurarsi che il

processo decisionale, compreso lo sviluppo e la definizione di obiettivi, sia allineato con i

risultati dei processi di gestione del rischio, grazie ad una consultazione continua con tutte

le parti coinvolte. Il processo di risk management dovrebbe essere implementato attraverso

un piano di gestione del rischio per tutti i livelli e le funzioni dell’organizzazione come sue

parti integranti.

CAPITOLO 2

96

6.2.4. Monitoring and review of the framework

Al fine di garantire supporto continuo si renderà necessaria una continua misura delle

prestazioni del framework attraverso l’analisi di indicatori appropriati e la valutazione di

eventuali scostamenti, e la revisione periodica dell’intero quadro di gestione al fine di

garantirne l’efficacia e l’efficienza. Sulla base dei risultati ottenuti dovranno essere prese

decisioni riguardanti l’eventuale miglioramento del framework, delle politiche e del piano

di risk management.

6.3. Process

In linea generale il processo di risk management deve essere parte integrate del

management, incorporato nella cultura e nelle pratiche dell’organizzazione e adattato ai

processi già esistenti. La figura seguente illustra le diverse fasi che compongono questo

processo.

Figura 2.28 - Risk management process [ISO 31000:2009, pag.14]

CAPITOLO 2

97

6.3.1. Communication and consultation

La fase di comunicazione e consultazione con gli stakeholders interni ed esterni è

fondamentale ed è per questo motivo che dovrebbe interessare anche tutte le fasi successive

del processo di gestione del rischio.

Essa pone infatti l’attenzione sulla necessità di valutare le diverse percezioni dei rischi

dovute a valori, bisogni, ipotesi e conoscenze degli stakeholders, che possono avere un

impatto significativo sulle decisioni prese.

I communication and consultation plans dovrebbero affrontare questione relative al rischio

stesso, alle sue cause e conseguenze, e alle misure per gestirlo.

Una efficace comunicazione interna ed esterna dovrebbero fornire, alle parti interessate, una

chiara visione del contesto in cui si opera, degli interessi e dei punti di vista da considerare,

garantendo quindi che i rischi siano adeguatamente identificati e gestiti dalle rispettive aree

di competenza, in un’ottica di miglioramento continuo, e facilitando lo scambio di

informazioni rilevanti.

6.3.2. Establishing the external and internal context

Come sottolineato in precedenza, la fase di definizione del contesto permette

all’organizzazione di delineare i propri obiettivi e individuare quei fattori interni ed esterni

che dovranno essere considerati in maggior dettaglio per un’efficacie gestione dei rischi.

Il contesto esterno è rappresentato dall’ambiente sociale, culturale, politico, giuridico,

normativo, finanziario, tecnologico, economico, naturale e competitivo in cui

l’organizzazione si propone di raggiungere i suoi obiettivi, e include l’analisi delle

percezioni degli stakeholder esterni.

Quello interno invece include una serie di fattori, quali:

la governance, la struttura organizzativa, i ruoli e le responsabilità;

le politiche, gli obiettivi e le strategie in atto per la loro realizzazione;

la capacità, in termini di risorse e di conoscenza;

le percezioni degli stakeholders interni;

la cultura dell’organizzazione e i sistemi informativi disponibili.

6.3.2.1. Establishing the context of the risk management process

Il contesto del processo di gestione del rischio varia a seconda delle necessità di

un’organizzazione e include la definizione degli obiettivi di risk management, delle attività,

CAPITOLO 2

98

processi, funzioni, progetti, prodotti o servizi coinvolti, delle responsabilità e delle risorse

allocate e delle metodologie di valutazione del rischio adottate.

L'attenzione a questi fattori dovrebbe contribuire a garantire che l'approccio di gestione del

rischio adottato sia adatto alle circostanze, all'organizzazione e ai rischi che condizionano il

raggiungimento dei suoi obiettivi.

6.3.2.2. Defining risk criteria

L’organizzazione dovrebbe infine definire e riesaminare continuamente dei criteri da

utilizzare per valutare la significatività dei rischi, che riflettano i valori e gli obiettivi

dell’organizzazione, sebbene questi, talvolta, possano derivare da requisiti legali e

normativi imposti. Alcuni fattori da prendere in considerazione in questo caso sono:

le cause e le conseguenze di eventi verificabili e le modalità con cui saranno misurati;

il livello di rischio affinché sia considerato accettabile o tollerabile;

le combinazioni di molteplici rischi e le loro interazioni.

6.3.3. Risk Assessment

Il processo di risk assessment include le fasi di identificazione, analisi e valutazione dei

rischi, a livello organizzativo, di progetto e di singole attività e aiuta a comprendere come

massimizzare un’opportunità, a scegliere quali rischi debbano essere tenuti in

considerazione e quali siano le più appropriate strategie di trattamento, associando delle

priorità. Esso fornisce una base per le decisioni assicurando una migliore comprensione dei

rischi, che potrebbero pregiudicare il raggiungimento degli obiettivi, e dei controlli già in

atto.

6.3.3.1. Risk identification

Lo scopo di questa fase è quello di generare un elenco completo dei rischi sulla base di

quegli eventi che potrebbero creare, migliorare, prevenire, degradare, accelerare o ritardare

il raggiungimento degli obiettivi.

L’identificazione completa è un’attività critica, perché mira ad individuare le sorgenti di

rischio e le cause che possono anche non risultare evidenti.

CAPITOLO 2

99

6.3.3.2. Risk analysis

La risk analysis fornisce una comprensione più approfondita dei rischi e delle strategie più

appropriate di trattamento, attraverso l’analisi delle cause, delle fonti, delle conseguenze

positive o negative e delle probabilità che questi si verifichino ed di eventuali

interdipendenze.

I rischi devono essere qui sottoposti ad uno screening preliminare per identificare quelli più

significativi e quelli che invece non necessitano di ulteriori analisi, al fine di garantire che le

risorse siano focalizzate su quelli più importanti.

La definizione e la combinazione di conseguenze e probabilità determina, poi, il livello di

rischio, che deve essere in linea con gli obiettivi e i criteri stabiliti dall’organizzazione.

L'analisi può essere qualitativa, semi- quantitativa, quantitativa, o una combinazione di

queste, a seconda delle circostanze.

Il grado di dettaglio necessari dipenderà dalla particolare applicazione, dalla disponibilità di

dati affidabili e dalle esigenze decisionali dell’organizzazione.

Valutazioni qualitative utilizzano termini come “medio”, “alto”, “basso” per indicare gli

impatti degli eventi e le loro probabilità di accadimento, mentre analisi semi-quantitative si

avvalgono di scale di valutazione numeriche a cui però non è possibile associare valori

economici reali.

L'analisi quantitativa, qualora siano disponibili dati affidabili e completi, si affida a stime di

valori reali che rappresentano gli impatti economici e le effettive probabilità.

Il livello di rischio così individuato, dipenderà, inoltre, dall’adeguatezza e dall’efficacia dei

controlli in atto.

Lo studio delle conseguenze mira a determinare la natura e l’importanza dell’impatto di un

evento su uno o più obiettivi dell’organizzazione.

In alcuni casi sarà necessario concentrarsi su rischi con impatti potenzialmente elevati, ma

con basse probabilità di accadimento, mentre in altre occasioni può risultare importante

analizzare quelli con un basso impatto, ma con un’alta frequenza e con grandi effetti

cumulativi nel lungo periodo.

La stima delle probabilità può essere invece condotta attraverso tre diversi approcci, che

possono essere utilizzati singolarmente o congiuntamente:

l’utilizzo di dati storici per identificare eventi che si sono verificati nel passato ed

estrapolare la loro probabilità di verificarsi nel futuro;

CAPITOLO 2

100

le previsioni di probabilità, utilizzando tecniche predittive quali l'analisi dell'albero

dei guasti e l’albero degli eventi;

il giudizio di esperti attraverso il metodo Delphi.

Per interpretare efficacemente i risultati ottenuti bisognerà tenere conto dell’incertezza

associatavi e procedere con un’analisi di sensitività, che contribuisce a chiarire l’entità e il

significato di eventuali variazioni nei parametri individuali registrati.

6.3.3.3. Risk evaluation

Lo scopo della valutazione dei rischi è quello di supportare i decision makers nella scelta

delle strategie di trattamento e nell’assegnazione delle priorità.

Essa comporta il confronto tra il livello di rischio rilevato durante il processo di analisi e i

criteri di rischio definiti nella fase di definizione del contesto.

Le decisioni dovranno tener conto del più ampio contesto del rischio e includere la

considerazione della gestione del rischio da parte di soggetti esterni all’organizzazione, in

conformità con i requisiti legali, normativi e di altro tipo.

In alcune circostanze questo processo può spingere i managers ad effettuare ulteriori analisi

o a trattare il rischio con i controlli esistenti.

6.3.3.4. Risk assessment techniques

Nella tabella seguente vengono elencate e valutate le diverse tecniche di risk assessment,

osservando il loro grado di applicabilità ai diversi step di questo processo.

CAPITOLO 2

101

Tabella 2.15 - Applicabilità delle tecniche alle diverse fasi di risk assessment [IEC/FDIS 31010:2009,

pag.22]

6.3.4. Risk treatment

Il trattamento del rischio comporta la selezione di una o più opzioni per la modifica rischi e

l'attuazione di tali opzioni.

Esso implica un processo ciclico che include:

valutare il trattamento scelto;

CAPITOLO 2

102

decidere se i livelli di rischio residuo sono tollerabili;

qualora non lo siano, generare una nuova strategia di gestione;

valutarne l'efficacia.

Le opzioni disponibili non si escludono necessariamente a vicenda, né sono risultato essere

efficaci in ogni circostanza e possono comprendere:

a) di evitare il rischio, decidendo di non iniziare o perseguire l’attività che lo causa;

b) di assumere il rischio, al fine di perseguire una opportunità;

c) di rimuovere la fonte del rischio;

d) di modificarne la probabilità;

e) di modificarne gli effetti;

f) di condividerlo;

g) di mantenerlo, sviluppando un’adeguata consapevolezza.

La selezione delle opzioni di trattamento più appropriate, da applicare singolarmente o in

combinazione, comporta il bilanciamento tra i costi e gli sforzi di attuazione, e i benefici.

Esistono tuttavia rischi che necessitano di essere gestiti, sebbene questo non sia

giustificabile dal punto di vista economico, perché ritenuti di grande importanza.

Quando si selezionano le opzioni di gestione del rischio, l'organizzazione dovrebbe

considerare i valori e le percezioni di tutti gli stakeholders coinvolti e le modalità più

adeguate per comunicare con loro.

Il treatment plan deve identificare chiaramente l'ordine di priorità con cui implementare i

trattamenti individuati ed essere monitorato continuamente per garantire che le misure

applicate rimangano efficaci.

Lo scopo di tale piano è quello di documentare le modalità con cui saranno attuate le

opzioni scelte. Le informazioni fornite all’interno di questi piani dovrebbero includere:

le ragioni della selezione;

i costi e i benefici attesi;

i responsabili dell'approvazione e dell'attuazione del piano;

le azioni proposte;

il fabbisogno di risorse;

le misure di performance;

i meccanismi di monitoraggio.

CAPITOLO 2

103

I piani di trattamento dovrebbero inoltre essere integrati con i processi di gestione

dell'organizzazione e discussi con le parti interessate, che dovranno essere informate circa la

natura e la portata del rischio residuo e la necessità di valutare ulteriori opzioni.

6.3.5. Monitoring and review

Fondamentale è la fase di monitoraggio e revisione, che dovrebbe riguardare tutti gli aspetti

della gestione del rischio, garantire che tutti i controlli siano efficaci ed efficienti e rilevare

cambiamenti nel contesto interno ed esterno, che evidenzino la necessità di revisionare le

priorità o i trattamenti o identificare rischi emergenti.

I risultati di questa fase dovranno essere opportunamente registrati e comunicati

internamente ed esternamente alla parti interessate.

6.3.6. Recording the risk management process

Ogni attività del processo di risk management deve essere tracciata mediante report, che

forniscano le basi per migliorare le strategie e gli strumenti utilizzati nella gestione dei

rischi.

La decisione riguardante la creazione di record dovrebbe tenere conto delle necessità

dell’organizzazione di reperire facilmente le informazioni, di rispettare vincoli normativi e

legali, di riconoscere i costi sostenuti per l’implementazione di questo processo e di

migliorarsi in modo continuo.

7. CAN/CSA – Q850: 2010, Implementation of CAN/CSA – ISO 31000

7.1. Introduzione

Lo Standard CAN/CSA-Q850:2010, Implemention of CAN/CSA-ISO 31000 è la seconda

edizione dello Standard pubblicato nel 1997 con il nome CAN/CSA-Q850 Risk

Management: Guideline for Decision-Makers e deve essere utilizzato congiuntamente allo

CAN/CSA ISO 31000 Risk Management – Principles and Guidelines.

È stato redatto dalla CSA Tchnical Committee on Risk Management e sottoscritto dallo

Standards Council of Canada.

CAPITOLO 2

104

Esso pone l’enfasi sulla necessità di integrare trasversalmente il risk management con

processi chiave di qualsiasi organizzazione e si pone come guida nell’implementazione dei

principi, del framework e dei processi di risk management delineati dalla ISO 31000.

Lo scopo è quello di migliorare l’efficacia e l’efficiente delle attività di gestione del rischio

attraverso tutta l’organizzazione e comprendere il modo in cui il rischio viene considerato

all’interno del processo decisionale.

È destinato ad un pubblico che include:

coloro che istituiscono la gestione del rischio all’interno dell’organizzazione;

i responsabili del supporto, della sorveglianza e della gestione del rischio di tutta

l’organizzazione o di un’area specifica;

coloro che devono valutare l’impegno dell’organizzazione nella realizzazione del

risk management.

Si fonda su alcuni principi delineati nella ISO 31000, sottolineandone alcuni, quali:

il risk management crea e protegge valore: la gestione proattiva del rischio, infatti,

permette di raggiungere gli obiettivi proposti e di massimizzare il valore per gli

stakeholders;

il risk management è parte integrante dei processi dell’organizzazione: integrare la

gestione del rischio nei processi chiave contribuisce a fornire un approccio globale

valido per l’intero sistema, consentendo l’utilizzo di strumenti e meccanismi che

assicurino una pratica e un programma di monitoraggio e reporting costanti e

integrati;

il risk management è parte del processo decisionale: l’organizzazione deve

garantire che la gestione del rischio sia parte del processo decisionale al fine di

garantire un’analisi e una valutazione più efficace delle decisioni;

la gestione del rischio aiuta a far fronte all’incertezza;

l’approccio di risk management deve essere sistematico, strutturato e tempestivo;

il risk management deve basarsi sulle migliori informazioni disponibili: che siano

complete e rilevanti;

la gestione del rischio deve essere fatta su misura: rispettando gli obbiettivi, i valori

e l’etica dell’organizzazione stessa e dei suoi stakeholders;

il risk management deve tenere in considerazione i fattori umani e culturali:

riconoscendo l’importanza degli interessi e delle percezioni degli stakeholders,

dell’ambiente culturale in cui si opera.

CAPITOLO 2

105

la gestione del rischio è trasparente e documentata: affinché si instauri un rapporto

di fiducia tra gli stakeholders e i decision-makers;

il risk management è dinamico, iterativo e reattivo;

la gestione del rischio facilita il miglioramento continuo dell’organizzazione.

Inoltre il risk management necessita di un forte supporto da parte del senior management

che aiuti i managers a comprendere che la gestione dei rischi è una delle loro responsabilità

fondamentali.

7.2. Framework for managing risk

Un’organizzazione può migliorare la sua capacità nella gestione dei rischi, definendo e

mantenendo un framework che fornisca le basi per l’integrazione del risk management

all’interno di tutti i processi, come evidenziato in figura.

CAPITOLO 2

106

Figura 2.29 - Relationship between the risk management framework and the process [CAN/CSA-

Q850:2010, xi]

CAPITOLO 2

107

7.2.1. Mandate and commitment

L'impegno è dimostrato quando il senior management integra la gestione del rischio nella

governance e nei processi di pianificazione, esecuzione e valutazione delle performance

esistenti, specificando come e quanto il rischio sarà gestito a tutti i livelli

dell'organizzazione e sottolineando il proprio impegno nel monitoraggio e nella

comunicazione continui. Ai vertici spetta anche stabilire la propensione al rischio e

verificare che il livello definito sia in linea con quello desiderato.

7.2.2. Design of framework for managing risk

Il framework per la gestione del rischio deve essere progettato su misura, secondo le

dimensioni e la natura dell’organizzazione ed è essenziale che l'organizzazione identifichi e

valuti i fattori del contesto interno ed esterno che possono influenzare il livello rischio.

Alcune metodi che possono essere utilizzati per comprendere tali fattori includono la

scansione ambientale e la considerazione dei gruppi chiave di stakeholders.

Come parte integrante del framework di risk management, l'organizzazione deve stabilire

una politica di gestione del rischio, in accordo con le esigenze organizzative e con

caratteristiche ben precise:

deve essere scritta in un linguaggio semplice e utilizzare termini ben definiti;

essere quanto più breve e concisa possibile;

indicare come gli obiettivi, così come i processi, i ruoli e le responsabilità siano

legati alle strutture di governance, reporting e monitoraggio;

definire i rischi da includere o escludere dalla valutazione e la relazione con le altre

politiche esistenti, che si occupano di gestire rischi specifici;

essere regolarmente riesaminata e aggiornata per garantire il miglioramento

continuo;

garantire l’allineamento con le politiche, le procedure e le norme

dell’organizzazione.

Il quadro di risk management dovrebbe supportare l’organizzazione nell’identificazione e

nell’allocazione dei ruoli e delle responsabilità, garantendo una giusta formazione. e

individuare un responsabile della promozione della gestione del rischio in tutta

l'organizzazione, al fine di garantire che i piani strategici e gli obiettivi siano perseguiti.

Possono quindi essere definiti tre ruoli chiave:

CAPITOLO 2

108

il “risk management champion” che si occupa di integrare la gestione del rischio nelle

attività dell’organizzazione;

il “framework owner” responsabili delle politiche, dei processi, degli strumenti di risk

management;

il “risk owner” responsabile dell’implementazione al livello adeguato.

Tuttavia, sebbene la responsabilità specifica possa essere delegata, quella globale è

associata al senior management e all'organo di governo.

Le organizzazioni devono garantire che la gestione del rischio non sia mai un'attività

distinta, ma pienamente integrata con tutti i processi decisionali, dalla pianificazione

strategica a quella operativa, dalle strutture di governance a quelle di gestione delle risorse.

Per garantire il pieno funzionamento di tale sistema è fondamentale una comunicazione

interna efficiente, che preveda il dialogo con gli stakeholders e la segnalazione attiva dei

rischi, e una comunicazione esterna che tenga conto della normativa di settore, della

regolamentazione e della concorrenza di mercato.

Generalmente la realizzazione di questo framework dipende dalla propensione al rischio

dell’organizzazione, determinata sulla base della strategia aziendale, delle preferenze degli

stakeholders e del contesto interno e esterno.

Potrà essere espressa formalmente o informalmente, in termini quantitativi o qualitativi,

come documento stand-alone o come parte di altri documenti di governance, che devono

essere approvati dalla dirigenza e dall'organo di governo.

7.2.3. Implementing risk management

Condizioni di successo nell’implementazione del risk management includono:

l’adattamento e l’integrazione delle metodologie di gestione dei rischi all’interno dei

processi esistenti;

il supporto da parte del senior management;

il coinvolgimento di tutte le parti interessate fin dall’inizio del processo;

un feedback e un monitoraggio continuo.

Fondamentale è la stesura di un implementation plan che crei valore, individui obiettivi e

criticità e risponda ad alcuni requisiti fondamentali quali ad esempio l’allineamento con la

strategia aziendale e il coinvolgimento dell’organizzazione a tutti i livelli.

CAPITOLO 2

109

7.2.4. Monitoring and review of framework

Vi è la necessità di programmare revisioni ad intervalli regolari e pianificati, al fine di

garantire l’efficacia del processo tramite la valutazione di appositi indicatori di

performance, sotto forma di auto-valutazioni, revisioni dei dipendenti e verifiche

periodiche.

7.2.5. Continual improvement of the framework

La revisione del framework di gestione del rischio dovrebbe includere una valutazione delle

opportunità e del loro valore a sostegno del miglioramento continuo, che si traduce spesso

in una modifica della cultura del rischio, come ad esempio il passaggio da un crisis

management ad un risk management, da un approccio reattivo ad uno proattivo dove

l’organizzazione non si limita più a reagire semplicemente, ma a prevenire e ad apprendere.

7.2.6. Governance and the risk management framework

L'organo di governo è responsabile della gestione del rischio e deve essere in grado di

cogliere le opportunità e di proteggere l’organizzazione dalle minacce, allineando il

framework di risk management con gli obiettivi desiderati e i processi esistenti.

La governance può essere migliorata attraverso la gestione del rischio assicurandosi che:

siano dedicati tempo e risorse per la gestione dei rischi;

tutte le decisioni siano documentate, comunicate e monitorate al fine di garantire il

miglioramento continuo;

sia fatta attenzione nella formulazione e conciliazione degli obiettivi;

si sviluppi una cultura organizzativa che abbracci il risk management coerentemente

con la propria propensione al rischio e le aspettative degli stakeholders;

i responsabili incoraggino l’innovazione e il miglioramento continuo;

le decisioni prese siano testate, valutate con attenzione per assicurare che tutti i

rischi siano stati presi in considerazione e rispettino i valori fondamentali

dell’organizzazione.

CAPITOLO 2

110

7.2.7. Frameworks for public risk organizations

Alcune organizzazioni, come agenzie di regolamentazione, istituzioni governative,

organismi internazionali e no-profit hanno responsabilità primarie che comportano la

gestione di rischi legati alla qualità della vita e hanno quindi forti impatti sulla società.

All'interno del loro mandato, possono identificare e valutare i rischi pubblici e sviluppare

dei criteri di rischio all'interno di un framework di governance di “public risk management”.

Il loro ruolo è quello di gestire i rischi attraverso regolamenti, sensibilizzazione, formazione

e l’utilizzo di sistemi di gestione del rischio standardizzati.

Affinché questa gestione sia efficace, le organizzazioni dovranno:

stabilire il contesto all’interno del quale agire;

nominare un supervisore indipendente;

creare una struttura di governance e un framework che riconosca l’importanza dei

rischi pubblici, il ruolo delle “public risk organizations” e di quelle organizzazioni

che possono avere effetti significativi;

sviluppare metodi per individuare, valutare, gestire e monitorare i rischi pubblici;

comunicare e consultarsi con la popolazione per valutare i livelli di rischio e il costo

dei controlli .

fornire relazioni pubbliche periodiche sulle attività di gestione.

7.3. Process for managing risk

Il processo di risk management è una componente fondamentale per la realizzazione di un

risk management framework efficace e deve essere integrato e allineato con i processi e le

procedure stabilite nel piano di governo dell’organizzazione.

Le tre fasi di definizione del contesto, valutazione e gestione del rischio, dovranno essere

seguite in sequenza, mentre quelle di risk communication e di monitoring and review

dovranno essere eseguite continuamente per garantire il trattamento dei rischi prioritari e il

coinvolgimento degli stakeholders, come illustrato nella figura seguente.

CAPITOLO 2

111

Figura 2.30 - Process for managing risks [CAN/CSA-Q850:2010, xx]

7.3.1. Risk communication and consultation

Come già evidenziato nello standard ISO 31000, la comunicazione tra l’organizzazione e i

suoi stakeholders è un elemento fondamentale nel processo di identificazione dei rischi.

Per questa ragione dovrebbe essere istituito un “consultative team”, che faciliti lo scambio e

la raccolta di informazioni utili a comprendere le diverse percezioni dei rischi.

7.3.1.1. Developing a risk communication plan

Il primo step prevede lo sviluppo di un risk management plan che tenga conto di elementi

interni, come la mission, i valori, le strategie di business, i processi, la cultura organizzative,

ed esterni, come i cambiamenti sociali e culturali, per identificare gli obiettivi e i contenuti

della comunicazione.

CAPITOLO 2

112

I canali utili a questo scopo possono essere diversi ed è quindi necessario scegliere, a

seconda dei casi, quale sia il più appropriato. Tutti però devono poter garantire un

collegamento costante e continuo tra le parti interessate.

7.3.1.2. Stakeholder identification and analysis

Una volta individuati gli obiettivi e sviluppato il piano, il passo successivo consiste

nell’identificare tutte le parti interessati attraverso l’analisi degli stakeholders, affinché i

decision-makers abbiano una precisa comprensione delle loro prospettive e necessità.

L' analisi deve includere informazioni riguardanti le opinioni e le aspettative degli

stakeholder esistenti, le percezioni e gli atteggiamenti che possono influenzare la loro

disponibilità a prendere in considerazione nuove informazioni, e deve essere documentata

in un apposito registro, utile nelle fasi di monitoraggio e controllo dei rischi.

Affinché questa fase abbia successo l’organizzazione dovrà garantire agli stakeholders,

attraverso la completa condivisione delle informazioni riguardanti i rischi, un appropriato

livello di trasparenza, affinché si generi un rapporto di completa fiducia.

Il piano di comunicazione del rischio messo in atto dovrà avere obiettivi chiari e misurabili,

attraverso i quali sia possibile valutare quando una particolare fase possa essere ritenuta

completata e i risultati raggiunti.

L’effettivo successo della comunicazione dovrebbe essere misurato, utilizzando misure

predefinite, e valutato attraverso discussioni one-to-one o di gruppo, forum aperti e surveys.

7.3.2. Establish the context

Stabilire il contesto significa evidenziare tutti quei fattori che possono influire sulla gestione

del rischio e influenzare la capacità dell’impresa di raggiungere degli obiettivi prefissati.

Fallire nella sua individuazione potrebbe quindi incidere pesantemente sull’efficacia delle

decisioni prese e suoi risultati attesi.

L'analisi e la definizione delle priorità dei fattori esterni sono fondamentali per il successo

della gestione del rischio in qualsiasi organizzazione. Alcuni fattori saranno più importanti

di altri, a seconda della natura, degli obiettivi, della cultura dell'organizzazione e dei

principali stakeholders esterni.

Fattori interni possono invece includere:

la cultura, la missione e i valori dell'organizzazione;

le priorità, le politiche, le procedure e i processi in atto;

CAPITOLO 2

113

la disponibilità delle risorse umane;

le tecnologie applicate.

I processi e le procedure previste dal piano di risk management dovrebbero essere

pienamente integrati con quelli esistenti una volta verificata la loro conformità alle esigenze

dell’organizzazione e dei suoi stakeholders interni.

7.3.2.1. Establishing context of the risk management process

Per definire il contesto del processo di gestione del rischio è necessario tenere conto di

alcuni fattori quali:

la disponibilità di personale qualificato, in termini di conoscenze e competenze;

l’adeguatezza del programma di gestione del rischio in termini di risorse;

l’allineamento con gli obiettivi dell’organizzazione;

la compatibilità con la cultura organizzativa.

Affinché tali variabili siano considerate tale processo dovrà essere implementato fin dalla

fase iniziale di pianificazione strategica e operativa.

7.3.2.2. Defining risk criteria

Criteri di rischio sono utilizzati per valutare la significatività del rischio e supportano il

processo di valutazione del rischio nel determinare se esso sia accettabile o meno.

Essi dovrebbero basarsi sul contesto esterno ed interno precedentemente identificati,

dovrebbero riflettere la propensione al rischio dell'organizzazione ed essere aggiornati e

riesaminati periodicamente per garantire che riflettano gli obiettivi e i valori

dell’organizzazione.

7.3.3. Risk assessment

La fase di valutazione dei rischi è fondamentale per il processo di risk management perché

fornisce ai decision-makers una migliore comprensione dei rischi, della loro probabilità e

del potenziale impatto sugli obiettivi e minare la capacità dell’impresa di raggiungerli.

L'organizzazione, inoltre, può scegliere di valutare un portafoglio di rischi piuttosto che

rischi specifici, preferendo un approccio olistico per il trattamento dei rischi.

La guida CAN/CSA-IEC 31010 fornisce indicazioni circa le tecniche specifiche di

valutazione del rischio.

CAPITOLO 2

114

7.3.3.1. Risk identification

Il punto di partenza consiste nell’identificare, grazie ad una chiara comprensione del

contesto in cui l’organizzazione opera, i rischi che possono influenzare positivamente o

negativamente il raggiungimento degli obiettivi e quelli che possono derivare dal mancato

sfruttamento di un’opportunità.

Lo scopo di questa fase è quello di generare un elenco completo di potenziale minacce

grazie alla raccolta di informazioni attraverso interviste strutturate, brainstorming, analisi

delle fonti di rischio, liste di controllo e analisi di scenario, che assicurano la partecipazione

di tutti i processi e gli attori coinvolti.

I rischi individuati grazie a questa analisi devono essere significativi e soprattutto realistici e

una volta identificati devono essere in un register risk che ne faciliti la gestione e il

monitoraggio continuo.

7.3.3.2. Risk analysis

Come specificato nella norma ISO 31000, l'obiettivo della risk analysis è quello di

comprendere l’impatto e le probabilità che un rischio si verifichi e come questo possa

influenzare il raggiungimento degli obiettivi.

Questa fase aiuta a sviluppare una migliore comprensione dei rischi identificati e dei

controlli attualmente in vigore per gestirli, grazie alla raccolta di ulteriori informazioni

attraverso analisi delle prestazioni e dei dati storici, report su cambiamenti del contesto

interno ed esterno, interviste e questionari periodici.

Fondamentale è evidenziare i controlli già in vigore, per valutarne l’efficacia e verificare se

vi sia la necessità di modificarli o migliorarli a causa di progressi tecnologici, di variazioni

dei requisiti di legge, miglioramenti e cambiamenti nei processi e nelle politiche

dell’organizzazione.

7.3.3.3. Risk evaluation

Lo scopo di questa fase è quello di supportare i decision-makers nella scelta delle priorità e

delle modalità di trattamento dei rischi. Si tratta infatti, di valutarne l’accettabilità sulla base

dei criteri precedentemente determinati e determinare l’efficacia del trattamento richiesto

considerando i controlli esistenti e il costo di un ulteriore trattamento. La consultazione con

gli stakeholders interni ed esterni dovrebbe avvenire nel corso di questo fase per assicurarsi

che le interdipendenze e le priorità siano pienamente comprese e considerate.

CAPITOLO 2

115

I risultati di questa valutazione possono evidenziare, inoltre, la necessità di rivedere la

propensione al rischio o prendere in considerazione trattamenti alternativi, ed è per questo

motivo che la risk evaluation deve essere considerato un processo iterativo.

7.3.4. Risk treatment

Per ogni rischio individuato, il risk owner dovrebbe assumersi la piena responsabilità della

la sua gestione, indipendentemente dalle modalità di trattamento selezionate.12

Egli dovrò garantire che i rischi siano periodicamente rivisti, verificando che i controlli

siano efficaci.

Alcuni rischi tuttavia sono orizzontali per natura e possono estendersi al di là di una

specifica unità di lavoro. In questo caso saranno presenti più risk owners che dovranno

curare diversi aspetti del rischio.

È possibile che a questo punto si evidenzi la necessità di modificare le priorità di lavoro

attuali e l'assegnazione del personale, nonché di definire nuovi ruoli e riassegnare le

responsabilità.

7.3.5. Monitoring and review

Lo scopo del processo di monitoraggio è quello di garantire che il profilo di rischio

dell'organizzazione sia mantenuto costante e che le modalità di gestione siano efficaci, per

prevenire eventuali deterioramenti delle prestazioni, attraverso la valutazione continua di

parametri di performance.

L’impresa deve regolarmente monitorare e rivedere il processo di risk management per

assicurare che esso sia in linea con il framework di gestione del rischio, segnalare eventuali

cambiamenti nel contesto interno ed esterno e misurare gli indicatori di rischio per

anticipare e rispondere attivamente ai cambiamenti.

A livello di framework la fase di monitoring and review deve evidenziare modifiche

nell’implementazione organizzativa del processo di gestione del rischio, in particolare

nell'attuazione delle strategie di trattamento, affrontare i rischi emergenti e sviluppare una

comprensione globale dei sistemi e dei processi di gestione per poter apportare

miglioramenti continui.

12 Per quanto riguarda la scelta delle opzioni di trattamento dei rischi la standard canadese rimanda ai

contenuti riportati nella norma ISO 31000.

CAPITOLO 2

116

A livello di processo, invece, rilevare cambiamenti nel profilo di rischio

dell'organizzazione, modifiche, scostamenti o novità nell'attuazione delle misure di

trattamento dei rischi.

La segnalazione dei risultati del monitoraggio, per quanto riguarda un rischio specifico,

dovrebbe essere destinata al risk owner e la sua frequenza dipenderà dalla natura, dalla

dimensione e dalla portata del rischio.

Il processo di rendicontazione assicura inoltre che i registri di rischio e i portafogli di

rischio siano costantemente aggiornati.

Utile in questa fase è stimare la maturità del rischio, ossia il livello di sofisticazione delle

pratiche di gestione del rischio dell'organizzazione, per valutare i progressi fatti e se vi sia la

necessità di intervenire per realizzare miglioramenti.

La tabella seguente fornisce un esempio con tre livelli generali di maturità e possibili criteri

per misurare il livello di maturità.

CAPITOLO 2

117

Tabella 2.16 - Esempio di risk maturity model [CAN/CSA-Q850:2010, xxxiii]

Un adeguato monitoraggio dovrebbe quindi migliorare la capacità dell'organizzazione di

anticipare e rispondere ai cambiamenti non appena questi si presentano e incoraggiare il

miglioramento continuo.

CAPITOLO 2

118

7.3.6. Recording the risk management process

L'organizzazione deve documentare il processo di gestione del rischio per diversi motivi:

può aiutare il decisore a prendere decisioni e spingerlo a comprenderne le

motivazioni;

può fornire un riferimento per futuri processi di gestione del rischio, in modo da

facilitare il miglioramento continuo;

costituisce una risorsa per l’apprendimento e la formazione delle risorse;

aiuta la comunicazione tra le parti interessati.

L'organizzazione dovrebbe quindi fare uno sforzo ragionevole per documentare il processo

di gestione del rischio al fine di supportare attivamente il processo decisionale.

8. COSO

8.1. Introduzione al framework

La Committee of Sponsoring Organizations of the Treeadway Commission (COSO)

sviluppò il report Internal Control – Integrated Framework con lo scopo di supportare le

organizzazioni sviluppare e migliorare i sistemi di controllo interni e integrarli con i

processi, le politiche e i regolamenti esistenti.

A seguito dei drammatici eventi del Settembre 2001 e del periodo di scandali finanziari e

dei clamorosi fallimenti, che avevano provocato una grave crisi, sviluppò l’Enterprise Risk

Management – Integrated Framework che non intendeva sostituire il framework

precedente, ma incorporarlo al suo interno.

Il concetto di controllo infatti risulta essere strettamente collegato a quello di rischio, poiché

quest’ultimo non coinvolge solo l’area finanziaria, ma tutti i processi e i soggetti attivi

nell’impresa e deve essere quindi percepito come parte integrante delle attività.

Il report si compone di due volumi: il primo è suddiviso in due parti, intitolate Executive

Summary e Framework, mentre il secondo, Application Techniques, illustra le tecniche utili

nell’applicazione del framework.

L’enterprise risk management viene definito come “a process, effected by an entity’s board

of directors, management and other personnel, applied in strategy setting and across the

enterprise, designed to identify potential events that may affect the entity, and manage risk

to be within its risk appetite, to provide reasonable assurance regarding the achievement of

entity objectives”.

CAPITOLO 2

119

La premessa di base è che ogni organizzazione esiste per dare valore ai propri stakeholders.

Tale valore è massimo quando le strategie e gli obiettivi sono perfettamente allineati ai

sistemi di gestione e ciò garantisce un equilibrio tra crescita e rischi connessi ad essa.

La gestione del rischio d’impresa comprendere quindi l’allineamento tra la propensione al

rischio e la strategia, l’identificazione e la selezione di risposte per la copertura, la

riduzione, la condivisione e l’accettazione dei rischi, la massimizzazione delle opportunità e

la minimizzazione delle perdite, attraverso il miglioramento dell’allocazione delle risorse e

del capitale in generale.

L’enterprise risk management framework proposto mira a facilitare il raggiungimento degli

obiettivi dell’organizzazione, suddivisi in quattro categorie:

strategici, di alto livello per supportare la mission;

operativi, per un uso efficiente ed efficace delle risorse;

di reporting;

di compliance, per il rispetto delle leggi e dei regolamenti.

Tra questi e le diverse componenti della gestione del rischio d’impresa vi è una relazione

diretta che può essere rappresentata in una matrice tridimensionale, sotto forma di un cubo.

Figura 2.31 - COSO cube [COSO Enterprise Risk Management-Integrated Framework, 2004, pag.7]

Le quattro categorie di obiettivi sono rappresentati nelle colonne verticali, le otto

componenti nelle righe orizzontali, mentre tutte le dimensioni aziendali compongono la

terza faccia del cubo.

CAPITOLO 2

120

Il quadro di gestione qui proposto promuove quindi il paradigma di una gestione organica

ed integrata di tutte le tipologie di rischio, facilitando il coinvolgimento di tutti i livelli

aziendali nella realizzazione di questo processo.

8.2. Internal environment

L’ambiente interno rappresenta la base sulla quale sviluppare tutte le componenti del

sistema di gestione di rischio. Esso influenza la definizione degli obiettivi e delle strategie,

la struttura delle attività, l’identificazione, la valutazione del rischio e delle modalità di

gestione, la progettazione e il funzionamento delle attività di controllo, comunicazione e

monitoraggio.

È importante sottolineare che la filosofia di gestione del rischio di una determinata

organizzazione è l'insieme di atteggiamenti, credenze condivise e valori che caratterizza il

modo in cui il rischio viene considerato e influenza lo stile operativo.

Ovviamente anche la propensione al rischio, ossia il livello di rischio che l’impresa è

disposta ad accettare per massimizzare il proprio valore, influenza le modalità con cui

verranno sviluppate le varie componenti di risk management.

La rilevanza di questo fattore sarà fondamentale nella fase di definizione e valutazione delle

strategie di gestione del rischio, in quanto strategie differenti possono esporre

l’organizzazione a diversi livelli di rischio e occorrerà perciò selezionare quella allineata

con i valori aziendali predefiniti.

Il Consiglio di amministrazione è una componente significativa dell'ambiente interno. La

sua esperienza e rilevanza, il suo coinvolgimento nelle attività di definizione degli obiettivi

e di controllo assicura un’efficace gestione del rischio.

Va considerato tuttavia, che l’efficacia dell’enterprise risk management non potrà mai

essere al di sopra dell’integrità e dei valori etici delle persone che creano, gestiscono e

monitorano le attività.

Altri fattori da tenere in considerazione sono il livello di conoscenze e di competenze

necessarie per svolgere i compiti assegnati, le modalità con cui sono assegnate le diverse

responsabilità e gli individui sono incoraggiati ad utilizzare l’iniziativa per affrontare

questioni e risolvere problemi e la struttura organizzativa che fornisce il quadro generale per

pianificare, eseguire, controllare e monitorare tutti i processi.

CAPITOLO 2

121

8.3. Objective setting

La condizione necessaria per garantire l’efficacia delle fase di event identification, risk

assessment e risk response, è l’individuazione chiara e precisa della mission e degli obiettivi

da raggiungere.

A partire da ciò il management fissa degli obiettivi strategici, formula una strategia e le

attività ad essa correlate.

Gli obiettivi strategici sono di alto livello, in linea con la vision dell’impresa, generalmente

più stabili rispetto agli altri, e rifletto la scelta del management relativa alle modalità di

creazione di valore per i propri stakeholders.

Per perseguire questo scopo l’organizzazione dovrà considerare le diverse alternative,

identificare i rischi connessi al raggiungimento degli obiettivi strategici e valutare le loro

implicazioni.

Stabilire obiettivi giusti che sostengano e siano allineati con la strategia selezionata, è

fondamentale per il successo.

La priorità ovviamente andrà associata alla definizioni di quelli di tipo strategico, tuttavia

questi dovranno poi essere integrati con obiettivi più specifici, che andranno identificati a

cascata per tutti i livelli dell’organizzazione e per tutte le attività.

La gestione del rischio richiede che il personale, a tutti i livelli, una comprensione chiara e

precisa degli obiettivi dell’impresa e di quelli di cui è direttamente responsabile.

Oltre agli obiettivi strategici, dunque, è necessario prendere in considerazione altre tre

categorie:

obiettivi operativi, riguardano l’efficacia e l’efficienza delle attività;

obiettivi di reporting, supportano il processo decisionale e riguardano l’affidabilità

del reporting interno ed esterno;

obiettivi di compliance, riguardano la conformità alle leggi e ai regolamenti

specifici.

Nell'ambito della gestione del rischio, il management non determina sono gli obiettivi a

sostegno della mission, ma assicura anche che questi siano allineati e coerenti con il risk

appetite dell’organizzazione.

Il disallineamento potrebbe comportare il mancato raggiungimento degli obiettivi, a causa

della presenta di rischio troppo o non sufficientemente elevanti.

CAPITOLO 2

122

Figura 2.32 - Risk appetite [COSO, Enterprise Risk Management-Application techniques, 2004, pag.17]

La propensione al rischio guida quindi le scelte del management e del Consiglio di

Amministrazione e rappresenta l’equilibrio accettabile tra rischio e rendimento.

L’impresa dovrà inoltre tenere conto di un intervallo di tolleranza, ossia della possibilità che

si verifichino variazioni accettabili relative al raggiungimento degli obiettivi proposti.

8.4. Event identification

Un evento è “an incident or occurrence emanating from internal or exgternal sources that

effects implementation of strategy or achievement of objective” e può avere conseguenze

negative, e quindi rappresentare un rischio, oppure positive, e va considerato quindi

un’opportunità.

Il ruolo dell’enterprise risk management è quello di supportare l’organizzazione

nell’individuazione di tutti gli eventi potenziali, che potrebbero influenzare

significativamente la capacità dell’impresa di perseguire i propri obiettivi, e dei fattori

interni ed esterni, quali: il contesto economico, politico e sociale, l’ambiente naturale, le

infrastrutture, il personale, le risorse, i processi e la tecnologia.

Spesso, tuttavia, gli eventi non si verificano in modo isolato. Per questa ragione il

management dovrebbe cercare di comprendere le diverse interdipendenze e valutare

attentamente dove concentrare i propri sforzi.

Può essere quindi utile raggruppare tutti gli eventi in categorie, migliorando così la

comprensione delle diverse relazioni che li legano e la valutazione dei rischi.

CAPITOLO 2

123

Figura 2.33 – Categorie di eventi [COSO Enterprise Risk Management-Integrated framework,2004,

pag.46-47]

Tra le tecniche consigliate vi sono inventari di eventi, facilitated workshop, interviste,

questionari e surveys, process flow analysis, leading event indicators and escalation

triggers, loss event data tracking e tree diagrams o Fishbone diagrams.

CAPITOLO 2

124

8.5. Risk assessment

Il risk assessment considera tutte le possibili combinazioni di eventi futuri rilevanti per

l’organizzazione e per le sue attività, tenendo conto sia di quelli attesi che di quelli

imprevisti, e delinea il profilo di rischio complessivo dell’impresa, in modo continuativo.

L’incertezza legata ai rischi viene valutata attraverso la stima di due variabili, la probabilità

e l’impatto, e l'orizzonte temporale utilizzato dovrebbe essere coerente con quello relativo

alla strategia e agli obiettivi.

Queste analisi spesso sono effettuate utilizzando dati storici, che forniscono una base più

oggettiva rispetto alle stime del tutto soggettive, generate sulla base delle propria

esperienza, e che possono riflettere pregiudizi e convinzioni personali.

Le metodologie di valutazione utilizzate comprendono una serie di tecniche qualitative e

quantitative e la scelta di quelle più appropriate dipenderà in gran parte dalla disponibilità,

dall’accuratezza dei dati e dalla natura e dal livello di correlazione esistente tra gli eventi da

considerare.

Il testo distingue tra:

a) Nominal measurement: si tratta di un semplice raggruppamento di eventi secondo

diverse categorie (economici, tecnologici, naturali) a cui vengono assegnati dei

numeri al solo scopo identificativo;

b) Ordinal measurement: in questo caso gli eventi sono ordinate per importanza

secondo una scala di valori bene definita;

c) Interval measurement: utilizzano una scala numerica di distanze uguali;

d) Ratio measurement: assegna dei valori numerici agli eventi che rappresentano la

potenza dell’impatto.

Figura 2.34 - Rappresentazione di probabilità e impatto in una tecnica qualitativa [COSO, Enterprise

Risk Management-Apllication techniques, 2004, pag.36]

CAPITOLO 2

125

All’interno delle diverse tecniche quantitative possiamo distinguere tra:

Tecniche probabilistiche che includono Value at risk (VAR), Cash flow at risk,

Earnings risk, Loss distributions e Back-testing.

Tecniche non probabilistiche che comprendono analisi di sensitività, analisi di

scenario, stress testing e benchmarking.

8.6. Risk response

Le possibili risposte al rischio rientrano nelle seguenti categorie:

non accettazione, consiste nell’evitare il rischio poiché non sono state individuate

opzioni di gestione utili a ridurre gli impatti e le probabilità di verificarsi;

riduzione, mira a ridurre le conseguenze negative e ad allineare il rischio residuo con

i livelli di tolleranza desiderati;

condivisione, si tratta di trasferire/condividere completamente o in parte un

determinato rischio, attraverso prodotti assicurativi o operazioni di copertura;

accettazione, per cui non viene intrapresa nessuna azione per modificare le probabilità

che un evento si verifichi, in quanto il livello di rischio è allineato con il profilo di

rischio dell’impresa.

Figura 2.35 - Alcuni esempi di risk response [COSO Enterprise Risk Management-Application

techniques, 2004, pag.55]

CAPITOLO 2

126

Nel determinare la soluzione più appropriata l’organizzazione dovrà considerare:

gli effetti potenziali delle strategie scelte su probabilità e impatti, valutando i diversi

possibili scenari, per determinare se il rischio residuo sia in linea con il livello di

tolleranza o siano necessarie azioni supplementari ed evidenziando la presenza di

possibili rischi aggiuntivi;

i costi e i vantaggi delle soluzioni;

le possibili opportunità, per individuare risposte innovative qualora quelle esistenti

non siano più efficaci o garantiscano solo risultati marginali.

Una volta eseguite queste valutazioni l’organizzazione seleziona una risposta o una

combinazione di risposte atte a portare la probabilità di rischio e l’impatto al livello di

tolleranza richiesto e sviluppa un implementation plan.

La visione che ne deriva è una visione complessiva (portfolio view), che tiene conto

dell’insieme dei rischi relativi alle singole unità e lo confronta con il livello di rischio

desiderato dall’organizzazione.

8.7. Control activities

La fase successiva a quella di risk response ha l’obiettivo di individuare le attività di

controllo, necessarie a garantire che le strategie di trattamento, risultanti della fase

precedente, siano implementate correttamente e tempestivamente.

Queste attività possono essere classificate in base alla natura degli obiettivi a cui si

riferiscono e riguardare più rischi.

A causa del continuo e orami consueto ricorso a sistemi di informazione per operare e

raggiungere obiettivi di reporting e di conformità, sono necessari dei controlli significativi,

generali, per garantire il corretto funzionamento di questi sistemi, applicativi per verificare

la correttezza del processo di elaborazione dei dati.

È necessario precisare che, poiché ogni organizzazione ha il proprio set di obiettivi e ci

strategie, ci sarà ovviamente delle differenze nelle risposte al rischio selezionate e nelle

attività di controllo ad esse connesse.

8.8. Information and communication

Ogni impresa individua e raccoglie una vastissima gamma di informazioni, relative agli

eventi esterni e alle attività interne, rilevanti per la sua gestione.

CAPITOLO 2

127

Tali informazioni devono essere disponibili a tutti i livelli, per garantire l’identificazione, la

valutazione, la gestione il controllo dei rischi e il raggiungimento dei propri obiettivi.

Per queste ragioni è necessario sviluppare un’infrastruttura di sistemi informativi, che

supportino i diversi obiettivi, catturino le informazioni necessarie, le elaborino e le

comunichino in modo chiaro e tempestivo.

Tale architettura deve essere sufficientemente flessibile da garantire l’integrazione efficace

di tutti i dati, sia che provengano da fonti interne o esterne.

Inoltre, deve essere integrata con tutti i processi e le attività, facilitando l’accesso alle

informazioni in tempo reale e promuovendone un utilizzo diffuso.

Il successo ovviamente dipenderà in gran parte dalla qualità dei dati inseriti nei sistemi.

Sarà necessario quindi verificare che i dati siano aggiornati, accurati, significativi e

tempestivi.

La comunicazione, tuttavia, non deve essere limitata all’utilizzo dei sistemi

precedentemente descritti.

Ciascun soggetto deve comprendere in che modo l’attività che svolge influenza quella degli

altri e i rischi che ciò comporta.

Si rendono quindi necessari canali di comunicazioni interni aperti e diretti, che favoriscano

la circolazione di informazioni, lo scambio di idee e il confronto.

Di fondamentale importanza è anche la comunicazione esterna con i propri stakeholders,

grazie alla quale i soggetti forniscono informazioni circa le loro esigenze e preferenze e

aiutano l’organizzazione nella comprensione e determinazione di tutti i potenziali rischi.

CAPITOLO 2

128

Figura 2.36 - Flussi informativi all’interno del processo di risk management [COSO, Enterprise Risk

Management-Application techniques, 2004, pag.69]

8.9. Monitoring

Per far fronte ad un contesto interno ed esterno in continuo mutamento, sono necessarie

misure di controllo e monitoraggio continuative, integrate all’interno delle normali attività,

che assicurino la validità degli obiettivi stabiliti e l’efficacia delle strategie selezionate.

CAPITOLO 2

129

La portata e la frequenza di tali controlli dipenderanno ovviamente dalla significatività del

rischi trattati, dall’importanza delle azioni intraprese per gestirli e dalle categorie di obiettivi

(strategici, operativi, di reporting, di compliance) da raggiungere.

Spesso, le valutazioni assumono la forma di autovalutazioni, dove le persone responsabili di

una particolare unità o la funzione si impegnano a valutare costantemente l'efficacia della

gestione del rischio relativamente e limitatamente alle loro attività.

In altri casi, tuttavia, è il compito è affidato ad un evaluator, il cui obiettivo è quello di

comprendere il funzionamento di tutti i processi e di ciascun componente dell’enterprise

risk management per valutarne il corretto funzionamento, rapportandosi apertamente con i

soggetti interessati.

I risultati di questa analisi dovranno essere comunicati, attraverso i canali disponibili, al

personale di rilievo a monte e a valle.

Le tecniche più utilizzate includono checklist, questionari, diagrammi di flusso e

benchmarking, grazie a cui l’impresa confronta il proprio processo di ERM con quello di

altre organizzazioni.

In sostanza questa fase ha lo scopo di individuare le carenze nella gestione del rischio di

un’organizzazione, che possono rappresentare un pericolo potenziale o reale, ma anche

opportunità, che possono invece rafforzare questo processo e aumentare le probabilità di

raggiungere gli obiettivi proposti.

8.10. Roles and responsibilities

I soggetti che partecipano alla realizzazione e al funzionamento del processo di enterprise

risk management sono molti e contribuiscono in modi molto diversi per garantire l’efficacia

e l’efficienza.

Tra il personale interno all’organizzazione sia evidenzia:

il Consiglio di Amministrazione, punto di riferimento per la gestione dei rischi, ha il

compito di selezionare il Management e ha un ruolo importante nella definizione

degli obiettivi di alto livello, della strategia, dei valori etici e del profilo di rischio

desiderato, nonché nelle attività di sorveglianza;

il Management, ha, a seconda dei livelli, diverse responsabilità che variano inoltre

in base alle caratteristiche dell’organizzazione. L’amministratore delegato (CEO),

ad esempio, ha su di sé la responsabilità ultima della gestione del rischio, ha la

capacità di influenzare il Consiglio di Amministrazione nella definizione degli

CAPITOLO 2

130

obiettivi di alto livello e delle strategie correlate e ha il compito di impostare e

sviluppare ampiamente le politiche e la filosofia di enterprise risk management

valutando la propensione al rischio e monitorando in modo continuo le attività.

I senior manager, ossia i responsabili delle unità organizzative, hanno invece il

compito di gestire i rischi relativi ai propri processi, funzioni o dipartimenti e di

tradurre le strategie precedentemente individuate in attività ed allocare così a

cascata le responsabilità specifiche.

Funzioni di staff, come le risorse umane, la compliance o quella legale, hanno

inoltre importanti ruoli di supporto nella progettazione delle componenti del

processo di gestione dei rischi;

il Risk Officer, collabora con altri manager alla creazione di un'efficace gestione del

rischio nei settori di loro competenza. Solitamente il risk officer, chief risk officer o

risk manager, si occupa di definire le politiche di enterprise risk management, di

allocare ruoli e responsabilità, di allineare le risposte al rischio con il risk appetite

dell’organizzazione, di promuovere e integrare la cultura del rischio a tutti i livelli,

stabilendo un linguaggio comune che faciliti la comunicazione;

i Financial Executives, sono spesso coinvolti nello sviluppo dei

budget e dei piani strategici e monitorano le prestazioni, analizzando come

cambiamenti interni ed esterni possono influenzare gli obietti, le strategie e le

decisioni relative al processo di enterprise risk management;

gli Internal Auditors, svolgono un ruolo fondamentale nella valutazione del

processo di valutazione dei rischi, valutando l’efficacia e l’efficienza di tutte le sue

componenti, l’affidabilità dei sistemi di reporting, la compliance alle leggi e ai

regolamenti;

Tra il personale esterno invece si evidenziano:

gli External Auditors, offrono al management e al Consiglio di Amministrazione

una visione unica e obiettiva che contribuisce al raggiungimento degli obiettivi, in

particolare quelli di reporting esterno;

i legislatori e i regolatori, sviluppano le norme che garantiscano che i sistemi di

gestione e di controllo del rischio soddisfino i requisiti minimi di legge e forniscono

raccomandazioni e direttive circa i miglioramenti necessari;

tutti i soggetti che interagiscono con l’organizzazione, i fornitori di servizi

delocalizzati, gli analisti finanziari, le agenzie di rating e i media, supportano

CAPITOLO 2

131

l’organizzazione nell’individuazione e comprensione dei rischi e nella scelta delle

possibili strategie per gestirli.

8.11. Limitations of enterprise risk management

Non sempre, tuttavia, l’enterprise risk management garantisce il raggiungimento degli

obiettivi stabiliti dall’organizzazione.

Bisogna infatti tenere conto dell’incertezza che caratterizza qualsiasi evento futuro,

dell’impossibilità quindi di conoscere alla perfezione come questo si manifesterà, e del fatto

che alcuni siano semplicemente al di fuori del controllo dell’organizzazione.

Le diverse risposte selezionate mirano a ridurre il rischio e aiutano l’impresa a perseguire i

propri obiettivi e, sebbene l’efficacia di questo processo sia limitata dalle realtà e dalla

natura umana, l’implementazione dell’enterprise risk management migliora

significativamente la capacità dell’organizzazione di prevenire e gestire situazioni

sfavorevoli.

CAPITOLO 3

132

Capitolo 3

Analisi comparata dei principali standards e

frameworks di Enterprise Risk Management

1. Introduzione

Il presente capitolo ha lo scopo di evidenziare le principali differenze e affinità attraverso

un’analisi comparata degli standards e dei frameworks presentati nel capitolo precedente.

Per facilitare la comprensione saranno inserite delle tabelle, ciascuna delle quali metterà a

confronto diversi aspetti della disciplina di risk management.

L’obiettivo di questa analisi consiste nel valutare quanto i processi e le fasi descritti negli

standards siano simili tra loro e accertare, quindi, se via sia o meno un elevato grado di

somiglianza, indice dello sviluppo di un consenso mondiale riguardo alle modalità di

realizzazione della gestione dei rischi.

2. Principali differenze e affinità tra i diversi standards e frameworks

di Enterprise Risk Management

Nella prima tabella sono riportate le definizioni inerenti il concetto di rischio, suddivise in

tre categorie a seconda della connotazione:

a. negativa, qualora il rischio rappresenti solo ed esclusivamente una minaccia;

b. positiva/negativa, qualora includa entrambi i concetti di minaccia e opportunità;

c. incerta, qualora invece non vi sia una connotazione bene precisa.

Definizione negativa Definizione incerta Definizione

positiva/negativa

IEEE 1540-2001

"the likelihood of an event,

hazard, threat, or situation

occurring and its

undesirable consequences;

a potential problem"

BS6079-3:2000

"uncertainty inherent in

plans and the possibility of

something happening (i.e. a

contingency) that can affect

the prospects of achieving

business or project goals"

IRM/ALARM/AIRMIC

2002 "the combination of

the probability of an event

and its consequences that

constitute opportunities for

benefit (upside) or threats

to success (downside)"

CAPITOLO 3

133

CAN/CSA - Q850:1997

"the chance of injury or

loss as defined as a

measure of the probability

and severity of an adverse

effect to health, property,

the environment, or other

things of value"

AS/NZS 4360:2004

"the chance of something

happening that will have a

positive or negative impact

on objectives"

ISO 31000:2009 /

CAN/CSA-Q850:2010

"the effect of uncertainty on

objectives, is a deviation

from the expected, positive

and/or negative"

COSO 2004

"is the possibility that an

event will occur and

adversely affect the

achievement of objectives.

It can have negative

impact, positive impact, or

both"

Tabella 3.12 - Definizioni di rischio

Come si può facilmente osservare la maggior parte degli standard più recenti ha adottato

una definizione di rischio come piena espressione dell’incertezza, che contempla entrambi i

concetti di minaccia ed opportunità, sottolineando e valorizzando così il ruolo

dell’enterprise risk management nell’individuazione e nell’analisi di quei rischi che, a

seconda della natura e delle circostanze, potrebbero rappresentare vantaggi significativi per

la creazione e la massimizzazione del valore dell’impresa.

La tabella 3.2 invece illustra le diverse definizioni riguardanti i concetti di risk

management process e risk management framework, che spesso sono contenute nei testi

che supportano lo Standard di risk management vero e proprio.

CAPITOLO 3

134

Standards /

Definizioni Risk management process Risk management framework

BS6079-3

2000

"a systematic application of policies,

procedures, methods, and practices to the

tasks of identifying, analyzing, evaluating,

treating, and monitoring risk"

IEEE

1540:2001

"a continuous process for systematically

identifying, analyzing, treating, and

monitoring risk throughout the life cycle of a

product or service"

IRM/ALAR

M/IRMIC

2002

"is the process whereby organizations

methodically address the risks attaching to

their activities with the goal of achieving

sustained benefit within each activity and

across the portfolio of all activities"

AS/NZS

4360:2004

"the systematic application of management

policies, procedures and practices to the

tasks of communicating, establishing the

context, identifying, analyzing, evaluating,

treating, monitoring and reviewing risk"

"set of elements of an

organization’s management

system concerned with

managing risk"

ISO

31000:2009

/

CAN/CSA-

Q850:2010

"the systemic application of management

policies, procedures and practices to the

activities of communicating, consulting,

establishing the context, and identifying,

analyzing, evaluating, treating, monitoring

and reviewing risk"

"set of components that

provide the foundations and

organizational arrangements

for designing, implementing,

monitoring, reviewing and

continually improving risk

management throughout the

organization"

COSO 2004

"is a process, effected by an entity’s board

of directors, management and other

personnel, applied in strategy setting and

across the enterprise, designed to identify

potential events that may affect the entity,

and manage risk to be within its risk

appetite, to provide reasonable assurance

regarding the achievement of entity

objectives"

"defines enterprise risk

management and describes

principles and concepts,

providing direction for all

levels of management in

businesses and other

organizations to use in

evaluating and enhancing the

effectiveness of enterprise risk

management"

Tabella 3.2 – Definizioni di risk management process e risk management framework

CAPITOLO 3

135

Standards Testi a supporto degli Standards

BS6079-3

2000

Project Management - Vocabulary

Project Management - Guide to the management of business related

project risk

IEEE

1540:2001 IEEE/EIA 12207

IRM/ALARM

/ IRMIC 2002

ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in

standards

AS/NZS

4360:2004

ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in

standards

ISO

31000:2009

ISO Guide 73:2009, Risk management — Vocabulary

ISO/IEC 31010, Risk management — Risk assessment techniques

CAN/CSA-

Q850 2010

ISO Guide 73:2009, Risk management — Vocabulary — Guidelines for use

in standards

CAN/CSA-IEC 31010 Risk Management: risk assessment techniques

COSO 2004 COSO ERM - Application Techniques

Internal Control – Integrated Framework

Tabella 3.3 – Testi a supporto degli Standard di risk management

È dunque evidente che tutti gli Standards concordano nel sottolineare l’importanza del risk

management process come parte integrante dello strategic management, della cultura

d’impresa e dell’intera organizzazione e come processo sistematico, efficace ed efficiente

per garantire il raggiungimento degli obiettivi desiderati.

Per quanto riguarda la seconda definizione solo gli standard più recenti la contemplano e

risultano essere concordi nel sostenere che il framework di risk management è l’insieme di

elementi e modalità organizzative, incorporate all’interno delle politiche e delle pratiche

operative/strategiche dell’impresa, che contribuiscono alla progettazione, allo sviluppo, al

monitoraggio, alla revisione e al miglioramento continuo del processo di gestione dei rischi

a tutti i livelli dell’organizzazione, attraverso la definizione degli obiettivi, della risk

management policy, dei ruoli e delle responsabilità.

Analizzando invece lo scopo e il livello di applicazione, la tabella 3.4 illustra le differenti

prospettive degli Standards.

CAPITOLO 3

136

Standards Scopo Livello di

applicazione

BS6079-

3:2000

"This standard gives guidance on the identification

and control of business related risks encountered

when undertaking projects. It is applicable to a wide

spectrum of project organizations operating in the

industrial, commercial and public or voluntary sectors. It is

written for project sponsors and project manager. This

standard offers generic guidance only and it is not suitable

for certification or contractual purposes"

P

IEEE

1540:2001

"The purpose of this standard is to provide software

suppliers, acquirers, developers, and managers with a

single set of process requirements suitable for the

management of a broad variety of risks. This standard does

not provide detailed risk management techniques, but

instead focuses on defining a process for risk management in

which any of several techniques may be applied. It is for

adoption by an organization for application to all

appropriate projects or for use in an individual project"

P/O

IRM/ALARM

/ IRMIC 2002

"It was never intended to produce a prescriptive standard

which would have led to a box ticking approach nor to

establish a certifiable process. By meeting the various

component parts of this standard, albeit in different ways,

organizations will be in a position to report that they are in

compliance. The standard represents best practice against

which organizations can measure themselves"

O

AS/NZS

4360:2004

"This Standard provides a generic guide for managing risk

that may be applied to a very wide range of activities,

decisions or operations of any public, private or community

enterprise, group or individual"

O

ISO

31000:2009

"This International Standard provides principles and

generic guidelines on risk management. This International

Standard can be used by any public, private or community

enterprise, association, group or individual. Therefore, this

International Standard is not specific to any industry or

sector. This International Standard is not intended for the

purpose of certification"

O

CAPITOLO 3

137

CAN/CSA-

Q850 2010

"The purpose of this Standard is to enhance the practical

effectiveness and efficiency of risk management activity

across an organization, including helping to improve the

way risk is considered in decision-making. This Standard is

not intended for the purpose of certification"

O

COSO 2004

"This framework would be readily usable by managements

to evaluate and improve their organizations’ enterprise risk

management, providing key principles and concepts, a

common language, and clear direction and guidance"

O

Tabella 3.4 – Scopo e livello di applicazione degli Standards

Con la sola eccezione dello Standard britannico BS 6079:2000, gli altri risultano essere

d’accordo nel ritenere che gli standard da loro sviluppati forniscano linee guida e principi

generali che incoraggino e facilitino la realizzazione e lo sviluppo efficace ed efficiente

dell’enterprise risk management per un ampio range di organizzazioni, non limitandone

l’applicazione esclusivamente ai progetti, ma estendendola a tutte le sue attività.

Entrando nel dettaglio le tabelle seguenti illustrano le diverse fasi del processo di gestione

dei rischi e le tecniche di risk assessment comuni alla maggior parte degli Standards.

CAPITOLO 3

138

Ris

k

identifi

cation

Ris

k a

naly

sis

Ris

k

evalu

ation

Ris

k m

onitori

ng &

contr

ol of

risk

treatm

ent

actions

Ris

k m

onitori

ng

& c

ontr

ol of

RM

pro

cess

BS

6079-3

2000

3 T

he b

usi

ness

rela

ted p

roje

ct

risk

managem

ent

model

4.4

Mangin

g t

he

pro

cess

4.2

Identifi

cation o

f

risk

s and r

isk

managem

ent

scope

4.2

.1 G

enera

l

4.2

.2 B

usi

ness

level

goal se

ttin

g

4.2

.3 P

roje

ct

and

sub-p

roje

ct

goal/obje

ctive

sett

ing

AnnexC

4.3

Ris

k

identifi

cation

and s

trate

gy

4.3

.1 R

isk

model

cla

rifi

cation

4.3

.2 R

isk

analy

sis

4.3

.3 R

isk

evalu

ation

4.3

.4 R

isk

treatm

ent

4.3

.5Im

ple

menta

tio

n

4.3

.5

Imple

menta

tion

4.4

Managin

g t

he

pro

cess

Annex A

IEE

E 1

540:2

001

5.1

.1 P

lan a

nd

imple

ment

risk

managem

ent

5.1

.1.1

Est

ablis

h

risk

managem

ent

polic

ies

5.1

.1.2

Est

ablis

h

the r

isk

managem

ent

pro

cess

5.1

.1.3

Est

ablis

h

resp

onsi

bili

ty

5.1

.1.4

Ass

ign

reso

urc

es

5.1

.2 M

anage t

he

pro

ject

risk

pro

file

5.1

.2.1

Defi

ne t

he

risk

managem

ent

conte

xt

(technic

al

and m

anageri

al

obje

ctives,

ass

um

ptions

and

const

rain

ts)

5.1

.2.2

Est

ablis

h

risk

thre

shold

s:

cri

teri

a o

f

accepta

bili

ty o

f a

risk

5.1

.2.3

Est

ablis

h

and m

ain

tain

pro

ject

the r

isk

pro

file

5.1

.3.1

. R

isk

identifi

cation

5.1

.3.2

Ris

k

est

imation

5.1

.3.3

Ris

k

evalu

tation

5.1

.4 P

erf

orm

ris

k

treatm

ent

5.1

.4.1

Sele

ctiong

risk

tre

atm

ent

5.1

.4.2

Ris

k

treatm

ent

pla

nnin

g

and im

ple

menta

tion

5.1

.5 P

erf

orm

ris

k

monitori

ng

5.1

.5.1

Monitor

risk

5.1

.5.2

Monitor

risk

treatm

ent

5.1

.5.3

Seek n

ew

risk

s

5.1

.6 E

valu

ate

the R

M p

rocess

5.1

.6.1

Captu

re

RM

info

rmation

5.1

.6.2

Ass

ess

and

impro

ve R

M

pro

cess

5.1

.6.3

Genera

te

less

ons

learn

ed

Annex A

Annex B

Annex C

Ris

k r

eport

ing

&

Com

munic

ation

Sta

ndard

s/F

asi

del pro

cess

o d

i

risk

managem

ent

Ris

k a

ssess

ment

Ris

k m

onitori

ng &

contr

ol

Pia

nif

icazi

one d

el

pro

cess

o d

i ri

sk

managem

ent

Defi

niz

ione d

el

conte

sto inte

rno e

d

est

ern

o e

degli

obie

ttiv

i

Ris

k t

reatm

ent

CAPITOLO 3

139

Ris

k

identifi

cation

Ris

k a

naly

sis

Ris

k

evalu

ation

Ris

k m

onitori

ng &

contr

ol of

risk

treatm

ent

actions

Ris

k m

onitori

ng

& c

ontr

ol of

RM

pro

cess

BS

6079-3

2000

3 T

he b

usi

ness

rela

ted p

roje

ct

risk

managem

ent

model

4.4

Mangin

g t

he

pro

cess

4.2

Identifi

cation o

f

risk

s and r

isk

managem

ent

scope

4.2

.1 G

enera

l

4.2

.2 B

usi

ness

level

goal se

ttin

g

4.2

.3 P

roje

ct

and

sub-p

roje

ct

goal/obje

ctive

sett

ing

AnnexC

4.3

Ris

k

identifi

cation

and s

trate

gy

4.3

.1 R

isk

model

cla

rifi

cation

4.3

.2 R

isk

analy

sis

4.3

.3 R

isk

evalu

ation

4.3

.4 R

isk

treatm

ent

4.3

.5

Imple

menta

tion

4.3

.5

Imple

menta

tion

4.4

Managin

g t

he

pro

cess

Annex A

IEE

E 1

540:2

001

5.1

.1 P

lan a

nd

imple

ment

risk

managem

ent

5.1

.1.1

Est

ablis

h

risk

managem

ent

polic

ies

5.1

.1.2

Est

ablis

h

the r

isk

managem

ent

pro

cess

5.1

.1.3

Est

ablis

h

resp

onsi

bili

ty

5.1

.1.4

Ass

ign

reso

urc

es

5.1

.2 M

anage t

he

pro

ject

risk

pro

file

5.1

.2.1

Defi

ne t

he

risk

managem

ent

conte

xt

(technic

al

and m

anageri

al

obje

ctives,

ass

um

ptions

and

const

rain

ts)

5.1

.2.2

Est

ablis

h

risk

thre

shold

s:

cri

teri

a o

f

accepta

bili

ty o

f a

risk

5.1

.2.3

Est

ablis

h

and m

ain

tain

pro

ject

the r

isk

pro

file

5.1

.3.1

. R

isk

identifi

cation

5.1

.3.2

Ris

k

est

imation

5.1

.3.3

Ris

k

evalu

tation

5.1

.4 P

erf

orm

risk

tre

atm

ent

5.1

.4.1

Sele

ctiong r

isk

treatm

ent

5.1

.4.2

Ris

k

treatm

ent

pla

nnin

g a

nd

imple

menta

tion

5.1

.5 P

erf

orm

ris

k

monitori

ng

5.1

.5.1

Monitor

risk

5.1

.5.2

Monitor

risk

treatm

ent

5.1

.5.3

Seek n

ew

risk

s

5.1

.6 E

valu

ate

the R

M p

rocess

5.1

.6.1

Captu

re

RM

info

rmation

5.1

.6.2

Ass

ess

and

impro

ve R

M

pro

cess

5.1

.6.3

Genera

te

less

ons

learn

ed

Annex A

Annex B

Annex C

IRM

/AL

AR

M/I

RM

IC 2

002

9 T

he s

tructu

re

and a

dm

inis

tration

of

risk

managem

ent

pro

cess

4.1

Ris

k

identifi

cation

4.2

Ris

k

desc

ription

4.3

Ris

k

exst

imation

5 R

isk

evalu

ation

7 R

isk

treatm

ent

8 M

onitori

ng a

nd

Revie

w o

f th

e

Ris

k

Managem

ent

Pro

cess

6 R

isk r

eport

ing &

Com

munic

ation

Ris

k r

eport

ing &

Com

munic

ation

Sta

ndard

s/F

asi

del pro

cess

o d

i

risk

managem

ent

Ris

k a

ssess

ment

Ris

k m

onitori

ng &

contr

ol

Pia

nif

icazi

one d

el

pro

cess

o d

i ri

sk

managem

ent

Defi

niz

ione d

el

conte

sto inte

rno e

d

est

ern

o e

degli

obie

ttiv

i

Ris

k t

reatm

ent

CAPITOLO 3

140

Tabelle 3.5 a, b, c – Confronto tra le diverse fasi del processo di enterprise risk management

Ris

k

identifi

cation

Ris

k a

naly

sis

Ris

k

evalu

ation

Ris

k m

onitori

ng &

contr

ol of

risk

Ris

k m

onitori

ng

& c

ontr

ol of

RM

CA

N/C

SA

-Q850

2010

Fra

mew

ork

for

managin

g r

isk

4.1

Genera

l

4.2

Mandate

and

com

mitm

ent

4.3

Desi

gn o

f

fram

ew

ork

for

managin

g r

isk

4.4

Im

ple

menting

risk

managem

ent

5.2

.3.1

Sta

kehold

er

identifi

cation

5.2

.3.2

Sta

kehold

er

analy

sis

5.2

.3.3

Sta

kehold

er

regis

ter

5.3

Est

ablis

hin

g t

he

Conte

xt

5.4

.2 R

isk

identifi

cation

pro

cess

5.4

.3 R

isk

analy

sis

pro

cess

5.4

.4 R

isk

evalu

ation

pro

cess

5.5

Ris

k

treatm

ent

5.6

Monitor

and

revie

w

5.7

Record

ing t

he r

isk

managem

ent

pro

ccess

5.2

Ris

k c

om

munic

ation

and c

onsu

ltation

5.2

.2.1

Facto

rs

infl

uencin

g a

ris

k

com

munic

ation p

lan

5.2

.2.2

Channels

of

risk

com

munic

ation

CO

SO

2004

2 I

nte

rnal

Envir

om

ent

10 R

ole

and

resp

osi

bili

ties

3 O

bje

ctive s

ett

ing

4 E

vent

identifi

cation

5 R

isk

ass

ess

ment

5 R

isk

ass

ess

ment

6 R

isk

resp

onse

7 C

ontr

ol activitie

s

9 M

onitori

ng

9 M

onitori

ng

8 I

nfo

rmation a

nd

com

munic

ation

Ris

k m

onitori

ng &

contr

ol

Ris

k r

eport

ing &

Com

munic

ation

Sta

ndard

s/F

asi

del pro

cess

o d

i

risk

managem

ent

Pia

nif

icazi

one d

el

pro

cess

o d

i ri

sk

managem

ent

Defi

niz

ione d

el

conte

sto inte

rno e

d

est

ern

o e

degli

obie

ttiv

i

Ris

k a

ssess

ment

Ris

k t

reatm

ent

CAPITOLO 3

141

Assumption analysis

Benchmarking

Bow tie analysis

Brainstorming

Business impact analysis

Cause and effect

analysis

Cash flow at risk

Checklists

Cause and consequence

analysis

Consequence/probability

analysis

Cost/benefit analysis

Delphi technique

Decision tree

Event tree analysis

Environmental risk

assessment

Earning at risk

Examination of past risk

experience in similar

organizations

Examination of past risk

experience in the

organization

Expert opinion

Failure mode effect

analysis

Fault tree analysis

Hazard and operability

studies

Hazard analysis and

critical control

Human reliability

analysis

Markov analysis

Monte Carlo simulation

Primary hazard analysis

Process flow analysis

Prompt lists

Questionnaires

Root cause analysis

Risk indices

Risk maps

Scenario analysis

Sensitivity analysis

SWIFT

Structured or semi-

structured interviews

Value at risk

Tabella 3.6 – Tecniche più diffuse di risk assessment

Osservando le tabelle possiamo certamente dire che esiste un consenso diffuso circa le fasi

che dovrebbero comporre il processo di risk management e le apparenti divergenze possono

essere quindi imputate a variazioni nell’uso della terminologia.

È importante sottolineare che tutti gli standard presentano nella parte iniziale del testo una

descrizione attenta e dettagliata dei benefici derivanti dall’applicazione di un tale approccio

strutturato.

La maggior parte di loro inoltre prevede alcuni elementi/componenti aggiuntivi rispetto alle

fasi principali del processo di gestione dei rischi, come ad esempio il reporting e la

collaborazione con i diversi stakeholders, la necessità di definire obiettivi, strategie e di

individuare i fattori, interni ed esterni, che potrebbero interagire con essi.

Tuttavia non tutti sembrano identificare chiaramente ruoli e responsabilità e una struttura di

supporto per l’implementazione.

CAPITOLO 3

142

Alcuni infatti concentrano l’attenzione sul processo stesso di risk management e sulla

misura dell’efficacia delle strategie di trattamento, trascurando invece la sua gestione dal

punto di vista puramente organizzativo e la valutazione della sua efficacia.

Inoltre solamente il COSO dedica un capitolo alle limitazioni dell’Enterprise Risk

Management, sottolineando il fatto che questi non possa assicurare con certezza il

raggiungimento degli obiettivi, a causa di fattori che sfuggono al controllo

dell’organizzazione e del sistema.

Per concludere la tabella seguente evidenzia le questioni su cui ciascuno Standard ha posto

particolare enfasi.

Standards Enfasi

BS6079-3 2000 * Communication in risk management (Annex A)

* Role of stakeholders analysis and risk perception (Annex C, Annex D)

IEEE 1540:2001 * Risk communication and reporting tramite risk management plan, risk

action request, risk treatment plan (Annex A, Annex B, Annex C)

IRM/ALARM/IRM

IC 2002

* Reporting e comunicazione del rischio (7)

* La struttura e l'amministrazione del risk management (8)

AS/NZS 4360:2004 * Communicate and consult (3.1)

* Integration of the risk management process in the organisation (4)

ISO 31000:2009 * Framework (4)

* Communication and consultation (5.2)

CAN/CSA-Q850

2010

* Framework for managing risk (4)

* Risk communication and consultation (5.2)

* Stakeholder identification and analysis (5.2.3)

COSO 2004 * Information and communication (9)

* Roles and responsibilities (10)

Tabella 3.7 – Questioni di rilievo nei differenti standards

Grande importanza, innanzitutto, sembra essere data alla fase di individuazione e analisi

degli stakeholders e delle loro percezioni, grazie alle quali l’organizzazione è in grado di

identificare più facilmente e comprendere in modo più approfondito i rischi, e soprattutto le

opportunità, che potrebbero presentarsi, al fine di evidenziare quali, tra le diverse strategie

CAPITOLO 3

143

a disposizione, siano le più adatte per essere allineate con gli obiettivi precedentemente

definiti.

In aggiunta a questo, viene dato grande valore alla comunicazione, top-down e bottom-up,

interna ed esterna, come meccanismo essenziale ed efficace per garantire la diffusione di

una cultura del rischio e il successo del processo di gestione dei rischi.

È necessario sottolineare che tutto ciò costituisce un grande passo avanti rispetto al

Traditional risk management, poiché ciascuno Standard invita a prendere in considerazione

i fattori umani e psicologici come fonti certe di rischio.

L’obiettivo comune sembra dunque essere quello di enfatizzare la progettazione e lo

sviluppo di un processo pienamente integrato e funzionale, che supporti in modo continuo

l’organizzazione nell’individuazione, comprensione e gestione di tutti i rischi che

potrebbero interessarla.

3. Conclusioni

Alla luce delle precedenti considerazioni possiamo concludere che, sebbene in ogni caso via

sia un ampio consenso circa le fasi principali e le attività del processo di gestione dei rischi,

non vi è ancora un testo completo che combini non solo i migliori elementi delle norme e

procedure già esistenti, ma che fornisca anche una trattazione ampia e completa delle

questioni relative all’istituzione di tale processo e alla definizione di una struttura di

supporto adeguata.

Va tuttavia precisato che gli standard che appaiono essere più completi ed esaurienti, sotto

ogni punto di vista, sono senza dubbio l’ISO 31000 e il COSO Enterprise Risk Management

- Integrated Framework.

Sebbene a prima vista possano sembrare molto distanti ad un’analisi più attenta presentano

alcuni punti di contatto.

Entrambi infatti insistono prima di tutto sulla necessaria presenza di un processo di gestione

del rischio comune e facilmente accessibile da tutti gli elementi di un’organizzazione, a

partire dal senior management fino ai livelli operativi, dove una comunicazione aperta e una

chiara allocazione di ruoli e responsabilità divengono strumenti essenziali per garantire un

flusso adeguato di informazioni e assicurare l’efficacia del processo di risk management.

Ambedue inoltre concordano nel riconoscere che la decisione del Management circa la

migliore soluzione da adottare non deve prescindere dalla valutazione del contesto in cui si

CAPITOLO 3

144

trova l’impresa e soprattutto delle diverse prospettive che la caratterizzano, in quanto

drivers fondamentali nella scelta dell’adozione di un determinato modello di ERM.

Infine è comune l’idea che l’implementazione di un framework debba supportare a risk-

taking ethic, deve cioè essere in grado di dotare l’organizzazione dei mezzi necessari per

deviare i comportamenti verso una logica proattiva e non più reattiva, attraverso ad esempio

lo sviluppo di codici etici o la diffusione di una cultura del rischio.

Tuttavia, per offrire un giudizio completo, è necessario valutare anche le principali

differenze che li caratterizzano.

Il COSO si configura come una direttiva complessa e articolata che molte organizzazioni

hanno trovato difficile da attuare. Essa fornisce un framework preciso e molto dettagliato,

con tutte le informazioni necessarie ad un’organizzazione che intende implementare l’ERM

in base alla sua specifica attività, al contesto governativo e alle esigenze di informazione dei

responsabili organizzativi.

Le difficoltà riscontrate dai gestori di rischio tradizionali sono imputabili per lo più al fatto

che il COSO pone l’attenzione sui controlli interni e sulla compliance, essendo derivato

principalmente dall’Audit, e dunque dal lavoro di auditors, accountants ed esperti

finanziari.

L’ISO 31000 al contrario fornisce un approccio più snello e è più facile da integrare proprio

perché realizzato da management practitioners e international standards experts. Esso “is

based on a management process, and through tailoring the process for each organization, it

integrates into existing management and strategic initiatives” (ISO31000, 2009).

Inoltre, a differenza del COSO in cui il più delle volte attuatori e revisori del framework

coincidono con il team di Internal Audit, l’ISO 31000 prevede che sia la funzione di

controllo, diversa da quella di RM che invece si occupa di implementare tale processo, ad

eseguire in modo indipendente il monitoraggio e il riesame di tutte le procedure seguite.

Come affermato in precedenza, il modello proposto dal COSO risulta essere compliance

based e predilige un approccio alla gestione di tipo top-down. Ciò deriva dal fatto che

questo modello affonda le proprie origini nel framework accountancy based statunitense,

dove l’attenzione viene posta soprattutto sui rischi di compliance aziendale e le prospettive

più importanti sembrano essere quelle del CEO e del CFO, soggetti coinvolti e responsabili

in prima persona di una corretta gestione dei rischi, come previsto dalla SOX13.

13 La Sarbanes-Oxley Act, conosciuta anche con il nome di Public Company Accounting Reform and

Investor Protection Act of 2002 e comunemente chiamata Sarbanes-Oxley, Sarbox (o semplicemente

CAPITOLO 3

145

Il framework proposto dall’ISO invece è più di natura generica e può dunque essere

utilizzato per supportare un approccio top-down o bottom-up. Il flusso di informazioni dal

basso verso l'alto infatti è importante tanto quanto quello contrario, in quanto assicura il

massimo risultato di gestione e l’ottimizzazione delle analisi di rischio condotte a livello di

enterprise.

Dall’analisi condotta si evince che la forza dello standard ISO è tuttavia anche la sua più

grande debolezza. Proprio poiché si tratta di un framework generico infatti, le

organizzazioni possono ritenere che lo sforzo necessario, in termini di tempo e denaro, per

definirlo e attuarlo al meglio sia oltremodo eccessivo. Come risultato di ciò quindi, le

imprese, soprattutto quelle che rientrano in un contesto in cui viene data molta enfasi alla

corporate compliance, possono vedere nel COSO una scelta migliore, sebbene rappresenti

un modello maggiormente prescrittivo e vincolante.

SOX) è una legge federale emanata nel luglio 2002 dal governo degli Stati Uniti d'America a seguito dei

diversi scandali contabili che hanno coinvolto importanti aziende americane. La legge mira ad intervenire

per chiudere alcuni falle nella legislazione, al fine di migliorare la corporate governance e garantire la

trasparenza delle scritture contabili, agendo tuttavia anche dal lato penale, con l'incremento della pena nei

casi di falso in bilancio. Viene inoltre aumentata la responsabilità degli auditor all'atto della revisione

contabile.

CAPITOLO 4

146

Capitolo 4

Best practices di Enterprise Risk

Management

1. Introduzione

La letteratura accademica incentrata sulla disciplina dell’enterprise risk management si

concentra su due aspetti principali: l'analisi dei fattori che influenzano l'adozione dell’ERM

e dei suoi effetti sulle prestazioni delle imprese. Tuttavia non sono ancora stati effettuati

studi finalizzati a proporre modelli robusti e rigorosi attraverso i quali valutare la qualità, o

la maturità, dei programmi ERM attuati dalle imprese. Tale capitolo dunque si propone

l’obiettivo di individuare le best practices per un’implementazione efficace di questa

disciplina, attraverso l’analisi non solo della letteratura accademica, ma anche delle

relazioni e degli articoli scritti da professionisti e società di consulenza e degli standard di

ERM descritti nel secondo capitolo.

Dagli studi effettuati si evidenzia che le best practices possono essere suddivise in tre aree

principali:

i. cultura del rischio (risk culture);

ii. organizzazione;

iii. processo.

2. Best practices di Enterprise Risk Management

2.1. Risk culture

La cultura del rischio può essere definita “as the norms and traditions of behavior of

individuals and of groups within an organization that determine the way in which they

identify, understand, discuss, and act on the risks the organization confronts and the risks it

takes” (Farrel e Hoon, 2009; IIF, 2009; Abrahim, Henry e Keith, 2012). Sulla base di questa

definizione, essa influenza dunque le decisioni a tutti i livelli di un'organizzazione e,

attraverso tali decisioni, esprime i valori dell'azienda (IIF, 2009).

La Committee on Market Best Practice (CMBP) afferma che “a robust and pervasive risk

culture throughout the firm is essential. This risk culture should be embedded in the way of

CAPITOLO 4

147

the firm operates and cover all areas and activities, with particular care not to limit risk

management to specific business areas or to restrict its mandate only to internal control”

(IIF, 2009).

La necessità delle organizzazioni di possedere e sviluppare una forte cultura di ERM,

dipende dall’evoluzione della disciplina di RM, che passa da una gestione specifica dei

rischi, ad opera di un piccolo reparto o di un gruppo specializzato di professionisti, ad un

processo complesso per il raggiungimento degli obiettivi strategici che coinvolge l’intera

organizzazione (Abrahim, Henry e Keith, 2012; IRM, 2012).

La cultura è un valore che ha un impatto sulle decisioni di business (Brooks, 2010a) e

determina il modo in cui l'organizzazione identifica, comprende, discute e agisce sui rischi

cui è esposta (IIF, 2009), influenzando le decisioni del management e dei dipendenti, più o

meno consapevolmente, e pesando vantaggi ed oneri (Farrell e Hoon, 2009).

Essa si configura quindi come elemento critico necessario per garantire il successo delle

procedure di ERM. Di conseguenza, le organizzazioni che non possiedono una cultura del

rischio non riescono a raccogliere i frutti di un programma di ERM funzionale ed efficace,

poiché infatti la risk culture è un prodotto di valori e comportamenti condivisi che viene a

mancare nel momento in cui tutti i soggetti all’interno dell’organizzazione non collaborano

nella gestione dei rischi e per raggiungimento degli obiettivi strategici, ma lavorano in silos,

generando inefficienze (Abrahim, Henry e Keith, 2012).

Come prova di ciò, un recente sondaggio della KPMG (2010) ha evidenziato che quasi la

metà degli intervistati ha citato la risk culture come uno dei fattori che ha contribuito alla

recente crisi, affermando che quelle istituzioni finanziarie che presentavano una forte

cultura del rischio si erano sicuramente trovate in un situazione migliore rispetto alle altre.

Ed è proprio a seguito di questa crisi che il regolatore ha esplicitamente imposto il

miglioramento della cultura aziendale, come requisito fondamentale per un cambiamento

efficace.

Lo stesso risultato è stato ottenuto dalla AON (2010) che ha condotto un’indagine circa i tre

elementi fondamentali dell'ERM: strategia, risorse e cultura. Il 64% degli intervistati ha

ritenuto che l'inserimento di una cultura di risk management fosse una componente chiave

nell’implementazione dell’ERM, mentre un 45% ha affermato che tale elemento è stato

considerato in tutto un processo di attuazione del framework di ERM, sebbene rimangano

comunque molte le organizzazioni hanno dichiarato di averlo spesso ignorato e non

considerato come una priorità aziendale.

CAPITOLO 4

148

Una review della letteratura e della storia recente suggerisce che le carenze in questo ambito

dipendono in particolare da alcuni fattori prevedibili. Il mancato rispetto per il rischio, che

talvolta si presenta durante il periodo di ripresa dei mercati sotto forma di over-confidence,

causando un senso di superiorità e immunità al rischio che spinge il soggetto a prendere

decisioni consapevoli, ignorando la propensione al rischio dell’impresa, può causare gravi

danni alla risk culture e all’organizzazione stessa (IIF, 2009).

Per non parlare dell’atteggiamento passivo e dell’indifferenza, frutto talvolta di una

struttura eccessivamente gerarchica, che porta le persone a non reagire ai segnali evidenti di

sviluppo del rischio, e dell’ignoranza, causata in particolar modo da una scarsa

comprensione del risk environment, da una comunicazione inefficace e da una mancata

precisa assegnazione di ruoli e responsabilità (IIF, 2009).

Le organizzazioni in cui la cultura del rischio è invece fortemente presente hanno un

approccio di gestione coerente e integrato all’interno del processo decisionale strategico,

che coinvolge attivamente i membri del Board e di tutta l’organizzazione, affinché essi

comprendano le interrelazioni e gli impatti dei rischi (Beasley e Frigo, 2007; Farrel e Hoon,

2009; IIF, 2009; Brooks, 2010a; Shenkir e Walker, 2011).

L’ERM Culture Alignment rafforza l'integrazione di processi di formulazione e di

esecuzione delle strategie con l’implementation planning dell'ERM e può diventare un

fattore chiave per generare maggiore valore per gli azionisti e garantire la sostenibilità

competitiva (Abrahim, Henry e Keith, 2012).

È fondamentale rendersi conto che il senior management è responsabile della qualità, dei

punti di forza e di debolezza della cultura dell'impresa, che richiede un impegno importante.

È ovvio quindi che il Management “should take an active interest in the quality of the firm’s

risk culture, that should be actively tested and objectively challenged in a spirit of fostering

greater resilience and encouraging continuous improvement, reflecting the strategic aims of

the organization” (IIF, 2009).

Sebbene non sempre sia possibile, le organizzazioni dovrebbero assicurarsi attraverso la

supervisione dei partner strategici che, insieme al Board e al Management, anche questi

condividano la stessa cultura del rischio o per lo meno operino all’interno dei propri

standard di rischio. Un’impresa deve perciò condividere i principi guida di gestione dei

rischi con i fornitori o partner che potrebbero facilmente influenzarne il processo

decisionale.

CAPITOLO 4

149

La robustezza della risk culture non è un concetto intangibile infatti, ma può essere misurato

e determinato valutando il livello di coerenza che le decisioni sul rischio hanno con le

politiche e il profilo di rischio desiderato dell'organizzazione (Damodoran, 2008; Brooks,

2010a). Nel processo decisionale infatti, vi è una considerazione attiva dei potenziali

benefici e delle perdite derivanti dall’accettazione dei rischi. Questa considerazione

permette ai decisori di determinare strategie migliori e allinearle con le politiche e il profilo

di rischio desiderato dell'organizzazione che in ultima analisi contribuisce al rafforzamento

della cultura del rischio (Brooks, 2010a).

Deloitte (2012) ha sviluppato un approccio per supportare le imprese nella valutazione e

nella misurazione della propria cultura del rischio. Il framework si compone di sedici

indicatori organizzati in quattro macro categorie di risk culture influencers: risk

competence, che comprende le conoscenze, le skills e l’apprendimento, motivations,

relationship e infine organization.

CAPITOLO 4

150

Figura 4.1 – Deloitte risk culture framework [Deloitte, Cultivating a risk intelligent culture, 2012,

pag.3]

CAPITOLO 4

151

Il focus iniziale dell’organizzazione dovrebbe quindi essere posto sulla costruzione di una

consapevolezza culturale forte, soprattutto attraverso la comunicazione e l'educazione. Una

volta dunque sviluppato un adeguato livello di cultura del rischio, il processo di

perfezionamento dovrà in ogni caso continuare per riflettere i cambiamenti in atto nella

strategia aziendale.

Figura 4.2 – Road map for continuous cultural improvement [Deloitte, Cultivating a risk intelligent

culture, 2012, pag.4]

Avere una forte risk culture, costruita nel tempo, ispirata e incoraggiata dal Board, dalle

azioni del Management e da una comunicazione costante circa l'etica e la gestione del

rischi, permette dunque a tutti i soggetti di comprendere quali siano i confini entro i quali

operare per perseguire gli obiettivi strategici a lungo termine stabiliti (Deloitte, 2012).

I diversi aspetti che caratterizzano una solida e well-developed cultura del rischio

riguardano quindi:

CAPITOLO 4

152

Board of Directors and Top Management commitment: “Boards indicate that this

evolving embrace of a more holistic view of risks affecting an enterprise is strengthening

their understanding of risks” (Beasley e Frigo, 2007). Un team di gestione che

attribuisce importanza alla cultura del rischio è essenziale per creare e diffondere la

stessa in tutta l'azienda. Infatti la sola funzione di gestione del rischio da sola non basta,

ma è la leadership che deve rappresentare il vero motore del cambiamento (IIF, 2009).

La definizione proposta dal COSO (2004), secondo cui “enterprise risk management is a

process, effected by the entity’s board of directors, management, and other personnel,

applied in strategy setting and across the enterprise, designed to identify potential events

that may affect the entity, and manage risk to be within the risk appetite, to provide

reasonable assurance regarding the achievement of entity objectives”, sottolinea che

l’ERM, e quindi la cultura del rischio, debbano essere guidati dall’alto, poiché sono il

consiglio di amministrazione e dirigenti ad impostare il tono e la direzione della gestione

aziendale del rischio, in quanto direttamente correlata alla definizione della strategia e

funzionale alla creazione di valore e al raggiungimento degli obiettivi (Beasley e Frigo,

2007).

Gli atteggiamenti comunicati dal Consiglio di Amministrazione e dal senior management

costituiscono chiaramente un fattore critico, poiché vengono presi come modello dal

resto dell'organizzazione (IIF,2009). Le dichiarazioni di valori etici e di una forte

attitudine verso la gestione del rischio sono importanti, ma costituiscono di per sé il

"tone at the top" (Brooks, 2010a; IIF, 2009; Farrel e Hoon, 2009). Sono invece le

decisioni e le azioni che l’azienda mette in atto, piuttosto che le semplici esortazioni, che

riflettono realmente la cultura del rischio.

Il Board e il Management dovranno essere vigili, poiché la cultura del rischio, sia

all'interno di un determinato ufficio o linea di business o l'impresa nel suo complesso, è

facilmente influenzabile da personalità forti che ricoprono posizioni di rilievo.

Questo dunque è uno dei principali motivi per cui la creazione e il rafforzamento della

funzione di risk management, e più nello specifico di una struttura dedicata alla risk

culture, sono così critici (IIF, 2009; Fraser e Simkins, 2010).

Ed è per questo che il senior management deve imporsi e fare tutto il possibile per

trasmettere l'importanza del rischio e di altri servizi di controllo nell'organizzazione.

L’indagine condotta da Ernst & Young (2010) dimostra che le imprese sono consapevoli

dell'importanza del “tone at the top” come strumento efficace per diffondere la cultura

CAPITOLO 4

153

del rischio e stanno gradualmente modificando pratiche e procedure per aumentare la

considerazione del risk management in azienda.

Le azioni del Consiglio di Amministrazione e del senior management dovrebbero essere

volte garantire, in ultima analisi, l’esistenza di una solida cultura del rischio, la quale

dovrà essere sostenuta soprattutto nei periodi di crescita dei mercati (IIF, 2009). Spetta

infatti al Management assicurarsi che processi adeguati e i dovuti controlli vengano

eseguiti, anche quando le condizioni di mercato creano un apparente basso rischio, e che

la gestione del rischio non venga sopraffatta e messa da parte (COSO, 2004; IIF, 2009;

Zurich e HBRAS, 2012);

Clear definition and communication of an ERM policy: creare una solida cultura del

rischio significa innanzitutto formulare una enterprise risk management policy e

comunicarla in modo chiaro e preciso a tutti i dipendenti (Cendrowski e William, 2009).

La politica risk management, definita all’interno di un ERM policy statement, dovrebbe

indicare chiaramente la logica dell’organizzazione per la gestione del rischio, i

collegamenti con gli obiettivi e le politiche dell'organizzazione, le responsabilità,

l'impegno a rendere disponibili le risorse necessarie, le modalità di misura delle

prestazioni del processo e l’impegno a rivedere e migliorare la politica e il framework di

gestione del rischio periodicamente e in risposta a un evento o ad un cambiamento delle

circostanze (Moeller, 2007). Fraser e Simkins (2010) suddividono questo documento in

tre diverse parti. La prima presenta il quadro generale di ERM, facendo riferimento al

contesto entro cui tale framework viene implementato, all'approccio dell'organizzazione

alla gestione dei rischi, ai processi e alla terminologia da seguire, alle procedure per il

miglioramento continuo del quadro di gestione, nonché ai ruoli e alle responsabilità e ai

meccanismi di controllo e reporting (Fraser e Simkins, 2010). La seconda fa riferimento

alla definizione del risk appetite e dei risk criteria attraverso i quali l’organizzazione

valuta e sceglie l’ammontare totale di rischio che è disposta ad accettare, mentre la terza

si focalizza sul Commitment, sulla responsabilità e sulla tempistica di monitoring e

review delle politiche stesse al fine di garantirne l’aggiornamento continuo (Fraser e

Simkins, 2010). Tale documento dunque risulta essere lo strumento migliore per

comunicare efficacemente le aspettative dell’organizzazione a tutti coloro che potrebbero

essere fonti di rischio (Fraser e Simkins, 2010). Il management, tuttavia, non si limiterà

alla semplice definizione e comunicazione dell’ERM policy, ma dovrà fare particolare

attenzione all’individuazione di eventuali violazioni e alla loro correzione, attraverso

CAPITOLO 4

154

opportuni sistemi di segnalazione e punizione delle stesse (Cendrowski e William, 2009;

Fraser e Simkins, 2010);

Definition of risk appetite and of an explicit risk-appetite statement: il report della

CMBP definisce il risk appetite come "a firm’s view of how strategic risk-taking can

help achieve business objectives while respecting constraints to which the organization

is subject" (IIF, 2009) e stabilisce i limiti per l'assunzione di rischi, assicurando che

l’azienda li rispetti (Chase-Jenkins e Farr, 2008). Estendendo tale definizione anche

all’ambito operativo, la propensione al rischio definisce la quantità totale e la tipologia di

rischio che una società è in grado o è disposta ad accettare per perseguire i propri

obiettivi di business. In tal modo un chiaro e preciso statement di risk appetite può agire

sia come strumento di gestione e controllo del rischio, sia come driver di business attuale

e futuro (IIF, 2009).

È chiaro quindi che il concetto di propensione al rischio implica necessariamente quello

di risk tolerance (oggetto del punto successivo) e di risk capacity, inteso come la

quantità massima di rischio che un’impresa può ragionevolmente supporre di potersi

assumere sulla sua base del capitale, della liquidità, della capacità di indebitamento che

possiede e dei vincoli normativi esistenti (Barfield, 2007; IIF, 2009).

Un’impresa infatti, prima ancora di definire il proprio risk appetite, deve valutare, sulla

base del calcolo della propria capacità di rischio, un’adeguata riserva (buffer) da poter

sfruttare in particolari situazioni di stress economico (IIF,2009).

Il management si troverà quindi a dover identificare, misurare i rischi e valutare di

conseguenza il risk appetite attraverso la combinazione di misure quantitative e

qualitative. L’utilizzo di entrambe le misure dipende dal fatto che l’articolazione del risk

appetite è molto complessa, poiché richiede il bilanciamento di molti punti di vista, che

nella maggior parte dei casi non possono essere tradotti in misure puramente quantitative

(Barfield, 2007; IIF, 2009; Segal, 2011).

Nella maggior parte dei casi un approccio top-down è di solito la soluzione migliore per

iniziare ad affrontare il problema della definizione della propensione al rischio. Un

approccio top-down rende le esigenze dei diversi stakeholder esterni esplicite e stimola il

dibattito nel team esecutivo e coinvolge lo stesso Consiglio di Amministrazione, che

riesce a valutare in modo completo i diversi punti di vista e le tipologie di rischio

identificate (Barfield, 2007). Un approccio di tipo bottom-up invece tende ad approvare

CAPITOLO 4

155

lo status quo e il profilo di rischio esistente, fornendo spesso una visione passiva della

propensione al rischio attuale oggi piuttosto che una proattiva (Barfield, 2007).

Una definizione efficace della propensione al rischio richiede infatti di stabilire dei limiti

a livello top per ogni tipo di rischio, declinandoli successivamente a cascata su tutti i

livelli dell’organizzazione (Barfield, 2007; Ernst & Young, 2010; Rittemberg e Martens,

2012).

Detto ciò è importante sottolineare che il risultato di tale processo non è una

dichiarazione dell’ammontare massimo di rischio che l’impresa potrebbe prendere su di

sé, ma piuttosto rappresenta una ragionevole guida per un’assunzione prudente del

rischio (IIF, 2009).

Nel contesto post- crisi, diviene dunque essenziale avere chiaro in anticipo quale sia il

livello di rischio accettabile. E sono le imprese stesse a riconoscere la necessità della

definizione di un explicit risk appetite, che sia oggetto di una rivalutazione e di un

monitoraggio continuo.

Un'azienda deve avere in atto processi che garantiscano costantemente che l'assunzione

di rischi sia commisurata alla propensione al rischio stabilita dal senior management e

dal Consiglio di Amministrazione. È qui che si inserisce il risk profile come valutazione

point-in-time che confronta l'esposizione reale o attuale con i limiti e le tolleranze

stabilite, per permettere all’alta dirigenza di rivedere il proprio profilo di rischio e

verificare se talune attività necessitino di ulteriori controlli o nuovi orientamenti (IIF,

2009).

Figura 4.3 – Overview of considerations affecting Risk Appetite [Rittenberg, Martens, Understanding

and Communicating Risk Appetite, 2012, pag.4]

CAPITOLO 4

156

È facile dunque comprendere che il risk appetite è una componente molto dinamica, che

necessita di continue rivalutazioni e modifiche, affinché rifletta sempre il contesto

economico attuale, i requisiti normativi richiesti (ad esempio requisiti di capitale o di

liquidità) e il modello di business delineato, anche e soprattutto di fronte a perdite

inattese o guasti (IIF, 2009; Rittenberg e Martens, 2012).

La propensione al rischio rappresenta dunque un elemento critico del programma di

ERM per qualsiasi azienda. Se definito bene, si traduce in sofisticate metriche e metodi

di gestione del rischio complessivo in limiti pratici, che guidano così le decisioni di

business e la creazione di una struttura per la segnalazione dei rischi (COSO, 2004;

Barfield, 2007; Chase-Jenkins e Farr, 2008). Il risk appetite framework definisce infatti i

confini che formano un collegamento dinamico tra strategia, definizione di obiettivi e

gestione del rischio, fondamentale per l'adozione dell’ERM (Chase-Jenkins e Farr,

2008).

Definition, considering the risk appetite, of a risk tolerance threshold for each

objective of the organization: come sottolineato in precedenza il concetto di risk

tolerance si lega a quello di risk appetite, ma a differenza di quest’ultimo rappresenta “the

acceptable level of variation relative to achievement of a specific objective, and often is

best measured in the same units as those used to measure the related objective.” (COSO,

2006; PwC, 2008; Govindarajan, 2011; Rittenberg e Martens, 2012).

Essa rappresenta “the specific maximum risk that an organization is willing to take

regarding each relevant risk (sub-) category, often in quantitative terms” (Ernst &

Young, 2010).

Mentre la propensione al rischio è legata agli obiettivi strategici, la tolleranza al rischio è

maggiormente connessa a quelli tattici e operativi e deve essere comunicata utilizzando

le metriche in atto per misurare le prestazioni, in modo tale da definire i limiti

quantitativi di variabilità delle prestazioni accettabili e, insieme alla propensione al

rischio e agli obiettivi, a guidare le azioni del Management e più in generale

dell'organizzazione (Dean e Giffin, 2009; Milliman, 2011b; Rittemberg e Martens,

2012).

CAPITOLO 4

157

Figura 4.4 – Relazione tra risk tolerances, risk appetite e obiettivi [Rittenberg, Martens, Understanding

and Communicating Risk Appetite, 2012, pag.11]

Generalmente il limite superiore di tolleranza al rischio si riferisce al livello di rischio

che il team esecutivo è disposto a sopportare prima di un intervento del Board, mentre

quello inferiore riflette il livello minimo di rischio che si prevede di adottare per

raggiungere gli obiettivi concordati (Dean e Giffin, 2009; Govindarajan, 2011).

Il gap tra il profilo di rischio e il limite superiore di tolleranza al rischio consente al team

di gestione di distribuire le risorse necessarie per garantire eventuali problemi rientrino

accuratamente all’interno del risk appetite delineato, assicurando ai dirigenti una certa

libertà circa l’assunzione di alcuni rischi senza una richiesta esplicita al Board.

Il limite inferiore, invece, serve anche sottolineare che chiaramente l’obiettivo di

gestione non è quello di eliminare del tutto il rischio, ma di gestirlo nel modo più

appropriato affinché l'impresa possa ricavarne un adeguato profitto (Govindarajan,

2011).

A differenza del risk appetite, la risk tolerance, i risk limits e i risk target devono essere

sufficientemente specifici da costituire la base di un quadro di controllo che consentirà ai

gestori del rischio per garantire che i rischi presi siano all’interno della propensione al

rischio delineata in precedenza (Dean e Giffin, 2009; Ernst & Young, 2010).

Anche in questo caso essi andranno continuamente e costantemente aggiornati per tenere

conto dei cambiamenti nel contesto economico, nelle strategie e nelle performance

(Ernst & Young, 2010).

Clear communication of objectives, policies, risk tolerance thresholds throughout

the entire organization: una chiara e precisa comunicazione della mission e degli

obiettivi da raggiungere è una condizione necessaria per garantire l’efficacia del

CAPITOLO 4

158

processo di risk management, poiché quest’ultimo richiede, una comprensione adeguata

degli obiettivi dell’impresa a tutti i livelli, garantendo allineamento e coerenza con il risk

appetite dell’organizzazione (AIRMIC, ALARM e IRM, 2010; Rittenberg e Martens,

2012). Un disallineamento potrebbe comportare infatti il mancato raggiungimento degli

stessi, a causa della presenza di rischi troppo o non sufficientemente elevanti.

E poiché la propensione al rischio guida le scelte del management e del Consiglio di

Amministrazione e rappresenta l’equilibrio accettabile tra rischio e rendimento, è

importante che sia tradotta correttamente e comunicata dai livelli più alti (top), a quelli

delle business units (COSO, 2004).

Una comunicazione efficace è utile non solo all’interno dell’organizzazione e tra i

soggetti che ne fanno parte, poiché fornisce una chiara visione circa la quantità e la

tipologia di rischio da accettare e le modalità di gestione, ma agisce anche positivamente

sul mercato, permettendo ad esempio di attrarre capitali più facilmente, reclutare

dipendenti di qualità superiore e guadagnare la fiducia degli organismi di

regolamentazione (COSO, 2004; Moeller, 2007; KPMG 2008;).

Inoltre assiste nella definizione delle aspettative realistiche da parte degli investitori e

degli altri stakeholder esterni e promuove trasparenza e responsabilità (KPMG, 2008).

Le informazioni divulgate riguarderanno sostanzialmente le modalità con cui le società

definiscono la propria propensione al rischio, le metriche, il livello di tolleranza e così

via (COSO, 2004).

Sebbene alcune imprese erano consapevoli dell’importanza di tale pratica già prima della

crisi, oggi una maggior incentivazione giunge dalle disposizioni di Basilea 3 contenute

nel Terzo Pilastro, che sottolineano l’importanza della trasparenza e dell’informativa al

pubblico, disciplinandone le modalità di realizzazione;

Sharing a common risk language within the organization: la maggior parte delle

pubblicazioni riguardanti il tema del risk management riferisce i vantaggi derivanti dallo

sviluppo di un linguaggio comune del rischio all’interno di qualsiasi organizzazione,

sebbene questo possa risultare complesso e richiedere molto impegno, in quanto la

mancanza di una lingua comune inibisce la diffusione e la condivisione di informazioni e

delle best practice (Verweire e Berghe, 2004; Aabo, Fraser e Simkins, 2005; Shenkir e

Walker, 2008; IIF, 2009; Deloitte, 2012; Hopkin, 2012;). La comunicazione è centrale

nel nuovo approccio alla gestione del rischio e di conseguenza l'adozione di un

linguaggio comune è uno strumento essenziale per massimizzare il contributo della

CAPITOLO 4

159

gestione del rischio e facilitare un dialogo permanente tra i dirigenti dell'impresa e i

dipendenti (Andersen 2010; Hopkin, 2012).

E poiché un linguaggio comune può essere costruito secondo diverse modalità, è

importante riconoscere che dovrà essere adattato alle particolari circostanze in cui

l’impresa si trova e rispecchiarne le esigenze specifiche. In genere viene sviluppato

attraverso interviste e workshop condotti ai vari livelli dell'organizzazione. Il vantaggio

principale consiste, oltre che nel sostenere la cultura del rischio, anche nel garantire un

modo più coerente di considerare ed analizzare i rischi, facilitando l’abbattimento delle

barriere tra i diversi livelli dell’organizzazione e il superamento della logica a silos

(Verweire e Berghe, 2004);

Sharing and communicating risk information: una comunicazione efficace, continua

e tempestiva è un fattore essenziale per diffondere la cultura del rischio. Essa infatti

garantisce che le informazioni sul rischio, frutto della collaborazione tra la funzione di

risk management e tutte le linee di business, siano coerenti e condivise in tutta l’azienda.

I membri del Consiglio di Amministrazione devono ricevere un adeguato livello di dati

per determinare se la gestione del rischio e le pratiche in corso siano appropriate e

valutare la necessità di implementare interventi tempestivi (Beasley e Frigo, 2007; Farrel

e Hoon, 2009; Frigo e Andersen, 2009; Zurich e HBRAS, 2012).

La comunicazione e la costruzione di una visione comune dei rischi sono ampiamente

accettate come prassi leader nella gestione del rischio. Infatti la fase di “Informazione e

comunicazione" è uno dei principali otto componenti della gestione del rischio aziendale

secondo l'Enterprise Risk Management -Integrated Framework del Committee of

Sponsoring Organizations of the Treadway Commission (COSO, 2004). Questo

passaggio sfida il Management a sviluppare ed eseguire una comunicazione trasversale e

interna all'azienda con l’obiettivo di trasmettere i punti di vista dell’organizzazione nei

confronti dei rischi strategici e l'importanza di eseguire i piani d'azione (Frigo e

Anderson, 2009). Il flusso di informazioni deve procedere non solo dall’alto verso il

basso, ma soprattutto dal basso verso l’alto affinché il top management svolga un ruolo

attivo nella gestione del rischio, di questioni critiche e fornisca suggerimenti, consigli e

direzioni (Frigo e Anderson, 2009; Zurich e HBRAS, 2012).

Il processo di comunicazione e condivisione delle informazioni inerenti i rischi, le

politiche e gli orientamenti generali, rappresenta l’opportunità di costruire e rafforzare la

CAPITOLO 4

160

cultura del rischio dell’organizzazione, proprio perché si configura come un processo

iterativo, che ha bisogno di attenzione e supporto costanti (Frigo e Anderson, 2009).

L'organizzazione in sé ha bisogno di canali formali e informali per comunicare le

informazioni sui rischi.

Canali formali, come discussioni regolari e strutturate con i risk managers, sono

fondamentali, ma devono interessare trasversalmente anche le diverse strutture e

funzioni aziendali (Frigo e Anderson, 2009).

Molte imprese, che hanno affrontato la crisi meglio di altre, sostengono che la presenza

di risk committees può fare una grande differenza, a livello di senior management, ma

anche a livello di business, nel garantire efficacia al processo di gestione dei rischi.

Naturalmente, molto dipende dalle attitudini dei partecipanti a tali comitati, che però

risultano essere essenziali per assicurare un dialogo tra il Management, le funzioni di

risk management e di compliance e le business units (IIF, 2009).

Canali informali invece operano dove quelli formali sono insufficienti.

“There is a danger that formal procedures will become ossified or that people will

review formalized risk reports or stereotyped stress tests in a mechanical way that create

false comfort that all the boxes have been checked. People may focus too much on

process and not enough on substance” (IIF, 2009).

Per queste ragioni solitamente un'organizzazione di successo utilizza canali informali per

assicurare un adeguato flusso di informazioni. La possibilità di poter comunicare

tempestivamente e poter condividere preoccupazioni emergenti è uno degli elementi più

importanti che caratterizzano una forte cultura del rischio, e assicura talvolta la

possibilità di attuare interventi mirati e tempestivi (Frigo e Anderson, 2009; IIF, 2009);

Organizing learning programs for the employees: anche se di recente la cultura del

rischio è diventata un elemento fondamentale, molte aziende mostrano ancora evidenti

carenze nel dedicarvi l’adeguata attenzione. La KPMG (2008) ha evidenziato attraverso

diverse survey che la maggior parte dei dipendenti della aziende intervistate avevano

poca o nessuna comprensione di come le differenti esposizioni al rischio e gli eventuali

impatti fossero valutati.

Tuttavia, oggi, sembra che questa tendenza abbia subito un’inversione di marcia dal

momento che quasi tutte le aziende forniscono un certo tipo di formazione ai propri

dipendenti. Alcune aziende hanno un processo molto formale di formazione, mentre altre

aziende utilizzano consulenti esterni per condurre sessioni di formazione dei dipendenti

CAPITOLO 4

161

(Hughey e Mussnug, 1997). Treven (2003) sostiene che i metodi di training utilizzati

dalle organizzazioni possono essere di due tipi: il primo è la formazione on -the-job che

fornisce istruzioni one- to -one, coaching, job rotation e tirocinii/stage; il secondo invece

è quello off- the-job, che si svolge lontano dal posto di lavoro. Esso prevede una serie di

lezioni, film, dimostrazioni, studi di casi, esercizi e simulazioni programmate.

Il successo di qualsiasi learning program in ogni caso dipenderà dalla qualità della

formazione fornita, dall’utilizzo di un programma di tutoraggio continuo durante il

corso, dalla presenza di un apprendimento interattivo e soprattutto dal sostegno di

personale altamente motivato (Moss, 1997; Ranong, 2009).

E ' inevitabile dunque che il successo di un'organizzazione dipenda dal personale e dai

dipendenti a disposizione ed è per questo motivo che risulta fondamentale assicurare

l’apporto di adeguate competenze al personale incaricato di posizioni manageriali

particolari, per migliorarne le conoscenze, abilità e atteggiamenti che a sua volta

aumentano la fiducia, la motivazione e la soddisfazione sul lavoro (Fill e Mullins, 1990;

COSO, 2004).

È dunque evidente che un risk manager dovrebbe istituire corsi di formazione

coordinandosi con il responsabile delle Risorse Umane e con un team di consulenti

esperti nella gestione del rischio (Symons, 1995).

Carey (2001) suggerisce che un'efficace gestione del rischio comprende un’appropriata

formazione del personale e poiché le pratiche di ERM, i processi e le informazioni

continuano ad evolversi nel tempo, è importante che, primi tra tutti i dirigenti e poi i

dipendenti, si assicurino di ricevere un’adeguata e continua formazione, attraverso

costanti aggiornamenti periodici (Lam, 2003; COSO, 2004; DeLoach, 2005). Tale

pratica aiuta a costruire una piena consapevolezza del rischio e a migliorare i processi e

le tecniche di risk management (Shenkir e Walker, 2011);

Designing a remuneration and incentive system: le discussioni inerenti la recente crisi

hanno sottolineato l’importanza dei sistemi di incentivazione e remunerazione come

strumento essenziale per garantire il rispetto delle regole e l’allineamento tra azioni

compiute, strategia e risk appetite dell’organizzazione (Farrel e Hoon, 2009; Fraser e

Simkins, 2010; O’Neill e Stephens, 2010; Rittenberg e Martens, 2012).

Una dei fattori che ha infatti contribuito al fallimento di alcune organizzazioni è stato la

mancata integrazione e allineamento degli obiettivi strategici, e di rischio, all’interno

della gestione delle prestazioni e dei sistemi di incentivazione e remunerazione per

CAPITOLO 4

162

guidare efficacemente il comportamento e le azioni di tutti i soggetti coinvolti nel

business (Fraser e Simkins, 2007; Deloitte, 2008; O’Neill e Stephens, 2010).

A differenza di quanto è avvenuto in passato, oggi è evidente che un sistema di

remunerazione debba tenere significativamente conto del livello di sensibilità al rischio

di tutti i soggetti e del rispetto dei vincoli/requisiti di conformità per creare un cultura del

rischio positiva (Farrel e Hoon, 2009), un processo di enterprise risk management

efficace (O’Neill e Stephens, 2010) e limitare la discrezionalità manageriale (Moeller,

2007). E, poiché programmi di incentivazione e bonus sono spesso strumenti utili per

motivare e rafforzare le prestazioni di tutti i dipendenti, deve essere una percezione

diffusa che questi bonus siano assegnati in maniera equa e giusta (Moeller, 2007).

Un compensation system e incentivi less-tangible, come la stima dei colleghi, possono

fare la differenza e mirano a promuovere i comportamenti attuati e le decisioni prese in

linea con il livello di rischio accettato dall’organizzazione e con gli obiettivi strategici (di

rischio e rendimento) desiderati, scoraggiando atteggiamenti inappropriati che possono

rappresentare un cattivo esempio per tutti i dipendenti e costituire un male per l’impresa

(Fraser e Simkins, 2007; Deloitte, 2008; Segal, 2012);

Integrating the ERM with the Performance Measurement System (PMS): il concetto

di Corporate Performance Management (CPM) è stato introdotto da Gartner Research

nel 2001 come "all the processes, methodologies, metrics and systems needed to

measure and manage the performance of an organization" (Raid, 2012).

La separazione dell’ERM dal CPM porta alla costruzione di processi di gestione delle

performance e del rischio separati e all’implementazione di sistemi di misurazione

distinti all'interno di un'azienda. Ciò si traduce in scarsa omogeneità della

consapevolezza e della cultura del rischio e comporta una minor flessibilità dell’impresa

(Raid, 2012). Per integrare pienamente i due concetti, è necessario superare quel

pregiudizio che vede il rischio operativo in modo diverso rispetto agli altri dal punto di

vista della generazione di profitto, ammettendo invece che la gestione dei rischi operativi

significa non solo ridurre al minimo le perdite, ma massimizzare il profitto stesso nel

rispetto della propensione al rischio (Raid, 2012).

L’ostacolo principale risiede dunque nel credere che l’enterprise risk management e il

corporate performance management siano due discipline opposte, poiché la prima,

attraverso indicatori di rischio (KRI), sembra misurare il fallimento, mentre la seconda,

grazie all’uso di indicatori di performance (KPI), il successo.

CAPITOLO 4

163

Tuttavia, non si comprende che i KRI sono una componente fondamentale dei KPI,

poiché la valutazione di ogni obiettivo aziendale dovrà includere necessariamente, oltre

alla sua probabilità di realizzazione, anche la componente di rischio ad esso connessa

(Raid, 2012).

Un sistema di misurazione delle performance (Performance Measurement System, PMS)

può essere definito come “the process of quantifying the efficiency and effectiveness of

action” (Neely, Gregory e Platts, 2005).

Si tratta quindi di “a process of assessing progress towards achieving pre-determinated

goals, including information on the efficiency by which resources are transformed into

foods and services, the quality of those outputs and outcomes, and the effectiveness of

organizational operations in terms of their specific contributions to organizational

objectives” (Amaratunga e Baldry, 2002).

L'obiettivo primario di un PMS è quello di valutare i progressi nel conseguimento degli

obiettivi, finanziari e non, assicurando un’efficacia ed efficiente allocazione delle risorse

all'interno di tutta l'organizzazione (Raid, 2012).

L’approccio di misurazione delle performance più completo, definito olistico proprio

perché non si limita alla sfera operativa, ma anche a quella strategica e aiuta

l'organizzazione a tradurre le proprie strategie in obiettivi e ad allinearli, guidando sia il

comportamento che le prestazioni, è stato introdotto da Robert S. Kaplan e David Norton

nel 1992 e prevede l’introduzione di una Balanced Scorecard (BSC).

Questo strumento si configura come “an effective tool to capture, describe, and translate

organization’s strategy into performance metrics and targets” (Niven, 2006), osssia un

cruscotto di indicatori e suggerisce di valutare e misurare le performance aziendali

secondo quattro diverse prospettive: finanziaria, dei clienti, dei processi interni e della

crescita/apprendimento. Esso permette dunque di incorporare, all’interno delle metriche

di performance aziendali legati agli obiettivi di business, componenti di rischio diverse

CAPITOLO 4

164

(come quella di credito, operativa, di mercato, reputazionale, strategica), evidenziandone

le relazioni causa-effetto (Kaplan e Norton, 1996).

Figura 4.5 – ERM-BSC process cycle [Kaplan e Norton, 1996; Nagumo, 2005; Segal,2005]

L’integrazione di ERM e PMS aiuta notevolmente la comprensione del framework di

enterprise risk management all’interno dell’organizzazione e l’allineamento tra strategia

aziendale, pianificazione strategica e gestione dei rischi, guidando le decisioni

strategiche verso il raggiungimento degli obiettivi organizzativi e massimizzando il

valore per gli azionisti nel lungo termine (Oracle, 2009; Rasid e Gothan, 2012).

Se da una parte infatti il sistema di misurazione delle performance, e la BSC in

particolare, sono finalizzati a valutare il progresso di una organizzazione nel perseguire i

propri obiettivi strategici, d'altra l’ERM è uno strumento di rilevazione degli eventi

positivi e negativi che possono influenzare quegli stessi obiettivi. E dunque una

combinazione dei due approcci non farà altro che aumentare la probabilità di

raggiungere gli obiettivi e massimizzare quindi il valore dell’impresa (Beasley, 2006;

Beasley, Chen e Wright, 2006).

CAPITOLO 4

165

2.2. Organization

Adeguate scelte organizzative sono fondamentali per diffondere la cultura del rischio, per

ottenere impegno da parte del personale, per garantire che il processo di ERM sia condotto

nel modo più appropriato e che politiche e procedure siano rispettate.

Stank, Daugherty e Gustin (1994) ritengono che “the organizational structure involves an

organization’s internal pattern of relationship, authority and communication” e

contribuisce ad assicurare un’adeguata assegnazione di compiti e risorse, attraverso la

definizione di aree chiave di autorità e responsabilità e opportune linee di reporting.

Hunter (2002) sostiene che la struttura organizzativa ha la facoltà di predeterminare il modo

in cui i dipendenti lavorano e che struttura e processi saranno più efficaci e avranno un

impatto positivo sulle strategie dell'organizzazione, qualora la loro progettazione tenga

conto del contesto in cui vengono inserite (Ranong, 2009).

Inoltre, Grabowski e Roberts (1999) suggeriscono che la gestione del rischio sia associata

principalmente alla flessibilità delle strutture organizzative, che devono assicurare un

risposta rapida ed efficiente ai cambiamenti economici e dell’organizzazione stessa

(Ranong, 2009).

L'adeguatezza della struttura organizzativa di un'entità dipende, in parte, dalla sua

dimensione e dalla natura delle sue attività. Un’organizzazione altamente strutturata con

linee formali di rendicontazione e responsabilità può essere adatta per una grande entità che

possiede numerose divisioni operative, nazionali ed estere. Tuttavia, tale struttura potrebbe

ostacolare il necessario flusso di informazioni in una piccola azienda. Qualunque essa sia, in

ogni caso l'impresa deve essere organizzata per consentire un'efficace gestione del rischio

aziendale e lo svolgimento delle sue attività in modo da raggiungere i suoi obiettivi,

assicurando un’adeguata flessibilità per rispondere rapidamente ed efficientemente ai

cambiamenti nel mercato o nelle strategie (COSO, 2004).

La struttura organizzativa dovrà essere riesaminata regolarmente e regolata per adattarsi ai

cambiamenti del contesto finanziario.

Più in dettaglio, il design per una corretta organizzazione dovrebbe prendere in

considerazione i seguenti elementi:

Appointment of a Chief Risk Officer (CRO): una componente chiave importate per

garantire il successo e l’efficacia del processo di enterprise risk management risiede

nell’individuazione di un leader, posto a capo del progetto di ERM (Frigo e Anderson,

2011; Segal, 2011). Solitamente tale figura coincide con quella del CRO (Chief Risk

CAPITOLO 4

166

Officer), responsabile della gestione e del monitoraggio della funzione di ERM e della

traduzione del risk management in significativi requisiti di business, obiettivi e

metriche (Moeller, 2007). Tuttavia, affinché a tale figura sia attribuito il giusto peso,

essa dovrà possedere un certo grado di autorità e indipendenza, al fine di limitare i

conflitti di interesse (Segal, 2011), e assumersi la responsabilità di gestire il processo di

valutazione dei rischi in tutta l'azienda, di attuare le opportune azioni correttive per

porre rimedio o minimizzare potenziali danni, e di comunicare eventuali problemi o

eventi a tutti i livelli dell'impresa (Moeller, 2007; Deloitte, 2008).

Generalmente è alle dirette dipendenze del Chief Financial Officer (CFO) o del Chief

Executive Officer (CEO) e riferisce al Consiglio di Amministrazione e al Comitato

Rischi, con cui collabora per lo sviluppo e l'attuazione di politiche e procedure di

gestione del rischio (EIU, 2005; Moeller, 2007; Deloitte, 2008; Segal, 2011).

Effettuando analisi secondo intervalli predefiniti, monitorando e coordinando le attività

di risk management, agisce come un organismo indipendente e collabora con tutte le

altre funzioni e le diverse unità di business, per assicurarsi che tutte le situazioni

potenzialmente pericolose vengano opportunamente individuate, valutate e gestite

(Deloitte, 2008), assicurando una migliore valutazione del rapporto tra rischio e

rendimento (EIU, 2005).

Tra le qualità che deve possedere vi sono la leadership e l’immaginazione, la capacità

di comunicare ed essere diplomatico (Segal, 2011).

Il CRO può costruire una visione portafoglio di tutti i rischi, individuando le relazioni

tra i rischi all'interno delle unità di business separate, garantendo che l'organizzazione

sviluppi e mantenga nel tempo una struttura e dei processi di governance efficaci per

eseguire l'identificazione dei rischi, la misurazione, il monitoraggio, e le funzioni di

reporting (Lam, 2003; EIU, 2005; Deloitte, 2008).

Egli sviluppa, gestisce e rivede periodicamente le politiche e le procedure per il

funzionamento generale del programma di risk management dell’impresa e le attività

ad essi connesse per prevenire illeciti, condotte non etiche o impropri (Moeller, 2007).

Identifica potenziali aree di vulnerabilità, sviluppando e realizzando piani di azione

correttivi per la risoluzione di problematiche, fornisce indicazioni generali su come

evitare o affrontare situazioni simili in futuro, elaborando report su base regolare

(Moeller, 2007).

CAPITOLO 4

167

Si impegna affinché la comunicazione del rischio d’impresa sia efficace e collabora

con il dipartimento risorse umane e gli altri per sviluppare un programma di

formazione, per i dipendenti e dirigenti, monitorando l’andamento dello stesso su base

continuativa e prendendo misure adeguate per migliorarne l’efficacia (Moeller, 2007).

Tra i suoi doveri vi è quello di favorire la diffusione della cultura del rischio,

promuovendo una maggior consapevolezza delle minacce e delle loro possibili

evoluzioni (Moeller, 2007; Frigo e Anderson, 2009; Segal, 2011);

Building a dedicated ERM function: la necessità di costruire una funzione dedicata

allo sviluppo e all’attuazione di un programma di ERM deriva dalla natura oltremodo

complessa di tale processo, che soprattutto negli ultimi anni ha acquisito una rilevanza

sempre maggiore, con susseguente ramificazione e compenetrazione nei diversi rami

aziendali, e che oggi sempre di più coinvolge il processo decisionale nella definizione

degli obiettivi strategici di medio-lungo termine (Lam, 2001; Monahan, 2008; Frigo e

Anderson, 2011; Zurich e HBRAS, 2012).

Sebbene questa funzione possa risultare simile a quella di Internal Audit, in realtà non

è così. Gli internal auditors si occupano di rivedere i controlli interni e fare semplici

raccomandazioni per il loro miglioramento, ma non svolgono alcun ruolo attivo nella

realizzazione delle modifiche suggerite. Al contrario invece la funzione di risk

management contribuisce attivamente ad attuare le necessarie misure correttive e

fornisce indicazioni circa le successive azioni da implementare, assicurando e

verificando l’efficacia di tali misure (Moeller, 2007; Monahan, 2008).

Oggi la Funzione di Risk Management riporta direttamente al CEO e al CdA e assume

una posizione di rilievo come funzione di alto livello (Moeller, 2007; Frigo e

Anderson, 2011);

Designation of an ERM group or team to support CRO’s job: la figura del CRO

necessita solitamente di un gruppo o team di supporto, composto da persone con

competenze molto ampie.

Il personale in questione dovrà assicurare una chiara comprensione dei rischi di

contabilità e finanza, di quelli relativi alle IT operations and communications e di

quelli legati alla realtà operativa dell’organizzazione, nonché delle tecniche più utili per

limitare l’esposizione dell’impresa al rischio (Moeller, 2007).

Il team di supporto si interfaccerà e si coordinerà necessariamente con le altre funzioni

interne per assicurare coerenza ed efficacia al processo di gestione dei rischi.

CAPITOLO 4

168

Verrà a tal fine investito di un rilevante potere discrezionale che permetta

effettivamente l’attuazione di azioni correttive e la riduzione dei rischi individuati

(Moeller, 2007);

Independence of the ERM function: il documento IAIS (International Association of

Insurance) del 2007 fornisce indicazioni specifiche circa l’indipendenza della funzione

di risk management, rilevando che la struttura di ERM deve essere progettata per

evitare conflitti di interessi tra le diverse funzioni. Il framework definito dovrà quindi

tenere conto delle informazioni specifiche sulla delega di autorità e della corretta

separazione dei compiti per assicurarne l'indipendenza (Deloitte, 2008).

La IAIS raccomanda che il CRO riferisca direttamente al CEO dell'organizzazione,

affinché egli sia completamente indipendente e costituisca l’unico soggetto cui far

riferimento per oggettive valutazioni sulle diverse esposizioni al rischio dell’impresa

(EIU, 2005; IAIS, 2007; Moeller, 2007; Deloitte, 2008; Rochette, 2009; Segal, 2011).

L’indipendenza di tale figura, come partner di supporto nel processo decisionale, ne

facilita dunque la collaborazione con tutte le linee di business e assicura la costruzione

di una portfolio view di tutti i rischi, garantendo l’efficacia della struttura e dei processi

di governance e di gestione nell’identificazione, misurazione, monitoraggio e reporting

degli stessi (Lam, 2003; EIU, 2005; IAIS, 2007; Deloitte, 2008; Rochette, 2009);

Identification of the risk owners responsible for the identification and

management of each risk: il framework di ERM deve specificare i soggetti

responsabili di ogni rischio individuato e dei controlli relativi al trattamento scelto fin

dalla prima fase del processo di risk management di definizione del contesto di

business (Aabo, Fraser e Simkins, 2005; Fraser e Simkins, 2010; ISO, 2009a).

L’assegnazione del potere e delle responsabilità determina, non solo il limite della

propria autorità, ma soprattutto il grado in cui gli individui sono autorizzati e

incoraggiati ad utilizzare l'iniziativa per affrontare questioni emergenti e risolvere

problemi (COSO, 2004).

Tale processo implica la definizione di relazioni gerarchiche e protocolli di

autorizzazione, nonché delle conoscenze e dell'esperienze del personale chiave e delle

risorse previste per lo svolgimento delle attività (COSO, 2004).

Definire un sistema di delega di poteri significa cedere il controllo di talune decisioni

di business ai livelli inferiori, a quelle persone cioè più vicine dal punto di vista

CAPITOLO 4

169

operativo alle operazioni che svolgono e che quindi possono comprenderne meglio

implicazioni e rischi (COSO, 2004; Fraser e Simkins, 2010).

I managers e tutti i soggetti all’interno dell’organizzazione devono essere valutati ed

adeguatamente ricompensati in relazione ai rischi di cui sono direttamente responsabili

e all’impegno dimostrato nel miglioramento continuo dei controlli e dei processi di

gestione del rischio (COSO, 2004; Aabo, Fraser e Simkins, 2005; Fraser e Simkins,

2010);

Clear definition and communication of roles and responsibilities for the

management of risks: all’interno di qualsiasi organizzazione tutti sono responsabili,

seppur in modi diversi, della gestione del rischio aziendale. Mentre l'amministratore

delegato è il responsabile ultimo e dovrebbe assumersi la proprietà del rischio, gli altri

dirigenti promuovono il rispetto del risk appetite e gestiscono i rischi nell'ambito delle

loro sfere di competenza coerentemente con la tolleranza al rischio delineata (COSO,

2004). Il risk officer, il financiale officer e l’internal auditor fungono invece da

supporto chiave nel processo di definizione e gestione del rischio. E ancora, un certo

numero di soggetti esterni, quali clienti, fornitori, partner commerciali, revisori,

autorità di regolamentazione e analisti finanziari spesso forniscono informazioni utili

per effettuare la gestione del rischio aziendale e possono influenzare in diversi modi

tale processo (COSO, 2004). La chiarezza del messaggio e l’efficacia con cui ruoli e

responsabilità vengono comunicati diventa dunque un elemento essenziale (COSO,

2004; IAIS, 2007; Deloitte, 2008; Rochette, 2009). L’ERM, infatti, può essere

implementato con successo solo se tutti i membri dell'organizzazione hanno una chiara

comprensione circa il tipo e la natura di rischio rilevante per l'impresa (Lai e Samad,

2010).

Canali di comunicazione formali ed informali devono essere efficienti per facilitare la

comunicazione top-down e bottom-up tra tutti i soggetti coinvolti nei processi di

enterprise risk management, che devono comprendere chiaramente quale sia il loro

ruolo e come il loro lavoro possa influire su quello degli altri, affinché sia facile

riconoscere un problema, determinarne le cause e l’azione correttiva (IAIS, 2007;

Deloitte, 2008; Lai e Samad, 2010).

Una chiara definizione e comunicazione dei ruoli e delle responsabilità all’interno del

processo di gestione dei rischi, infatti, aiuta a fornire a tutti i soggetti coinvolti gli

CAPITOLO 4

170

strumenti necessari per comprendere quale sia il loro contributo effettivo al

raggiungimento degli obiettivi preposti e a massimizzarlo (COSO, 2004, ISO, 2009a);

Integration of the process of ERM among all the business functions and units:

rispetto all’approccio tradizionale, l’ERM “must encompass all enterprise units and

levels” (Moeller, 2007) e deve integrarsi perfettamente con i processi, in particolare

con quello di pianificazione strategica e di revisione, e le attività propri dell’impresa

che lo sta implementando, con lo scopo di massimizzare il valore aziendale e ottenere

un bilanciamento perfetto tra obiettivi strategici e di performance e i relativi rischi

(COSO, 2004; PwC, 2008; ISO, 2009a; Fraser e Simkins, 2010; Frigo e Anderson,

2011).

Non è un processo stand- alone, “but if sully integrated with the organization’s

management, reporting, roles and responsibilities, right down to taking out the

garbage – everything works as one” (ISO, 2009; Fraser e Simkins, 2010).

L’integrazione dell’ERM è resa possibile in quanto il rischio è strettamente connesso

all’incertezza del conseguimento degli obiettivi, che proprio il Management ha lo

scopo di raggiungere. Solitamente vengono individuate due diverse chiavi di

integrazione: top-down e bottom-up. Per quanto riguarda la prima la spinta

all’approccio olistico di ERM dovrà venire dall’alto; il Senior Management dovrà

rendere chiara e manifesta la volontà di considerare esplicitamente il rischio all’interno

di tutti i processi decisionali. La seconda consiste invece nell’incorporare i processi

esistenti di gestione del rischio all’interno del framework (PwC, 2008; Fraser e

Simkins, 2010). Ciò richiederà un notevole sforzo in quanto processi, procedure,

regolamenti e terminologia dovranno essere rivisti e rivisitati per essere in linea con i

principali standard esistenti (Fraser e Simkins, 2010).

L’implementation plan, creato per l'attuazione del nuovo framework, dovrà essere

utilizzato per monitorare l’integrazione dei processi di gestione del rischio all’interno

dell’organizzazione e per garantirne il successo, assicurando la revisione, ove

necessario, dei processi di pianificazione strategica e di business (ISO, 2009a).

L’integrazione ovviamente richiederà tempo, risorse e impegno da parte dei soggetti

coinvolti, e funzionali alla sua piena realizzazione saranno una continua

comunicazione, una precisa assegnazione di ruoli e responsabilità e una forte

attenzione al miglioramento continuo (COSO, 2004; ISO, 2009; Fraser e Simkins,

2010);

CAPITOLO 4

171

Involving all employees, at all levels, in the ERM process: il coinvolgimento di tutti

i dipendenti, a tutti i livelli, è essenziale per garantire il successo del processo di ERM

(COSO, 2004; ISO, 2009a; Fraser e Simkins, 2010). La condivisione di un linguaggio

comune facilita infatti la ricezione e la trasmissione di informazioni inerenti i rischi,

assicura un lavoro di squadra e aumenta la consapevolezza delle conseguenze delle

proprie azioni. L’obiettivo è far comprendere a tutti i dipendenti che il loro contributo è

fondamentale nell’individuazione e valutazione di eventuali esposizioni al rischio e la

loro attiva partecipazione assicura all’organizzazione la flessibilità e la reattività

necessaria per un’efficace ed efficiente gestione dei rischi e per il raggiungimento degli

obiettivi strategici desiderati (COSO, 2004; ISO, 2009a).

2.3. Process

Una descrizione chiara e dettagliata del processo di ERM è comune a tutti i principali

framework proposti in letteratura. Ciascuno di essi descrive accuratamente le fasi in cui si

articola tale processo: dalla fissazione degli obiettivi all’identificazione e alla valutazione

dei rischi, dalla gestione fino al monitoraggio e al reporting.

A partire dall’analisi dei diversi framework e dei principali standard di ERM gli elementi

chiave individuati che dovrebbero essere inclusi nella progettazione di un sistema efficace

di ERM sono:

Integration of ERM in the strategic and business plans: uno strategic risk

management action plan dovrebbe considerare come la valutazione e la gestione del

rischio possano essere integrati nei processi di strategic-execution, attraverso

l'integrazione del risk management nei sistemi di pianificazione e misurazione delle

prestazioni strategiche (Frigo e Anderson, 2007, Brooks, 2010b). L’integrazione

dell’ERM con il processo di pianificazione strategica e di business contribuisce

notevolmente alla creazione di valore favorendo l’equilibrio ottimale tra obiettivi di

performance e rischi connessi (COSO, 2004; DeLoach,2005, Beasley, Chen e Wright,

2006; Beasley e Frigo, 2007; Frigo e Anderson, 2007; KPMG, 2008; PwC,2008; ISO,

2009a; Protiviti, 2010b, Protiviti, 2011). Infatti il Management dovrà essere in grado di

valutare le diverse alternative strategiche e operative per determinare se i rendimenti

potenziali siano o meno commisurati ai rischi associati a ciascuna di esse e assicurarsi

che le proprie scelte siano compatibili con il risk appetite dell’organizzazione (Beasley

e Frigo, 2007).

CAPITOLO 4

172

L’integrazione permette di cogliere anche le opportunità derivanti dai rischi, che

altrimenti sarebbero trascurate, e può rilevare le aree in cui l’impresa è risk averse o

inefficiente nel rispondere a eventi potenzialmente rischiosi (Beasley e Frigo, 2007).

Il modello sviluppato da Kaplan e Norton (2008), descrive le sei fasi della strategy

execution e fornisce un framework di riferimento utile per l’integrazione del risk

management.

La prima fase consiste nello sviluppo della strategia, attraverso la definizione della

mission e dei valori, e include anche un processo di risk assessment al fine di

individuare i rischi strategici dell’organizzazione. La seconda prevede la costruzione di

mappe strategiche, sintesi della valutazione degli obiettivi e delle misure di

performance basate sul rischio. L’allineamento delle del CdA, delle business units,

delle unità di supporto e dei dipendenti è la fase successiva. L’obiettivo è quello di

coordinare le unità di rischio e di controllo per una più efficace ed efficiente gestione

del rischio in linea con la strategia dell'organizzazione (Frigo e Anderson, 2007;

Kaplan e Norton, 2008).

La quarta fase pianifica le Operations sulla base dello strategic risk management action

plan e prevede il miglioramento dei processi chiave, la pianificazione delle vendite,

della capacità delle risorse, e il budgeting. Il monitoraggio delle attività è un momento

importante in cui strategia e processi operativi vengono rivisti per valutarne l’efficienza

e individuare potenziali rischi emergenti (Frigo e Anderson, 2007; Kaplan e Norton,

2008).

Infine la fase di Test and Adapt comprende l'analisi della redditività, delle strategie

emergenti e dei rischi ad esse connessi per portare l'organizzazione verso il

miglioramento della gestione del rischio e la massimizzazione del valore (Frigo e

Anderson, 2007; Kaplan e Norton, 2008).

In ogni caso l'integrazione ad hoc della valutazione del rischio nel processo di sviluppo

della strategia e pianificazione aziendale si evolverà nei prossimi 25 anni in un

processo maturo per la maggior aziende di successo, dove ciò garantirà un notevole

aumento delle prestazioni e una maggiore garanzia che tutti i rischi vengano considerati

(Protiviti, 2011);

Implementation of an efficient and effective process to identify all relevant

potential risks: come sottolineano gli standard ISO (2009a) e COSO (2004), il

Management deve impegnarsi per identificare tutti i possibili rischi che potrebbero

CAPITOLO 4

173

influenzare il successo dell’impresa; sia quelli che interessano l’intero business, che

quelli associati ai singoli progetti o alle unità più piccole (Moeller, 2007). Un processo

di identificazione dei rischi efficace ed efficiente richiede, infatti, un approccio mirato

all’individuazione di tutte le potenziali minacce al fine di identificare le aree di rischio

più significative. L' idea non è quella di elencare solo ogni possibile rischio, evento

rischioso o opportunità, ma di riconoscere anche quelli che, con una data probabilità,

potrebbero verificarsi nel medio/lungo termine (COSO, 2004; Frigo, 2008; PwC, 2008;

ISO, 2009°; Rochette, 2009). In questo senso il processo di risk identification assume

una connotazione complessa in quanto può risultare molto difficile conoscerne con

certezza le probabilità di accadimento dell’evento o la natura delle conseguenze

(COSO, 2004; DeLoach, 2005; Moeller, 2007; ISO, 2009a).

L’approccio migliore per identificare i rischi prevedere che l’analisi sia svolta su più

livelli secondo una logia top-down, in modo da garantire l’integrazione di prospettive

completamente diverse, e che per ciascun livello sia individuato un risk assessor,

guidato da un risk management group a livello aziendale o da una funzione di internal

control assessment (Moeller, 2007).

Moeller (2007) inoltre sottolinea la necessita di una first-pass list, costruita a livello di

senior management. Le macro-categorie di rischi così individuate saranno poi

ulteriormente dettagliate ed espanse proseguendo l’analisi nei livelli inferiori e

forniranno un quadro completo e preciso di tutte le principali minacce, e/o opportunità,

che dovranno essere prese in considerazione dal management;

Creation and maintenance of a risk register: uno strumento fondamentale per la

gestione delle informazioni inerenti la gestione del rischio è il risk register, sotto forma

di database o foglio di calcolo i cui dati riguarderanno:

il nome, la natura e una breve descrizione dei rischi individuati;

una stima della probabilità di accadimento e dei potenziali impatti;

le priorità ad essi associati;

un elenco delle principali cause scatenanti e dei fattori aggravanti;

il nome del risk owner, ossia il soggetto incaricato di monitorare il rischio e

verificare l’efficacia delle azioni implementate per ridurlo;

le azioni intraprese per prevenire le minacce e/o ridurre le probabilità che queste si

verifichino (Vose, 2008; Antonucci, 2011).

CAPITOLO 4

174

Esso funge da repository centrale per le informazioni riguardanti i rischi

dell'organizzazione e assicura che le informazioni derivanti dal processo di gestione del

rischio, siano adeguatamente analizzate, standardizzate e destinate, a seconda della loro

rilevanza, al livello di gestione più appropriato (Higgins, 2008).

La sua funzione principale è quella di fornire al CdA, al Management in generale e alle

parti interessate informazioni significative e una chiara visione circa le principali

minacce che interessano l’organizzazione e le loro interdipendenze. La consapevolezza

sviluppata grazie a questo registro supporterà il management nelle attività di

definizione del risk appetite e di risk tolerance dell’impresa, facilitando la scelta degli

strumenti di gestione e di monitoraggio più appropriati (Higgins, 2008).

Tuttavia la natura sensibile e confidenziale delle informazioni in esso contenute

imporrà un accesso limitato al registro sia per quanto riguarderà l’aggiornamento, che

per la lettura dei dati.

Questo strumento costituisce solitamente l’output della fase di risk identification e di

conseguenza dovrà essere costantemente aggiornato per garantire al management

l’integrità e la correttezza dei dati ivi contenuti (Higgins, 2008);

Classification of risks into risk categories (es. strategic, operational, financial and

compliance, or strategic, operational, financial and hazards): una volta identificati,

per alcune organizzazioni potrebbe risultare utile categorizzare i rischi, ovvero

raggrupparli e ordinarli secondo categorie predefinite (FERMA, 2002; CAS, 2003;

Shenkir e Walker, 2008; Protiviti, 2010a). Questo può derivare dal fatto che la fase di

identificazione produce centinaia di rischi. La loro categorizzazione ne facilita dunque

non solo la comprensione, ma aiuta anche il Management a valutare soluzioni di

trattamento comuni e più cost-effective.

Alcuni sistemi prevedono ad esempio il loro raggruppamento secondo categorie quali

hazards, operational, financial e strategic risks (FERMA, 2002; CAS, 2003; Shenkir e

Walker, 2008), mentre altri li organizzano in strategic, operational, financial e

compliance risks (FERMA, 2002; Protiviti, 2010a).

Il processo di categorizzazione in ogni caso richiede un linguaggio interno o un

vocabolario che sia unico e comune a tutta l'organizzazione.

Studi recenti hanno infatti dimostrato che un linguaggio incoerente rappresenta un

impedimento all’implementazione di una efficace strategia di gestione del rischio

(Shenkir e Walker, 2008);

CAPITOLO 4

175

Definition of a formal process for risk assessment with qualitative and

quantitative techniques: il risk assessment è un processo sistematico e integrato

all’interno dei comuni processi dell’organizzazione finalizzato a identificare, valutare e

quantificare gli eventi, interni o esterni all’organizzazione, siano essi minacce o

opportunità, che potrebbero influenzare il raggiungimento degli obiettivi aziendali,

mediante la stima delle probabilità di accadimento e della magnitudine dell’impatto

(Covello e Merkhofer, 1993; Coleman e Marks, 1999, COSO, 2004; PwC, 2008; ISO,

2009).

Se condotta nel modo giusto, la fase di risk assessment fornisce alle organizzazioni una

visione chiara, retrospettiva o lungimirante, delle variabili a cui possono essere esposte,

siano esse interne o esterne (PwC, 2008), attraverso la definizione della propensione al

rischio e della tolleranza dell'organizzazione, e assicura una solida base per determinare

le risposte del rischio (PwC, 2008).

Solitamente si compone di una fase di risk indentification, seguita poi da una risk

analysis (o risk quantification) e infine dalla risk evaluation (CAS, 2003; PwC, 2008;

ISO, 2009).

La fase di risk identification ha lo scopo di generare un elenco completo dei rischi sulla

base di quegli eventi che potrebbero creare, migliorare, prevenire, degradare, accelerare

o ritardare il raggiungimento degli obiettivi. Si configura come attività critica, poiché

mira ad individuare le sorgenti di rischio e le cause che possono anche non risultare

evidenti (CAS, 2003; PwC, 2008; ISO, 2009).

La risk analysis fornisce invece una comprensione più approfondita dei rischi e delle

strategie di trattamento più appropriate, attraverso l’analisi delle cause, delle fonti,

delle conseguenze positive o negative e delle probabilità che questi si verifichino ed di

eventuali interdipendenze. I rischi devono essere qui sottoposti ad uno screening

preliminare per identificare quelli più significativi e quelli che invece non necessitano

di ulteriori analisi, al fine di garantire che le risorse siano focalizzate su quelli più

importanti. La definizione e la combinazione di conseguenze e probabilità determina,

poi, il livello di rischio, che deve essere in linea con gli obiettivi e i criteri stabiliti

dall’organizzazione (CAS, 2003; PwC, 2008; ISO, 2009).

L'analisi può essere qualitativa, semi- quantitativa, quantitativa, o una combinazione di

queste, a seconda delle circostanze.

CAPITOLO 4

176

Il grado di dettaglio necessari dipenderà dalla particolare applicazione, dalla

disponibilità di dati affidabili e dalle esigenze decisionali dell’organizzazione.

Valutazioni qualitative utilizzano termini come “medio”, “alto”, “basso” per indicare

gli impatti degli eventi e le loro probabilità di accadimento, mentre analisi semi-

quantitative si avvalgono di scale di valutazione numeriche a cui però non è possibile

associare valori economici reali.

L'analisi quantitativa, qualora siano disponibili dati affidabili e completi, si affida a

stime di valori reali che rappresentano gli impatti economici e le effettive probabilità.

Il livello di rischio così individuato, dipenderà, inoltre, dall’adeguatezza e dall’efficacia

dei controlli in atto.

Lo studio delle conseguenze mira a determinare la natura e l’importanza dell’impatto di

un evento su uno o più obiettivi dell’organizzazione.

In alcuni casi sarà necessario concentrarsi su rischi con impatti potenzialmente elevati,

ma con basse probabilità di accadimento, mentre in altre occasioni può risultare

importante analizzare quelli con un basso impatto, ma con un’alta frequenza e con

grandi effetti cumulativi nel lungo periodo.

La stima delle probabilità può essere invece condotta attraverso tre diversi approcci,

che possono essere utilizzati singolarmente o congiuntamente:

l’utilizzo di dati storici per identificare eventi che si sono verificati nel passato ed

estrapolare la loro probabilità di verificarsi nel futuro;

le previsioni di probabilità, utilizzando tecniche predittive quali l'analisi dell'albero

dei guasti e l’albero degli eventi;

il giudizio di esperti attraverso il metodo Delphi.

Per interpretare efficacemente i risultati ottenuti bisognerà tenere conto dell’incertezza

associatavi e procedere con un’analisi di sensitività, che contribuisce a chiarire l’entità

e il significato di eventuali variazioni nei parametri individuali registrati.

Lo scopo della fase di risk evaluation è infine quello di supportare i decision makers

nella scelta delle strategie di trattamento e nell’assegnazione delle priorità.

Essa comporta il confronto tra il livello di rischio rilevato durante il processo di analisi

e i criteri di rischio definiti nella fase di definizione del contesto (CAS, 2003; PwC,

2008; ISO, 2009).

CAPITOLO 4

177

Le decisioni dovranno tener conto del più ampio contesto del rischio e includere la

considerazione della gestione del rischio da parte di soggetti esterni all’organizzazione,

in conformità con i requisiti legali, normativi e di altro tipo.

In alcune circostanze questo processo può spingere i managers ad effettuare ulteriori

analisi o a trattare il rischio con i controlli esistenti (ISO, 2009).

Il processo di risk assessment rappresenta dunque una componente chiave

dell’Enterprise Risk Management - Integrated Framework (COSO, 2004), e

sostanzialmente anche di tutti gli altri standard, che ne riconoscono l’importanza come

strumento essenziale per costruire un efficace ed efficiente programma di gestione del

rischio.

Dovendo fornire al Management un visione ampia degli eventi che possono influire sul

raggiungimento degli obiettivi, la fase di risk assessment dovrà essere definita

formalmente, integrata con i processi esistenti e condotta secondo un approccio top-

down che sarà poi rivisto secondo una logica bottom-up (PwC, 2008).

Come già sottolineato valutazioni qualitative sono la forma più elementare di

valutazione del rischio (Altenbach, 1995; PwC, 2008; Berta 2011). Tuttavia, tecniche

quantitative o semi-quantitative più rigorose, richieste soprattutto nel settore finanziario

dalla normativa di riferimento, che prevedono l’utilizzo di modelli probabilistici e non,

possono essere utilizzate per valutare il rischio qualora via sia un flusso di dati interni

ed esterni sufficientemente elevato da garantire la correttezza dei risultati ottenuti

(Altenbach, 1995; PwC, 2008; Berta 2011). L’adozione di questi metodi permette lo

sviluppo di indicatori di rischio che, monitorati regolarmente, assicurano risposte

rapide ed efficienti. Il benchmarking risulta essere inoltre uno strumento utile per

confrontare i dati ottenuti con altre organizzazioni (PwC, 2008).

In ogni caso la scelta dell’approccio migliore dovrebbe essere determinata sulla base

della numerosità e della qualità dei dati disponibili, di un’analisi costi/benefici del

processo di valutazione dei rischi e del monitoraggio degli indicatori predittivi

(Coleman e Marks, 1999; PwC, 2008);

Periodical repetition of the risk assessment process: poiché l’esposizione al rischio

non è una variabile statica, è importante che ogni organizzazione riveda periodicamente

il proprio processo di risk assessment, fissando talvolta un livello minimo di frequenza

con l’obiettivo di assicurare che la gestione del rischio diventa una pratica

CAPITOLO 4

178

profondamente radicata all’interno dell’organizzazione, e non solo un esercizio di

compliance meramente cerimoniale (Paape e Speklè, 2012).

L’elevata frequenza con cui ambiente interno ed esterno possono cambiare richiede

infatti che l’affidabilità dei dati a disposizione e il loro aggiornamento siano sempre

verificati, per assicurare una valutazione ottimale e sempre coerente dell’esposizione al

rischio in qualsiasi momento (Paape e Speklé, 2012). L’intervallo di ripetizione del

processo di risk assessment dipenderà, in ogni caso e in ultima analisi, dalle

caratteristiche specifiche e dal tipo di organizzazione ivi coinvolta;

Prioritization of risks on a residual basis: la valutazione del rischio residuo considera

i rischi identificati in precedenza, le relative strategie di trattamento e le attività di

controllo in atto per determinarne l'impatto e la probabilità di accadimento (COSO,

2004). In altre parole questo processo valuta l'adeguatezza e l'efficacia dei controlli

interni (overcontrolled o undercontrolled) per assicurare che il livello di rischio

determinato in quel momento sia accettabile e in linea con il risk appetite

dell’organizzazione;

Integration of all risks in a risk portfolio and evaluation fo correlations between

them: ogni impresa deve affrontare un gran numero e una varietà di rischi più o meno

significativi. Sebbene spesso siano valutati singolarmente in relazione agli obiettivi che

possono influenzare, risulta tuttavia importante integrarli all’interno di un risk portfolio

che faciliti la comprensione delle interdipendenze e delle interconnessioni che li

caratterizzano, nonché dell’effetto su questi ultimi delle strategie di trattamento e di

gestione selezionate (CAS, 2003, COSO, 2004; Nocco e Stulz, 2006, Beasley e Frigo,

2007; PwC, 2008; Rochette, 2009). Tale approccio aumenta infatti la capacità di

identificare tutti i possibili eventi e assicura una gestione dei rischi coerente con i livelli

di risk tolerance precedentemente determinati (CAS, 2003; PwC, 2008).

All’inizio fu la Modern Portfolio Theory a suggerire la necessità di una visione

integrata dei rischi che includesse non solo quelli finanziari, ma tutti i tipi di rischi,

affinché fosse possibile ridurre il rischio complessivo del portafoglio (CAS; 2003;

Moeller, 2007), sostenendo che la diversificazione aiuta a ridurre il rischio a causa

della non perfetta correlazione tra le diverse regioni o mercati (Carson, 2008; Song e

Cummins, 2008; Lin, Yu e Wen, 2011). A sostegno di questa tesi, Baele (2007) e

Carson (2008) hanno dimostrato che la diversificazione riduce la volatilità degli utili

CAPITOLO 4

179

rendendo le imprese ben diversificate sicuro e abbassando la probabilità di default (Lin,

Yu e Wen, 2011).

Avere una visione di portafoglio supporta il management nel determinare se il profilo

di rischio residuo dell’organizzazione sia commisurato alla propensione al rischio

complessivo, nel rispetto degli obiettivi delineati (COSO, 2004). Rischi in unità diverse

infatti, sebbene possano risultare entro le tolleranze di rischio delle singole unità, se

considerati insieme potrebbero invece superare la soglia del risk appetite definita a

livello di organizzazione (COSO, 2004). Al contrario una portfolio risk point of view,

grazie alla valutazione di tutte le possibili correlazioni positive e negative e alla

compensazione tra i diversi rischi, aiuta il Management a comprendere quale realmente

sia l’esposizione al rischio dell’organizzazione e se questa sia in linea con il risk

appetite atteso (CAS, 2003, COSO, 2004; Moeller, 2007; PwC, 2008);

Definition of a treatment strategy (avoidance, reduction, sharing, retention) for

each risk, considering a trade-off between costs and benefits: la selezione delle

opzioni di trattamento più appropriate, da applicare singolarmente o in combinazione,

comporta il bilanciamento tra i costi, sforzi di attuazione e i benefici, una valutazione

degli effetti potenziali delle strategie individuate su probabilità e impatti, per

determinare se il rischio residuo sia in linea con il livello di tolleranza o siano

necessarie azioni supplementari, e delle possibili opportunità, per individuare risposte

innovative qualora quelle esistenti non siano più efficaci o garantiscano solo risultati

marginali (COSO, 2004; ISO, 2009; Fraser e Simkins, 2010).

Esistono tuttavia rischi che necessitano di essere gestiti perché ritenuti di grande

importanza, sebbene questo non sia giustificabile dal punto di vista economico (ISO,

2009).

Le possibili risposte al rischio rientrano nelle categorie di:

non accettazione, consiste nell’evitare il rischio poiché non sono state individuate

opzioni di gestione utili a ridurre gli impatti e le probabilità di verificarsi (COSO,

2004; Pwc, 2008; ISO, 2009; Lai e Samad, 2010);

riduzione, mira a ridurre le conseguenze negative e ad allineare il rischio residuo

con i livelli di tolleranza desiderati (COSO, 2004; Frigo, 2008, PwC, 2008; ISO,

2009; Lai e Samad, 2010);

CAPITOLO 4

180

condivisione, si tratta di trasferire/condividere completamente o in parte un

determinato rischio, attraverso prodotti assicurativi o operazioni di copertura

(COSO, 2004; Frigo, 2008, PwC, 2008; ISO, 2009; Lai e Samad, 2010);

accettazione, per cui non viene intrapresa nessuna azione per modificare le

probabilità che un evento si verifichi, in quanto il livello di rischio è allineato con il

profilo di rischio dell’impresa (COSO, 2004; PwC, 2008; ISO, 2009; Lai e Samad,

2010).

Tuttavia poiché le risorse a disposizione hanno sempre vincoli, le organizzazioni

dovranno considerare attentamente i costi e i benefici connessi alle diverse opzioni di

risposta ai rischi (COSO, 2004; ISO, 2009). In generale, è più facile valutare i costi,

siano essi diretti o indiretti, includendo talvolta anche i costi opportunità, sebbene tale

quantificazione richieda tempo e impegno che portano spesso le imprese a rinunciarvi.

La stima dei benefici, dall’altra parte, comporta una valutazione soggettiva, la quale

può risultare in molti casi incerta.

Oltre a ciò il Management dovrà considerare i rischi aggiuntivi derivanti da tali

strategie, sviluppando così un processo iterativo di notevole complessità (COSO,

2004).

Il treatment plan (o implementation plan) da implementare dovrà quindi tenere conto

delle diverse strategie da implementare valutando attentamente il trade-off tra costi e

benefici, identificare chiaramente l'ordine di priorità con cui realizzare i trattamenti

individuati ed essere monitorato continuamente per garantire che le misure applicate

rimangano efficaci (COSO, 2004; ISO, 2009).

I piani di trattamento dovrebbero inoltre essere integrati con i processi di gestione

dell'organizzazione e discussi con le parti interessate, che dovranno essere informate

circa la natura e la portata del rischio residuo e la necessità di valutare ulteriori opzioni

(COSO, 2004; ISO, 2009; Lai e Samad, 2010);

Development of adequate contingency plans: il contingency planning è “the process

of developing and embedding in the organization, crisis management protocols in

advance of crisis conditions” (CAS, 2003), messo in atto per proteggere gli interessi

degli stakeholders e degli shareholders (Protiviti, 2010a; Milliman, 2011). Quando si

verifica un evento, il Management dell'organizzazione può avere bisogno di rispondere

rapidamente per mitigare l'impatto di un eventuale evento dannoso.

CAPITOLO 4

181

Nella maggior parte dei casi questi impatti possono essere gestiti come parte dei

normali processi di gestione. Tuttavia, quando la magnitudine dell’evento va oltre la

normale capacità di gestione del management, è necessario sviluppare un approccio

sistematico alla gestione degli incidenti critici (AZ/NSZ, 2004).

La figura 4.6 mostra come vari tipi di piano si inseriscono nella cronologia generale del

processo di contingency planning. I crisis and emergency plan e i recovery plan si

collocano ai due estremi temporali opposti, mentre al centro della gestione critica vi è il

Business Continuity Management (BCM). Questo approccio, se ben implementato, mira

a garantire la continuità dell’impresa a fronte di una potenziale interruzione delle

attività, attraverso la costruzione di un solido framework di gestione per affrontare le

minacce in modo efficace e tempestivo (AZ/NZS, 2004);

Figura 4.6 – Critical incident management [AS/NZS 4360:2004]

Development of a KRI system to monitor risk exposure and ensure it is coherent

with KPI’s and firm strategy, inclusive with a correction and escalation plans if

risks exceed the limits: nel passato le organizzazioni utilizzavano indicatori chiave di

performance (KPI) per supportare il Management nella scelta delle strategie più

efficaci per massimizzare il valore dell’impresa (PwC, 2008; Fraser e Simkins, 2010).

CAPITOLO 4

182

Tuttavia, negli ultimi anni, grazie anche al passaggio da un approccio reattivo ad uno

proattivo (in cui non si tenta più di rispondere efficacemente alle situazioni che si

presentano, ma di anticiparle) sono stati affiancati a queste misure dei key risk

indicators (KRI) in risposta all’aumento dell’incertezza e dei cambiamenti sempre più

frequenti nel contesto economico (Frigo, 2008, PwC, 2008; Beasley, Branson e

Hancock, 2010; Ernst & Young, 2010; Fraser e Simkins, 2010).

Infatti a differenza dei KPI, applicabili soltanto ex-post, i KRI agiscono ex-ante, in

previsione degli eventi incerti che possono impattare sulle performance aziendali,

configurandosi come misure predittive dei risultati aziendali, finalizzate al

raggiungimento degli obiettivi strategici aziendali (PwC, 2008; Beasley, Branson e

Hancock, 2010; Fraser e Simkins, 2010).

Sono principalmente delle metriche di rischio utilizzate dalle organizzazioni per fornire

un segnale di crescente esposizione al rischio in una precisa area dell'impresa e

segnalare la necessità di programmare delle azioni. Alcuni indicatori più elaborati sono

dati dall’aggregazione di diversi indicatori di rischio singoli, che, attraverso un

punteggio multi-dimensionale, segnalano rischi ed opportunità emergenti (Beasley,

Branson e Hancock, 2010).

La selezione e la progettazione di efficaci KRI deve in ogni caso partire da una solida

comprensione degli obiettivi organizzativi e dei risk-related events che potrebbero

pregiudicarne il raggiungimento (Beasley, Branson e Hancock, 2010).

Un metodo efficace parte dall’analisi storica dei rischi che hanno colpito

l’organizzazione in passando per cercare di individuarne le cause, gli effetti e le

strategie di gestione attuate, con l’obiettivo di KRI efficaci. Infatti, tanto più il KRI

rappresenta la causa principale che determina l’evento rischioso, quanto più sarà in

grado di assicurare risposte proattive (Beasley, Branson e Hancock, 2010).

Ai fini di una valutazione tempestiva del rischio, per ciascun KRI viene predeterminata

una soglia o threshold, che segnala al Management il livello massimo di rischio

accettabile e che se attivata richiede l’adeguamento proattivo delle strategie per la

gestione del rischio emergente e per il raggiungimento degli obiettivi fissati, attraverso

l’implementazione di correction e escalation plans (PwC, 2008, Fraser e Simkins,

2010).

CAPITOLO 4

183

L’utilizzo combinato di KPI e KRI inoltre, aumenterà l'attenzione dell’organizzazione

sulla valutazione dei trade-off tra rischi e obiettivi di performance (Fraser e Simkins,

2010; Lai e Samad, 2010);

Existence of a periodic risk reporting system targeted at the different levels of the

organization with different information granularity: come più volte sottolineato

dalla maggior parte degli standard e dei framework esistenti, la comunicazione è un

fattore fondamentale nel risk management e il più delle volte critico (COSO, 2004;

Beasley e Frigo, 2007; ISO,2009; Beasley, Branson e Hancock, 2010; Fraser e

Simkins, 2010; Shenkir e Walker, 2011) Una scarsa comunicazione, infatti, può

costituire di per sé un rischio e minare l’efficacia del processo di risk management.

Tuttavia, prima di definire gli aspetti più tecnici, i managers devono valutare lo scopo

della comunicazione e i destinatari di essa. Solo allora potranno stabilire quale sia la

communication strategy più appropriata da implementare e integrare con l’intero

processo di risk management (COSO, 2004; ISO, 2009).

Fatto ciò dovranno occuparsi di verificare che i giusti messaggi vengano inviati ai

giusti destinatari e che questi siano in grado di interpretarli correttamente. La

comunicazione non riguarderà solo ed esclusivamente i rischi, ma tutto ciò che

potrebbe avere degli effetti sul business o suoi progetti dell’impresa (COSO, 2004;

ISO, 2009).

Questo processo dipenderà in gran parte dalla struttura organizzativa e dalle esigenze

dell’impresa stessa. E’ fondamentale quindi che le strutture formali e fattori, come la

paura di essere valutati severamente o non ascoltati, non impediscano una upward

communication al fine di evitare la mancata o tardiva individuazione di rischi.

È opportuno distinguere tra due differenti sistemi di reporting:

1. il reporting interno, che fa riferimento alla necessità di fornire informazioni

differenti a differenti livelli dell’organizzazione, quali:

o Consiglio di Amministrazione, che deve poter conoscere i rischi più

significativi e i possibili effetti sul valore dell’organizzazione, sapere in quale

modo si intende affrontare le crisi ed essere certo che il processo di risk

management sia efficace;

o Unità operative che devono avere un’idea chiara dei rischi all’interno della

loro area di responsabilità e delle possibili conseguenze che questi possono

avere, valutare con attenzione gli indicatori al fine di poter monitorare le

CAPITOLO 4

184

attività chiave dell’organizzazione e sviluppare un sistema di comunicazione

che permetta uno scambio efficiente di informazioni;

o Singoli individui che devono comprendere le loro responsabilità nei singoli

rischi al fine di migliorare i risultati di risk management e comprenderne

l’importanza all’interno della cultura dell’organizzazione;

2. il reporting esterno, che fa riferimento alla necessità di informare regolarmente gli

stakeholders, i quali richiedono prove di una gestione efficace delle attività

(COSO, 2004; ISO, 2009).

Un parametro rilevante per sviluppare un efficiente sistema di reporting è la granularità

dell’informazione, ovvero il livello della sua profondità. A livello di CdA ad esempio,

le informazioni e gli stessi KRI avranno una minor granularità, fornendo dunque

misure estremamente aggregate e una visione d’insieme. Al contrario, per entrare nel

dettaglio delle singole business unit sarà invece necessario una maggiore granularità,

che supportino decisioni tattiche per la gestione del rischio (Beasley e Frigo, 2007;

Beasley, Branson e Hancock, 2010; Fraser e Simkins, 2010; Shenkir e Walker, 2011);

Proper use of the technology as an aid to support risk management activities: il

ruolo della tecnologia, come strumento di integrazione della gestione del rischio

all’interno di tutta l’organizzazione, non può essere certamente sottovalutato. Infatti la

information technology supporta ormai le imprese nell’identificazione dei rischi e delle

opportunità di miglioramento, ottimizzano i processi aziendali, garantisce trasparenza e

flessibilità e assicura che le informazioni, precedentemente consolidate, siano

disponibili per le persone giuste, al momento giusto e con un adeguato livello di

dettaglio (COSO, 2004; Moeller, 2007; Shenkir e Walker, 2008; ISO, 2009)

La progettazione di un'architettura di sistemi di informazione e di acquisizione della

tecnologia sono aspetti importanti della strategia di un’organizzazione e possono

dunque risultare fondamentali per il raggiungimento degli obiettivi (COSO, 2004;

Moeller, 2007; Shenkir e Walker, 2008). Le decisioni circa la selezione e

l'implementazione di sistemi IT dipendono da molti fattori, tra cui gli obiettivi

organizzativi, le esigenze di mercato e quelle competitive.

I progressi fatti fino ad oggi nei sistemi informativi hanno migliorato la capacità di

molte organizzazioni di misurare e monitorare le prestazioni e presentare le

informazioni analitiche a livello aziendale.

CAPITOLO 4

185

Tuttavia, la crescente dipendenza da sistemi di informazione a livello strategico e

operativo comporta nuovi rischi, quali violazioni della sicurezza o cyber- crimini, che

dovranno essere quindi integrati nella gestione aziendale del rischio (COSO, 2004;

Moeller, 2007).

CAPITOLO 5

186

Capitolo 5

L’Enterprise risk management nel settore

bancario italiano

1. La crisi finanziaria e l’evoluzione dell’enterprise risk management

nel settore bancario

La disciplina del risk management, focalizzata soprattutto sugli aspetti finanziari, è stata

introdotta in Italia a partire dagli anni ’90, a seguito del crollo della Lira sui mercati valutari

e dell’emissione di nuovi prodotti finanziari strutturati e derivati.

Da quel momento le banche hanno implementato importanti progetti volti a sviluppare e

rafforzare i sistemi e le procedure di analisi e misurazione dei rischi, influenzando sempre

di più gli aspetti organizzativi e le decisioni di pianificazione strategica delle imprese.

Il ruolo del risk management si modifica quindi rapidamente, passando da funzione di

sostegno (di staff) a funzione core, con lo scopo di garantire un presidio integrale e continuo

delle minacce che la banca deve gestire, e non si limita più alla tradizionale funzione di

RM, ma si estende piuttosto a tutte le aree di business, assicurando così la diffusione della

consapevolezza del rischio a livello complessivo e il notevole miglioramento dei flussi

informativi interni, con l’obiettivo di creare valore.

Essa diviene “condizione necessaria per garantire una generazione di valore affidabile e

sostenibile, in un contesto di rischio controllato, proteggendo così la solidità finanziaria e

la reputazione d’impresa” (Ghisetti, 2013).

I principali rischi cui solitamente è esposta una banca sono:

rischio di liquidità: l’incapacità delle banca di rispettare gli impegni di pagamento a

causa dell’impossibilità di reperire i fondi necessari (funding liquidity risk) o di

liquidare attività sul mercato (asset liquidity risk);

rischio di credito: nel caso in cui un debitore non sia in grado di assolvere anche solo in

parte ai suoi obblighi di rimborso del capitale e/o al pagamento degli interessi;

rischio di mercato: ossia la possibilità di ottenere un rendimento diverso da quello atteso

a causa di variazioni delle principali variabili di mercato quali i tassi di interesse, i tassi

di cambio, i prezzi delle commodities ecc.;

CAPITOLO 5

187

rischio operativo: legato all’inadeguatezza delle procedure, di sistemi interni e delle

risorse umane;

rischio di reputazione: dipendente dalla percezione negativa dell’immagine della banca

da parte dei suoi stakeholders interni ed esterni;

rischio strategico: derivante da cambiamenti del contesto operativo o da decisioni

aziendali non adeguate o scarsamente reattive al contesto competitivo o dall’esposizione

a variabili di mercato poste al di fuori del controllo del management.

La revisione degli assetti e l’innovazione dei processi, legati alla gestione del rischio di

credito, di mercato e operativo nel settore bancario, sono state in particolar modo

incoraggiate dall’introduzione della disciplina prudenziale di Basilea II nel 2000 e dalla

Circolare n.263 del 2006 della Banca d’Italia, a seguito della crescente necessità di definire

un quadro di norme per la stabilità finanziaria e la copertura dei rischi.

Il CEBS14 ha inoltre sottolineato l’importanza di quattro principi su cui concentrare

l’attenzione nell’ambito dei questa disciplina:

1. la governance, intesa come organo preposto alla supervisione delle pratiche aziendali e

della pianificazione strategia, e la cultura del rischio, la quale deve partire dal top

management ed essere diffusa trasversalmente alle singole unità di business, favorendo

la comunicazione a tutti i livelli aziendali;

2. la propensione e tolleranza al rischio (risk appetite) che devono essere definiti dal top

management, supportato dal comitato di controllo o dalla funzione stessa di RM;

3. il ruolo del chief risk officer (CRO), inteso come responsabile della funzione di RM e

del coordinamento di tutte le attività volte ad una efficace individuazione, misurazione e

valutazione dei rischi;

4. i modelli di integrazione della gestione del rischio, al fine di garantire la pervasività di

tale disciplina all’interno di tutta l’organizzazione.

Successivamente, la crisi del 2007-2008, che ha avuto forti ed evidenti ripercussioni sulla

stabilità finanziaria di tutti gli istituti bancari evidenziandone nuovamente limiti e criticità,

ha reso necessaria un’ulteriore rivisitazione degli assetti organizzavi e dei modelli di

gestione, portando così ad un processo di riforma culminato con lo sviluppo dell’Accordo di

Basilea III.

14 Il CEBS svolge funzione consultiva nei confronti della Commissione europea per la predisposizione

della normativa comunitaria nel settore bancario; contribuisce ad assicurare l’applicazione uniforme delle

direttive comunitarie e la convergenza delle prassi di vigilanza; rafforza la cooperazione in materia di

vigilanza, in particolare mediante lo scambio di informazioni.

CAPITOLO 5

188

Tali riforme hanno portato non solo a definire nuove regole per la misurazione dei rischi,

ma a richiedere alle banche un rafforzamento sostanziale del complessivo sistema di

gestione e della corporate governance, sottolineando il ruolo fondamentale del Consiglio di

Amministrazione, nella definizione e monitoraggio del risk appetite dell’organizzazione, del

sistema di controllo interno, e dei sistemi informativi, come strumento efficiente per

“assicurare robustezza e tempestività al processo di gestione dei rischi” (Tarantola, 2011).

Per questi motivi ora più che mai il risk management “rappresenta una funzione strategica

per gli intermediari finanziari, che, se ben strutturata, consente di conoscere, controllare e

mitigare efficacemente i rischi aziendali” (Tarantola, 2011), e, sebbene gli istituti di credito

italiani abbiano conseguito negli ultimi anni progressi significativi, “l’elevata incertezza dei

mercati e l’evoluzione del quadro regolamentare richiedono ulteriori affinamenti di questa

disciplina” (Tarantola, 2010).

2. La normativa in tema di gestione del rischio

2.1. Da Basilea I a Basilea III

Il Comitato di Basilea per la Vigilanza Bancaria è un organo consultivo internazionale

istituito nel 1974 dalle banche centrali dei paesi del G10. Esso nasce con l’obiettivo di

definire una regolamentazione della Vigilanza Bancaria per assicurare stabilità al sistema

finanziario attraverso la formulazione di proposte, che dovranno poi essere recepite

nell’ambito dei singoli ordinamenti nazionali, al fine di rendere il più possibile omogenea la

normativa di vigilanza bancaria in un sistema finanziario sempre più globalizzato.

L’accordo Basilea I fu raggiunto nel 1988 con lo scopo di “limitare la condotta molto

aggressiva di alcuni istituti di credito, liberi di agire in contesti normativi poco

regolamentati” (Basel I).

Tale documento prevedeva l’introduzione di un requisito patrimoniale minimo, pari all’8%

del capitale erogato, per proteggere i creditori dal rischio di insolvibilità da parte degli

istituti bancari.

I limiti di tale provvedimento tuttavia erano evidenti. Non vi era innanzitutto una

differenziazione del rischio a seconda del tipo di clientela, non venivano valutati i rischi

operativi e la diversificazione di portafoglio non veniva considerata quale elemento di

riduzione del rischio atteso.

CAPITOLO 5

189

Il processo di revisione di questo accordo pose le basi per quello di Basilea II, entrato

definitivamente in vigore il 1 Gennaio 2008. Tale documento si fonda su tre pilastri.

Il primo ridefinisce i requisiti patrimoniali minimi (capital requirement) riformando la

regola precedente dell’8%. Vengono perciò introdotte nuove metodologie di calcolo,

consentendo l’utilizzo di giudizi (rating) interni assegnati alla Banca, in cui vengono inclusi

anche i rischi operativi, oltre a quelli di mercato e di credito.

Le metodologie previste in questo caso sono tre:

1. Metodo Standard: prevede che la valutazione delle imprese venga effettuata da

agenzie di rating esterne appositamente qualificate e autorizzate dall’Autorità di

Vigilanza e che sulla base del rating attribuito venga utilizzato un coefficiente di

ponderazione diverso per il calcolo dell’accantonamento del capitale.

Figura 5.1 – La ponderazioni per il rischio nel nuovo approccio standard [Basel Committee on

banking supervision, 2004]

2. Metodo Internal Rating Based di base (IRB Foundation), pensato per le banche con

limitata esperienza nel rating, e Metodo Internal Rating Based avanzato (IRB

Advanced), per quelle invece che avrebbero dimostrato alle Autorità di Vigilanza di

avere sviluppato strumenti di controllo del credito efficienti ed affidabili. Questi due

metodi prevedono l’individuazione di quattro componenti fondamentali per il calcolo

del rischio:

a. Probabilità di insolvenza della controparte (PD, Probability of Default);

CAPITOLO 5

190

b. Tasso di perdita in caso di insolvenza (LGD, Loss Given Default);

c. Esposizione in caso di insolvenza (EAD, Exposure at Default);

d. Vita residua del prestito (M, Maturity).

A differenza dell’approccio IRB Advanced, in cui tutti i parametri vengono stimati

dalla banca stessa e soggetti a verifica e validation da parte delle Autorità di

Vigilanza, in quello Foundation, ad esclusione del primo, tutti sono fissati dalle

autorità competenti.

Il secondo pilastro impone un processo di controllo prudenziale (supervisory review) da

parte delle Autorità di Vigilanza, che avranno quindi il compito di verificare, oltre ai

requisiti minimi patrimoniali delle banche, anche l’applicazione da parte di queste ultime di

politiche e procedure organizzative indirizzate alla gestione dei propri rischi.

L’ultimo pilastro (market discipline) infine, definisce le modalità di comunicazione delle

informazioni da parte delle banche agli investitori, allo scopo di assicurare una maggiore

trasparenza sul mercato.

La crisi bancaria iniziata nel 2007, e che ancora oggi fa sentire i suoi effetti sul sistema, ha

evidenziato alcuni limiti fondamentali di Basilea II.

La principale ipotesi implicita alla base di questo modello era “l’esistenza di mercati

finanziari liquidi, ove fosse sempre possibile scambiare e smobilitare i titoli in tempi ridotti

e senza incorrere in perdite non legate ai sottostanti movimenti dei fattori di rischio e dove

il funding fosse sempre disponibile” (Penza, 2011).

Ed è stata proprio questa idea di perfetta liquidità ad essere stata smentita dalla recente crisi,

che ha quindi evidenziato, tra le principali mancanze, la definizione poco stringente di

patrimonio di vigilanza, la mancata attenzione alla correlazione tra i rischi, alle

interconnessioni e esposizioni comuni tra le singole istituzioni in situazione di particolare

stress economico e alla prociclicità.

La risposta a questa crisi è stata l’accordo di Basilea III, approvato nel Settembre 2010 dai

Governatori e dai Capi delle Autorità di vigilanza del G20, che si è posto come schema di

regolamentazione internazionale per il rafforzamento delle banche e dei sistemi bancari.

L’insieme di nuove regole è entrato in vigore a partire dal 1 Gennaio 2013 ed è stato

previsto un lungo periodo transitorio fino al 1 Gennaio 2019 al fine di garantire il graduale

adeguamento delle strategie operative di tutti gli istituti di credito.

Le riforme del Comitato di Basilea sono “volte a rafforzare l’assetto regolamentare

internazionale in materia di patrimonio e liquidità, con l’obiettivo di promuovere un

CAPITOLO 5

191

sistema bancario più robusto. L’obiettivo è il rafforzamento della capacità delle banche di

assorbire shock derivanti da tensioni finanziarie ed economiche, indipendentemente dalla

loro origine, riducendo in tal modo il rischio del contagio del settore finanziario

all’economica reale” (Basilea III, 2010).

Tali riforme sono state sviluppate per agire sia a livello di singolo istituto bancario

(microprudenziali), sia a livello di sistema (macroprudenziali).

Attraverso questo programma il Comitato intende inoltre migliorare la gestione del rischio e

la governance delle banche, nonché rafforzare la loro trasparenza informativa.

La novità assoluta rispetto ai precedenti accordi consiste nell’introduzione di alcuni requisiti

minimi di liquidità, aspetto ritenuto fondamentale dopo la crisi, la quale ha dimostrato la

rapidità con cui la liquidità può evaporare ed evidenziato che le situazioni di illiquidità

possono protrarsi a lungo, enfatizzando e standardizzando l’obbligo di bilanciare raccolta e

impieghi di capitale per scadenza e di assicurare, anche in condizioni di stress, che vi siano

fondi sufficienti a garantire i pagamenti.

Le due nuove regole sono state sviluppate per perseguire obiettivi distinti; l’indicatore di

breve termine o Liquidity Cover Ratio (LCR)15, il cui obiettivo è quello di “promote the

short-term resilience of the liquidity risk profile of banks, by ensuring that banks have an

adequate stock of unencumbered high-quality liquid assets (HQLA) that can be converted

easily and immediately in private markets into cash to meet their liquidity needs for a 30

calendar day liquidity stress scenario”(Basilea III, 2013), contribuisce quindi ad assicurare

che le banche internazionali dispongano di un livello soddisfacente di attività liquide, atte a

compensare eventuali uscite di cassa nette, legate ad uno scenario di stress di breve periodo.

L’indicatore strutturale invece, o Net Stable Funding Ratio (NSFR)16 “prevede che la

banca mantenga, su un orizzonte di un anno, un ammontare minimo di provvista stabile in

15 L’LCR è dato dal rapporto tra l’HQLA, attività considerate liquide e di elevata qualità che possono

essere cioè convertite in contanti in modo facile e immediato con una perdita di valore modesta o nulla, e

il totale dei flussi di cassa netti nei 30 giorni di calendario successivi. Il coefficiente deve essere superiore

al 100%. 16 Il NSFR è definito come rapporto tra l’ammontare disponibile di provvista stabile e l’ammontare

obbligatorio di provvista stabile. La provvista stabile disponibile (Available Stable Funding, ASF)

corrisponde all’ammontare complessivo del patrimonio, azioni privilegiate e altri strumenti di capitale

eccedenti l’importo computabile nel Tier 2 con vita residua effettiva pari o superiore a un anno,

considerando eventuali opzioni esplicite o implicite che riducano la scadenza attesa a meno di un anno e

ammontare complessivo dei prestiti contratti e delle passività (compresi i depositi a termine) garantiti e

non garantiti con vita residua effettiva pari o superiore a un anno, a esclusione degli strumenti con opzioni

esplicite o implicite che riducano la scadenza attesa a meno di un anno. Tali opzioni includono quelle

esercitabili a discrezione dell’investitore nell’orizzonte di un anno. L’ammontare obbligatorio della

provvista stabile imposto dalle autorità di vigilanza va misurato in base a ipotesi prudenziali sulle

CAPITOLO 5

192

relazione al grado di liquidità dell’attivo” (Basilea III, 2010), che assicura e vincola le

istituzioni finanziarie a mantenere una frazione significativa delle passività con le stesse

caratteristiche di scadenza, tasso e valuta dell’attivo.

Viene inoltre sottolineata e confermatala funzione di patrimonio quale strumento essenziale

per garantire la stabilità degli intermediari, con un incremento significativo dei requisiti di

capitale.

A tal fine il patrimonio di vigilanza dovrà essere dato dalla somma di:

a. Patrimonio di Base o Tier 1 (in grado di assorbire le perdite in condizioni di

continuità dell’impresa, going concern), con un incremento dall’attuale 4% al 6%,

somma del:

Patrimonio di qualità primaria (Common equiy Tier 1) pari al 4,5%(2% nel

precedente accordo) delle attività ponderate per il rischio e composto da

azioni ordinarie e riserve da utili;

Tier 1 aggiuntivo, somma degli strumenti finanziari emessi dalla banca e da

filiazioni consolidate della stessa;

b. Patrimonio supplementare o Tier 2, in grado di assorbire le perdite in caso di crisi

(gone concern), somma di tutti gli strumenti finanziari emessi dalla banca e non

compresi nel patrimonio di base.

Per migliorare la copertura dei rischi di mercato e di controparte e ridurre i rischi sistemici

l’accordo di Basilea III prevede, oltre alla definizione di requisiti patrimoniali più alti,

l’introduzione di nuove regole per il calcolo di parametri chiave nella definizione dei

requisiti minimi, che andranno valutati in condizioni di stress (Stressed VaR).

Altre novità consistono nell’introduzione di un indice di leva finanziaria (leverage ratio)

con lo scopo di impedire che le banche sviluppino livelli di debito eccessivo, di un buffer di

conservazione del capitale (Capital conservation buffer, Ccb) pari al 2,5% del Common

Equity Tier 1, in aggiunta ai requisiti minimi di adeguatezza patrimoniale, con l’obiettivo di

caratteristiche generali dei profili di rischio di liquidità delle attività di un’istituzione, delle sue

esposizioni fuori bilancio e di alcune altre operazioni da essa effettuate. Esso è calcolato come somma del

valore delle attività detenute e finanziate dall’istituzione, moltiplicato per un fattore specifico di provvista

stabile obbligatoria (Required Stable Funding, RSF) attribuito a ciascuna particolare tipologia di attività,

cui va aggiunto l’ammontare delle operazioni OBS (o esposizione di liquidità potenziale) moltiplicato per

il fattore RSF associato. Il fattore RSF applicato ai valori iscritti per ciascuna attività o esposizione OBS è

l’ammontare di tale posta per il quale le autorità di vigilanza ritengono debba corrispondere una provvista

stabile. Le attività maggiormente liquide e più prontamente disponibili per servire da fonte di liquidità nel

contesto di tensione individuate in precedenza ricevono fattori RSF più bassi (e richiedono meno

provvista stabile) rispetto a quelle considerate meno liquide in dette circostanze e che, pertanto,

necessitano di un approvvigionamento stabile maggiore.

CAPITOLO 5

193

accumulare riserve aggiuntive alle quali attingere per far fronte alle perdite subite, e di un

buffer anticiclico (Countercyclical capital buffer, Cccb), compreso tra lo zero e il 2,5%

delle attività ponderate per il rischio, volto ad assicurare che il settore bancario assorba gli

shock anziché trasmettere il rischio al sistema finanziario e all’economia più in generale.

L’idea sottostante è quella secondo cui le banche dovrebbero mantenere, in periodi di forte

stress economico, buffer patrimoniali in eccesso rispetto ai requisiti minimi. Operare al di

sotto di tali limiti, infatti, significherebbe non solo essere oggetto di attenzione da parte

degli organi di vigilanza, ma costituirebbe un elemento negativo anche per il mercato.

L’accordo prevede per l’implementazione di tali misure un regime transitorio che durerà

fino al 2019 e che permetterà alle banche di recepire tali disposizioni mediante ragionevoli

politiche di accantonamento degli utili e di aumenti di capitale, garantendo tuttavia

continuità nell’erogazione di credito all’economia.

CAPITOLO 5

194

Figura 5.2 - Fasi di applicazione dei nuovi requisiti [Basilea III, Schema di regolamentazione

internazionale per il rafforzamento delle banche e dei sistemi bancari, Dicembre 2010, Allegato 4]

In linea con le disposizioni precedenti del Pilastro 3, Basilea III introduce infine nuovi

requisiti minimi di trasparenza e obblighi di informativa con lo scopo di migliorare la

CAPITOLO 5

195

comunicazione con il mercato, con le autorità di Vigilanza e con gli stakeholders interni ed

esterni.

Il nuovo framework regolamentare ha sicuramente impattato sulla redditività dell’impresa,

che si vede ridotta la possibilità di effettuare operazioni rischiose ricorrendo ad un maggiore

livello di indebitamento, sulla sua capacità di erogare credito, minore a causa

dell’innalzamento qualitativo e quantitativo del capitale di vigilanza, e sul pricing di

determinate operazioni, in aumento data la necessità sempre maggiore di valutare in

maniera più attenta le proprie controparti.

Impatti questi che, tuttavia, potranno essere compensati, anche se solo in parte, da una

migliore gestione dei costi e dei rischi.

Il nuovo schema di regolamentazione ha avuto importanti ripercussioni anche sui modelli e

sui sistemi organizzativi.

A partire da Basilea I il tema della gestione interna si intreccia con gli obiettivi di stabilità

finanziaria e la Corporate Governance assume un ruolo sempre più importante e decisivo

nel raggiungimento di tali obiettivi, favorendo l’allineamento tra scelte di governo

d’impresa e benefici degli azionisti o più in generale degli stakeholders.

La sua area di competenza si amplia fino a comprendere i processi decisionali delle diverse

funzioni, i controlli interni, la tutela degli stakeholders, la relazione con i clienti e la

gestione dei rischi di reputazione.

Il sistema di controlli interni (Sci), inteso come “l’insieme delle regole, delle procedure e

delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e

il conseguimento delle finalità di efficacia ed efficienza dei processi aziendali, di

salvaguardia del valore delle attività, di affidabilità e integrità delle informazioni contabili

e gestionali, di conformità delle operazioni con normative e regolamentazione, oltre che

con piani e procedure interne” (Maino, 2011), si sviluppa su tre livelli attraverso tre diverse

strutture di controllo, quali quelle di Internal Audit, Risk Management e Unità di controllo

nell’area business.

CAPITOLO 5

196

Figura 5.3 - Stilizzazione dei livelli di controllo interno [Renato Maino, Banche e corporate governance:

un passaggio critico verso Basilea 3, pag.69]

A fronte di tale centralità e di un processo di valutazione dei rischi sempre più complesso,

che coinvolge la stessa cultura aziendale, emerge quindi la necessità di sviluppare nuove

figure professionali, nuove competenze e di rafforzare aspetti organizzativi e di governo

interno.

A questo proposito la figura di riferimento diventa quella del CRO il cui compito è quello di

presentare al Board, che assume un ruolo ancor più attivo all’interno del risk management e

che sulla base di tali prospettive dovrà esplicitamente definire le strategie di rischio e

l’insieme di valori dell’organizzazione, una chiara visione di tutti i possibili scenari che

potranno coinvolgere l’impresa.

In tale framework la funzione interna di risk management “risale lungo l’intera linea

aziendale per accedere con le proprie elaborazioni al vertice aziendale, segnando un

passaggio importante per la professione e per il proprio ruolo aziendale” (Maino, 2011).

Tale funzione diviene poi responsabile dell’integrazione e della gestione dei rischi a tutti i

livelli aziendali, con l’obiettivo di evitare approcci a silo e monitorare costante il risk

appetite dell’organizzazione.

CAPITOLO 5

197

2.2. La circolare n.263 della Banca d’Italia

Le nuove disposizioni di vigilanza prudenziale per le Banche, introdotte dalla Banca d’Italia

con la circolare n.263 del 27 Dicembre 2006, recepiscono la normativa comunitaria definita

nelle direttive 2006/48/CE e 2006/49/CE del 14 giugno 2006 e l’accordo Basilea 2 sulla

“Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali”,

rispettano la struttura articolata sui tre pilastri.

Essa prevede dunque l’introduzione di un requisito patrimoniale per far fronte ai principali

rischi dell’attività bancaria e finanziaria, quali quelli di credito, di mercato, di controparte e

operativi, nel rispetto del principio di proporzionalità, che spinge a tenere conto delle

diversità degli intermediari, in termini di dimensioni, complessità e altre caratteristiche,

dettando quindi in alcuni casi regole differenziate; in accordo con il secondo pilastro

disciplina il processo di controllo dell’adeguatezza patrimoniale, stimolando le banche a

migliorare le pratiche gestionali e le tecniche di misurazione dei rischi, assegnando

all’Autorità di vigilanza il dovere di verificarne l’affidabilità; infine prevede l’introduzione

di obblighi di informativa al pubblico riguardanti l’adeguatezza patrimoniale, l’esposizione

ai rischi e le caratteristiche generali dei relativi sistemi di gestione e controllo, con

l’obiettivo di incentivare la parità concorrenziale.

Le disposizioni prevedono una vasta gamma di metodologie che le banche possono

utilizzare per il calcolo dei requisiti patrimoniali a fronte dei rischi di credito, di

controparte, di mercato e operativo, caratterizzate da diversi gradi di complessità, in

funzione della capacità della banca di gestire i rischi.

Per quanto concerne il rischio di credito le banche possono utilizzare il metodo

standardizzato nell’ambito del quale è prevista la suddivisione delle esposizioni in diverse

classi (”portafogli”), a seconda della natura della controparte, e l’applicazione a ciascun

portafoglio di coefficienti di ponderazione diversificati, eventualmente anche in funzione di

valutazioni del merito creditizio rilasciate da un soggetto terzo riconosciuto dalla Banca

d’Italia (ECAI, agenzie esterne di valutazione del merito di credito), da agenzie di credito

alle esportazioni (ECA) riconosciute dalla Banca d'Italia o da un'autorità competente di altro

Stato comunitario.

L’utilizzo dei metodi IRB è soggetto all’autorizzazione della Banca d’Italia, che deve

inizialmente verificare il rispetto dei requisiti minimi a fronte del rischio di credito, il

calcolo delle componenti del rischio quali PD, LGD, EAD, M e la suddivisione delle

CAPITOLO 5

198

esposizioni del portafoglio bancario in diverse classi (es. esposizioni creditizie verso

amministrazioni centrali e banche centrali, esposizioni creditizie verso imprese ecc.).

Il sistema di rating utilizzato dovrà essere scelto, elaborato e messo in opera da una

funzione specifica, mentre un’altra si occuperà di verificarne nel continuo e in maniera

iterativa l’affidabilità e il mantenimento della sua coerenza con le prescrizioni normative,

con le esigenze operative aziendali e con l’evoluzione del mercato di riferimento (Banca

d’Italia, 2006).

In tale contesto dovrà essere inserita anche una funzione di revisione interna con l’obiettivo

di valutare la funzionalità complessiva dell’assetto dei controlli sul sistema di rating.

La disciplina di vigilanza consente poi il riconoscimento ai fini prudenziali delle tecniche di

attenuazione del rischio di credito (Credit risk mitigation – CRM) a tutte le banche,

indipendentemente dal metodo scelto per il calcolo del requisito patrimoniale, sia pure con

alcune differenze relative alla tipologia di strumenti riconosciuti e alle modalità di calcolo.

Le tecniche di CRM sono suddivise in due categorie generali: la protezione del credito di

tipo reale (funded), costituite ad esempio da garanzie reali finanziarie (collateral), e la

protezione del credito di tipo personale (unfunded), costituita da garanzie personali

(guarantees) e derivati su crediti. Anche in questo caso le banche dovranno disporre di un

sistema di gestione delle tecniche CRM che presidi l’intero processo di acquisizione,

valutazione, controllo e realizzo degli strumenti utilizzati.

Specifiche disposizioni definiscono le metodologie per il calcolo del rischio di controparte,

caratterizzati da un crescente grado di complessità e sensibilità al rischio, tra cui il metodo

del valore corrente, il metodo standardizzato e il metodo dei modelli interni di tipo EPE.

Relativamente ai rischi di mercato (rischi di posizione e concentrazione, con riferimento al

portafoglio di negoziazione a fini di vigilanza; rischi di cambio, regolamento e di posizione

su merci, con riferimento all’intero bilancio), le banche possono adottare una metodologia

standardizzata, che permette di calcolare un requisito patrimoniale complessivo, ottenuto

come somma dei requisiti di capitale a fronte dei singoli rischi sulla base del c.d. "approccio

a blocchi" (building-block approach).

In alternativa o in combinazione con la metodologia di cui sopra, possono utilizzare i propri

modelli interni, basati sul controllo quotidiano dell'esposizione al rischio, come ad esempio

il VaR e il VaR in condizioni di Stress, l’IRC (Incremental Risk Charge) e l’APR (All Price

Risks).

CAPITOLO 5

199

Infine per la determinazione del requisito patrimoniale a fronte del rischio operativo, le

banche possono affidarsi a tre diversi metodi:

il metodo Base (Basic Indicator Approach, BIA), il quale prevede che il requisito

stesso sia calcolato applicando un coefficiente regolamentare (15 per cento) ad un

indicatore del volume di operatività aziendale, individuato nel margine di

intermediazione (Banca d’Italia, 2006);

il metodo Standardizzato (TSA – Traditional Standardised Approach);

i metodi Avanzati (AMA – Advanced Measurement Approaches), basati sulla

raccolta di dati interni e esterni di perdita operativa, di analisi di scenario e di fattori

del contesto operativo e del sistema.

La normativa, inoltre, “rafforza il legame tra requisiti di carattere patrimoniale e profili

organizzativi, valorizzandone le sinergie tanto nella gestione delle banche quanto nelle

valutazioni e negli interventi di carattere prudenziale” (Banca d’Italia, 2006), assegnando

quindi un ruolo fondamentale nella gestione e nel controllo dei rischi agli organi di governo

societario, ai quali viene espressamente richiesto di assicurare il presidio di tutti i rischi cui

è soggetto l’intermediario, di individuarne le strategie e le politiche di gestione,

verificandone nel continuo l’efficacia e l’efficienza, e di definire i compiti e le

responsabilità delle varie funzioni e strutture aziendali.

Tale aspetto viene approfondito nel Capitolo 7, introdotto solo successivamente con il 15°

aggiornamento del 2 Luglio 2013, dedicato al sistema dei controlli interni come parte

integrante del complesso di norme che concernono gli assetti di governo e controllo delle

banche.

Esso è inteso come insieme di regole, funzioni, strutture, risorse, processi e procedure volte

ad assicurare piena consapevolezza della situazione ed efficace presidio dei rischi e delle

loro possibili interrelazioni, facilitando l’adattamento del contesto organizzativo alle

strategie e alle politiche d’impresa e favorendo la diffusione dei valori aziendali e della

cultura dei rischi.

La normativa individua quindi tre livelli di controllo entro cui dovranno inserirsi le diverse

funzioni:

1. Controllo di linea (1° livello) volto ad assicurare il corretto svolgimento delle

operazioni, che prevede il coinvolgimento delle stesse unità di business;

CAPITOLO 5

200

2. Controlli sui rischi e sulla conformità (2°livello) con l’obiettivo di garantire la

corretta implementazione del processo di gestione dei rischi e la conformità

dell’operatività aziendale alle norme;

3. Revisione interna (3° livello) che mira a valutare l’adeguatezza, la completezza, la

funzionalità e l’affidabilità dei sistemi di controllo interno e del sistema

informativo;

e fornisce indicazioni circa il ruolo e la definizione di alcuni organi, quali:

Organo con funzione di supervisione strategica (il Board) enfatizzando

ulteriormente il suo ruolo nella definizione del modello di business e del RAF17 e

nell’approvazione di un codice etico al quale tutti gli organi aziendali e i dipendenti

devono uniformarsi;

Organo con funzione di gestione cui spetta un’approfondita comprensione di tutti i

rischi e delle loro possibili interrelazioni, nonché il compito di definire ruoli e

responsabilità per tutti i soggetti coinvolti nel processo di risk management;

Organo con funzione di controllo (collegio sindacale, consiglio di sorveglianza o

comitato per il controllo).

Limitatamente a quest’ultimo punto la regolamentazione prevede che le banche istituiscano,

o ricorrano all’esternalizzazione di18 funzioni aziendali di controllo permanenti e

indipendenti di conformità alle norme (compliance), di controllo dei rischi (risk

management) e di revisione interna (internal audit).

La prima è finalizzata sostanzialmente al presidio del rischio di non conformità, ossia la

possibilità di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti

o danni di reputazione in conseguenza di violazioni di norme imperative o di

autoregolamentazione (Banca d’Italia, 2006).

17 A seguito della normativa, le banche dovranno obbligatoriamente definire un quadro di riferimento per

la determinazione della propensione al rischio (Risk Appetite Framework, RAF), che stabilisca ex ente gli

obiettivi di rischio/rendimento che l’organizzazione intende raggiungere e i conseguenti limiti operativi.

Esso conterrà le tipologie di rischi che la banca intende assumere e fisserà gli obiettivi di rischi, le

eventuali soglie di tolleranza e i limiti in condizioni di normale operatività o di stress. La banca dovrà

assicurare una stretta coerenza tra il modello di business, il piano strategico, il RAF, il processo ICAAP, i

budget, l’organizzazione aziendale e il sistema dei controlli interni [Nuove disposizioni di vigilanza

prudenziale per le banche, Circolare n.263 del 27 Dicembre 2006] 18 Le nuove disposizioni ammettono il ricorso all’outsourcing, purché le banche presidino attentamente i

rischi derivanti dalle scelte effettuate e mantengano la capacità di controllo e la responsabilità delle

attività esternalizzate.

CAPITOLO 5

201

La seconda ha l’obiettivo di presidiare alla definizione ed attuazione del RAF e delle

relative politiche di governo dei rischi, attraverso un adeguato processo di gestione degli

stessi e soprattutto a fornire pareri preventivi circa la coerenza con il RAF stesso delle

operazioni più rilevanti (Banca d’Italia, 2013a).

Il Risk Appetite rappresenta l’ammontare di rischio complessivo che una società p disposta

ad assumere nel raggiungimento degli obiettivi di crescita del valore aziendale. Esso riflette

la propensione al rischio dell’azienda, che influenza le strategie di crescita del valore e il

modello di business adottato.

Se ben articolato esso rappresenta una linea-guida per un continuo dialogo tra il

management e il CdA e per una gestione efficace del rischio.

Il RAF diviene un elemento essenziale e si configura come insieme di metriche, processi,

regole di governance e sistemi a supporto della corretta gestione del livello e del tipo di

rischio che una società è disposta ad assumere, coerentemente con i propri obiettivi

strategici. Il framework ha dunque lo scopo di allineare efficacemente il profilo di rischio

agli obiettivi definiti dall’organo di supervisione strategica e dai vertici aziendali sulla base

delle aspettative degli stakeholder e consente di legare la strategia di rischio alla

pianificazione di business, al sistema di limiti e alla valutazione della performance e della

remunerazione.

Il processo prevede la definizione di un Risk Appetite Statement articolato su tre livelli:

i. Livello obiettivo, che indica il livello ottimale di rischio cui la banca desidera esporsi

e rappresenta l’ammontare di rischio che la banca è disposta a sopportare per

raggiungere i propri obiettivi;

ii. Livello limite, che indica il livello massimo di rischio che la società è disposta a

sopportare, considerando tra gli altri il contesto di mercato e i vincoli regolamentari

esistenti;

iii. Livello soglia, che indica il livello di attenzione, al superamento del quale devono

essere implementate azioni correttive e rappresenta il sistema di allarme che attiva la

valutazione dell’opportunità di implementare possibili piani di contingency.

Tale processo può essere affrontato secondo due approcci principali: il primo è l’approccio

top-down, dove è il CdA che definisce il Risk Appetite Statement e che lo declina e

diffonde verso la struttura organizzativa; il secondo è quello bottom-up, ove le diverse

espressioni di Risk Appetite a livello operativo sono aggregate e vanno a formare il RA

complessivo per l’intera struttura.

CAPITOLO 5

202

Il primo permette di coinvolgere attivamente il Consiglio di Amministrazione nella

creazione del consenso, nelle tematiche di risk management e nell’integrazione di

quest’ultima nella pianificazione strategia e gli assicura un ruolo privilegiato per la

risoluzione di eventuali conflitti di interesse tra i diversi stakeholders. A dispetto di ciò

tuttavia non permette che le caratteristiche operative siano tenute nella dovuta

considerazione in fase di definizione dello statement.

Al contrario il secondo approccio assicura che tutti i rischi siano considerati, valutando gli

input provenienti da tutti i risk expert per ottenere il consenso sulla tolleranza per ciascun

rischio, e permette di coinvolgere tutti i livelli manageriali nella definizione dello statement,

sebbene possa portare talvolta ad una visione parziale di alcune problematiche e possa

risultare molto time consuming.

Limitatamente alla funzione di risk management la normativa ne sottolinea il ruolo in

relazione al rischio di liquidità (Banca d’Italia, 2006).

Essa deve concorrere all’individuazione delle politiche di gestione, allo sviluppo dei sistemi

di misurazione e monitoraggio del liquidity risk, alla realizzazione di stress test completi e

di una reportistica periodica aggiornata ed efficace, rapportandosi direttamente con gli

organi di supervisione strategica e di gestione.

La terza, invece, si concentra da un lato sul controllo periodico dell’andamento e

dell’evoluzione dei rischi, dall’altro sull’affidabilità e sulla robustezza delle componenti del

sistema dei controlli interni e, più in generale, della struttura organizzativa.

Con riferimento alla seconda funzione, viene ampliato il ruolo del Chief Risk Officer

(CRO), cui viene richiesto esplicitamente di supportare l’organo con funzione di

supervisione strategica nella definizione del RAF, di monitorare nel continuo l’andamento

della rischiosità aziendale e di valutare preventivamente le operazioni di maggior rilievo

con la possibilità di esercitare il potere di veto.

In un’ottica di rafforzamento del sistema di gestione dei rischi, la regolamentazione

sottolinea inoltre il ruolo dei sistemi informativi come strumento primario efficace ed

efficiente per facilitare il raggiungimento degli obiettivi strategici e operativi, che consente

al management di disporre di informazioni pertinenti e dettagliate per l’assunzione di

decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei

rischi (Banca d’Italia, 2006).

CAPITOLO 5

203

2.3. La circolare n.285 e la ricezione della direttiva CRR e CRD IV

La circolare n.285 “Disposizioni di vigilanza per le banche” del 17 Dicembre 2013 nasce

con l’obiettivo di recepire le nuove proposte dell’Accordo Basilea III (“Schema

internazionale di regolamentazione per le banche”), il regolamento (UE) n.575/2013,

Capital Requirements Regulation (CRR), e la direttiva 2013/36/UE, Capital Requirements

Directive IV (CRD IV), sviluppate dalle istituzioni comunitarie e delle autorità che

compongono il Sistema Europeo di Vigilanza Finanziaria con l’obiettivo di creare un

insieme di regole vincolanti uniformi a livello europeo (single rulebook) e realizzare

l’armonizzazione assoluta in ambito della disciplina prudenziale bancaria, riducendo allo

stesso tempo la discrezionalità nazionale (Banca d’Italia, 2013b).

Essa quindi raccoglie in un unico fascicolo le disposizioni contenute in particolare nella

Circolare n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza per le banche” e

nella la Circolare n. 229 del 21 aprile 1999 “Istruzioni di Vigilanza per le banche”,

ispirandosi ad alcuni principi basilari quali: la gestione integrata dei rischi, il

coinvolgimento dei vertici aziendali, l’efficacia e l’efficienza delle politiche di controllo

attuate.

Mantenendo quindi la struttura dei tre pilastri e i requisiti patrimoniali, rafforzati

ulteriormente dall’accordo Basilea III, tale circolare integra alcune ulteriori misure

prudenziali introdotte dalla CRD IV.

Oltre infatti al CCB (Capital conservation buffer) e al CCCB (Countercyclical capital

buffer), essa disciplina una riserva per gli enti a rilevanza sistemica globale (Global

systemically importannt institution buffer, G-SII buffer) e una riserva per gli altri enti a

rilevanza sistemica (Other systemically important institution buffer, O-SII buffer), con lo

scopo di introdurre requisiti patrimoniali più elevati per quei soggetti che, proprio a causa

della loro rilevanza nel sistema finanziario globale o domestico, potrebbero avere su

quest’ultimo importanti ripercussioni negative.

Inoltre, qualora le banche che non dovessero essere in grado di rispettare i requisiti di

riserve di capitale stabiliti non potranno distribuire dividendi, remunerazioni variabili e altri

elementi utili a formare il patrimonio regolamentare oltre limiti prestabiliti e dovranno

definire le misure necessarie a ripristinare il livello di capitale richiesto.

Nell’ambito del processo di controllo prudenziale (Supervisory Review Process – SRP) la

nuova normativa revisiona, attraverso l'aggiunta di ulteriori tipologie di rischio da

sottoporre a valutazione, il processo interno di determinazione dell’adeguatezza

CAPITOLO 5

204

patrimoniale (Internal Capital Adequacy Assessment Proess – ICAAP), fondato su idonei

sistemi aziendali di risk management, su meccanismi di governo societario, su una struttura

organizzativa con linee di responsabilità definite ed efficaci sistemi di controllo interno, , e

il processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation

Process- SREP), svolto dall’autorità di vigilanza che analizza i profili di rischio della banca

in condizioni di stress e il relativo contributo al rischio sistemico, valutando l’adeguatezza

del sistema di governo aziendale, degli organi di controllo e la struttura organizzativa, nel

rispetto delle regole prudenziali (Banca d’Italia, 2013b).

L’ICAAP si sostanzia in tre fasi:

1. Individuazione dei rischi da sottoporre a valutazione: le banche effettuano

un’attenta ed approfondita analisi di tutti i rischi cui sono o potrebbero essere

esposte;

2. Misurazione dei singoli rischi e determinazione del capitale interno relativo a

ciascuno di essi, utilizzando le metodologie più appropriate a seconda delle

caratteristiche operative ed organizzative e migliorando la loro valutazione

attraverso stress testing di tipo “what if”, per valutare la propria esposizione al

rischio in condizioni sfavorevoli;

3. Misurazione del capitale interno complessivo;

4. Determinazione del capitale complessivo e riconciliazione con il patrimonio di

vigilanza.

Esso, nel rispetto del principio di proporzionalità, prevede la ripartizione delle banche in tre

classi, a cui saranno applicate diverse metodologie per la misurazione/valutazione dei rischi

e tipologie di stress test.

Tale processo, inoltre, data la sua complessità e rilevanza come parte integrante della

gestione aziendale nella definizione delle strategie, dell’operatività e del RAF, coinvolge

una pluralità di figure professionali e strutture organizzative quali ad esempio funzioni di

pianificazione, internal audit e risk management.

Alla luce di quanto detto risulta dunque evidente l’indispensabile rafforzamento di

quest’ultima lungo tre direttrici:

Organizzativa: alla visione tradizionale di unità organizzativa indirizzata al

“controllo di secondo livello” deve aggiungersi la concezione ingegneristica di

“processo aziendale” top-down e bottom-up, che coinvolga interamente la struttura

aziendale;

CAPITOLO 5

205

Funzionale: il risk management non deve limitarsi all’individuazione e misurazione

dei rischi, solo attraverso lo sviluppo di modelli, ma deve partecipare attivamente

alla definizione degli obiettivi strategici e al controllo di gestione;

Contenutistica: l’approccio a compartimenti stagni, ossia a silos, deve essere

superato, a favore di una “visione olistica dell’esposizione complessiva, attenta alle

interazioni tra rischi, unità di business e entità giuridiche” (Ghisetti, 2013).

2.4. Il rischio di Compliance: il D. Lgs 231/01

Il Decreto Legislativo n.231 del 2001 introduce la responsabilità amministrativa dell’ente

per gli illeciti amministrativi dipendenti da reato.

Le disposizioni in esso previste, come recita l’art.1 comma 2, si applicano agli enti forniti di

personalità giuridica, cioè dotati di autonomia patrimoniale perfetta (secondo cui la

compagine sociale dell’ente risponde dei debiti di quest’ultimo limitatamente ai propri

conferimenti), e alle società e associazioni anche prive di personalità giuridica, in cui il

patrimonio dell’ente si confonde con il patrimonio personale dei soci.

Si ha quindi il superamento del brocardo latino “societas delinquere non potest”,

attribuendo per la prima volta una responsabilità di natura mista, penalistico-

amministrativa, che concerne la commissione dei reati da parte di enti collettivi.

Tale disposizioni, tuttavia, non si applicano allo Stato, agli enti pubblici territoriali, agli altri

enti pubblici non economici nonché agli enti che svolgono funzioni di rilievo costituzionale.

La finalità prevalente, sottesa all’emanazione di tale Decreto, consiste in primis nel

sanzionare in via diretta gli enti collettivi per comportamenti illeciti imputabili ai soggetti

che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di

una sua unità organizzativa, dotata di autonomia finanziaria e funzionale, nonché da

persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (ex art.5 comma

1 lettera a, D.lgs231/01), e, in secundis, in una maggiore responsabilizzazione degli enti per

ciò che concerne l’attività di monitoraggio e supervisione dell’operato dei soggetti sopra

indicati.

Tuttavia l’ente non risponde se le persone di cui sopra hanno agito nell’interesse esclusivo

proprio o di terzi.

Le sanzioni previste, che si modellano sulle caratteristiche peculiari del soggetto cui sono

destinate, sono di natura amministrativa e consistono in:

sanzioni pecuniarie, atte a ledere il patrimonio dell’ente;

CAPITOLO 5

206

sanzioni interdittive, finalizzate alla limitazione o inibizione delle attività

economico-produttive del soggetto collettivo;

confisca

pubblicazione della sentenza, con l’obiettivo di minare l’immagine dell’impresa

all’interno del mercato in cui opera.

Qualora il reato sia stato commesso da soggetti in posizione apicale, l’ente non risponde se

l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto,

un modello di organizzazione e di gestione atto a prevenire tale azione criminosa, ha

istituito un organismo di vigilanza con lo scopo di supervisionare tale modello, se le

persone che hanno commesso tale reato hanno eluso fraudolentemente il modello di

organizzazione e di gestione o non vi è stata sufficiente ed efficace vigilanza da parte

dell’organismo ad essa preposto.

Il modello di organizzazione, di cui sopra, dovrà essere perciò finalizzato ad individuare le

attività nel cui ambito possono essere commessi i reati, prevedere specifici controlli diretti a

programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da

prevenire, individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la

commissione dei reati e introdurre un sistema disciplinare atto a sanzionare il mancato

rispetto delle misure indicate nel modello (ex art.6 comma 2 lettera a,b,c,d,e, D.lgs 231/01).

Se invece il reato è stato commesso da persone sottoposte alla direzione o alla vigilanza di

uno dei soggetti apicali, l’ente risponderà solo nel caso in cui la commissione del reato è

stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza (ex art.7 comma

1, D.lgs231/01).

In ogni caso l’ente non risponderà qualora abbia adottato un modello di organizzazione e

gestione che preveda l’attuazione di misure efficaci nell’eliminazione tempestiva delle

situazioni di rischio, atte a garantire lo svolgimento delle attività aziendali nel rispetto della

legge, grazie ad una verifica periodica ed un’eventuale modifica dello stesso e alla

creazione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure

indicate in tale modello (ex art.7 comma 4, D.lgs231/01).

CAPITOLO 5

207

3. L’enterprise risk management nel gruppo UNICREDIT

3.1. L’assetto organizzativo

La Banca è la Capogruppo dell’omonimo Gruppo Bancario (di seguito il “Gruppo

UniCredit” o il “Gruppo”), presente a livello internazionale ed ha una posizione strategica

in Europa centro-orientale, grazie ad un modello di business volto a servire i singoli mercati

con un approccio locale e, nel contempo, cogliere le sinergie e le economie di scala di un

gruppo globale.

Quale Capogruppo, la Banca è responsabile della massimizzazione del valore di lungo

termine del Gruppo nel suo complesso, garantendone il governo unitario, l’indirizzo e il

controllo strategico, nonché l’efficiente erogazione dei servizi all’intero Gruppo.

Il quadro complessivo della Corporate Governance di UniCredit, inteso come il sistema

delle regole e delle procedure cui gli organi sociali fanno riferimento per ispirare la propria

linea di condotta e adempiere alle diverse responsabilità nei confronti dei propri

stakeholder, è stato definito tenendo presente le norme vigenti e le raccomandazioni

contenute nel Codice di Autodisciplina delle società quotate e si inspira ad un sistema

tradizionale.

Le ragioni della scelta di questo modello di governance risiedono nella considerazione che

lo stesso abbia dimostrato nel tempo di essere idoneo ad assicurare l’efficienza della

gestione e l’efficacia dei controlli, e quindi le necessarie condizioni che consentono alla

Capogruppo di assicurare una sana e prudente gestione di un gruppo bancario complesso e

globale quale è il gruppo UniCredit.

Caratteristica essenziale di tale sistema è la separazione tra compiti di gestione della società,

di controllo sull’amministrazione e di revisione legale dei conti. Esso infatti prevede la

presenza di un Consiglio di Amministrazione con funzioni amministrative, cui spetta in via

esclusiva la supervisione strategica e la gestione dell’impresa, e di un Collegio Sindacale

con funzioni di controllo sull'amministrazione, entrambi di nomina assembleare, mentre la

revisione legale dei conti è affidata ad una società di revisione legale.

In relazione al Consiglio di Amministrazione, gli amministratori agiscono e deliberano

con cognizione di causa ed in autonomia, perseguendo l’obiettivo prioritario della creazione

di valore per gli azionisti. Coerentemente con tale obiettivo, gli amministratori, nello

svolgimento dell’incarico, tengono anche conto delle direttive e politiche definite per il

Gruppo UniCredit nonché dei benefici derivanti dall’appartenenza al Gruppo medesimo.

CAPITOLO 5

208

Tale organo delibera con competenza esclusiva in merito alla determinazione degli indirizzi

generali di gestione delle politiche di sviluppo del Gruppo propedeutici alla redazione di

piani strategici, industriali e finanziari pluriennali e di budget d’esercizio della Società e del

Gruppo, alla loro modifica e alla verifica della loro corretta attuazione. Si occupa inoltre

della formalizzazione delle politiche per il governo dei rischi cui il Gruppo può essere

esposto, del loro riesame periodico al fine di assicurarne l’efficacia nel tempo e la vigilanza

sul concreto funzionamento dei processi di gestione e controllo dei rischi nel rispetto delle

previsioni normative e regolamentari vigenti. Infine attraverso la valutazione

dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile generale, definisce

le linee di indirizzo del sistema di controllo interno, verificandone almeno annualmente

l’adeguatezza, l’efficacia e l’effettivo funzionamento e assicurandosi che i principali rischi

aziendali siano correttamente identificati nonché misurati, gestiti e monitorati in modo

adeguato, determinando, inoltre, criteri di compatibilità di tali rischi con una sana e corretta

gestione della Società.

Al fine di favorire un efficiente sistema di informazione e consultazione che permetta al

Consiglio una migliore valutazione di alcuni argomenti di sua competenza, sono stati

costituiti cinque comitati aventi finalità consultive e propositive, a struttura ristretta,

diversificati per settore di competenza.

Il Comitato permanente strategico si occupa di valutare operazioni/iniziative di rilevante

contenuto strategico per il Gruppo quali, ad esempio la predisposizione del Piano Triennale

di Gruppo, la determinazione del Budget di Gruppo annuale, l’ingresso in nuovi mercati, sia

geografici che di business, e joint ventures di alto profilo con Gruppi industriali e/o

finanziari.

Il Comitato per i Controlli Interni & Rischi, suddiviso in Sotto Comitato per i Controlli

Interni (Internal Controls Sub-committee) e Sotto Comitato per i Rischi (Risk Sub-

Committee), assiste il Consiglio nella definizione delle linee di indirizzo del sistema di

controllo interno, nella verifica semestrale dell’adeguatezza, dell’efficacia e dell’effettivo

funzionamento del SCI, assicurando che i principali rischi aziendali siano correttamente

identificati nonché misurati, gestiti e monitorati in modo adeguato, nonché nella

determinazione dei criteri di compatibilità dei rischi aziendali con una sana e corretta

gestione della Società (risk appetite) e nella formalizzazione delle politiche per il governo

dei rischi.

CAPITOLO 5

209

In particolare il Sotto-Comitato per i Controlli Interni vigila affinché la funzione di

Compliance applichi le politiche di gestione del rischio di non conformità definite dal

Consiglio e la funzione di Internal Audit attui gli indirizzi del Consiglio in materia di

svolgimento dei controlli di terzo livello, esaminando l’adeguatezza, sotto il profilo

quali/quantitativo, delle strutture organizzative delle suddette funzioni; mentre il Sotto-

Comitato per i Rischi esamina l’assessment in tema di rischi a livello di Gruppo,

assistendo il Consiglio nella vigilanza sul concreto funzionamento dei processi di gestione e

controllo dei rischi (credito, mercato, liquidità e operativo) nel rispetto delle previsioni

normative e regolamentari vigenti ed effettua l’analisi delle relazioni periodiche predisposte

dalla funzione di Risk Management.

Vi sono inoltre il Comitato Parti Correlate ed Investimenti in Equity, il Comitato

Corporate Governance, HR and Nomination e il Comitato Remunerazione.

Ai sensi del Decreto Legislativo n. 231/01, il Consiglio di Amministrazione di UniCredit

S.p.A. ha nominato l'Organismo di Vigilanza (OdV), con il compito di vigilare sul

funzionamento e l’osservanza del Modello di Organizzazione e Gestione di UniCredit e

curarne l'aggiornamento.

Per quanto concerne invece il Sistema di Controlli Interni, attraverso cui Unicredit Group

monitora, misura e controlla l’insieme dei rischi (di mercato, di credito, operativi,

reputazionali, di compliance) cui è esposto, esso risulta essere così strutturato:

controlli di primo livello (o controlli di linea), effettuati dalle stesse strutture produttive

o incorporati dalle procedure o eseguiti dal back office, diretti ad assicurare il corretto

svolgimento delle operazioni;

controlli di secondo livello (o controlli sulla gestione dei rischi) affidati a diverse unità

quali:

o la funzione Compliance incaricata della corretta applicazione e del rispetto del

framework normativo di riferimento, della sua coerente interpretazione a livello di

gruppo e dell'identificazione, valutazione, prevenzione e monitoraggio dei rischi

complessivi di Compliance del gruppo o delle rispettive Entità;

o il Group Risk Management (GRM) che controlla e indirizza i rischi del Gruppo

attraverso la definizione di politiche e metodologie volte a misurare e controllare

tali rischi e attraverso l'ottimizzazione del costo del rischio grazie alla definizione

di linee guida, politiche e pareri non vincolanti su esposizioni creditizie rilevanti,

CAPITOLO 5

210

nel rispetto delle norme interne ed esterne e dei regolamenti. In particolare le

attività svolte da questa funzione sono:

la gestione e l'ottimizzazione della qualità dell'attivo e del costo del rischio

del Gruppo, coerentemente con gli obiettivi di rischio/redditività assegnati

alle diverse aree di business;

la definizione (di concerto con la funzione CFO) e il monitoraggio della

propensione al rischio del Gruppo, valutandone inoltre l'adeguatezza

patrimoniale;

la definizione - in conformità con i requisiti normativi - delle regole,

metodologie, tipologie di limiti di rischio, politiche e strategie di gestione

del rischio del Gruppo;

la definizione e l'applicazione dei criteri per la valutazione, gestione,

misurazione, monitoraggio e reportistica dei rischi in modo da garantirne la

coerenza e la trasparenza a livello di Gruppo;

la verifica dell'adeguatezza dei sistemi di misurazione dei rischi adottati

nell'ambito del Gruppo;

la quantificazione dell'impatto delle variazioni del ciclo economico o degli

eventi eccezionali sulla struttura finanziaria del Gruppo;

la creazione di una cultura del rischio estesa a tutto il Gruppo, supportato

da una direzione che si occupa di risk culture, sicuramente essenziale, che

si occupa di diffondere la cultura del rischio, raccogliendo materiale e

organizzando seminari su vari livelli, seminari ad hoc, training, l’approccio

e l’appetito per il rischio.

controlli di terzo livello (Internal Audit) finalizzati alla valutazione e verifica

periodica della completezza, della funzionalità e dell'adeguatezza del sistema dei

controlli interni. L'attività è condotta da strutture diverse da quelle produttive e di

controllo di 2° livello, in alcuni da ogni Società in outsourcing verso UniCredit

Audit.

Il Gruppo UniCredit può dunque contare su una funzione dedicata alla gestione del rischio

saldamente presente all'interno dei processi di governance della banca. Essa esercita il

proprio ruolo di indirizzo, coordinamento e controllo dei rischi in particolare attraverso i

“Portfolio Risk Managers” responsabili per i rischi di competenza, in ottica di Gruppo e

interdivisionale. Il modello prevede inoltre uno specifico punto di riferimento per l’Italia

CAPITOLO 5

211

nella funzione “CRO Italy”, cui sono state assegnate le responsabilità relative ai rischi di

credito, operativi e reputazionali del perimetro Italia, nonché il coordinamento manageriale

delle funzioni di RM presso le Entità italiane del Gruppo.

Inoltre al fine di presidiare la capacità di indirizzo autonomo, il coordinamento ed il

controllo di tutti i rischi, migliorando l’efficienza e la flessibilità del processo decisionale e

agevolando l’interazione tra le differenti funzioni coinvolte, sono stati istituiti specifici

Comitati responsabili in materia di rischi, articolati su tre distinti livelli:

il Group Risk Committee, responsabile per le decisioni strategiche sui rischi a livello di

Gruppo;

i Group Portfolio Risk Committees, cui sono assegnati il compito di indirizzare,

controllare e gestire i differenti rischi di portafoglio;

i Group Transactional Committees, dedicati alla valutazione delle singole

controparti/transazioni aventi impatto sul profilo di rischio complessivo.

3.2. La gestione del rischio di credito

Per quanto riguarda il rischio di credito i rapporti tra la Capogruppo e le Entità del Gruppo

che esercitano attività creditizia, sono disciplinati da specifiche disposizioni di governance

che assicurano alla Capogruppo stessa il ruolo di direzione, supporto e controllo, in

particolare nelle seguenti aree di attività: politiche creditizie, strategie creditizie, sviluppo

dei modelli, validazione dei sistemi di rating, rischio di concentrazione creditizia, rilascio di

prodotti creditizi, monitoraggio e reportistica del rischio creditizio di portafoglio.

In particolare l’organizzazione si articola su due livelli:

funzioni aventi responsabilità a livello di Gruppo quali:

il Group Credit Risk department che si articola nelle seguenti strutture:

Group Credit Risk Policies, cui è attribuita la responsabilità di definire la

normativa di Gruppo in materia di rischio di credito;

Group Credit Risk Strategies, cui sono attribuite le responsabilità di definire

strategie e limiti, svolgere attività di stress test ed analisi di portafoglio,

monitorare il rischio di concentrazione creditizio attraverso limiti dedicati e

sviluppare metodologie per la misurazione del rischio di credito;

Group Credit Portfolio Management & Risk Reporting, cui spetta il compito di

predisporre la reportistica necessaria al monitoraggio dell’andamento del

portafoglio crediti del Gruppo, monitorare il portafoglio creditizio;

CAPITOLO 5

212

il Group Credit Transactions department che si articola nelle seguenti strutture:

Group credit Committee Secretariat, responsabile per il supporto,

l’organizzazione ed il coordinamento delle diverse fasi procedurali e dei flussi

informativi per il processo di approvazione e di reportistica riguardante le

attività del “Group Credit Committe”, del “Group Transactional Credit

Committee” e del “Group Rating Committee”;

FIBS Credit Transactions responsabile per le controparti “Financial

Institutions, Banks and Sovereigns” (FIBS);

CIB & Large Credit Transactions;

Country Risk Analysis & Monitoring responsabile di analizzare e monitorare il

rischio Paese;

il Group Risks Control department che si articola nelle seguenti strutture:

Group Wide Credit Methodologies cui spetta il compito di assicurare lo

sviluppo, la gestione e la continua evoluzione dei modelli, strumenti di rating,

strumenti per la misurazione del rischio di credito del portafoglio complessivo

del Gruppo e metodologie per i rischi di credito;

Group Basel Program a cui spetta l’attività di coordinare le attività di

attuazione della regolamentazione di Basilea sul rischio di credito ed

assicurare la relativa informativa agli Organi di governo aziendale e alle

Autorità di Vigilanza;

Group Internal Validation a cui è attribuito il compito di convalidare, a livello

di Gruppo, le metodologie per la misurazione del rischio di credito, i relativi

processi e le componenti di IT e data quality, allo scopo di verificarne la

rispondenza sia ai requisiti regolamentari che agli standard interni;

Group Rating Desk a cui sono spettano le attività di assegnare i rating ad

alcune tipologie di controparti rilevanti (Top Banking e Top Corporate) e

deliberare, nell’ambito dei poteri delegati, o proporre agli organi deliberativi

competenti sulle proposte di modifica di rating relative ai sistemi di rating

Group-wide;

funzioni aventi responsabilità a livello Paese, dipendenti dal “CRO Italy”, quali:

il Risk Management Italy department, che svolge le attività di governo e di

controllo dei rischi di credito relativi al perimetro di competenza del “Country

Chairman Italy”;

CAPITOLO 5

213

il Central Credit Risk Underwriting department e il Territorial Credit Risk

Underwriting department;

il Loans Administration department;

lo Special Credit & Credit Risk Monitoring Italy department.

Le strategie creditizie di Gruppo (GCRS), partendo da obiettivi di budget e dalle previsioni

a livello di settore, forniscono un insieme di linee guida e di target operativi relativi

all’evoluzione del portafoglio crediti, tali da migliorare il rapporto rischio-rendimento del

portafoglio globale. L’obiettivo è duplice: da una parte si vuole definire l’evoluzione del

portafoglio che minimizza l’impatto complessivo del rischio di credito considerando la

remuneratività attesa, in linea con i criteri di Gruppo in tema di allocazione del capitale e

creazione del valore; dall’altro si cerca di fornire un valido supporto alle competenti

funzioni/divisioni della Capogruppo ed alle società del Gruppo.

La definizione delle strategie creditizie avviene sintetizzando le analisi di rischio effettuate

top-down, con la visione di portafoglio delle funzioni di business, attraverso uno stretto

coordinamento tra le strutture di Capogruppo e quelle locali della funzione di Risk

Management.

Per questo processo vengono utilizzate le principali metriche di rischio di credito al fine di

garantire una corretta e prudenziale gestione del rischio di portafoglio, parallelamente a

informazioni qualitative, relative a specifiche iniziative manageriali o a previsioni

sull’andamento settoriale dei diversi territori e divisioni, che vengono inglobate e

trasformate in variabili di input nei modelli di gestione del portafoglio creditizio.

Il Gruppo utilizza una pluralità di tecniche di mitigazione del rischio di credito volte a

ridurre le perdite potenziali derivanti dall’attività creditizia nell’eventualità di default

dell’obbligato principale. In tale ambito ed in conformità alla “International Convergence of

Capital Measurement and Capital Standards - A Revised Framework” (Basilea 2) e Basilea

3, il Gruppo è fortemente impegnato a soddisfare tutti i requisiti necessari alla corretta

applicazione delle tecniche di Credit Risk Mitigation (CRM) in relazione ai differenti

approcci adottati - Standardizzato, IRB Foundation (F-IRB) o IRB Avanzato (A-IRB) - ai

fini sia gestionali interni sia del loro riconoscimento per il calcolo dei requisiti patrimoniali.

La misurazione del rischio di credito viene effettuata sia a livello di singola

controparte/transazione, sia a livello dell’intero portafoglio. Gli strumenti ed i processi a

supporto dell’attività creditizia nei confronti di singoli prenditori, tanto nella fase di

erogazione quanto in quella di monitoraggio, comprendono il processo di assegnazione del

CAPITOLO 5

214

rating, differenziato in base alle peculiari caratteristiche dei differenti segmenti di

clientela/prodotto, al fine di assicurare il massimo livello di efficacia.

La valutazione del merito creditizio di una controparte, in sede di esame della proposta di

affidamento, scaturisce dal processo di analisi dei dati finanziari e di quelli qualitativi

(posizionamento competitivo dell’azienda, struttura societaria ed organizzativa, ecc.),

caratteristiche geo-settoriali, comportamentali a livello di Entità e di sistema bancario, al

fine di pervenire all’assegnazione di un rating, da intendersi quale definizione della

“probabilità di default” (PD) della controparte medesima, con un orizzonte temporale di un

anno.

I parametri di misurazione del rischio di credito a livello di portafoglio sono

fondamentalmente tre, calcolati e valutati su un orizzonte temporale di

dodici mesi:

Expected Loss (EL);

Credit Value at Risk (Credit VaR);

Expected Shortfall (ES).

Al fine di individuare il Credit VaR a livello di portafoglio, viene specificata la

distribuzione delle perdite a livello dello stesso; questa è costituita dalle probabilità di

ottenere differenti valori di perdita su un determinato orizzonte temporale (“discrete loss

case”). Il valore di perdita associato alla relativa probabilità è dato dal prodotto della

percentuale di perdita in caso di default (LGD) e le esposizioni in default (EAD) dei singoli

obbligati, considerando le correlazioni tra i default.

La perdita attesa (EL) costituisce il valore della perdita media a livello di portafoglio

aggregato, dovuto al potenziale manifestarsi dell’inadempienza degli obbligati. La perdita

attesa a livello di portafoglio è data dalla somma delle perdite attese dei singoli obbligati,

che possono essere determinate attraverso il prodotto di PD x LGD x EAD, ed è

indipendente dalle correlazioni tra i default a livello di portafoglio. La perdita attesa è di

norma computata come componente di costo.

Il Value at Risk rappresenta invece la soglia monetaria di perdita superata solo per un

prefissato valore di probabilità (VaR con livello di confidenza 1-α, UniCredit ha fissato

α=0,03% ovvero utilizza un intervallo di confidenza del 99,97%). Il Capitale Economico è

derivato dal Value at Risk sottraendone la perdita attesa ed è un input per la determinazione

del Capitale Interno a copertura delle perdite potenziali derivanti da tutte le fonti di rischio.

CAPITOLO 5

215

Il VaR è ampiamente utilizzato quale misura del rischio di portafoglio ma non fornisce

alcuna informazione concernente le perdite potenziali nel caso in cui i limiti di VaR siano

superati. Tale indicazione è invece fornita dall’“Expected Shortfall” (ES) che rappresenta il

valore atteso delle perdite che eccedono la soglia di VaR. Il Credit VaR di portafoglio e

l’ES dipendono significativamente dalla correlazione tra i default e possono essere ridotti

attraverso un’adeguata diversificazione del portafoglio.

Le misure di capitale economico (Credit VaR) rappresentano, inoltre, un input

fondamentale per la predisposizione ed applicazione delle strategie creditizie, per l’analisi

dei limiti creditizi e di concentrazione dei rischi. Il motore di calcolo del capitale economico

viene altresì utilizzato per analisi di stress testing sul portafoglio creditizio, partendo da

variabili macroeconomiche che influenzano i diversi segmenti di clientela per Paese,

dimensione, ecc.

Tutti i sopra citati parametri di rischio sono soggetti ad una validazione iniziale e ad un

regolare processo di monitoraggio, con riferimento a ciascun sistema di rating, in tutte le

sue componenti: modelli, processi, sistemi IT e data quality.

La finalità è di attestare la conformità dei sistemi, unitamente a quella di porre in evidenza

aree di possibile miglioramento, così come eventuali disallineamenti nelle metodologie che

possano comportare rischi di non perfetta comparabilità nelle misure prodotte. Per quanto

concerne invece l’attività di Credit Stress Test, il modello è stato implementato su

un’apposita piattaforma informatica e durante l’anno sarà posto in essere un processo per la

progressiva estensione dell’utilizzo del modello per consentire, sia alle strutture interne di

Capogruppo, sia alle Legal Entities, di stimare l’impatto sui parametri creditizi di uno o più

scenari macroeconomici avversi al fine di misurare la vulnerabilità del portafoglio (di

Gruppo o di singoli sotto-portafogli) a scenari particolarmente severi.

I processi di gestione del rischio Paese, ossia il rischio di esposizione a perdite determinate

da eventi, aventi luogo in un determinato Paese, che possono essere sotto controllo da parte

dell’Organo governativo ma non da parte di imprese o soggetti privati, presentano un

elevato grado di accentramento in Capogruppo, sia per quanto riguarda gli aspetti

metodologici, sia per quanto riguarda il processo decisionale, al fine di garantire un

approccio di valutazione e monitoraggio omogenei, in particolare l’attribuzione del rating -

PD (probabilità di default) e LGD (tasso di perdita in caso di default) - ed il presidio sul

rischio di concentrazione.

CAPITOLO 5

216

L’assegnazione del rating Paese (sia in termini di PD che di LGD) viene condotta attraverso

l’utilizzo di uno specifico modello interno di rating. L’analisi, che si focalizza sia su aspetti

qualitativi che quantitativi, è parte integrante del processo di calcolo del rating finale. Nel

caso in cui il rating risultante dal modello non rifletta correttamente il profilo creditizio del

paese, un override viene richiesto dall’organo competente. Sia il calcolo della PD che il

calcolo dell’LGD sono necessari e devono essere assegnati prima che venga presa la

decisione creditizia. Il rating deve essere aggiornato una volta l’anno o quando si rendano

disponibili nuove informazioni (sia positive, sia negative) che influenzino il merito

creditizio del Paese.

Il cambiamento dello scenario macroeconomico e politico è stato costantemente monitorato

e riflesso nei rating interni di paesi come Grecia, Spagna, Portogallo e Irlanda, che sono

stati coerentemente rivisti, anche con una frequenza superiore all’anno, ove necessario.

Particolare rilevanza è posta al rischio di concentrazione creditizio che, coerentemente con

la definizione fornita dalla normativa “Basilea 2”, si configura come una singola

esposizione o un gruppo di esposizioni tra di loro correlate, potenzialmente in grado di

produrre perdite tali da minacciare la solidità del Gruppo o la sua capacità di proseguire

nello svolgimento della normale operatività.

Al fine di individuare, gestire, misurare e monitorare il rischio di concentrazione, le

funzioni preposte in Capogruppo presidiano la definizione ed il monitoraggio di specifici

limiti creditizi, volti al controllo di due differenti tipologie di rischio di concentrazione:

esposizioni creditizie di importo rilevante in capo ad una singola controparte o ad un

insieme di controparti economicamente correlate (c.d. bulk risk, o rischio di

concentrazione per singolo prenditore o gruppo economico);

esposizioni creditizie verso controparti appartenenti al medesimo settore di attività

economica (sectorial concentration risk).

È stata ulteriormente rafforzata e resa più efficiente nel corso degli ultimi mesi l’attività di

monitoraggio e reporting creditizio, sia su base periodica sia sulla base di richieste ad hoc

(da parte dell’Alta Direzione, dell’Autorità di Vigilanza o da parte di controparti esterne

quali agenzie di rating), effettuata da strutture dedicate, appartenenti alla funzione Group

Risk Management.

Le attività di portfolio reporting a livello di Gruppo sono condotte in stretta collaborazione

con i CRO (Chief Risk Officer) delle singole Entità e i Credit Risk Portfolio Managers che,

all’interno del rispettivo perimetro, implementano le loro specifiche attività di reporting.

CAPITOLO 5

217

Tali attività si focalizzano sull’analisi delle principali componenti del rischio di credito

quali i valori di EAD (Esposizione al Default), EL (Expected Loss), costo del rischio, ecc.,

al fine di adottare tempestivamente tutte le possibili contromisure a livello di portafoglio

complessivo, parziale o di singole controparti.

La tempestiva individuazione ed una gestione adeguata delle esposizioni che presentano un

peggioramento del profilo di rischio consentono di intervenire nella fase antecedente il

potenziale default, quando cioè vi sono ancora margini per il conseguimento del rimborso

della posizione debitoria e, quindi, per intraprendere opportune azioni correttive.

Una recente riorganizzazione ha portato poi a creare, a livello di Gruppo, la funzione Group

Credit Transactions, esclusivamente dedicata alle attività creditizie transazionali di natura

globale e alla revisione creditizia delle posizioni di rilevanza strategica per il Gruppo,

separata dalla funzione Group Credit Risk, che è esclusivamente dedicata alla definizione

delle strategie e delle politiche di credito, al monitoraggio/analisi del portafoglio creditizio

ed alla attività di reportistica.

A livello CRO Italy la riorganizzazione del Credit Risk Management ha portato alla

concentrazione di tutte le funzioni dedicate ad attività di definizione delle politiche di

credito, monitoraggio del portafoglio creditizio e reportistica locale, oltre allo sviluppo dei

modelli locali di misurazione dei parametri creditizi, in un’unica struttura Risk Management

Italy con una più netta separazione dalle funzioni dedicate alla gestione creditizia dei file.

3.3. La gestione del rischio di mercato

Il rischio di mercato deriva dall’effetto che variazioni nelle variabili di mercato (tassi di

interesse, prezzi dei titoli, tassi di cambio, ecc.) possono generare sul valore economico del

portafoglio del Gruppo, dove quest’ultimo comprende le attività detenute sia nel trading

book, ossia nel portafoglio di negoziazione19, sia quelle iscritte nel banking book, ovvero

l’operatività connessa con la gestione caratteristica della banca commerciale e con le scelte

di investimento strategiche. La gestione del rischio di mercato nel gruppo UniCredit

ricomprende, perciò, tutte le attività connesse con le operazioni di tesoreria e di gestione

19 Il portafoglio di negoziazione include le posizioni in strumenti finanziari o materie prime detenute a

fini sia di negoziazione sia di copertura di altri elementi del portafoglio di negoziazione stesso. Per poter

essere sottoposti al trattamento di capitale del portafoglio di negoziazione, gli strumenti finanziari devono

essere liberi da restrizioni contrattuali sulla loro negoziabilità oppure il rischio relativo deve poter essere

totalmente immunizzabile. Inoltre, le posizioni devono essere frequentemente ed accuratamente rivalutate

ed il portafoglio deve essere gestito in maniera attiva.

CAPITOLO 5

218

della struttura patrimoniale, sia nella Capogruppo, sia nelle singole società che compongono

il gruppo stesso.

Il modello in essere garantisce la capacità di indirizzo, coordinamento e controllo di alcuni

rischi aggregati (cosiddetti Portfolio Risks), tramite centri di responsabilità dedicati

(Portfolio Risk Managers), interamente focalizzati e specializzati su tali rischi, in ottica di

Gruppo ed interdivisionale.

In base a tale organizzazione le strutture di primo riporto al “Group Risk Management”,

dedicate al governo dei rischi di mercato, sono:

“Group Trading Risks”, per quanto concerne il rischio di mercato relativo alle posizioni

presenti nel Trading Book;

“Group Balance Sheet & Liquidity Risk” per quanto concerne il rischio di mercato

relativo al Banking Book.

Per quanto concerne il portafoglio di negoziazione, il gruppo UniCredit gestisce e monitora

il rischio di mercato mediante due insiemi di misure:

Global Market Risk measures:

o Value at Risk (VaR), che rappresenta la perdita potenziale del valore di un

portafoglio in un determinato periodo per un determinato intervallo di confidenza;

o Stressed VaR (SVaR), che rappresenta il VaR potenziale di un portafoglio soggetto

ad un periodo di dodici mesi di significativo stress finanziario;

o Incremental Risk Charge (IRC), che rappresenta il capitale regolamentare mirato a

coprire le perdite creditizie (rischi di default e migrazione di rating) che possono

verificarsi in un portafoglio in un determinato periodo e per un determinato

intervallo di confidenza;

o Comprehensive Risk Measure (CRM), che rappresenta il capitale regolamentare

mirato a coprire le perdite creditizie non incluse nell’IRC (come ad esempio gli

effetti legati al tasso di recupero e correlazione stocastici per gli strumenti derivati

strutturati) che possono verificarsi in un portafoglio in un determinato periodo e per

un determinato intervallo di confidenza;

o Loss Warning Level (LWL), che è definito come la P&L economica cumulata su un

periodo di 60 giorni lavorativi di un’unità di rischio;

o Combined Stress Test Warning Level (STWL), che rappresenta la perdita potenziale

del valore di un portafoglio calcolata sulla base di uno scenario di stress.

Granular Market Risk measures:

CAPITOLO 5

219

o Sensitivities, che rappresentano la variazione nel valore di mercato di uno strumento

finanziario a causa dei movimenti dei fattori di rischio di mercato rilevanti.

Sulla base di queste misure, sono definiti due insiemi di limiti:

Global Market Risk limits (Loss Warning Levels, Combined Stress Test Warning

Level, VaR, SVaR, IRC, CRM): che hanno lo scopo di definire un limite

all’assorbimento di capitale economico ed alla perdita economica accettata per le

attività di negoziazione; questi limiti devono essere consistenti con il budget di ricavi

assegnato e la risk taking capacity assunta;

Granular Market Risk limits (limiti sulle Sensitivity, sugli scenari di Stress e sui

Nominali): che esistono indipendentemente, ma agiscono in parallelo ai Global Market

Risk limits ed operano in maniera consolidata in tutte le Entità (ove possibile); al fine di

controllare più efficacemente e specificamente diversi tipi di rischio, portafogli e

prodotti, questi limiti sono in generale associati a sensitività granulari oppure a scenari

di stress. I livelli fissati per i Granular Market Risk limits mirano a limitare la

concentrazione del rischio verso singoli risk factor o l’eccessiva esposizione verso risk

factor che non sono sufficientemente rappresentati dal VaR.

Sempre in relazione al portafoglio di negoziazione è stato costituito il “Group Trading

Risks” department, responsabile del governo e del controllo di tali rischi a livello di

Gruppo, attraverso la definizione delle strategie e dei limiti, la redazione di normativa di

Gruppo in materia, il monitoraggio della relativa implementazione presso le Entità del

Gruppo, lo sviluppo di metodologie per la misurazione di tali rischi, lo svolgimento delle

attività di stress-test e l’analisi del portafoglio.

Tale dipartimento si articola poi nelle unità di:

Market Risk Management” department, responsabile del governo ed il controllo dei

rischi di mercato del Gruppo, a sua volta suddiviso nelle strutture di:

o Group Market Risk Management” unit, responsabile di coordinare il

processo iterativo (in cooperazione con le funzioni di Market Risk delle

Entità del Gruppo) per la definizione dell’insieme di limiti globali e

granulari da sottoporre, per approvazione, ai comitati ed organi decisionali

competenti, a livello locale e di Capogruppo;

o Market Risk Policies, Methodologies & Architecture” unit, responsabile di

sviluppare metodologie per la gestione dei rischi di mercato (ad esempio

VaR, Stressed VaR, Incremental Risk Charge, Comprehensive Risk

CAPITOLO 5

220

Measure, Credit Counterparty Risk, Expected Positive Exposure, etc.)

garantendo coerenza di modelli all’interno del Gruppo e calcolare le

metriche in collaborazione con le relative strutture delle Entità, provvedere

alla redazione della normativa di Gruppo in materia di rischi di trading,

verificare e monitorare la coerenza delle policy operative in materia di rischi

di mercato definite dalle Entità del Gruppo con le strategie e con la

normativa di Gruppo definite da “Group Trading Risks” department;

Con particolare riferimento al portafoglio bancario, invece, i fattori di rischio specifici sono

connessi in particolare alle fluttuazioni dei tassi di interesse, ai tassi di cambio e

all’andamento complessivo dei mercati finanziari, che sono interessati dalle attuali

condizioni finanziarie globali e da cui i risultati del Gruppo dipendono in varia misura, e il

loro presidio ricade sotto la responsabilità dell’unità “Balance Sheet Risks Control” facente

parte del Group Risk Management.

Anche in questo caso sono stati definiti limiti e soglie di attenzione in termini di VaR

(utilizzando la metodologia descritta per il portafoglio di negoziazione), di misure di

sensitività o repricing gap per ogni Banca o Società del Gruppo.

3.4. La gestione del rischio di liquidità

Il rischio di liquidità identifica l’eventualità che il Gruppo possa trovarsi nella condizione di

non riuscire a far fronte agli impegni di pagamento (per cassa o per consegna) attuali e

futuri, previsti o imprevisti senza pregiudicare l’operatività quotidiana o la propria

condizione finanziaria.

L’obiettivo del Gruppo è mantenere la liquidità ad un livello che consenta di condurre le

operazioni in sicurezza, finanziare le proprie attività alle migliori condizioni di tasso in

normali circostanze operative e rimanere sempre nella condizione di far fronte agli impegni

di pagamento.

A tale scopo, il Gruppo si attiene scrupolosamente alle disposizioni normative e

regolamentari imposte dalle Banche Centrali e dalle autorità nazionali dei vari paesi in cui

opera.

Oltre a soddisfare i requisiti legali e regolamentari locali, tramite la Capogruppo e sotto la

supervisione del Group Risk Management, sono state definite politiche e metriche da

adottare a livello di Gruppo, al fine di garantire che la posizione di liquidità di ciascuna

Entità risponda ai requisiti dello stesso.

CAPITOLO 5

221

Per tali ragioni, l’organizzazione del Gruppo è basata su criteri di tipo manageriale, definiti

coerentemente con il concetto di Liquidity Centre.

I Liquidity Centre sono Entità Legali che intervengono in base alla responsabilità che ad

esse compete quali sub-holding nella gestione della liquidità. Essi intervengono nel

processo di gestione e concentrazione dei flussi di liquidità delle varie Entità che ricadono

all’interno del loro perimetro, sono responsabili dell’ottimizzazione del processo di funding

effettuato nei principali mercati locali e del coordinamento dell’accesso ai mercati di breve

e di lungo termine da parte delle Entità sottostanti al loro perimetro e, a livello locale,

dell’implementazione delle regole sulla liquidità di Gruppo, in conformità con le Guideline

di Governance di Gruppo e con le vigenti norme locali.

Un ruolo particolarmente importante è svolto dalla Capogruppo, in qualità di soggetto

responsabile della supervisione e del controllo. In tema di liquidità tale ruolo consiste nel

guidare, coordinare e controllare tutti gli aspetti riguardanti la liquidità dell’intero Gruppo.

Questo tipo di organizzazione favorisce la self - sufficiency del gruppo permettendo

l’accesso ai mercati a livello locale e globale in modo controllato e coordinato.

Sono state identificate a livello di Gruppo, tre strutture principali per la gestione della

liquidità: la competence line del Group Risk Management, la funzione

“Finanza” (nella competence line Planning, Finance & Administration), e la funzione

“Tesoreria” (inclusa nella Business Unit “Markets”), ognuna con ruoli e responsabilità

differenti. In particolare, le funzioni operative sono proprie di Finanza e Tesoreria, mentre

la funzione Risk Management ha responsabilità di controllo e reportistica indipendente

rispetto alle funzioni operative (in linea con quanto stabilito da Banca d’Italia nella circolare

263).

Il rischio di liquidità, per la sua particolare natura, è affrontato tramite tecniche di analisi dei

gap, stress test della liquidità e misure complementari (principalmente attraverso una serie

di indicatori, quali ad esempio: gap prestiti-depositi e concentrazione delle fonti di

finanziamento). In particolare, le analisi dei dati di gap sono elaborate all’interno di due

orizzonti temporali distinti:

giornalmente, una metodologia basata sul mismatch degli sbilanci di liquidità che

monitora il rischio di liquidità di breve termine derivante da scadenze dall’overnight

fino a 3 mesi;

mensilmente, controllo del rischio di medio e lungo termine (liquidità strutturale)

attraverso i gap ratios per scadenze pari o superiori all’anno.

CAPITOLO 5

222

La Liquidity Framework del Gruppo si basa sul Liquidity Risk Mismatch Model,

caratterizzato dai seguenti principi fondamentali:

Gestione del rischio di liquidità sul breve termine (liquidità operativa) che considera gli

eventi che avrebbero un impatto sulla posizione di liquidità del Gruppo da un giorno fi

no ad un anno. L’obiettivo primario è quello di conservare la capacità del Gruppo di far

fronte agli impegni di pagamento ordinari e straordinari minimizzandone

contestualmente i costi;

Gestione del rischio di liquidità strutturale (rischio strutturale) che considera gli eventi i

quali avrebbero un impatto sulla posizione di liquidità del Gruppo oltre l’anno.

L’obiettivo primario è quello di mantenere un adeguato rapporto tra passività a

medio/lungo termine e attività a medio/lungo termine, finalizzato ad evitare pressioni

sulle fonti di finanziamento, attuali e prospettiche, a breve termine, ottimizzando

contestualmente il costo del funding;

Stress test: il rischio di liquidità è un evento di scarsa probabilità e di forte impatto.

Pertanto, le tecniche di stress testing rappresentano un eccellente strumento per valutare

le potenziali vulnerabilità del bilancio. La Banca riproduce diversi scenari, spaziando

dalla generale crisi di mercato alla crisi idiosincratica e loro combinazioni.

Poiché il rischio di liquidità è un evento poco probabile ma di forte impatto, la Contingency

Liquidity Policy prevede l’utilizzo di tecniche di stress testing come strumento efficace per

valutare le potenziali vulnerabilità del bilancio, grazie ai quali la Banca riproduce diversi

scenari, spaziando dalla generale crisi di mercato alla crisi idiosincratica e loro

combinazioni.

L’obiettivo della Contingency Liquidity Policy di Gruppo è di assicurare l’attuazione

tempestiva di interventi efficaci fin dal principio (dalle prime ore) di una crisi di liquidità,

attraverso la precisa identificazione di soggetti, poteri, responsabilità, delle procedure di

comunicazione ed i relativi criteri per la reportistica, nel tentativo di incrementare le

probabilità di superare con successo lo stato di emergenza.

Una parte fondamentale della Contingency Liquidity Policy è costituita dal Contingency

Funding Plan. Questo piano consiste in un insieme di azioni di gestione potenziali ma

concrete. Tali azioni devono essere descritte in una lista che le racchiuda insieme con gli

strumenti, gli importi ed i tempi di esecuzione volti a migliorare la posizione di liquidità

della banca durante i tempi di crisi. Il Contingency Funding Plan deve essere sviluppato

CAPITOLO 5

223

sulla base del Funding Plan annuale e il Group Risk Committee è responsabile per

l’approvazione finale decidendo se informare il Consiglio di Amministrazione a riguardo.

È stato attivato anche un sistema di Liquidity Early Warning Indicators che ha lo scopo di

supportare le decisioni del Management in caso di situazioni di deterioramento della

posizione di liquidità o di Stress.

3.5. La gestione dei rischi operativi

Il Gruppo UniCredit ha definito sistema di gestione dei rischi operativi l’insieme di policy e

procedure per il controllo, la misurazione e la mitigazione dei rischi operativi nel Gruppo e

nelle Entità controllate.

Le policy di rischio operativo, applicabili a tutte le Entità del Gruppo, sono principi comuni

che stabiliscono il ruolo degli organi aziendali, della funzione di controllo dei rischi, nonché

le interazioni con le altre funzioni coinvolte nel processo.

Le metodologie di classificazione e controllo di completezza dei dati, analisi di scenario,

indicatori di rischio, reporting e misurazione del capitale di rischio sono responsabilità del

Group Operational & Reputational Risks department di Capogruppo e sono applicate dalle

Entità del Gruppo. Elemento cardine del sistema di controllo è l’applicativo informatico a

supporto per la raccolta dei dati, il controllo dei rischi e la misurazione del capitale.

La conformità del sistema di controllo e misurazione dei rischi operativi alla normativa

esterna e agli standard di Gruppo viene valutata attraverso un processo di convalida interna.

Responsabile di questo processo è il Group Internal Validation department della

Capogruppo, struttura indipendente dal Group Operational & Reputational Risks

department.

Per la gestione dei rischi operativi, UniCredit ha sviluppato un metodo interno per la

misurazione del requisito di capitale (AMA). Questo è calcolato tenendo conto dei dati di

perdita interni, dei dati di perdita esterni (consortili e pubblici), dei dati di perdita ipotizzati

tramite analisi di scenario e degli indicatori di rischio. Tramite meccanismi di allocazione si

identificano i requisiti di capitale delle Entità, riflettendo l’esposizione ai rischi operativi.

L’attenzione del Gruppo è rivolta in particolare a:

Rischi derivanti da pendenze legali;

Rischi derivanti da cause giuslavoristiche;

Rischi derivanti da contenziosi di natura arbitraria.

CAPITOLO 5

224

3.6. Altri rischi

Altri rischi includono:

Rischio di business definito come una variazione sfavorevole e imprevista del volume

dell’attività e/o dei margini, non derivanti da rischi di credito, mercato ed operativi. Può

avere origine, innanzitutto, da un deterioramento rilevante del contesto di mercato, da

cambiamenti nella situazione concorrenziale o nel comportamento dei clienti, ma anche

da cambiamenti del quadro normativo di riferimento;

Rischio immobiliare (“real estate risk”) definito come la perdita potenziale derivante

dalle fluttuazioni dei valori di mercato del portafoglio immobiliare del Gruppo, incluse

le società veicolo (SPV) immobiliari;

Rischio di investimenti finanziari (“financial investment risk”) deriva da

partecipazioni in società non appartenenti al Gruppo e non incluse nel portafoglio di

negoziazione;

Rischio strategico, si intende il rischio di incorrere in perdite potenziali dovute a

decisioni o cambiamenti radicali nel contesto operativo, da un’attuazione impropria

delle decisioni, dalla mancanza di reattività a cambiamenti nel contesto operativo, con

impatti negativi sul profilo di rischio e conseguentemente sul capitale, sugli utili nonché

sull’orientamento generale e sul raggio di azione di una banca nel lungo periodo;

Rischio reputazionale, che rappresenta il rischio attuale o prospettico di flessione degli

utili derivante da una percezione negativa dell’immagine del Gruppo Bancario da parte

di clienti, controparti, azionisti, investitori o Autorità di Vigilanza.

Relativamente al rischio reputazionale, UniCredit ha definito, negli ultimi anni, un

approccio all’identificazione, analisi e gestione dei rischi reputazionali connessi all’attività

bancaria. Le Group Reputational Risk Governance Guidelines, adottate dalle principali

Entità del Gruppo, definiscono un insieme di principi e di regole per la misurazione e il

controllo del rischio reputazionale.

Inoltre, il Group Operational & Reputational Risks Committee ha il ruolo di garantire la

coerenza delle policy, delle metodologie e delle prassi operative sul rischio reputazionale

nelle varie Divisioni/Business Unit ed Entità Legali, controllando e monitorando, a livello

di Gruppo, il Reputational Risk portfolio.

CAPITOLO 5

225

3.7. Aspetti chiave della governance del rischio

Gli aspetti essenziali dell'approccio di UniCredit alla governance del rischio si riflettono nel

modello organizzativo e nella struttura dei Comitati Rischi (come già sottolineato in

precedenza), nell’approccio agli stress test, nell’enfasi sui requisiti normativi, nella

definizione di un Risk Appetite Framework e nell’architettura IT.

Gli stress test rivestono infatti un ruolo cruciale nella valutazione dei rischi di UniCredit e

vengono regolarmente applicati dal Risk Management al portafoglio dei rischi del Gruppo

come un mezzo per stimare gli effetti sulle esposizioni della banca di scenari finanziari

estremi, ma plausibili.

Aiutano il Gruppo a comprendere l'incidenza dei profitti e delle perdite sul portafoglio

rischi, nonché gli effetti sul capitale economico e sulle attività ponderate di rischio e la

necessità di interventi di emergenza.

Gli scenari di stress possono essere basati sia su un evento di mercato significativo

verificatosi in passato, sia su ipotetiche situazioni future. Vengono effettuati a livello di

Gruppo almeno due volte l'anno, prendendo in considerazione i rischi contemplati nel

Secondo Pilastro di Basilea II, con misurazioni in termini di capitale economico.

Ogni funzione di Risk Management è responsabile della produzione di approcci e di analisi

di stress test per i vari tipi di rischio (ad es. credito, mercato, liquidità) e dell'esecuzione dei

test a scadenze regolari, mentre il management delle funzioni di Business è attivamente

impegnato a priori e a posteriori nella creazione e nella interpretazione dei risultati, incluso

lo sviluppo di piani di emergenza adeguati.

Coerentemente con la necessità di operare in un ambiente finanziario e normativo dinamico,

UniCredit cerca di soddisfare e superare costantemente i requisiti normativi in materia di

rischio. Il coordinamento delle iniziative legate alla gestione del rischio viene svolta dalla

funzione Group Risks Control, che è responsabile per la gestione di Basilea II e il

coordinamento dei progetti di Basilea III, per la guida dei processi di integrazione dei rischi

e di valutazione dell'adeguatezza patrimoniale (ad es. ICAAP, Risk Appetite Framework

and Processes), per il coordinamento e il controllo delle normative di Gruppo sul rischio,

nonché il monitoraggio della loro approvazione e implementazione e infine per la gestione

della convalida interna dei modelli di rischio del Gruppo e dei sistemi per la loro

misurazione.

CAPITOLO 5

226

Uno dei più importanti progetti di natura regolamentare della banca è incentrato sul

processo ICAAP, riportato nel dettaglio nella circolare n.263 della Banca d’Italia, che si

articola nelle fasi di:

definizione del perimetro ed identificazione dei rischi;

valutazione del profilo di rischio;

definizione del Risk Appetite e allocazione del capitale;

monitoraggio e reporting.

Al fine di razionalizzare e potenziare continuamente l’ICAAP, il Gruppo affina e

approfondisce costantemente i vari aspetti di tale processo sia nella gestione del rischio, che

nell'attività commerciale.

Come elemento fondamentale dell’ICAAP, il Gruppo definisce il Risk Appetite (pratica

consolidata ancora prima che la regolamentazione la richiedesse esplicitamente e migliorata

nel tempo) come la variabilità in termini di risultati, sia di breve sia di lungo periodo, che la

banca è disposta ad accettare a sostegno di una strategia commerciale ben definita. Lo scopo

principale della propensione al rischio è di assicurare che l'attività della banca si sviluppi

entro i limiti di tolleranza del rischio fissati dal Consiglio di Amministrazione. Di

conseguenza, la propensione al rischio è integrata nei processi di pianificazione strategica e

di elaborazione dei budget e definita al livello di Gruppo, Divisione ed Entità Legale.

Il Framework di Risk Appetite è costituito da tre dimensioni quali adeguatezza

patrimoniale, profittabilità e rischi, liquidità e funding. Esso viene approvato dal Consiglio

di Amministrazione e stabilisce i limiti, che rappresentano un punto ben definito che non

deve essere superato, gli obiettivi, che identificano il livello ottimale di rischio a cui la

banca deve tendere per conseguire i risultati fissati nel suo budget e un corretto sviluppo del

business, gli indicatori, che fungono da "sistemi di preallarme" segnalando ai risk manager

e ai business manager l'approssimarsi delle esposizioni ai limiti di tolleranza, e le strategie

di rischio, che rappresentano la seconda fase chiave dell'integrazione del Risk Appetite

Framework nell'attività commerciale e i mezzi con cui il GRM comunica e include gli

obiettivi/limiti di esposizione al rischio nella operatività del Gruppo.

Il RAF risponde all’esigenza di trovare un punto di equilibrio tra il desiderio di assumersi

dei rischi e la capacità strutturale di sopportarlo. La sua definizione deve essere dinamica, in

quanto le condizioni di mercato non possono essere previste con certezza ed è impossibile

prevedere l’andamento futuro dei mercati finanziari. Esso dovrà stabilire dei confini senza

CAPITOLO 5

227

però diventare eccessivamente rigido e dovrà essere sufficientemente flessibile per

rispondere prontamente all’evoluzione del contesto economico nel quale l’azienda opera.

Una definizione del Risk Appetite ben articolata e comunicata in modo efficace a tutta la

struttura aziendale è in grado di ridurre l’insorgenza di proposte di allocazione delle risorse

che non siano coerenti con i parametri stabiliti e può impedire all’organizzazione di

allontanarsi inconsapevolmente dalla propensione al rischio definita quanto cambiano le

condizioni di mercato.

In linea con le best practices internazionali UniCredit tiene in considerazione alcuni

elementi essenziali nella fase di costruzione di un solido framework, quali:

il coinvolgimento diretto dell’organo di supervisione strategica e dei vertici aziendali

nella promozione e comunicazione del framework, e nella formulazione di un Risk

Appetite Statement (documento formale approvato dall’organo di supervisione

strategica, che esplicita chiaramente la propensione al rischio). Tale documento,

relativamente semplice e articolabile in una serie di metriche a vari livelli di dettaglio

facilmente comunicabili e frequentemente prese come riferimento nei vari momenti del

processo decisionale, dovrà poi essere declinato su tutta l’organizzazione, incorporare

le aspettative degli stakeholders e considerare tutte le tipologie di rischi significativi in

cui si incorre nella conduzione del business;

il supporto sostanziale al RAF da parte dei vertici aziendali, la coerenza dei messaggi e

dei comportamenti dei business leader con il RAS e l’assunzione di responsabilità degli

stessi per i rischi insiti nella loro area;

l’incorporazione del RAF all’interno dei processi di pianificazione strategica e

finanziaria, di capital management, di valutazione di nuove iniziative di business e di

performance assessment e compensation. La Risk Policy e i limiti operativi sono infatti

componenti essenziali del framework, necessari per guidare il RA nella conduzione del

business. Non si tratta però solo di creare una struttura meglio articolata di vincoli

all’operatività da monitorare, bensì di fare in modo che gli indicatori siano utilizzati per

indirizzare efficacemente le scelte di business a tutti i livelli, con la consapevolezza del

significato dei limiti, del loro legame con la propensione al rischio e delle loro

implicazioni su profittabilità, soddisfazione per la clientela e profilo di rischio

aggregato. Il RAF risulta in tal modo uno strumento efficace per adattare le strategie a

contesti di business in continua evoluzione, e non soltanto un semplice framework di

reporting e monitoraggio ex-post;

CAPITOLO 5

228

la collaborazione e comunicazione tra l’organo di supervisione strategica, i vertici

aziendali, i responsabili delle diverse Business Line, CFO, CRO e le rispettive funzioni,

affinché si attivi un processo dinamico e iterativo di revisione del framework. Eventuali

aggiustamenti al framework possono essere necessari a fronte di analisi condivise tra

tutti i soggetti coinvolti, bilanciando l’esigenza di flessibilità del framework con quella

di continuità e rigore;

una solida infrastruttura tecnologica che assicuri un’aggregazione accurata, completa e

tempestiva dei dati di rischio, per rischi di diverse business unite per tipologie di rischio

differenti. Una solida governance dell’infrastruttura IT rappresenta una leva di

importanza fondamentale per il successo del RAF, della pianificazione strategica e del

processo decisionale a tutti i livelli;

un legame indissolubile con la cultura aziendale, garantendo condivisione ed

internalizzazione lungo tutta la struttura, così da allineare le azioni individuali alle

aspettative dell’organo di supervisione strategica e dei vertici aziendali, per assicurare

che il profilo di rischio assunto rimanga all’interno dei parametri fissati nel framework

stesso.

Dunque, un efficace RAF rappresenta il collante tra tre importanti aree:

1. pianificazione strategica, guidata dal CEO, con l’obiettivo di fare il budget aziendale

con un rapporto top-down e bottom-up: in questo contesto il framework può svolgere

una funzione mitigatrice rispetto alle ambizioni espansionistiche dell’istituto

finanziario, in modo tale da garantire sempre un corretto equilibrio tra rischio e

rendimento;

2. misurazione delle performance, coordinata dal CFO: la presenza di metriche definite in

modo chiaro ed esaustivo rappresenta un valido strumento di early warning, garantendo

la possibilità al top management di porre in essere azioni correttive, al fine di anticipare

eventuali problematiche;

3. risk governance, disegnata dal CRO attraverso l’integrazione delle informazioni sul

rischio con i risultati finanziari e contabili; essa aggiunge valore alla valutazione dei

rischi, guidando il Gruppo ad un ottimale trade-off rischio/rendimento.

In ultima analisi il Risk Appetite rappresenta una base per la comunicazione sia verso

l’interno che verso l’esterno. Da un lato attraverso la definizione della tolleranza al rischio e

dei limiti, il management può fornire un quadro di riferimento per delegare, al personale, la

responsabilità di perseguire il raggiungimento degli obiettivi del Gruppo entro i limiti

CAPITOLO 5

229

accettabili. Dall’altro il modo in cui il management effettua la comunicazione del profilo di

rischio che l’istituzione intende accettare risulta di cruciale importanza ai fini

dell’andamento del titolo azionario e dell’attrazione di nuovi potenziali investitori.

UniCredit è anche attivamente concentrato sulle norme di Basilea III, destinate a rafforzare

la regolamentazione del sistema bancario e ad accrescere la resistenza delle singole

istituzioni bancarie in periodi di stress. Tale normativa definisce regole più severe per

l'adeguatezza del capitale bancario e introduce, per la prima volta, una serie di limiti ai

livelli di liquidità e di indebitamento. L'implementazione di tali regole è basata su un

calendario di attuazione graduale che va dal 2013 al 2019.

Sebbene l’intenzione di questa nuova normativa possa essere stata male interpretata, il

Gruppo ha riconosciuto fin dall’inizio la sua importanza come spinta al miglioramento per

una gestione dei rischi sempre più efficace.

Il ripensamento dell’architettura IT che supporta il risk management, infine, è un evidente

segnale dell’attenzione di UniCredit nei confronti della gestione dei rischi. Rappresenta il

maggior cambiamento strutturale all’interno del Gruppo, finalizzato a migliorare l’efficacia

in termini di qualità e di tempistica di risposta, e contribuisce dunque ad assicurare un

approccio coerente e omogeneo alle politiche, metodologie e strategie di gestione del

rischio, nonché un approccio olistico e integrato ai processi di individuazione, valutazione,

decisione e reportistica dei rischi, assicurandone efficacia ed efficienza.

CAPITOLO 6

230

Capitolo 6

Enterprise Risk Management survey

1. Introduzione

Il presente capitolo nasce con l’obiettivo di identificare il livello di diffusione e integrazione

dell’enterprise risk management all’interno delle imprese europee ed extraeuropee, grazie

allo studio approfondito di alcune delle survey, relative all’anno 2013 e agli anni precedenti,

disponibili online.

Lo schema logico utilizzato prevede di analizzare alcune questioni rilevanti, quali ad

esempio il livello di adesione a standards e frameworks, i drivers motivazionali e le funzioni

e i ruoli maggiormente coinvolti nel processo di gestione dei rischi, confrontando i dati

relativi alle interviste condotte da diverse società e organizzazioni che operano nel campo di

questa disciplina.

Le imprese coinvolte in queste survey appartengono al settore manifatturiero, finanziario,

delle costruzioni, delle distribuzioni, dei servizi e includono organizzazioni no profit,

pubbliche statali o locali.

2. Analisi delle survey

Le prime questioni di rilievo riguardano il livello di maturità, adozione e integrazione

dell’enterprise risk management.

L’analisi condotta dal COSO e sintetizzata nel report “COSO’s 2010 report on ERM”

evidenzia un livello di immaturità pressoché diffuso nel 42,4% delle organizzazioni

intervistate, di cui solamente il 28,2% inoltre afferma di avere adottato un processo di risk

management integrato e sistematico.

Figura 6.1 – Livello di maturità dell’ERM process [COSO’s Report on ERM, pag.2]

CAPITOLO 6

231

Figura 6.2 - Livello di maturità dell’enterprise risk management [AICPA, Current State of Enterprise

Risk Oversight 2012, pag.15]

Figura 6.3 - Current stage on ERM [COSO’s Report on ERM, pag.3]

Survey più recenti condotte dall’AICPA20 (American Institue of Certified Public

Accountants’), dalla RIMS21 (the Risk Management Society) e dalla Deloitte22, evidenziano

invece una crescita netta delle società che hanno parzialmente o completamente integrato un

ERM progam all’interno dei propri processi, sottolineando che solo il 17% non si è ancora

impegnata a farlo.

20 L’AICPA è un’organizzazione americana che rappresenta i CPA (Certified Public Accountant) e si

occupa di sviluppare standard per gli audit di aziende private 21 La RIMS è un’organizzazione no-profit che si dedica all’evoluzione della disciplina dell’enterprise risk

management 22 È una società di consulenza che offre servizi di audit, tax, consulting e financial advisory

CAPITOLO 6

232

Figura 6.4 - ERM Adoption Rates [2013 RIMS Enterprise Risk Management Survey, pag.4]

Figura 6.5 - ERM program in place [Deloitte, Global risk management survey, eighth edition 2013,

pag.14]

L’analisi più dettagliata dell’AICPA riporta, inoltre, l’evidente successo dell’adozione di un

completo e formale enterprise-wide risk management process all’interno delle largest

CAPITOLO 6

233

organizations (dal 32,3% nel 2011 al 46,6% nel 2012) e delle public companies (dal 23,5%

nel 2011 al 45,6% nel 2012).

Figura 6.6 - The adoption of ERM [AICPA, Current State of Enterprise Risk Oversight 2012, pag.10]

Resta tuttavia evidente la forte presenza di alcune barriere significative che ostacolano

l’implementazione e lo sviluppo di questo processo.

Figura 6.7 - Principali barriere [AICPA, Current State of Enterprise Risk Oversight 2012, pag.33]

CAPITOLO 6

234

Tra i drivers motivazionali, che avrebbero spinto queste organizzazioni ad adottare un

processo integrato di risk management, survey meno recenti hanno collocato al primo posto

la necessità di adeguarsi a requisiti normativi e di governance, sollecitate soprattutto dagli

stakeholders esterni.

Figura 6.8 - Fattori motivazionali [FERMA Risk Management Benchmarking Survey 2012, pag.4]

Tuttavia, recentemente, la RIMS ha individuato primo tra tutti i fattori il Consiglio di

Amministrazione, probabilmente come conseguenza del suo maggior coinvolgimento

nell’individuazione e gestione dei rischi, seguito poi dal Risk Manager e dai requisiti

regolamentari.

Figura 6.9 - Primary implementation motivations [2013 RIMS Enterprise Risk Management Survey,

pag.6]

CAPITOLO 6

235

La AON23 ha inoltre sottolineato l’importanza di alcuni fattori esterni come spinta all’ERM,

quali ad esempio la volatilità economica, la pressione dei consumatori o dei competitors.

Figura 6.10 – Fattori esterni di spinta all’ERM [AON, Global Risk Management Survey 2013, pag.70]

La necessità sempre maggiore di adottare un approccio di ERM in ogni caso nasce in

risposta all’aumento significativo del volume e della complessità dei rischi che la maggior

parte delle organizzazioni si trova ad affrontare e che ha portato le diverse organizzazioni a

sviluppare e ad aggiornare sempre più frequentemente i loro risks inventories.

23 La AON è una Società specializzata nella gestione dei rischi, brokeraggio assicurativo e nei servizi di

consulting per le risorse umane.

CAPITOLO 6

236

Figura 6.11 - Percentuali relative alle percezioni riguardanti l’aumento dei rischi [AICPA, Current State

of Enterprise Risk Oversight 2012, pag.7]

Figura 6.12 - Percentuali delle organizzazioni che hanno sviluppato dei risks inventories [AICPA,

Current State of Enterprise Risk Oversight 2012, pag.20]

La FERMA ha inoltre creato una top ten di rischi, evidenziando la variazione delle

percezioni ad essi relative tra il 2010 e il 2012 ed individuando alcune new entry, quali il

rischio di reputazione e quello connesso al contesto politico.

CAPITOLO 6

237

Figura 6.13 - Top ten risks [FERMA, Risk Management Benchmarking Survey 2012, pag. 10]

Tali rischi sono stati poi suddivisi e inseriti in un Risk Model unico, che ne facilita il

riconoscimento, grazie alla suddivisione in precise macro categorie, quali quelle presentate

nella figura seguente.

CAPITOLO 6

238

Figura 6.14 - Principali categorie di rischi inserite nel Risk Model [KPMG24, Enterprise Risk

Management survey 2013, pag.17]

Tuttavia, sebbene la maggior parte delle organizzazioni abbia quindi adottato un processo di

ERM completo e integrato e inoltre vi sia stato, secondo la FERMA, un aumento

significativo, tra il 2010 e il 2012, delle società che hanno deciso di aderire e implementare

un particolare standard o framework di enterprise risk management, restano comunque

molte le imprese che hanno scelto di non farlo.

24 Il Network KPMG è leader a livello globale nei servizi professionali alle imprese: revisione e

organizzazione contabile, consulenza manageriale e servizi fiscali, legali e amministrativi.

CAPITOLO 6

239

Figura 6.15 – Adesione a Standard e framework di ERM [2013 RIMS Enterprise Risk Management

Survey, pag.7]

Tra il 2009 e il 2011 le diverse survey hanno evidenziato il ruolo centrale del dipartimento

di risk management nell’implementazione dell’ERM program, rendendolo totalmente

indipendente da quelli di Internal Control e Internal Audit. Dal 2011 ad oggi, tuttavia, sono

emersi nuovi attori, quale ad esempio il Finance Department, probabilmente a causa della

sempre più frequente necessità di utilizzare misure finanziare per valutare l’impatto dei

rischi sull’organizzazione.

CAPITOLO 6

240

Figura 6.16 - Department primarily responsible for directing ERM activities [2013 RIMS Enterprise Risk

Management Survey, pag.5]

Se l’obiettivo è quindi quello di sviluppare un processo di risk management pienamente

integrato all’interno dell’impresa, le funzioni coinvolte in esso, come evidenziato in tutte le

survey, sono molte e la natura collaborativa di questa disciplina enfatizza perciò la necessità

di coinvolgere e coordinare stakeholders interni ed esterni.

CAPITOLO 6

241

Figura 6.17 - Risk functions included in ERM activities [2013 RIMS Enterprise Risk Management Survey,

pag.5]

Figura 6.18 - Cooperation between Risk Management and other functions [FERMA, Risk Management

Benchmarking Survey 2012, pag.9]

La figura di riferimento istituita, con un trend crescente, dalla maggior parte delle società

nel corso degli ultimi anni, con lo scopo di aumentare l’attenzione del senior management

sulla considerazione dei rischi e l’implementazione delle politiche e delle pratiche di risk

management, è stata quella del CRO (Chief Risk Officer).

CAPITOLO 6

242

Figura 6.19 - Percentuali delle organizzazioni in cui è presente la figura del CRO [Deloitte, Global risk

management survey 2013, pag.11]

La KPMG ha inoltre evidenziato che in Italia tale funzione centrale viene nominata

dall’Amministratore Delegato, dal Chief Financial Officer o direttamente dal Consiglio di

Amministrazione. Essa nasce in risposta ad esigenze gestionali e di business (73%), ad

esigenze di compliance (55%), alle aspettative di mercato e degli azionisti (22%) e alle

richieste da parte di Istituzioni o Enti Regolatori (20%).25

Le principali attività in cui è coinvolta sono sintetizzate nella figura seguente.

Figura 6.20 - Principali attività in cui è coinvolta la funzione centrale [KPMG, L’Enterprise Risk

Management in Italia, 2012, pag.11]

25 Le percentuali fanno riferimento alla survey KPMG L’Enterprise Risk Management in Italia, 2012

CAPITOLO 6

243

Un’efficace gestione dei rischi presuppone tuttavia la definizione di un assetto

organizzativo a tutti i livelli aziendali, con una chiara distribuzione dei ruoli e delle

responsabilità.

La maggior parte delle survey pone quindi l’attenzione sul ruolo sempre più centrale del

Consiglio di Amministrazione nella risk governance, per supportare, coordinare e

supervisionare tale processo e le policy di RM. Spesso a questa istituzione si affiancano

board risk committees, con la funzione di visionare regolarmente i report (98%),

sovraintendere alle politiche di risk management (81%) e al risk appetite

dell’organizzazione (78%).

Figura 6.21 - Coinvolgimento del board nell’ERM [AON, Global risk management survey 2013, pag.77]

CAPITOLO 6

244

Figura 6.22 - Attività svolte dal Consiglio di Amministrazione o dalle board risk committees [Deloitte,

Global risk management survey 2013, pag.9]

In Italia i principali ruoli e responsabilità degli attori coinvolti in questo processo e le

attività da essi svolte, in linea con il modello di Risk Governance, sono diversi come

dimostra la figura seguente.

Figura 6.23 - Principali ruoli e responsabilità degli attori coinvolti nel processo di assunzione e gestione

dei rischi, in linea con il modello di Risk Governance [KPMG, L’Enterprise Risk Management in Italia,

2012, pag.13]

CAPITOLO 6

245

Per quanto riguarda invece il processo vero e proprio di risk management, la fase iniziale

di risk assessment sembra essere sicuramente quella più critica, tale per cui il 61% delle

società in Italia ha introdotto un processo strutturato e integrato che permette di individuare

i principali rischi, mentre una porzione significativa (29%) ha dichiarato di avere intenzione

di implementarlo nel prossimo futuro.

La maggior parte delle organizzazioni inoltre ha sviluppato un processo sistematico di

definizione e approvazione dei piani di trattamento dei principali rischi identificati (risk

treatment), definendosi ormai in grado di gestire la maggior parte di questi ultimi in modo

efficace.

CAPITOLO 6

246

Figura 6.24 - Livelli di efficacia nella gestione dei principali rischi [Deloitte, Global risk management

survey 2013, pag.24]

Il reporting sui rischi si configura come lo strumento di comunicazione dell’ERM, poiché

fornisce informazioni circa i principali rischi cui l’impresa è esposta e facilita la

supervisione dell’adeguatezza e dell’efficacia del processo di Risk Management.

Nella maggior parte delle imprese europee ed extraeuropee si evidenzia come l’attività di

risk reporting negli ultimi anni si sia estesa anche al full board of directors e alla risk

commettee, piuttosto che essere limitata all’Audit, pratica diffusa in precedenza.

CAPITOLO 6

247

Figura 6.25 - Reportistica [2013 RIMS Enterprise Risk Management Survey, pag.10]

La tipologia di informazioni, oggetto di reportistica, riguarda soprattutto i risultati ricavati

dagli stress testing (83%), le concentrazioni di rischio (79%), i nuovi rischi (70%) e i

risultati della fase di risk assessment (70%).

CAPITOLO 6

248

Figura 6.26 - Tipologia di informazioni oggetto di reportistica [Deloitte, Global risk management survey

2013, pag.16]

Le modalità di comunicazione utilizzate sono diverse; tuttavia, le imprese solitamente

prediligono discussioni ad hoc in meeting organizzati (62,6%) e l’utilizzo di reports cartacei

periodici (47,6%).

CAPITOLO 6

249

Figura 6.27 - Modalità di comunicazione [AICPA, Current State of Enterprise Risk Oversight,2012,

pag.23]

Figura 6.28 - Types of risk monitoring and reporting [2013 RIMS Enterprise Risk Management Survey,

pag.12]

CAPITOLO 6

250

La survey della KPMG (2012) ha inoltre evidenziato che in Italia il 65% delle società “ha

strutturato un processo di reporting periodico prevedendo la differenziazione dei report in

base ai destinatari”.

Figura 6.29 - Periodicità della reportistica nelle imprese in Italia [KPMG, L’Enterprise Risk

Management in Italia 2012, pag.18]

L’attività di monitoraggio viene poi effettuata attraverso dei KRI (Key Risk Indicator) nel

40% delle società italiane.

Dovendo infine valutare i benefici derivanti dallo sviluppo e dall’implementazione di un

approccio completo e integrato di risk management, i diversi studi evidenziano che il

principale risulta sicuramente essere quello di incrementare la consapevolezza dei rischi

(33%), sottolineando inoltre una forte correlazione positiva tra livello di maturità

dell’enterprise risk management e la crescita dell’EBITDA e del reddito.

CAPITOLO 6

251

Figura 6.30 - Primary value [2013 RIMS Enterprise Risk Management Survey, pag.8]

Figura 6.31 - Correlazione positiva tra risk management maturity e EBIDA/reddito [FERMA, Risk

Management Benchmarking Survey 2012, pag.11]

3. Conclusioni

Nella survey relativa all’anno 2011 la RIMS concludeva dicendo che “although many

organizations are still at the earliest stages of ERM implementation, and other

organizations struggle to fully implement efficient and effective ERM programs, it is clear

that ERM, and the role of the risk manager, is increasingly a valued part of corporate

culture and business practices”.

Oggi possiamo quindi affermare che l’Enterprise Risk Management, inteso come disciplina

strategica per la gestione efficace ed efficiente dei rischi, ha raggiunto una posizione di

rilievo nel 60% delle società intervistate, che hanno ormai parzialmente o totalmente

integrato dei programmi ERM all’interno dei loro processi/attività e della loro cultura, e

hanno inoltre deciso di allinearsi con uno standard o un framework specifico, con una

CAPITOLO 6

252

notevole crescita dell'uso della norma internazionale ISO31000. È necessario tuttavia

precisare che, nonostante gli evidenti progressi, rimangono comunque ancora molte le

imprese che ritengono i propri programmi immaturi.

Nel 2013 i risultati delle survey hanno evidenziato l’opportunità di coinvolgere nella

progettazione ed esecuzione di questo processo non solo dipartimenti, come quello legale,

di Internal Audit e di Compliance, ma anche funzioni quali la pianificazione strategica, le

operations e le risorse umane.

Da sottolineare è l’ascesa del Finance Department come leader dell’ERM, sintomo evidente

della necessità di valutare ed analizzare l’impatto dei rischi attraverso parametri finanziari

più dettagliati.

L’analisi condotta sembra poi confermare che il reporting dei rischi avviene sempre più

spesso a livello di “board” (24%) o di comitato dei rischi (19%) rispetto a quanto non fosse

in passato, quando l’Audit Committee aveva il pieno controllo sulla gestione dei rischi, e

che la frequenza di reportistica avviene soprattutto su base trimestrale (38%), piuttosto che

annualmente (20%) o semestralmente (17%).

Gli strumenti maggiormente utilizzati in questo contesto sono i risks registers, affiancati da

cruscotti di prestazioni chiave e indicatori di rischio, i quali facilitano l’individuazione dei

rischi e l’allineamento del risk appetite con il processo decisionale strategico, con lo scopo

di soddisfare le aspettative.

A causa del mercato e delle condizioni economiche instabili degli ultimi anni, i governi e le

autorità di regolamentazione hanno introdotto nuove e importanti riforme, volte a rafforzare

il sistema finanziario.

Tali norme, come quella di Basilea III per la regolamentazione bancaria e Solvency II per

quella assicurativa, hanno avuto non poche implicazioni per i modelli di business, i processi

di gestione del rischio e i costi di conformità.

Nonostante ciò i risultati delle survey hanno comunque dimostrato che le istituzioni di tutto

il settore finanziario hanno migliorato le loro funzioni di risk management in accordo con

tali normative, sebbene non sempre costretti a seguirle.

Infine i benefici derivanti dall’adozione di questo approccio stanno aumentando

notevolmente la consapevolezza del rischio e la sicurezza nel raggiungimento degli obiettivi

strategici ed organizzativi, sebbene il 40% delle società intervistate si ritenga in ogni caso

insoddisfatta dell’allineamento dell’ERM con il processo decisionale strategico.

CAPITOLO 6

253

Quest’ultimo punto costituisce dunque la principale sfida e presupposto per riconsiderare

nuovamente i propri processi e svolgere un ruolo attivo nello sviluppo di questa disciplina,

che contribuisce in modo ormai evidente alla creazione di valore per qualsiasi

organizzazione che la implementi.

CONCLUSIONI

254

CONCLUSIONI

Alla luce della presente trattazione, è possibile comprendere come l’attenzione del top

management e dell’organizzazione nel suo complesso si sia focalizzata sempre di più sul

miglioramento dei processi di risk management e sull’integrazione di tale disciplina,

come strumento efficace per la creazione e la massimizzazione del valore, non solo

all’interno delle comuni pratiche aziendali e della pianificazione strategica, ma soprattutto

all’interno della cultura stessa dell’impresa.

Oggi possiamo affermare che l’Enterprise Risk Management, inteso come disciplina

strategica per la gestione efficace ed efficiente dei rischi, ha raggiunto una posizione di

rilievo nella maggior parte delle società, le quali hanno ormai parzialmente o totalmente

integrato programmi di ERM all’interno dei loro processi/attività e della loro cultura, e

hanno inoltre deciso di allinearsi con uno standard o un framework specifico. Tuttavia,

nonostante gli evidenti progressi, è necessario precisare che tali programmi risultano essere

comunque ancora immaturi e necessitano di un’attenzione costante e un aggiornamento

continuo da parte del Management.

In ogni caso l’evidente sviluppo di questa disciplina deriva in parte dalla recente crisi che

ha coinvolto l’intero sistema economico, in particolar modo i mercati finanziari portando

al collasso interi gruppi bancari, e che ha messo bene in evidenza le diffuse carenze nel

processo di assunzione, governo e controllo dei rischi.

In questo contesto si sono quindi inserite importanti iniziative, come lo sviluppo di nuovi

standards e frameworks di ERM, volte a sensibilizzare i managers nei confronti di questa

disciplina e a sottolineare l’importanza di interventi formativi specifici per supportare il

Management nella scelta dei modelli più idonei da implementare. Ma soprattutto le

recenti normative relative al controllo interno, introdotte in ambito finanziario, hanno

influenzato i sistemi di governance delle imprese e hanno richiesto l’attuazione di

particolari misure patrimoniali, modelli organizzativi e di RM, a tutela di tutti gli interessi

coinvolti.

Spetta innanzitutto al Consiglio di Amministrazione (board) la responsabilità di definire

gli obiettivi di rischio (risk appetite), monitorarne il raggiungimento e decidere sulla base

dei target fissati.

CONCLUSIONI

255

La figura tradizionale del risk manager, dotata tipicamente di competenze assicurative e

statistiche, finalizzata al semplice controllo dei livelli di rischio e alla produzione di

informazioni con un linguaggio prevalentemente tecnico-specialistico, si evolve nel

moderno ruolo del Chief Risk Officer (CRO), che sviluppa soprattutto competenze di

business administration e diventa un interlocutore autorevole, direttamente e attivamente

coinvolto nei processi di strategic decision making, con l’obiettivo di coordinare un

processo integrato di gestione del rischio. Egli viene dotato di rango organizzativo e

indipendenza tali da poter valutare ex-ante gli effetti sulla rischiosità delle scelte

aziendali, da poter interagire regolarmente con il board e avere un rapporto di parità

dialettica sia con gli altri senior manager (in particolare con il CFO) sia con i responsabili

commerciali.

La funzione di RM di conseguenza acquista un nuovo volto. Essa si inserisce nel sistema

tradizionale di controlli interni (Internal Audit e Compliance), come funzione indipendente

e di alta supervisione, volta ad assicurare che le decisioni prese a tutti i livelli aziendali non

alterino il profilo di rischio desiderato dagli azionisti e siano in linea con strategie.

L’efficace svolgimento dei compiti, molteplici ed impegnativi, affidati a tale funzione,

presuppone un coerente dimensionamento e un’elevata qualità del personale, ovviamente da

graduare in relazione alle dimensioni e alla complessità organizzativa dell’organizzazione.

Oltre alle competenze tecnico-quantitative infatti, gli addetti dovranno possedere

conoscenze trasversali sui processi operativi e soft skills quali l’indipendenza di giudizio,

spirito critico, autorevolezza e flessibilità.

I sistemi informativi infine dovranno svolgere un ruolo determinante nell’assicurare

robustezza e tempestività al processo di gestione dei rischi e pertanto gli investimenti

necessari per il rafforzamento delle piattaforme dedicate devono diventare una priorità nella

pianificazione delle esigenze IT. Obiettivi irrinunciabili diventano l’integrazione a livello di

gruppo dei sistemi informatici, il presidio della qualità dei dati, la strutturazione dei flussi

informativi e della reportistica in modo tale che le informazioni rilevanti arrivino,

tempestivamente e al momento opportuno, sul tavolo di chi è chiamato a decidere.

Il crescente interesse verso questa disciplina ha permesso inoltre lo sviluppo di un’ampia

letteratura, dalla quale è stato possibile estrapolare alcune delle principali best practices in

tema di gestione del rischio, suddivise in tre diverse categorie (risk culture, organization e

process), che rappresentano i punti chiave e i principi applicativi alla base

CONCLUSIONI

256

dell’implementazione del framework di ERM, e che saranno di aiuto al Management e alle

imprese in generale per lo sviluppo di un approccio completo di risk management e di una

forte cultura del rischio.

Il modello così delineato contribuirà dunque a massimizzare gli sforzi dell’impresa e

diverrà un sistema estremamente efficace, alla base dei processi decisionali, per guidare le

imprese nel raggiungimento degli obiettivi strategici e nella massimizzazione delle

aspettative, attraverso una gestione dei rischi efficace ed efficiente e un modello di governo

societario moderno e dinamico.

BIBLIOGRAFIA

257

BIBLIOGRAFIA

Aabo t., Fraser R., Simkins B., The rise and evolution of the chief risk officer:

Enterprise risk management at Hydro One, Journal of Applied Corporate Finance

17(3): pp. 62–75, 2005

Abrahim A., Henry K., e Keith J., ERM culture alignment to enhance competitive

advantage. 2012 ERM symposium, 18-20 April 2012

ACT Insurance Authority, Guide to Risk Management. ACT Insurance Authority, 2004

AICPA, Current State of Enterprise Risk Oversight, www.aicpa.org, 2012

AIRMIC, Alarm, IRM , A structured approach to Enterprise Risk Management (ERM)

and the requirements of ISO 31000, http://theirm.org/documents/SARM_FINAL.pdf,

2010

AIRMIC, Research into the Definition and Application of the concept of Risk Appetite,

2009

Altenbach, T. J., A Comparison of Risk Assessment Techniques from Qualitative to

Quantitative, Proceedings of the ASME Pressure and Piping Conference, July 23-27,

Hawaii, USA, 1995

Althonayan A., Killackey H. e Keith J., ERM Culture Alignment to Enhance

Competitive Advantage, http://www.ermsymposium.org/2012/OtherPapers/Keith-

Althonayan-Killackey-Paper-03-07-12.pdf, 2012

Altman, E., Sabato, G., Effects of the New Basel Capital Accord on bank capital

requirement for SMEs. Journal of Financial Services Research,

http://pages.stern.nyu.edu/~ealtman/Effects%20of%20the%20New%20Basel%20Capita

l%20Accord%20on%20Bank%20Capital%20Requirements%20for%20SMEs.pdf, 2005

Alviunessen A., Jankensgard H., Enterprise risk budgeting: bringing risk management

into the financial planning process, Journal of applied finance, 2009

Andersen T., Winther P., Strategic risk management practice, Cambridge University

Press, 2010

Antonucci D., Benchmarker gap analysis ISO 31000, 2011

AON, Global Risk Management Survey, www.aon.it, 2013

BIBLIOGRAFIA

258

Baele L., Does the Stock Market Value Bank Diversification?, Journal of Banking &

Finance 31: 1999-2023, 2007

Banca d’Italia, Bollettino di Vigilanza n.7, www.bancaditalia.it, Luglio 2013

Banca d’Italia, Circolare n.263 - 15° aggiornamento del 2 Luglio, www.bancaditalia.it,

2013

Banca d’Italia, Circolare n.263: Nuove disposizioni di vigilanza prudenziale per le

banche, www.bancaditalia.it, 27 Dicembre 2006

Banca d’Italia, Circolare n.285 - Disposizioni di vigilanza per le banche,

www.bancaditalia.it, 17 Dicembre 2013

Bank for Internation Settlements, Basilea 3 - Schema di regolamentazione

internazionale per il rafforzamento delle banche e dei sistemi bancari, www.bis.org,

Dicembre 2010

Bank for Internation Settlements, BS 6079 Project Management – Guide to the

management of business relate project risk, www.bsigroup.org, 2000

Bank for International Settlements, Basel III - The Liquidity Coverage Ratio and

liquidity risk monitoring tools, www.bis.org, Gennaio 2013

Barfield R., Risk appetite- How hungry are you?, PricewaterhouseCoopers, 2007

Beasley M., Branson B., Hancock B., Developing Key Risk Indicators to Strengthen

Enterprise Risk Management, New York: The Committee Sponsoring Organizations of

the Treadway Commissions (COSO), 2010

Beasley M., Branson B., Hancock, B., Current State of Enterprise Risk Oversight and

Market Perceptions of COSO’s ERM Framework, www.erm.ncsu.edu, 2010

Beasley M., Chen A., Nunez K., Wright, L., Working Hand in Hand: Balanced

Scorecards and Enterprise Risk Management, Strategic Finance, pp. 49-55, 2006

Beasley M., Frigo M., Strategic Risk Management: Creating and Protecting Value,

Strategic Finance, 2007

Beasley M., Chen A., Wright L., Balanced Scorecard for Objective Setting in ERM,

http://www.bus.tu.ac.th, 2006

Beasley M., Frigo M., Strategic risk management: creating and protecting value,

http://www.rims.org/resources/ERM/Documents/StrategicRiskManagement_Creating_

%20and_ProtectingValueStrategicFinance_May%202007.pdf, 2007

BIBLIOGRAFIA

259

Bernstein, P. L., Against the Gods: the Remarkable story of Risk, John Wiley and Sons,

1996

Berta G., I gruppi societari, Giappichelli Editore, 2011

Brooks D., Creating a Risk Aware Culture. In Fraser J. e Simkins B., Enterprise risk

management: Today’s leading research and best practices for tomorrow’s executives,

Wiley&Sons, 2010a

Brooks D., Integrating ERM with strategic planning, 2010b

Calandro J., Lane L., Insights from the Balanced Scorecard An Introduction to the

Enterprise Risk Scorecard, Measuring Business Excellence, pp. 31-40, 2006

Canadian Standard Association, CAN/CSA-Q850 Risk management: implementation of

CAN/CSA-ISO 31000, www.csagroup.org, 2010

Carey A., Effective risk management in financial institutions, MCB UP Ltd, 2001

Carson J., Market Risk, Interest Rate Risk, and Interdependencies in Insurer Stock

Returns: A System-GARCH Model, Journal of Risk and Insurance 75: 873-892, 2008

CAS, Overview of Enterprise Risk Management, Casualty Actuarial Society, 2003

Cendrowski H., William M., Enterprise Risk Management and COSO. A guide for

Directors, Executive and Practitioners, John Wiley & Sons, 2009

Chase-Jenkins L., Farr I., Risk appetite: a boundary for decisions, Towers Perrin, 2008

Coleman, M. E., and Marks, H. M., Quantitative and Qualitative Risk Assessment,

Elsevier Science Ltd., 1999

COSO, COSO’s Report on ERM, www.coso.org, 2006

COSO, Enterprise Risk Management - Integrated Framework, www.coso.org, 2004

COSO, Enterprise Risk Management-Application techniques, www.coso.org, 2005

Covello, V. T., and Merkhofer, M. W., Assessment methods. Approaches for Assessing

Health and Environmental Risks, Plenum Press, 1993

D.Lgs 231, http://www.camera.it/parlam/leggi/deleghe/01231dl.htm, 2001

Damodoran A., Strategic risk taking: a framework for risk management, Prentice Hal,

2008

David-O' Neill J., Stephens M., ERM: the value proposition, Milliman - Risk Advisory

Services White Paper, 2010

Dean J., Giffin, A.F., What’s your risk appetite?, Towers Perrin, 2009

BIBLIOGRAFIA

260

DeLoach J., Enterprise-wide risk management: strategies for linking risk and

opportunity, Prentice Hall, 2000

DeLoach J., Enterprise risk management: practical implementation ideas, Protiviti MIS

SuperStrategies Conference Las Vegas, Nevada, 2005

Deloitte, The risk intelligent enterprise. ERM done right, Deloitte Touch, 2006

Deloitte, Design a successful ERM function, Deloitte Touch, 2008

Deloitte, Cultivating a Risk Intelligent Culture. Understand, measure, strengthen, and

report, Deloitte Touch, 2012

Deloitte, Risk Angles, Deloitte Touch, 2012b

Deloitte, Global risk management survey, Deloitte Touch, 2013

Economist Intelligence Unit, The evolving role of the CRO, ACE, Cisco Systems,

Deutsche Bank and IBM, 2005

Ernst & Young, Risk Appetite - The strategic Balancing Act, Ernst & Young, 2010

Determinants of Its Implementation, International Conference on Business and

Economic Research, 2010

Effective Implementation. Statements on Management Accounting, Montvale, NJ:

Institute of Management Accountant (IMA), 2008

Farrel J., Hoon A., What’s your company Risk Culture?, National Association of

Corporate Directors Directorship, April 15, 2009

FERMA, Risk Management Benchmarking Survey, www.ferma.eu, 2012

FERMA, Standard di risk management, www.ferma.eu, 2002

Fill C., Mullins, L., The Effective Management of Training”, Industrial and

Commercial Training, Vol. 22(1), pp. 13-16, 1990

Floreani, A., Introduzione al Risk Management. Un approccio integrato alla gestione

dei rischi aziendali, ETAS, 2005

Fraser J., Simkins B., Enterprise Risk Management: Today's Leading Research and Best

Practices for Tomorrow's Executives, John Wiley & Sons, 2010

Frigo M., Anderson R., Strategic Risk Assessment: a first step for improving risk

management and Governance, Strategic Finance, 2009

Frigo M., Anderson R., Embracing Enterprise Risk Management: Practical Approaches

for Getting Started, COSO - The Committee of Sponsoring Organizations of the

Treadway Commission, 2011

BIBLIOGRAFIA

261

Frigo M., Strategic Risk Management: Creating and Protecting Value, Strategic

Finance, 25-32, 2007

Frigo M., When strategy and ERM meet, Strategic Finance, 2008

Giorgino M., Travaglini E., Il risk management nelle imprese italiane, Il Sole 24 ORE,

2008

Govindarajan D., Corporate Risk Appetite: Ensuring Board and Senior Management

Accountability for Risk, ICMA Centre, Henley Business School, University of Reading,

2011

Grabowski, M. and Roberts, K., Risk mitigation in virtual organisations, Organisational

Science. Vol. 10(6), pp. 704-722, 1999

Higgins R., The importance of a register in risk, 2007

Hopkin P., Fundamentals of risk management, Kogan Page Publishers, 2012

Hughey, A.W. and Mussnug, K. J., Designing effective employee training programmes,

Training for Quality, Vol. 5(2), pp.52-57, 1997

Hunter D. R., Risk perception and risk tolerance in aircraft pilots, Washington, DC:

Federal Aviation Administration, 2002

IAIS, Guidance paper on ERM for capital adequacy and Solvency purposes, IAIS, 2007

IIF, Risk culture, www.iif.com, 2009

IRM, Risk culture. Under the microscope guidance for Board, IRM, 2012

ISO, Guide 73 Risk management – Vocabulary, www.iso.org, 2009b

ISO, Risk management – Principles and guidelines (ISO 31000), www.iso.org, 2009a

ISO/IEC, Risk management – Risk assessment techniques (IEC/FDIS 31010),

www.iso.org, 2009c

Kaplan R., Norton N., The execution premium, Boston, MA: Harvard Business Press,

2008

Knight Frank H., Risk, uncertainty and profit, Boston MA: Hart, Schaffner and Marx;

Houghton Mifflin, 1921

KPMG, Understanding and articulating risk appetite, KPMG, 2008

KPMG, L’Enterprise Risk Management in Italia, www.kpmg.com, 2012

KPMG, Enterprise Risk Management survey, www.kpmg.com, 2013

Lai F., Samad F., Enterprise Risk Management Framework and The Empirical

Determinants of Its Implementation, http://www.ipedr.com/vol1/73-G10003.pdf, 2010

BIBLIOGRAFIA

262

Lam J., Enterprise-Wide Risk Management and the Role of the Chief Risk Officer,

White paper, March 2000

Lam J., The CRO is here to stay, 2001

Lam J., Enterprise Risk Management: From Incentives to Controls, John Wiley & Sons,

Inc., Hoboken, New Jersey, 2003

Lam J.& Associates (2008). Emerging Best Practices in Developing Key Risk Indicators

and ERM Reporting, Executive White Paper sponsored by Cognos, January 2008.

Lamanna Di Salvo Domenico, L'influenza del fattore rischio nella gestione aziendale,

UNI Service, 2004

Liebenberg, A., and Hoyt R., The determinants of enterprise risk management:

Evidence from the appointment of chief risk officers, Risk Management and Insurance

Review, 2003

Maino Renato, Banche e corporate governance: un passaggio critico verso Basilea 3,

http://www.bancaria.it/assets/Special-Issues/2011-11/pdf/06.pdf, Novembre 2011

McShane M., Nair A., and Rustambekov, E., Does Enterprise Risk Management

increase Firm Value?, Journal of Accounting, Auditing and Finance, 26(4): pp. 641-

658, 2010

Mehr R., Hedges B., Risk management and the business enterprise, Literary Licensing,

LLC, 1962

Meulbroek L, A senior manager’s guide to integrated risk management”, Journal of

applied corporate finance, Journal of Applied Corporate Finance, 2002

Meulbroek, L., Integrated Risk Management for the Firm: A Senior Manager’s Guide,

Journal of Applied Corporate Finance 14: pp. 56–70, 2002

Michele Ghisetti, Evoluzione del Risk Management nel settore bancario,

www.theinnovationgroup.it, 22 Ottobre 2013

Milliman, Enterprise Risk Management,

http://it.milliman.com/uploadedFiles/EnterpriseRiskManagement-Italia.pdf, 2011a

Milliman, Formalising risk appetite - a key element of enterprise risk management,

Milliman, 2011b

Moeller, R., COSO Enterprise Risk Management. Understanding the new Integrated

ERM Framework, New Jersey: John Wiley & Sons, 2007

BIBLIOGRAFIA

263

Monahan G., ERM: a methodology for achieving strategic objectives, Wiley&Sons,

2008

MoR, Management of Risk: Guidance for Practitioners (3rd Edition), OGC, 2010

Moss, G.D., Effective training of trainers: the ATLS approach”, Education + Training,

Vol. 39(5), pp. 168–175, 1997

Niven P., Balanced Scorecard Step-by-Step: Maximizing Performance and Maintaining

Results, Wiley&Sons, 2006

Nocco, B. W., & Stulz, R., Enterprise risk management: Theory and practice, Journal

of Applied Corporate Finance 18(4): pp. 8-20, 2006

O’Neill D., StephensM., ERM: the value proposition, Milliman, 2010

ORACLE, Risk Management: Protect and Maximize Stakeholder Value,

www.oracle.com, 2009

Paape, L., Speklé, R., The adoption and design of enterprise risk management

practices: An empirical study, European Accounting Review 21(3): pp. 533-564, 2012

Penza Pietro, Basel 3: impacts on banking business, profitability and capital

management, http://www.bancaria.it/assets/Special-Issues/2011-11/pdf/03.pdf, 2011

Prandi Paolo, Teoria e pratica nel rispetto della normativa, FrancoAngeli, 2012

Protiviti, Guide to Enterprise Risk Management, www.protiviti.com, 2010a

Protiviti, Making your risk assessment count: a strategic prospective, The Bullettin,

2010b

Protiviti, Risk Management: a look back and a look forward, The Bullettin, 2011

PwC, A Practical Guide to Risk Assessment- How principles based Risk Assessment

enables organizations to take the right risks, PriceWaterHouseCoopers, 2008

Ranong P., Critical Success Factors for effective risk management procedures in

financial industries, 2009

Rasid S., Gothan N., Risk management performance measurement and organizational

performances: a conceptual framework, International Business School University

Teknologi Malaysia, 2012

Razali A., Tahir Izah, Review of the Literature on Enterprise Risk Management,

http://core.kmi.open.ac.uk/download/pdf/5837159.pdf, 2011

RIMS, Enterprise Risk Management Survey, www.rims.org, 2013

BIBLIOGRAFIA

264

Risaliti G., Gli Strumenti Finanziari Derivati nell' Economia Delle Aziende, Milano:

Giuffrè Editore, 2008

Rittenberg, L., Martens, F., Understanding and Communicating Risk Appetite. COSO –

The Committee of Sponsoring Organisations of the Treadway Commission, 2012

Rochette M., From risk management to ERM, http://mpra.ub.uni-

muenchen.de/32844/1/MPRA_paper_32844.pdf, 2009

Schumpeter Joseph A., Teoria dello sviluppo economico, ETAS, Milano, 2002.

Traduzione della sesta edizione tedesca (1964)

Segal S., Corporate Value of Enterprise Risk Management. The next step in business

management, John Wiley & Sons, 2011

Segal S., ERM framework for decision making, www.soa.org, 2011

Shenkir W., Walker P., Enterprise risk management: tool and techniques for effective

implementation, IMA, 2008

Shenkir W., Walker P., Enterprise Risk Management: Frameworks, Elements and

Integration, Institute of Management Accountant (IMA), 2011

Song Q., Cummins D., Hedge the Hedgers: Usage of Reinsurance and Derivatives, By

PC Insurance Companies. Working Paper, Temple University, Philadelphia, PA, 2008

Spinard, Enterprise risk management: a holistic approach, 2005

Standards Australia, Standards New Zeland, Risk management AS/NZS 4360,

http://www.standards.org.au/Pages/default.aspx, 2004

Standards Australia, Standards New Zeland, Risk management guidelines – Companion

to AS/NZS 4360, http://www.standards.org.au/Pages/default.aspx, 2004

Stank P., Daugherty P. e Gustin C., Organizational Structure: Influence on Logistics

Integration, Costs, and Information System Performance, MCB UP Ltd, 1994

Symons, J., Making staff aware of risks, Health Manpower Management, Vol. 21(4),

pp. 15–19, 1995

Tarantola Anna Maria, Il ruolo del risk management per un efficace presidio dei rischi:

le lezioni della crisi, http://www.astrid-online.it/Dossier--d1/Italia----/Studi--

ric/Tarantola_10_11_11.pdf, 2010

The Institute of Electrical and Electronics Engineers, Standard for Software Life Cycle

Processes—Risk Management, http://standards.ieee.org/findstds/standard/1540-

2001.html, 2001

BIBLIOGRAFIA

265

Treven S., International training: the training of managers for assignment abroad,

Education + Training, Vol. 45(8/9), pp. 550.557, 2003

UNICREDIT Group, www.unicredit.it

Verweire K., Berghe L., Integrated perform management, 2004

Vose D., Risk Analysis: A quantitative Guide, John Wiley and Sons, 2008

Zurich & HBRAS, Risk Management in a time of Global Uncertainty, Zurich &

HBRAS, January 2012