Introduzione Introduzione al rischio e la sua gestione in ambito aziendale. 1.1 Contesto di riferimento... 8

Transcript

1 Sommario Introduzione... 5 Capitolo 1 Introduzione al rischio e la sua gestione in ambito aziendale 1.1 Contesto di riferimento Nozione di rischio e rischio d impresa Principali tipologie di rischio presenti in azienda I Rischi finanziari Il Rischio operativo Il Rischio strategico Gestione del rischio e cultura aziendale Capitolo 2 Enterprise Risk Management, nozioni e sviluppo Il concetto di Risk Management Il processo di Risk Management ERM come innovazione manageriale Profilo organizzativo del Risk Management all interno dell azienda Gli obiettivi dell ERM I componenti dell ERM Legame tra obiettivi e componenti I limiti dell ERM

2 2.6 Approfondimento: La stima dei rischi Stima qualitativa: matrice probabilità-impatto Stima semiquantitativa Stima quantitativa Capitolo 3 L Enterprise Risk Management in Italia e il caso del gruppo Telecom 3.1 Sviluppo dell ERM nelle imprese Italiane Profilo dell impresa e principali dati economici Le strategie del Gruppo Telecom Italia Risk Management nel Gruppo Telecom Italia Il Comitato di Gruppo Risk Management Il nuovo processo ERM di Telecom Italia Prospettive di sviluppo dell ERM nel Gruppo Telecom Capitolo 4 Applicazione pratica del modello LDA 4.1 Premessa Predisposizione del modello attuariale Prototipo di ERM Modello di misurazione del rischio

3 4.4.1 Specificazione distribuzioni e metodi utilizzati Loss Distribution Approach Considerazioni conclusive Bibliografia

4 4

5 Introduzione «I rischi sono eventi futuri incerti che possono influenzare negativamente il raggiungimento degli obiettivi strategici, operativi, finanziari e di compliance» 1 La capacità di assumersi e gestire i rischi è da sempre l essenza fondamentale dell attività imprenditoriale e una componente irrinunciabile del management d impresa. Fino a pochi anni fa la gestione di tali rischi si è concentrata, tanto nella prassi quanto nella letteratura manageriale, su poche aree specialistiche funzionali o settoriali, quali la gestione dei rischi finanziari e la copertura dei rischi assicurabili. Ai giorni nostri il mondo dell imprenditoria è chiamato a dedicare una maggiore attenzione verso le tematiche della gestione del rischio per continuare a competere in un contesto economico e finanziario sempre più globale, turbolento e complesso. Il rischio, la complessità e l incertezza sono ormai fattori che inevitabilmente caratterizzano l ambiente in cui ogni azienda opera. La crescente competitività, i cambiamenti normativi e i nuovi modelli organizzativi adottati, gli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business, i collassi finanziari che recentemente hanno travolto alcune grandi imprese quotate, la crescente instabilità dei contesti economico-politico-sociale, hanno aumentato il livello di instabilità, incertezza e il numero di variabili che incidono sul raggiungimento degli obiettivi aziendali, evidenziando l esigenza di migliorare i sistemi di controllo interni delle medesime imprese al fine di anticipare e gestire il cambiamento, e, dunque, di rafforzare e accrescere la propria capacità di creare valore per gli stakeholder. Si ha dunque un inversione di tendenza rispetto al passato, le aziende stanno comprendendo sempre più che il rischio non è unicamente un onere da sopportare, bensì, se ben gestito, può diventare un fattore critico di successo e dare un vantaggio competitivo in grado di garantire la protezione dell attività aziendale e il suo sviluppo. Da qui deriva l attuale riconoscimento al Risk Management come un processo teso ad affiancare e integrare gli altri processi presenti in azienda, per governare in modo continuativo e formalizzato mediante soluzioni organizzative riconosciute e condivise dall intera organizzazione. La nuova sfida per il management sarà quella di determinare correttamente la soglia di incertezza-rischio accettabile per la propria impresa adottando le proprie scelte in maniera consapevole e razionale, potendo 1 Standards Australia/Standards New Zealand, 1999, T93 5

6 disporre di un vero e proprio portafoglio rischi rappresentativo del profilo di rischio dell organizzazione. L odierna attenzione prestata da un numero crescente d imprese all individuazione di adeguati modelli di risk management deriva dalla consapevolezza degli organi di governo aziendale che obiettivi quali lo sviluppo di equilibri economici di lungo periodo, la creazione di valore e l incremento del patrimonio imprenditoriale possano essere perseguiti solo attraverso una politica coerente e consapevole di gestione e controllo di tutti i rischi a cui è sottoposta l impresa nel suo operare. La capacità d identificazione, valutazione e controllo dei potenziali eventi di rischio rappresenta, infatti, un importante punto di forza dei processi di gestione, fattore determinante per il successo nel lungo termine 2. Un buon modello di risk management permette la comprensione dei potenziali aspetti positivi e negativi di tutti i fattori che possono influenzare l organizzazione, incrementando la probabilità di successo della strategia riducendo l incertezza sul raggiungimento degli obiettivi generali dell azienda. Nonostante ciò, il Risk Management in Italia è una realtà ancora poco conosciuta e soprattutto, poco praticata per diversi motivi. Innanzitutto, non si può non tenere conto della struttura del nostro sistema economico, che vede il prevalere di unità aziendali di dimensioni medio piccole, poco inclini a sviluppare ampie strutture amministrative. Inoltre, è da sottolineare la carenza culturale, relativa sia alla tendenza dei manager italiani a sottovalutare o ad ignorare i rischi di evento dannoso, sia all incapacità di sviluppare quell atteggiamento orientato alla sicurezza che trova più frequentemente riscontro in altri paesi. In relazione alle considerazioni sopra esposte, il lavoro prevede un analisi del processo e dello sviluppo della funzione di Risk Management, riportando anche un esempio di un impresa estratta dalla realtà italiana, il Gruppo Telecom Italia, e un modello applicativo applicato direttamente su un processo aziendale. La scelta dell ERM come tema della tesi, deriva dalla necessita di annoverare lo svolgimento del processo di valutazione del rischio all interno delle imprese e evidenziando come la gestione dello stesso sia parte fondamentale della vita aziendale, non solo a livello organizzativo e direzionale ma anche a livello operativo. In particolare il presente elaborato si sviluppa in quattro capitoli. Nel primo, ci si propone di fornire un quadro concettuale del rischio e dei principali rischi che sono presenti in ambito aziendale. Di conseguenza, sono illustrate le varie tipologie e classificazioni dei rischi al fine di avere una chiara panoramica di tutti quegli eventi che possono compromettere il normale svolgimento dell attività aziendale. 2 S. Fortunato, M.Livatino, P. Mantovano, N. Pecchiari; L Enterprise Risk Management, pag.58. 6

7 Il secondo capitolo, nasce con l intento di definire il concetto di gestione del rischio, ovvero mira ad illustrare il processo di Risk Management, definendo i concetti essenziali di tale processo per dare modo, quindi, di comprendere cosa si intende per gestione del rischio. Si descrive una sintetica evoluzione storica del Risk Management per arrivare a definire il concetto di Enterprise Risk Management come innovazione manageriale. Si espone inoltre dettagliatamente il processo ERM, gli attori coinvolti all'interno dell'azienda, gli obiettivi del processo, le componenti e i suoi limiti. Si pone, inoltre, attenzione sulle motivazioni che spingono le imprese ad adottare un processo di gestione dei rischi. Il capitolo termina con un approfondimento sul processo di stima dei rischi. Il terzo capitolo analizza l introduzione dell'erm nelle imprese italiane con alcuni dati statistici. Si prosegue con la descrizione dell'esperienza del gruppo Telecom, vengono illustrati il profilo dell impresa e i principali dati economici del Gruppo per avere una chiara panoramica della realtà aziendale oggetto di studio. Si descrivono, altresì, le attività di Risk Management svolte dall impresa facendo attenzione alla composizione della struttura organizzativa in relazione al processo di gestione del rischio. Si termina illustrando le prospettive future di sviluppo del processo di gestione del rischio all interno dell azienda oggetto d indagine. Il quarto e ultimo capitolo, è quello in cui si presenta l applicazione degli strumenti qualitativi e quantitativi presentati nei primi tre capitoli. Si indirizzerà in particolare sulla misurazione del rischio, partendo dalla predisposizione di un modello attuariale di modellizzazione del rischio, proseguendo con un prototipo di ERM fino a volgere nell implementazione di un modello di Loss Distribution Approach su dati reali. Questa tesi vorrebbe essere un supporto utile per ampliare la conoscenza sulla gestione integrata del rischio e del processo di Enterprise Risk Management, fondamento per tutte le imprese che desiderano avvicinarsi al tema per migliorare il loro processo strategico, sfruttando con prontezza le opportunità che derivano dall elevata incertezza che caratterizza l attuale contesto competitivo. 7

8 Capitolo 1 Introduzione al rischio e la sua gestione in ambito aziendale 1.1 Contesto di riferimento Da sempre le capacità d identificazione, valutazione e gestione dei rischi sono alla base del successo aziendale. Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere per definizione un tratto distintivo dell azione imprenditoriale e una componente irrinunciabile del management. L interesse per il tema del risk management gradualmente accresciutosi nell ultimo decennio, è letteralmente esploso negli anni più recenti, alimentato in primo luogo dal verificarsi di collassi finanziari che hanno travolto alcune grandi imprese quotate, interessando i destini di migliaia inconsapevoli investitori. Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai più profonde di quelle desumibili dall esame dei vari scandali, questi sono da considerarsi, infatti, casi limite in cui si è mescolato il mal intento dei vertici aziendali con decisioni di management non all altezza, assunte in un passato più o meno lontano e con l inadeguatezza dei sistemi di controllo interno 3. Se si prova a spingere lo sguardo al di là delle più immediate evidenze, si ha modo di vedere come l importanza di gestire i rischi aziendali affondi le sue radici in motivazioni profonde e consistenti: nella crescente instabilità dei contesti economico-politico-sociali in cui le imprese operano; nei nuovi modelli organizzativi adottati dalle imprese; negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business; nell evoluzione della normativa; nell accresciuta sensibilità e attenzione da parte degli stakeholder circa il raggiungimento degli obiettivi stabiliti dal vertice aziendale; La gestione del rischio in ambito aziendale muta al variare della tipologia d impresa. All interno di sistemi aziendali relativamente semplici governati in logica accentrata, con una presenza diretta dell imprenditore attivo in prima persona sui 3 S.Beretta Valutazione dei rischi e Controllo Interno Università Bocconi Editore Milano,

9 diversi fronti del processo decisionale, troviamo assetti organizzativi spinti verso una gestione del rischio scarsamente formalizzata ma naturalmente integrata, perché accentrata in un unica figura. Le imprese di dimensioni maggiori, invece, sono tipicamente realtà complesse, altamente articolate al loro interno e governate in logica decentrata. Sono dunque realtà entro le quali l attenzione di ciascun manager è concentrata su limitati segmenti di attività, dall osservazione della quale è possibile cogliere solo visioni frammentate del sistema di rischi cui l azienda è esposta. L elevata articolazione dell assetto organizzativo diventa spesso responsabile di gestioni locali del rischio fra loro poco coordinate e, conseguentemente, poco efficaci nel tentativo di gestire i rischi in ottica integrata. Alla complessità organizzativa sopracitata si aggiunge l evoluzione del contesto economico, politico e sociale: l apertura della Comunità Europea ai Paesi dell Europa dell Est, l emergere nei mercati internazionali di nuove economie, l invecchiamento della popolazione nei Paesi industrializzati, l evoluzione delle tecnologie di calcolo e di interconnessione, sono solo alcuni tra gli elementi che hanno avuto, è continueranno ad avere nei successivi anni, effetti veementi sul modo di fare impresa. Oltre a questi fattori di natura generale se ne aggiungono di più specifici relativi sia ai business aziendali sia al Paese nel quale l azienda opera. I mutamenti nei diversi contesti normativi (ad esempio del lavoro, della tutela dell ambiente, della protezione dei consumatori, ecc.), l avvento di nuove tecnologie di produzione e di comunicazione, l ingresso nel sistema competitivo di nuovi attori, i frequenti cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e forme distributive sono tutti fattori che inevitabilmente limitano l autonomia di governo del management, impattando sugli obiettivi e sulle strategie d impresa e determinando una continua evoluzione dei modelli di business. Da ultimo, l accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a una sempre più attiva rivendicazione da parte di questi del soddisfacimento delle proprie attese, imponendo al management di conseguire con continuità risultati sempre più ambiziosi. Tutti gli elementi sopraelencati sono, in sintesi, la causa di nuovi rischi e di un aumento dell impatto e della frequenza di accadimento di quelli già esistenti, evidenziando così il riconoscimento al tema del risk management e alla sua recente espansione. Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento degli obiettivi fissati in sede di pianificazione delle strategie aziendali possono, tuttavia, divenire fonti di opportunità per coloro i quali, meglio di altri, sappiano anticiparli e governarli. La capacità di identificare, misurare e gestire i rischi diventa, pertanto, un differenziale competitivo che l azienda può sfruttare per cogliere opportunità di 9

10 business compatibili con il profilo di rischio prescelto. In tal senso, il processo di gestione del rischio diventa, oltre che strumento per prevenire e gestire l impatto di eventi dannosi sull impresa, una leva per creare valore. In conclusione si cerca di passare dalla precedente visione dei rischi a compartimenti, con l effetto di utilizzare una gestione i rischi in maniera frammentata, identificando gli stessi singolarmente e al di fuori di un contesto complessivo, verso la più evoluta raffigurazione di gestione del rischio dettata dall Enterprise Risk Management come un processo finalizzato alla gestione integrata dei rischi di gruppo [ ] tale strumento risponde all esigenza di valutare in modo sistematico il profilo di rischio associato alle attività di business, per consentire la pianificazione e la gestione delle performance aziendali in un ottica integrata redditività-rischio Nozione di rischio e rischio di impresa In letteratura e nel linguaggio corrente non vi è unanimità sul significato da attribuire al termine «rischio» 5. Ciascun soggetto interessato a definire tale concetto è influenzato dallo specifico problema che intende risolvere e di conseguenza utilizza la nozione che meglio si adatta ad esso. Analizzeremo alcune definizioni di rischio che meglio si sposano con gli argomenti che affronteremo in seguito, partendo da alcune enunciazioni letterarie. Knight, lo studioso che per primo si è concentrato sul rischio d impresa come oggetto di studio, afferma che quello in cui viviamo è un mondo di mutamenti ed un mondo di incertezza. Noi viviamo solo perché conosciamo qualche cosa del futuro; mentre i problemi della vita o almeno della condotta derivano dal fatto che noi ne conosciamo troppo poco. Questo è altrettanto vero negli affari come nelle altre sfere di attività. L essenza della situazione sta nell azione derivante dall opinione, più o meno fondata e valida, che non vi è né ignoranza assoluta, né completa e perfetta informazione ma conoscenza parziale 6. Secondo la definizione di Arthur Andersen, in relazione alla politica di trattamento dei rischi: la gestione dei rischi costituisce l elemento caratterizzante la gestione d impresa, di qualsiasi impresa, saper gestire 4 Definizione tratta dal sito edisoncasa.it 5 Nonostante sia di uso comune in una pluralità di contesti, il concetto di «rischio» non sempre è inteso in maniera univoca, né in ambito operativo, né in quello accademico; in particolare si è notato, con un cero imbarazzo, come vi sia un disaccordo tra gli studiosi di risk management e quelli di assicurazione sul vero significato da attribuire alla parola «rischio». Crowe R.M., Horn R.C., The meaning of risk, in «Journal of Risk and Insurance», vol. 34, Knight F. H., 1921, Rischio, incertezza e profitto, La Nuova Italia, Firenze 10

11 adeguatamente tutti i rischi cui un attività imprenditoriale è esposta, rappresenta l elemento essenziale del successo. Tali citazioni manifestano come molti autori abbiano riservato alla gestione del rischio un posto centrale nelle loro ricerche riconoscendolo come elemento chiave per lo sviluppo al quale deve essere tributata la giusta attenzione, mostrano come il rischio sia presente in ogni attività, influenzando l andamento di un impresa determinando, quindi, incertezza. Le molteplici nozioni di rischio introdotte in letteratura possono, in generale, confluire nei seguenti approcci 7 : 1. Approccio tradizionale-assicurativo, il rischio è inteso come insieme delle possibili minacce, la visione solo negativa di tale approccio deriva dal fatto che fino a pochi decenni fa veniva prestata attenzione solo ai rischi puri. Questi ultimi si caratterizzano per la presenza di solo due scenari possibili, il primo dettato dal fatto che non si verifichi alcun effetto economico per l azienda abbinato a un alta probabilità di accadimento, il secondo che si verifichi un evento contrassegnato da un danno elevato con bassa probabilità di concretizzazione. Seguendo tale approccio si può incorrere in un errore molto frequente ossia sottostimare gli effetti di eventi a bassissima probabilità ma con danni ingenti. 2. L'approccio statistico finanziario considera i rischi come aleatorietà stocastica ovvero per rischio può intendersi l eventualità che si manifesti una deviazione sfavorevole da un risultato atteso. Esso trae la sua origine dallo sviluppo delle scienze statistiche e può essere adottato da tutte le tipologie di rischio, anche se può risultare meno consona se applicata ai rischi puri, di fatto, un soggetto avvertirebbe un certo disagio ogni anno a scoprirsi fortunato perché la propria impresa non è stata ancora distrutta da un terremoto Approccio manageriale, il rischio è visto come possibile scostamento rispetto agli obiettivi precedentemente fissati. In questo filone rientra la seguente definizione: i rischi sono eventi futuri e incerti che possono influenzare il raggiungimento degli obiettivi strategici, operativi e finanziari di un istituzione 9. L approccio manageriale è molto simile a quello statistico finanziario. Infatti entrambi considerano minacce ed opportunità. Tuttavia se nel precedente filone sono rilevati gli scostamenti rispetto al valore atteso, in quello esaminato gli scostamenti rispetto agli obiettivi da predeterminati. L approccio manageriale è generalmente più flessibile rispetto agli altri due. 7 Floreani, Introduzione al Risk Management, Etas, Parma, 2005, p D Avino D., De Rosa M., Ferrara F., La Pietra M.P., Letterese L., Scarpa S., Germano M.R., I concetti di rischio, op.cit., p Floreani, Introduzione al Risk Management, op. cit., p

12 Infatti esso si adatta sia alla gestione dei rischi puri con l obiettivo di non subire alcun danno, sia alla gestione dei rischi finanziari, in questo caso l obiettivo potrà coincidere con le aspettative. Abbandonando le definizioni letterarie possiamo approfondire quella che è l esplicitazione di rischio secondo un impostazione principalmente aziendale, che presenta il rischio composto in parte da elementi oggettivi e in parte da elementi soggettivi. Gli elementi soggettivi dipendono principalmente dalle ipotesi formulate dal management sugli effetti derivanti da decisioni, comportamenti, mutamenti ambientali futuri. Tali ipotesi traggono origine dal grado di conoscenza ed esperienza dell individuo che la formula: quanto maggiore è la possibilità di errore nell ipotesi, tanto più grande sarà la presenza nel rischio di elementi soggettivi. Ne consegue che il rischio si può caratterizzare da un lato per una componente soggettiva strettamente correlata alla capacità ed alla conoscenza dell individuo che formula la previsione, dall altro per una dimensione oggettiva, in relazione cioè all aleatorietà degli eventi che l azienda è costretta a subire ed alle modalità attraverso le quali questi eventi si manifestano. Pertanto il rischio è strettamente connesso al processo di formulazione delle ipotesi e ai processi di valutazione relativi a eventi incerti. Da quanto affermato si può, quindi, concludere che mentre nel rischio l elemento conoscenza è presente associato all esperienza, quest ultima è assente nell incertezza 10. È proprio per questo che il rischio viene considerato un fenomeno oggettivo e soggettivo. L incertezza, invece, costituisce un fatto prettamente soggettivo poiché si è impossibilitati a ricorrere all esperienza per risolvere i problemi. Sulla base di tali affermazioni si parla di rischio in relazione alle operazioni aziendali e di incertezza in riferimento a decisioni aziendali 11. Le prime sono relative a scelte nelle quali è possibile tener conto sia della frequenza con la quale certi eventi si sono prodotti in passato, sia del loro grado di probabilità futuro; le seconde riguardano, invece, decisioni prese in ordine di eventi futuri che rimangono del tutto sconosciuti. Pertanto il concetto di rischio in ambito aziendale si caratterizza per due fondamentali elementi: il primo è relativo all esistenza di fatti eventuali dei quali non è possibile stabilire esattamente le probabili manifestazioni future ed i possibili effetti sull azienda; 10 Le nozioni di rischio, cui si è accennato, sono intimamente legate al concetto d incertezza. In realtà i due termini, sebbene assimilabili sotto diversi profili, hanno significati differenti. il rischio (o variabilità stocastica) attiene all aleatorietà intrinseca degli eventi, mentre l incertezza riguarda la mancanza di conoscenza Floreani, Introduzione al Risk Management, op. cit., p BERTINI U., 1968, Introduzione allo studio dei rischi in economia aziendale, Giuffrè Editore S.p.A., Milano. 12

13 il secondo elemento fa riferimento all analisi sia dei processi di valutazione, previsione e stima degli andamenti futuri dell azienda, sia dei rischi che vengono originati dai processi di valutazione individuali. Di conseguenza, il rischio aziendale viene definito come il risultato di un processo di analisi e di valutazione, trae origine dall esistenza dell incertezza e si manifesta nello scostamento potenziale esistente tra quanto previsto da un soggetto all interno di un organizzazione e quanto empiricamente osservato. Inoltre l eventualità che non si verifichi una determinata ipotesi, si abbiano conseguenze sfavorevoli per il soggetto che le ha formulate può essere intesa come un sinonimo di rischio. In pratica si ha il rischio ogni qualvolta, di un certo evento, può essere razionalmente formulata un ipotesi di danno. 12 L azienda quando assume decisioni relativamente alla propria dimensione, organizzazione, attività, definisce e, quindi, indirettamente sceglie il proprio grado di rischio. Fatta questa premessa, la definizione di rischio che s intende utilizzare per questo lavoro, ritenendola più coerente con gli obiettivi di sviluppo della tesi, considera il rischio come la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi d incerta manifestazione, interni o esterni al sistema aziendale. Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle variabili critiche del business model 13 all influsso dei fattori di rischio. L influsso dei fattori di rischio può avere connotazione sia positiva sia negativa, configurandosi il rischio come generatore sia di possibili perdite, sia di opportunità di creazione di valore. Il rischio in taluni casi può essere anche modellizzato come combinazione di probabilità di accadimento e impatto (esposizione). La definizione di rischio qui accolta implica che il rischio sia strettamente correlato alle caratteristiche del business model e, quindi, alla combinazione di variabili di sistema che determinano sia l esposizione al rischio, sia le potenzialità di creazione di valore dell impresa 14. Tali variabili possono essere sostanzialmente ricondotte a tre categorie: Variabili organizzative/commerciali: Definiscono le caratteristiche dei soggetti che partecipano alla gestione delle transazioni di business: management, risorse aziendali interne, clienti, fornitori e altri soggetti partecipanti. Si pensi, ad esempio, alle implicazioni sulla rischiosità di un business indotte dalla solvibilità dei clienti (rischio di credito) o di certi fornitori (rischio di conformità dei prodotti). 12 BERTINI U., 1968, Introduzione allo studio dei rischi in economia aziendale, Giuffrè Editore S.p.A., Milano. 13 Un modello di business descrive la logica di come un'organizzazione crea, diffonde e cattura valore (economico,sociale o altre forme di valore). Il processo di costruzione del modello di business è parte della strategia di business. Fonte Wikipedia.org. 14 Amit, R. and C.Zort (2001). 'Value creation in e-business, Strategic Management Journal, 22 (6. 7), pp. 493 e ss. 13

14 Variabili infrastrutturali/tecnologiche: Definiscono le caratteristiche delle infrastrutture e dei meccanismi organizzativi e tecnologici che supportano lo svolgimento degli scambi. Rientrano, in tal caso, i rischi connessi all impiego di valute diverse (rischio di cambio) e i rischi indotti dall adozione di soluzioni informatiche a presidio degli scambi (rischio di continuità del business). Variabili di governance: Definiscono la struttura di governo dell impresa stabilendone i meccanismi decisionali e di controllo. I rischi sono legati all inadeguatezza del vertice aziendale ad assumere decisioni critiche per lo sviluppo del business (rischio di inadeguatezza del processo decisionale). Con le convenzioni introdotte, un azienda è esposta al rischio quando il potenziale mutamento di una delle variabili del modello di business o del contesto in cui opera l impresa potrebbero comportare, entro un orizzonte temporale definito, uno scostamento negativo o positivo dalle performance attese. L'ultima, autorevole definizione di rischio che voglio esporre è quella fornita dal COSO (Committee of Sponsoring Organization) nell'enterprise Risk Management Integrated Framework, secondo il quale il rischio è la possibilità che un evento si verifichi e influisca in senso negativo sul conseguimento degli obiettivi. Eventi con un impatto positivo possono compensare impatti negativi o possono costituire opportunità. Quest'ultima può essere definita come la possibilità che un evento si verifichi e influisca in senso positivo sul conseguimento degli obiettivi Principali tipologie di rischio presenti in azienda La capacità di gestire il rischio assume un valore strategico per le aziende. Gli azionisti e il management delle società leader sono sempre più consapevoli dell'importanza che riveste la gestione dei rischi aziendali nella creazione di valore per i propri stakeholder. Riproponendo una definizione di Enterprise Risk Management [...] è un processo finalizzato alla gestione integrata dei rischi di gruppo 16 osserviamo come la funzione principale svolta dall ERM centrale è quella di far confluire in un unico punto di raccolta tutti i rischi aziendali, nonostante questi siano gestiti, misurati e controllati da Risk Manager periferici e 15 CoSO (Committee of Sponsoring Organization), Enterprise Risk Management Integrated Framework Edison.it 14

15 gestirli integralmente. Nel precedente paragrafo ci siamo occupati delle principali definizioni di rischio, in questo invece ci occupiamo di elencare e descrivere i principali rischi, di valutare le probabilità che essi si verifichino e il loro impatto potenziale, che si manifestano nelle aziende e facenti parte di un generico modello di Enterprise Risk Management. 17 Nel modello di Enterprise Risk Management, devono essere inclusi, necessariamente, non solo i rischi di natura finanziaria, ma anche quelli strategici, operativi, legali e normativi, d immagine, di gestione delle informazioni, quelli per la sicurezza dei sistemi informatici utilizzati e, infine, i cosiddetti rischi emergenti, che potrebbero impattare l impresa, esempio il rischio di nuovi concorrenti sul mercato I Rischi finanziari La gestione di rischi finanziari presenti in azienda deriva da posizioni commerciali e finanziarie non coperte, esposte a variazioni di mercato dei tassi di cambio, dei tassi di interesse, delle varie attività presenti in portafoglio, e del merito di credito delle controparti. 18 Come si può desumere dalla definizione il rischio finanziario può a sua volta essere distinto tra rischio di credito e rischio di mercato. Il Financial Risk Management è l attività di gestione, presente all interno dell ERM, che si occupa della gestione di suddetti rischi cercando di minimizzarne il potenziale impatto sui margini generati. I. Rischio di Credito: Storicamente sono le aziende di credito le imprese meglio attrezzate per la gestione di tale rischio, in quanto è di gran lunga il rischio principale da gestire e il fulcro del loro business. Quello di credito è uno dei rischi di mercato più analizzati e di difficile quantificazione. Usualmente il problema è stato affrontato mediante l'applicazione di metodi attuariali basati su dati storici. Tuttavia la rapida crescita nei mercati finanziari delle attività e dei titoli derivati nonché l'elevato livello di sofisticazione di alcuni strumenti finanziari, hanno evidenziato l'inadeguatezza dei metodi tradizionali nel valutare in modo equo i rischi conseguenti. Cerchiamo innanzitutto di definire il concetto rischio di credito. In 17 Brogan J.C., D arcy S.P. Maggio Journal of Risk Management of Corea 18 ERM Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott

16 II. prima istanza, il rischio di credito può essere definito come l'eventualità che una delle parti di un contratto non onori gli obblighi di natura finanziaria assunti, causando una perdita per la controparte creditrice 19. Tale definizione contempla solamente il caso estremo in cui il debitore si rende insolvente. Ma una perdita di valore della posizione creditoria può derivare anche da un deterioramento delle condizioni economico finanziarie del debitore da cui dipende la capacità di far fronte agli impegni finanziari, pur non divenendo insolvente. In un'accezione meno semplificata, per rischio di credito si intende allora la possibilità che da una variazione inattesa del merito creditizio di un debitore derivi una variazione inattesa del valore del credito. I rating forniti, ad esempio, dalle note agenzie Standard & Poor's e Moody's rappresentano una stima del merito creditizio delle imprese e dei Paesi. Per quanto riguarda gli strumenti per la gestione e mitigazione del rischio di credito sono presenti nei mercati i contratti derivati 20 o le operazioni di cartolarizzazione 21, che, pur avendo ottime caratteristiche sono di difficile impiego per le imprese industriali e commerciali poiché pensati più per le esigenze di gestione di crediti finanziari. Il rischio di credito inoltre può essere gestito tramite un buon sistema di controllo interno adottato dall azienda per poter assicurare la salvaguardia del patrimonio aziendale, di cui i crediti sono parte integrante. Devono essere definite delle politiche aziendali in merito alla concessione e gestione dei crediti aggiungendo un adeguata organizzazione, procedure e strumenti in linea con le esigenze aziendali 22. Rischio di mercato: può essere definito come il rischio di variazioni negative del fair value di attività o passività derivante da variazioni 19 Ammann M., Credit Risk Valuation. Methods, Models, and Applications. Springer- Verlag, Berlin Derivati contratti atipici di natura finanziaria consistenti nella negoziazione a termine di un entità economica e nella relativa valorizzazione autonoma del differenziale emergente dal raffronto fra il prezzo dell entità al momento della stipulazione e il suo valore alla scadenza pattuita per l esecuzione per apprendimenti sui derivati leggere: GIRINO E., I contratti derivati, Giuffrè. Milano, La cartolarizzazione (securitisation) è una tecnica di finanziamento che consente di smobilizzare poste attive illiquide convertendole in attività negoziabili attraverso la creazione di un titolo cedibile sul mercato. Per approfondimenti Galiani, Polimeni, Proietti, Credit derivates e cartolarizzazione. Metodologie e analisi dei rischi, Il sole 24ore (2003). 22 Per un approfondimento sulla tematica delle gestione del rischio di credito leggere Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann nota

17 nei parametri di mercato 23. Lo stesso a sua volta può essere distinto in rischio di cambio, rischio di prezzo e rischio di tasso di interesse. Il rischio di cambio trova origine nella diversa combinazione delle operazioni generate dai processi operativi dell impresa. La maggior parte delle decisioni inerenti alle operazioni in valuta estera, che sono la principale fonte del rischio di cambio, vengono prese di fatto dall area operativa e determinano le modalità con cui tale rischio influenzerà in futuro l azienda. Si riferisce alla presenza di una probabilità, più o meno elevata, che le variazioni dei tassi di cambio producano effetti sull economicità della gestione diversi da quelli attesi, gli effetti che si suole ricondurre al concetto sono evidentemente quelli di segno negativo, che possono danneggiare l impresa. L ampia definizione data indica che il rischio a carico dell impresa dipende dalla variabilità attesa dei cambi stessi e dal grado di dipendenza dei risultati economici dalla dinamica dei cambi. Il rischio di prezzo invece, si manifesta quando, a parità di tutte le altre condizioni, il valore di mercato degli strumenti in portafoglio e sensibile all andamento dei mercati azionari, ad esempio il prezzo di una certa commodity (es. petrolio) genera un effetto negativo sul conto economico per un aumento di prezzo tra il momento in cui si è definito un listino e il momento di effettivo esborso finanziario. Il rischio di tasso di interesse, invece, si manifesta quando a parità di tutte le altre condizioni il valore di mercato dell investimento è sensibile a variazioni dei tassi d interesse. Una variazione degli ultimi produce un mutamento del valore delle attività o del costo delle passività detenute, un aumento dei tassi di mercato comporta una riduzione del valore di mercato di un titolo e viceversa. Tale variazione inciderà dunque sui margini economici in funzione della struttura (es. temporale) delle attività e passività sottostanti. Tale rischio è tanto maggiore quanto più lontana è la scadenza del titolo, è tipico delle obbligazioni e dei contratti derivati sui tassi di interesse. Ad esempio per una società che offre credito e stipula un mutuo a tasso fisso e si presenta un aumento dei tassi, si avrà un mancato guadagno perché la stessa società potrebbe riscattare il mutuo e concederne uno nuovo a un tasso maggiore. 23 Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott 2007 pag

18 Le strategie per gestione dei rischi di mercato sono molteplici e molto complesse 24 è comunque opportuno che le aziende si dotino di una capacità analitica e previsionale che permetta di comprendere i vari scenari di mercato e di formulare previsioni, o comunque valutare in modo consapevole le previsioni fornite loro da banche o analisti esterni. La razio che accomuna suddette strategie è quella di proteggere l azienda da perdite impreviste, mantenere la stabilità dei ricavi e la certezza dei cash flows, beneficiare ove possibile di movimenti favorevoli dei tassi di mercato nei limiti di rischio prestabili e contribuire a generare valore per gli azionisti Il rischio operativo L attenzione verso il rischio operativo da parte di studiosi e operatori è piuttosto recente, essa risale di fatto a metà degli anni 90, fino ad allora lasciata in ombra, se non per specifiche tipologie di rischio come frodi ed errori nel trattamento delle operazioni, nonostante la piena consapevolezza della sua esistenza. Inizialmente si considerava il rischio operativo come una categoria residuale, facendovi confluire tutti i rischi che non potevano essere considerati come rischi di mercato o rischi di credito. Dagli anni novanta ai giorni nostri le principali istituzioni finanziarie hanno intrapreso un percorso per giungere a una definizione positiva di questa categoria di rischio. Tra queste istituzioni figura il Comitato di Basilea 25 che fornisce la seguente definizione Il rischio operativo, è il rischio di subire perdite derivanti dall'inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi, oppure da eventi esogeni. Tale definizione comprende il rischio legale ma esclude i rischi strategici e di reputazione, include le perdite monetarie direttamente riconducibili al manifestarsi di eventi esterni o di eventi verificatisi nel corso dello svolgimento di attività interne. La suddetta 24 Per approfondimenti vedere, Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann (nota 16) 25 Il comitato di Basilea per la vigilanza bancaria, e un'organizzazione internazionale istituita dai governatori delle Banche centrali dei dieci paesi più industrializzati (G10) alla fine del 1974, che opera sotto il patrocinio della Banca per i Regolamenti internazionali (Bank for International Settlements: BIS). Il suo scopo era quello di promuovere la cooperazione fra le banche centrali ed altre agenzie equivalenti allo scopo di perseguire la stabilita monetaria e finanziaria. [ ].il comitato coordina la ripartizione delle responsabilità di vigilanza fra le autorità nazionali, per attuare la supervisione delle attività bancarie a livello mondiale. Tratto da: 18

19 definizione, può essere ampliata descrivendo il rischio operativo come l'insieme di tutte le anomalie che, inficiando l'output aziendale possono determinare una perdita economica, un maggior costo nello svolgimento delle attività o un minor ricavo comprende un enorme varietà di situazioni. Dalla definizione emerge inoltre che il Comitato di Basilea riconduce, agli eventi generatori di perdita, quattro principali categorie di fattori causali: Risorse umane: si fa riferimento a tutti i problemi d incompetenza o negligenza del personale, in particolare dunque, a errori, frodi, collusione, non osservanza di regole interne o di settore e violazioni della sicurezza informatica. Possono costituire delle cause di perdite operative, anche la perdita di risorse umane rilevanti e i rischi connessi ai rapporti con clienti, azionisti e aziende partner. Tecnologia: comprendono tutti i problemi, causati non intenzionalmente, relativi ai sistemi informativi. In particolare, incompatibilità dei sistemi con le necessità dell azienda, errori di programmazione informatica, interruzioni nella struttura di rete ed eventuali crisi dei sistemi di telecomunicazione e d informazione in genere. Processi interni: rientrano nella categoria i processi produttivi e di gestione. I problemi che si possono manifestare sono nelle procedure esistenti o assenza di determinate procedure, errori d esecuzione, registrazione, regolamento, documentazione, carenze nel sistema dei controlli interni, insufficiente formalizzazione delle procedure interne, inadeguata definizione e attribuzione di ruoli e responsabilità. Fattori esterni: comprende avvenimenti che derivano da persone o entità esterne all attività, quali: attività fraudolente commesse da soggetti esterni come furti, atti di vandalismo o terrorismo; eventi politici e militari come sanzioni internazionali, guerre; cambiamenti nel contesto legislativo e fiscale; eventi naturali dannosi incendi, terremoti, inondazioni. Questi fattori causali, manifestandosi singolarmente o tramite una loro espressione congiunta, danno luogo agli eventi che generano le perdite operative. I loro effetti sono generalmente di natura limitata sul piano temporale e materiale e possono essere fronteggiati nell ambito della normale gestione d impresa. Inoltre, molti rischi operativi sono assicurabili. Gli strumenti utilizzati per contenere il rischio operativo sono in prevalenza il controllo di gestione e il controllo interno: il primo si preoccupa di valutare continuamente i risultati ottenuti ed analizzare gli scostamenti rispetto agli obiettivi di risultato formulati nel budget; il secondo si 19

20 occupa di valutare il rispetto delle procedure aziendali e di prevenire comportamenti fraudolenti o sconsiderati che possano provocare danni al patrimonio aziendale Il rischio Strategico Il rischio strategico e connesso strettamente con il settore di appartenenza dell'impresa, cioè con la combinazione prodotto- mercato- tecnologia con cui opera la stessa. Deriva da inattesi cambiamenti nel contesto competitivo o dal mancato riconoscimento delle tendenze in atto nel settore di appartenenza, oppure in errate conclusioni riguardo queste tendenze 26. Tra i principali rischi vi sono quelli legati alla competitività, alla soddisfazione del cliente, alla regolamentazione ad eventuali ostacoli politici, nonché tutti quei rischi legati al ciclo di vita delle imprese, quali processi produttivi o innovazioni tecnologiche. Hanno origine nei livelli più alti del sistema organizzativo aziendale e includono vari tipi di cause, ad esempio: errori di previsione della domanda di mercato, errate supposizioni in merito alla strategia di business, rischi derivanti dal lancio di nuovi prodotti o servizi, errori nella scelta del mix di attività, perdita del controllo sulla proprietà intellettuale d idee innovative, investimenti sbagliati, errori nelle operazioni di acquisizione e fusione con altre aziende, e diverse altre cause. Tra le aree di criticità del rischio strategico vi è quella riguardante la mancanza di una sua precisa definizione in termini di fattori di rischio da analizzare. La letteratura in merito, permette l individuazione delle numerose cause alle quali possono essere ricondotte le perdite o gli utili derivanti da questa tipologia di rischio. Gli autori Adrian J. Slywotzky e John Drzik di Mercer in un articolo della Harvard Business Review dell'aprile 2005 distinguono sette classi di rischio strategico: 1) Settore; 2) Tecnologia; 3) Brand; 4) Concorrente; 5) Cliente; 26 Crf il rischio strategico. 20

21 6) Progetto; 7) Stagnazione; Il fattore chiave per affrontare e gestire il rischio strategico sarà quello di individuare la pratica di successo per il conseguimento, il mantenimento e l accrescimento nel tempo dei vantaggi competitivi aziendali. Per quanto riguarda il grado di orientamento strategico dell impresa è essenziale quindi una pianificazione della gestione adeguata alla missione aziendale, il perseguimento di vantaggi competitivi sostenibili ed attuabili attraverso assetti strutturali, organizzativi e finanziari adeguati. Per quanto riguarda l assetto organizzativo l impresa dovrà valutare attentamente le capacità professionali del management, la coerenza fra la strategia prefissata e la struttura organizzativa utilizzata per raggiungerla, la snellezza procedurale e i possibili conflitti interni. Infine i due sottolineano come anche alcuni rischi finanziari e operativi possano, in qualche modo, avere una certa rilevanza strategica. I rischi strategici non sempre condurranno a delle perdite specifiche e, nel caso in cui esse avvengano, possono impiegare anche molti anni per divenire apparenti, più spesso il loro impatto finanziario è rappresentato, invece, da un costo-opportunità. Tali caratteristiche rendono questa categoria di rischi molto difficile da misurare. In genere le tecniche e gli strumenti per la gestione dei rischi strategici sono soggettivi e variano molto da business a business. 1.4 Gestione del rischio e cultura aziendale Oggi le aziende si presentano sempre più come organizzazioni caratterizzate da una struttura complessa e articolata. Nella realtà che ci circonda, è possibile riscontrare ancora attività gestite e controllate da un solo soggetto imprenditore che svolge tutte le funzioni relative all area organizzativa, finanziaria e commerciale. Si tratta in questo caso di piccole imprese con un assetto organizzativo piuttosto semplice. Le aziende di media e grande dimensione, invece, non possono essere controllate da un solo soggetto ma è opportuno suddividere l attività aziendale in vari settori o aree (commerciali, produttivi, finanziari, ecc) e delegare poteri direttivi e di controllo a vari responsabili in modo da rendere più flessibile la gestione e attenuare la probabilità di arresti o disfunzionamenti all interno dell impresa che possono, di conseguenza, generare rischi. 21

22 Per questo e a causa del cambiamento e la proliferazione dei rischi, è necessario che ogni responsabile dei diversi settori aziendali, per quanto di sua competenza, identifichi i rischi reali per la propria organizzazione, ne stimi le probabilità di accadimento, li valuti rispetto alla tolleranza della organizzazione stessa e, quando possibile, li compari, tramite analisi comparative, con quelli dei loro mercati e settori di riferimento 27. Gli approcci per una corretta gestione dei rischi possono differire enormemente da azienda ad azienda e anche tra i diversi settori della stessa azienda. C'è comunque concordanza sul fatto che l'approccio debba nascere dal vertice e che trovi fondamento e supporto nella strategia aziendale e il modello che ne deriva sia coerente con la struttura dell impresa e ne rispetti i livelli di delega, di autonomia e di responsabilità. I rischi pertanto possono essere gestiti, a seconda della loro importanza e impatto, a livello di vertice strategico o essere trasferiti alle strutture più operative. Per una corretta identificazione e analisi dei rischi è necessario disporre di una serie di metodologie e strumenti specifici. Ogni area aziendale deve essere coinvolta nelle fasi di analisi e di definizione delle misure da adottare in quanto l'applicazione delle metodologie e degli strumenti di analisi-gestione dei rischi richiedono competenze e professionalità specifiche di ogni settore. E in questa realtà aziendale che si afferma il processo di gestione integrata dei rischi Enterprise Risk Management. 27 Giorgino M., TravagliniI F., febbraio 2008, Il risk management nelle imprese italiane, Il Sole 24 Ore. 22

23 Capitolo 2 Enterprise Risk Management, nozioni e sviluppo La moderna teoria del Risk Management è riconducibile alla scuola americana, che inizia a fornire i propri contributi nella seconda metà degli anni 50. Il mondo aziendale americano ha sempre rappresentato una guida nell evoluzione della materia grazie all anticipata sperimentazione di determinati fenomeni tecnologici, economici, sociali che hanno reso particolarmente evidente il vantaggio per le società di adottare adeguate tecniche di gestione dei rischi. In una prima fase, la gestione del rischio in azienda coincide con l attività di ricerca di idonee coperture assicurative, la scuola americana considera, invece, il Risk Management come un insieme di soluzioni finalizzate a gestire i rischi in modo diverso dalla tradizionale sottoscrizione del contratto di assicurazione. Gli studi di Risk Management appartengono quindi inizialmente a un filone assicurativo: nascono, infatti, dalla ricerca sull economia delle imprese assicurative e sono orientati alla gestione dei rischi puri tipicamente assicurabili tramite coperture danni. Negli anni 70 si verifica un rinnovamento degli studi e la nascita di un nuovo filone di ricerca che mette in relazione il Risk Management con la più generale teoria dell impresa. Comincia quindi a svilupparsi la convinzione che l assicurazione contro i rischi non debba necessariamente essere la norma, e che, in certe circostanze, l assunzione di rischi possa essere una soluzione conveniente. Si intende cioè verificare se l introduzione del Risk Management nell impresa, come funzione manageriale, può o meno massimizzare il valore della stessa impresa e in quale modo ciò accada. Si compie in tal modo il percorso che porta dall insurance management che vede l assicurazione come soluzione normale, al Risk Management, che affronta esplicitamente la gestione dei rischi non assicurabili la cui gestione richiede l'uso di strumenti diversi dal contratto di assicurazione. Negli anni recenti emerge la tendenza ad una visione globale del Risk Management, basata sulla considerazione che esso debba occuparsi di "tutti i rischi dell'azienda", politici, finanziari, di mercato Pignolo P., 2002, La gestione e la ritenzione del rischio d impresa, Franco Angeli Editore, Milano 23

24 2.1 Il concetto di risk management Essere imprenditori significa assumere dei rischi. Quel che è importante è non assumere rischi di entità tale da mettere in crisi l'azienda, capire il rischio, valutare se lo si può affrontare con le risorse umane e finanziarie a disposizione, se lo si può gestire tanto da minimizzare i costi per dominarlo e ridurre le perdite nel caso in cui il danno accada. Per raggiungere questi obiettivi occorre il supporto di un processo, il Risk Management, che porta a seguire un percorso ben definito, a fare delle riflessioni obbligate. Risk Management significa letteralmente Gestione del Rischio dove per rischio si intende la probabilità di accadimento di tutti quegli eventi che possono comportare perdite o danni per l azienda e per le persone coinvolte (es. danni alle strutture, danni alle persone fisiche, danni economici o di immagine). Il Risk Management può essere definito come il sistema, fondato su una metodologia logica e sistematica che consente di identificare, analizzare, valutare, comunicare, eliminare e monitorare i rischi associati a qualsiasi attività o processo in modo da rendere l organizzazione capace di minimizzare le perdite e massimizzare le opportunità 29. Il primo passo basilare per il Risk Management è conoscere in modo preventivo i rischi, quali sono gli eventi potenzialmente dannosi, con quale frequenza si possono manifestare e quale impatto possono avere. Senza la conoscenza del rischio non c è possibilità di preparare o di adottare azioni correttive, preventive o migliorative. Questa fase di valutazione del rischio deve essere necessariamente un processo continuo finalizzato al miglioramento. Considerando che, nel tempo, i fattori esterni o interni di rischio possono cambiare, deve comprendere altresì una previsione dei costi di gestione del rischio, in termini di risorse economiche, di capacità e di mezzi. I costi di gestione del rischio non devono chiaramente superare i costi di eventuali danni causati dal concretizzarsi del rischio stesso. Da questa prima definizione si evince che lo strumento principale per attuare un buon modello di ERM fa riferimento al concetto di gestione integrata. In altre parole, quando si parla di ERM, ci si riferisce a un framework di gestione, che, individuando tutti i rischi li gestisca tenendo in considerazione l effetto complessivo sul modello organizzativo e operativo, in maniera tale da fornire una ragionevole certezza che, sebbene taluni obiettivi e rischi possano risentire di 29 Giorgino M., TravagliniI F., febbraio 2008, Il risk management nelle imprese italiane, Il Sole 24 Ore 24

25 agenti esterni, tutti i livelli aziendali si muovano nella stessa direzione per il raggiungimento degli stessi obiettivi 30. Gestendo il rischio in maniera efficace, le organizzazioni possono non solo minimizzare il rischio nel momento in cui un evento negativo accade, ma essere anche in grado di sfruttare in maniera attiva le opportunità che potrebbero presentarsi nel raggiungimento dei propri obiettivi. Molte organizzazioni nel mondo utilizzano, al fine di fronteggiare il rischio, specifici strumenti e processi di gestione del rischio, strumenti e processi che finiscono per essere integrati operosamente con la gestione del proprio business. 2.2 ERM come innovazione manageriale L innovazione rappresenta da sempre il principale fattore di sviluppo delle singole imprese e del sistema produttivo in genere. L innovazione non si limita, però, alla sfera della tecnologia e della creazione di nuovi prodotti o processi, accanto all innovazione tecnologica vi è quella manageriale che si concretizza nella creazione di nuove tecniche di gestione delle risorse, di organizzazione del lavoro, di programmazione delle operazioni, di assunzione delle decisioni. L innovazione manageriale può essere finalizzata a risparmi di costi, a incrementi del fatturato o più in generale al miglioramento della qualità della gestione aziendale. L Enterprise Risk Management costituisce un esempio di innovazione manageriale relativa alle problematiche della gestione dei rischi dell azienda. E un attività strategica di supporto al processo direzionale d impresa volta a creare valore aziendale a favore dei portatori di capitali di rischio attraverso un processo integrato di identificazione, stima, valutazione, trattamento e controllo di tutti i rischi d impresa 31. Quest approccio prende in considerazione, in un ottica di conoscenza e valutazione dei rischi, tutti gli aspetti di gestione aziendale. Attraverso l Enterprise Risk Management si attua un processo integrato di organizzazione, pianificazione, gestione e controllo di tutte le attività collegate alla identificazione, alla valutazione e gestione dei rischi ai quali l azienda è esposta. Quando difatti, si parla di ERM, ci si riferisce a un framework di gestione che, individuando tutti i rischi, li gestisca tenendo in considerazione l effetto complessivo sul modello organizzativo e operativo. Ogni impresa di successo 30 Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott FLOREANI A., 2005, Introduzione al risk management, Libreria Rizzoli. 25

26 affronta rischi, l ERM tratta sia le opportunità che i rischi e per questo motivo è vitale per il successo. Dato che ogni scelta del management ha un impatto sul profilo di rischio aziendale, l ERM assiste il management stesso con lo scopo di comprendere i rischi aziendali e gestirli, permettendo di sviluppare le competenze interne necessarie per adottare le scelte migliori Il processo di Risk Management Il Risk Management è il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli riguardanti le singole attività o l insieme delle stesse. 33 Secondo questo approccio il processo di Risk Management è costituito da quattro fondamentali fasi 34 : 1. Definizione degli obiettivi dell impresa e di Risk Management: Gli obiettivi strategici dell impresa e il contesto di mercato in cui essa si muove sono estremamente rilevanti, in quanto contribuiscono a determinare l atteggiamento dell organizzazione di fronte alle diverse tipologie di rischio, le risorse da dedicare all attività di Risk Management e le decisioni sulla più idonea modalità di trattamento degli stessi. Ogni organizzazione può avere obiettivi propri da cui discendono particolari obiettivi operativi, risorse e criteri valutativi. Secondo l ERM l obiettivo dell impresa è quello di massimizzare il valore aziendale creato dalla gestione a favore dei portatori di capitale di rischio. L Enterprise Risk Management consente di circoscrivere l analisi ai soli rischi aziendali, cioè gli effetti economici, finanziari e patrimoniali che i rischi possono determinare nell impresa. In particolare: Obiettivo principale dell attività di Risk Management è di contribuire a creare valore aziendale a favore degli stakeholder; Le risorse assegnate all attività e la conseguente strutturazione del processo sono tali da massimizzare la differenza tra il valore creato dal processo di Risk Management e i costi del processo; Il criterio è quello del massimo valore aziendale creato dalle diverse alternative decisionali. 32 COSO, 2006, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, il Sole 24 Ore. 33 Airmic.com (Association of Insurance Risk Manager). 34 FLOREANI A., 2005, Introduzione al risk management, Libreria Rizzoli. 26

27 Inoltre, per evitare che i diversi interventi di gestione del rischio risultino frammentati e incoerenti, è necessario stabilire con chiarezza le finalità da attribuire al processo; 2. Risk assessment: una volta definiti gli obiettivi, stabilite le risorse e i criteri di valutazione il processo di Risk Management si avvia attraverso questa fase, durante la quale si identificano, valutano e stimano i rischi che gravano sull organizzazione. La realizzazione del risk assessment presuppone che l azienda abbia definito il proprio livello di risk appetite (livello massimo di rischio accettabile), superato il quale i rischi identificati diventano rilevanti e devono essere opportunamente gestiti. La valutazione dei rischi identificati permetterà quindi di creare un ordinamento degli stessi secondo la loro significatività. Si suddivide in quattro fasi: I. L identificazione dei rischi: consiste nell individuare le fonti di aleatorietà, cioè quegli eventi rischiosi che possono determinare effetti inattesi sugli obiettivi dell impresa. In certi contesti l identificazione dei rischi è la fase più importante e delicata del processo di Risk Management. Ciò accade quando la mancata o non corretta identificazione di singoli rischi può pregiudicare il successo di determinati progetti o mettere in pericolo l equilibrio economico e patrimoniale delle aziende. All identificazione dei rischi segue la descrizione. Essa consiste nel descrivere le principali caratteristiche dei singoli rischi identificati secondo una modalità standardizzata. La descrizione dei rischi è finalizzata da un lato ad agevolare le successive fasi di stima, integrazione e valutazione, dall altro a disporre in ogni momento di un informativa sintetica e aggiornata dei rischi. II. III. La stima dei rischi: rappresenta la fase centrale del risk assessment. Attraverso opportune tecniche di stima si definiscono probabilità e conseguenze del rischio. Le tecniche utilizzate a tal fine possono essere di tipo quantitativo, semiquantitativo o qualitativo. L integrazione dei rischi: consiste nell aggregazione di tutti i rischi individuati e stimati, e nella stima dell impatto che ciascuno di questi 27

28 ha sulla rischiosità complessiva dell impresa. La fase di integrazione è essenziale e nel contempo estremamente complessa. IV. La valutazione dei rischi: la fase di valutazione del rischio conclude il risk assessment. Tale fase è strettamente legata agli obiettivi dell azienda e al processo di Risk Management. La fase di risk assessment origina un report sintetico (risk reporting) volto a descrivere il rischio e la sua manifestazione originaria, permette così, a chi ne ha la responsabilità di prendere le adeguate decisioni. La fase si termina con il giudizio sul rischio che sarà ritenuto adeguato o meno rispetto agli obiettivi aziendali. Nel primo caso non sarà necessario alcun trattamento e al massimo si prevedrà un monitoraggio della sua evoluzione nel tempo, nel secondo caso si deciderà un intervento passando alla fase successiva (risk treatment). Tutte le alternative gestionali che saranno individuate andranno però valutate e di conseguenza potrà rendersi necessaria una nuova fase di risk assessment; 3. Risk treatment (trattamento dei rischi): consiste nel selezionare e implementare idonee misure atte a modificare il profilo di rischio, in linea con gli obiettivi di Risk Management e i connessi criteri valutativi: si tratta, in pratica, di prendere delle decisioni aziendali che hanno un influenza sui rischi esaminati. Dopo aver deciso e implementato le più idonee misure di gestione del rischio è necessario effettuare una nuova stima del rischio che residua in seguito alle azioni realizzate; 4. Monitoring (controllo): una volta realizzati, gli interventi di gestione devono essere opportunamente monitorati permettendo all azienda di verificare anche il livello di conseguimento degli obiettivi. Attraverso questa attività potranno essere identificati eventuali fattori che impediscono l efficacia degli interventi realizzati. I continui mutamenti del sistema dei rischi ai quali l azienda è esposta impongono anche che venga effettuato un regolare controllo al fine di mantenere aggiornato l archivio dei rischi significativi e verificare l efficacia del processo di gestione in atto. Il controllo può essere strutturato su più livelli e consiste nello svolgimento delle seguenti attività: I. Controllo dell esposizione al rischio e dell andamento dei rischi assunti : questa attività di controllo può essere considerata una vera e propria modalità di gestione del rischio (controllo di gestione); 28

29 II. III. Reiterazione parziale o totale del processo di Risk Management in caso di necessità: il processo si presenta dinamico e deve essere ripetuto periodicamente e in ogni caso qualunque volta che si modificano le condizioni di ambiente come, per esempio, in caso di modifica di un rischio o dell introduzione di nuove modalità di gestione; Determinazione dell efficacia del processo di Risk Management ed eventuali revisioni dello stesso : questa attività è molto ardua in quanto è complesso valutare i benefici del Risk Management. Un processo di Risk Management si presenta efficace quando tutto funziona in modo ordinario, in altre parole, quando non si manifestano degli scenari che non erano stati previsti o quando in presenza di manifestazioni negative del rischio le misure di riduzione e contenimento del danno operano correttamente. Se è chiaro che delle anomalie possono essere addebitate a malfunzionamenti del processo di Risk Management, l assenza di anomalie non permette di comprendere facilmente se il processo è adeguato o se si è trattato solo di una circostanza favorevole. Infine, oltre ai controlli sopra delineati, il Risk Management, come tutte le altre attività aziendali, deve essere sottoposte al processo di internal auditing 35, vale a dire deve essere verificato che le persone chiamate a definire e realizzare obiettivi, politiche, processi e procedure di Risk Management agiscano correttamente. 35 Il processo d internal auditing (IA) [..]sono attività professionali di consulenza verso una organizzazione per la verifica delle procedure, svolta principalmente da personale interno. 29

30 2.4 Profilo organizzativo del Risk Management all interno dell azienda L azienda che intende implementare un processo di Risk Management deve prima di tutto stabilire ruoli e responsabilità delle diverse funzioni che partecipano al processo. E importante distinguere i soggetti direttamente coinvolti da quelli che non fanno parte del processo, ma che, attraverso la propria attività, possono influenzare positivamente lo stesso. Le principali aree coinvolte direttamente nel processo sono: Consiglio di Amministrazione: esso definisce prima di tutto le strategie di base per lo sviluppo e la realizzazione di un efficace processo di gestione del rischio. Formula gli obiettivi generali che l organizzazione dovrà perseguire relativamente all assunzione dei rischi e verifica l efficacia del processo e il rispetto degli stessi obiettivi generali. Il consiglio di amministrazione svolge un ruolo di supervisore e di guida, verificando il grado di efficacia con cui il management realizza il processo di gestione del rischio, ottenendo informazioni sui rischi più rilevanti e sull adeguatezza delle risposte del management e comparando il profilo di rischio effettivo dell azienda con quello tollerato. A tal fine il consiglio di amministrazione deve avere a diposizione tutti gli strumenti necessari per poter adempiere adeguatamente ai propri compiti e, in particolar modo, deve essere padrone di efficaci ed efficienti canali informativi e di comunicazione. Management: il management è direttamente responsabile del processo di gestione del rischio, con diverse responsabilità in base al livello manageriale. Al top management (di solito il CEO, in altre parole l amministratore delegato) spetta la responsabilità ultima dell effettiva e adeguata implementazione del processo di Risk Management. Esso deve controllare che tutte le fasi siano correttamente realizzate, attraverso riunioni periodiche con i manager responsabili delle maggiori aree funzionali (senior manager). Tramite questi continui contatti, il CEO viene quindi a conoscenza dell attività svolta nelle diverse aree e dell approccio impiegato per la gestione del rischio e può anch esso svolgere un ruolo di guida e direzione in favore dei sopraccitati manager. Essi sono quindi responsabili della gestione dei rischi che gravano sull area di loro competenza e, attribuiscono a loro volta responsabilità ai manager che operano in specifici processi o funzioni. 30

31 Risk Manager: figura centrale che fornisce supporto e assistenza ai manager di linea per implementare un efficace processo di gestione del rischio relativamente alle aree di loro competenza. Essi devono assumersi la responsabilità principale della gestione del rischio nelle aree di loro competenza e devono rendere conto del loro operato. Il risk manager provvede anche al coordinamento delle diverse aree. Tale attività risulta necessaria nel caso in cui diverse funzioni si trovino a dover gestire gli stessi rischi, ed è anche rilevante per misurare il contributo della singola area al livello di rischiosità complessivo dell azienda. Se esiste, il risk manager è abitualmente nominato dal CEO e può essere responsabile anche della periodica revisione del processo sulla base degli indirizzi strategici definiti dal consiglio di amministrazione. Inoltre prepara dei report sull andamento del processo di Risk Management da presentare al consiglio di amministrazione o al top management. Nella fase iniziale d implementazione del processo, il ruolo principale del risk manager è invece quello di contribuire alla diffusione di una cultura di gestione del rischio. Internal auditing: attraverso il risk control la funzione di internal auditing si occupa anche dei rischi aziendali. Nello svolgimento della sua attività, l internal auditor accerta che l azienda non si assuma un ammontare di rischi superiore a un livello prestabilito (risk appetite) e che abbia a disposizione risorse adeguate per la sua gestione. Il soggetto controllante verifica che l atteggiamento dell azienda sia adeguato alle procedure, ai regolamenti o alle norme relative all assunzione dei rischi. I controllori, inoltre, devono rendere conto del loro operato esclusivamente al consiglio di amministrazione e al top management. Ciò li rende indipendenti e neutrali nella loro valutazione, facendo di questa funzione un valido strumento per valutare e migliorare il processo di Risk Management. 31

32 2.4.1 Gli obiettivi dell ERM Nell ambito della mission aziendale, il management definisce gli obiettivi strategici, fissa gli obiettivi specifici, coerenti con la strategia, e gli assegna ai vari livelli della struttura organizzativa. Il COSO sostiene che l ERM è finalizzato al conseguimento degli obiettivi rientranti nelle seguenti categorie: a. Obiettivi strategici: rientrano gli obiettivi di carattere generale definiti ai livelli più alti della struttura organizzativa cosi da essere allineati alla missione aziendale. In sede di definizione degli obiettivi strategici, il management compie un analisi delle varie alternative possibili e ne individua i rischi connessi e le relative implicazioni; b. Obiettivi Operativi: riguardano invece la capacità dell azienda di utilizzare le risorse a disposizione per il conseguimento degli obiettivi in maniera efficace ed efficiente 36. Insieme agli obiettivi di reporting e di conformità, costituiscono i cosiddetti obiettivi correlati e consentono di individuare i fattori critici di successo e gli elementi chiave necessari per conseguire gli obiettivi strategici. Nello specifico, gli obiettivi operativi, concernono l impiego delle risorse in modo efficace ed efficiente e analizzano i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite; c. Obiettivi di Reporting: inerenti all attendibilità delle informazioni contenute nei vari reports predisposti dall azienda, che devono essere accurate, complete e coerenti con i fini perseguiti. Fanno riferimento ai report elaborati sia ai fini interni sia esterni (ad esempio, le società quotate devono presentare, periodicamente, report e informazioni alle autorità di vigilanza presso i mercati borsistici); d. Obiettivi di conformità: L ultima categoria, infine, fa riferimento al rispetto, da parte dell azienda, delle leggi e dei regolamenti in vigore. Possono riguardare ad esempio, il mercato, i prezzi, le imposte, la previdenza sociale, ecc. Le leggi e i regolamenti, quindi, stabiliscono gli standard minimi di comportamento che l azienda deve integrare nel momento in cui definisce i suoi obiettivi di conformità. Questa classificazione consente di approfondire differenti aspetti della gestione del rischio. Tale distinzione evidenzia la possibilità di correlazione e di 36 Efficacia: Grado di raggiungimento di un obiettivo prefissato. La misura dell'efficacia pone in relazione gli obiettivi prefissati con l'accuratezza e completezza dei risultati raggiunti. L efficienza, invece, relaziona i risultati raggiunti con le risorse necessarie per il loro ottenimento. 32

33 sovrapposizione delle diverse categorie e di conseguenza, riguardando diverse esigenze dell azienda, il fatto che le stesse possono essere di competenza diretta di più manager. Poiché gli obiettivi riguardanti l affidabilità del reporting e la conformità alle leggi e ai regolamenti sono sotto il diretto controllo dell azienda, l Enterprise Risk Management è in grado di fornire una ragionevole sicurezza per il conseguimento di tale tipologia di obiettivi. Il conseguimento degli obiettivi strategici e operativi è influenzato da eventi esterni che non sempre rientrano nella sfera di controllo dell impresa, ma che in ogni caso attraverso attività di pianificazione e vigilanza possono fornire una certa sicurezza di conseguenza, se il management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si stanno realizzando detti obiettivi. Il processo d implementazione del modello può essere suddiviso in diverse fasi distinti tra loro. Si parte dalla creazione di un gruppo di lavoro nel quale parteciperanno i rappresentanti di tutte le unità operative coinvolte nel processo. Il top management provvederà a illustrare al gruppo i benefici dell ERM, informerà le unità operative sulle attese in ambito dei rendimenti e predisporrà il piano di sviluppo con identificazione di obiettivi intermedi, tempistiche e risorse da adottare e infine le responsabilità attribuite. La fase successiva consisterà nel valutare e monitorare la situazione corrente riguardante l applicazione dei componenti, dei concetti e dei principi della gestione del Risk Management. Tale valutazione fornirà le informazioni necessarie per individuare ed eventualmente incrementare le capacita operative di persone, processi tecnologie già esistenti o da sviluppare. Il piano d implementazione dovrà essere aggiornato costantemente, e se necessario, aggiornato in base ai cambiamenti (monitoraggio) I componenti dell ERM Lo schema di ERM proposto dal COSO Report è costituito da otto elementi correlati tra loro che rappresentano le componenti del modello proposto: Ambiente interno: è il contesto organizzativo in cui si svolge il processo di gestione del rischio. La definizione di una politica del rischio può contribuire a formulare una risposta più finalizzata alle maggiori esigenze poste sul piano della consapevolezza del rischio nell intera impresa. Nel contesto di una simile politica si procederà dunque a delineare le diverse tipologie di rischio e a 37 Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott

34 precisare come e sino a quali limiti i singoli rischi dovranno essere evitati, ridotti, trasferiti ad altri o sopportati direttamente. L ambiente rappresenta le fondamenta di ogni organizzazione, l essenza stessa di qualsiasi organizzazione 38 ed è determinato dalle qualità personali, dai valori etici, dalle competenze delle persone che operano all interno dell organizzazione. Tutti questi aspetti influenzano la consapevolezza e la sensibilità al tema del personale, il modo cioè, in cui il rischio viene gestito e valutato dagli individui nell azienda. L ambiente interno è quindi il risultato dell attività del management riguardante il riconoscimento o meno di alcuni rischi, la definizione del risk appetite, e la sua promozione all interno dell impresa. 2. Definizione degli obiettivi: in questa fase si individua la relazione tra mission aziendale e gli obiettivi aziendali che, come già indicato in precedenza, si distinguono tra obiettivi strategici, operativi, di reporting e di conformità. Le strategie e numerosi obiettivi correlati sono dinamici e soggetti a variazioni al cambiare delle condizioni interne ed esterne. In sede di definizione degli obiettivi, inoltre, si individuano i rischi connessi alle varie scelte strategiche, il cosiddetto rischio accettabile e conseguentemente il livello di tolleranza al rischio. In quest ottica il processo di ERM permette al management di scegliere gli obiettivi migliori e coerenti con la missione definita e con il livello di rischio accettabile. 3. Identificazione degli eventi: è necessario identificare con precisione tutti quegli eventi aventi origine esterna/interna, che possono significativamente influenzare l attività aziendale compromettendo il corretto raggiungimento degli obiettivi prefissati. Tra i fattori esterni segnaliamo: l ambiente ossia eventi come calamità naturali, che possono procurare danni a fabbricati o impianti, le tecnologie come l introduzione di nuovi sistemi informativi in grado di rendere più semplici non solo i processi produttivi ma anche l acquisizione nonché comunicazione delle informazioni e infine il sociale, spesso sottovalutato, eppure i cambiamenti demografici, la qualità della vita, la struttura familiare, influenzano le richieste di prodotti o servizi da parte del consumatore finale. I fattori interni invece possono essere causati da scelte manageriali questi possono riguardare: la selezione del personale e l attribuzione delle competenze, eventuali infortuni sul lavoro, gli investimenti infrastrutturali, tecnologici o procedurali ecc. Una volta individuati i principali fattori di 38 COSO, 2006, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, il Sole 24 Ore. 34

35 rischio, il management e in grado di valutarne la significatività e quindi, focalizzare l attenzione principalmente su quegli eventi che possono pregiudicare il conseguimento degli obiettivi. Avendo appreso inoltre che un evento ha la capacità di avere un effetto negativo (rischio) e/o positivo (opportunità) sul conseguimento degli stessi, risulta necessario distinguere gli uni dagli altri. Le opportunità devono, infatti, essere valutate nel processo di pianificazione strategica, mentre i rischi dovranno essere oggetto di un accurata analisi. 4. Valutazione del rischio (risk assessment): i rischi identificati devono essere valutati, in modo che il management sia consapevole della loro effettiva significatività ed indirizzi le proprie risorse verso la risoluzione di quei rischi che presentano una priorità maggiore. A tal fine, i rischi devono essere valutati sia in termini di rischio inerente (rischio in assenza di qualsiasi intervento) sia di rischio residuo, 39 attraverso la determinazione della probabilità di manifestazione dell evento rischioso e del relativo impatto atteso ovvero degli esiti derivanti dal manifestarsi del rischio. Si possono distinguere due grandi categorie metodologie di valutazione del rischio, quella quantitativa, nei casi in cui la valutazione stessa si presti a essere quantificata, oppure qualitativa, se i dati per procedere con una valutazione quantitativa sono insufficienti o inaffidabili, oppure ancora, quando la stessa riguarda particolari rischi per cui l analisi qualitativa risulta maggiormente efficiente e utile rispetto a quella quantitativa. 5. Risposta al rischio: una volta isolati i rischi più significativi, il management deve predisporre degli interventi finalizzati ad allineare il profilo di rischio reale a quello desiderato. Possibili risposte al rischio possono essere evitare, accettare, ridurre e compartecipare il rischio. Analizziamo separatamente le diverse alternative. Per evitare i rischi si può, per esempio, eliminare un prodotto, rinunciare a entrare in un nuovo mercato o vendere un ramo di attività; Si riduce il rischio attraverso delle azioni dirette a ridurre la probabilità o l impatto del rischio, oppure entrambi; Si condividere il rischio. riducendo la probabilità e l impatto del rischio attraverso il trasferimento o la compartecipazione di una parte del rischio, le tecniche comunemente adottate consistono nell acquisto di una polizza assicurativa, o in attività di esternalizzazione o di outsourcing; Se si accetta il rischio, infine, non sono intraprese azioni per incidere sulla probabilità o sull impatto del rischio. 39 Rischio che residua dopo l implementazione d interventi per fronteggiarlo COSO, 2006, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, il Sole24 Ore. 35

36 Il processo di definizione della risposta al rischio viene fatto, principalmente, attraverso un analisi costi benefici basata sulle stesse unita di misura utilizzate per definire gli obiettivi e il livello di tolleranza al rischio. 6. Attività di controllo: per aiutare il management nell implementazione delle risposte al rischio scelte, le politiche definite dai vertici aziendali devono avere un riscontro operativo. E quindi necessario definire meccanismi operativi di controllo che si attuano in tutta l organizzazione, a tutti i livelli gerarchici e funzionali della struttura organizzativa. Tali attività comprendono una serie di operazioni diverse, come autorizzazioni, consensi, verifiche, riconciliazioni, esame delle performance operative, protezione dei beni aziendali e separazione dei compiti. E difficile elencare quali sono le attività di controllo più comuni sapendo che i controlli riflettono l ambiente e il settore in cui opera cosi come la dimensione e la complessità della sua organizzazione, oltre a tutto ogni impresa è gestita da persone diverse che attivano i controlli secondo valutazioni personali. 7. Informazioni e comunicazione: in questo contesto è necessario poter disporre in modo tempestivo delle informazioni rilevanti, in modo da identificare, valutare e rispondere al rischio velocemente e nel modo più adeguato. A tal fine le informazioni significative devono essere individuate, raccolte, elaborate e diffuse, a ogni livello della struttura gerarchica, nei modi e nei tempi richiesti affinché ciascun soggetto possa svolgere i propri compiti in maniera efficiente. Le comunicazioni devono circolare efficacemente all interno di tutta la struttura organizzativa e nelle varie direzioni: verso il basso, verso l alto e trasversalmente. 8. Monitoraggio: ultima fase del processo è il monitoraggio. Deve essere intercalata a tutti i livelli aziendali, per accertarne il corretto ed efficace funzionamento nel tempo e permettere l attivazione di reazioni tempestive in caso di bisogno. La continuità e sistematicità del monitoraggio è richiesta dal crescente dinamismo che caratterizza ormai il contesto interno ed esterno in cui l azienda opera e che quindi determina anche un continuo mutamento dei rischi in grado di pregiudicare gli obiettivi aziendali. Tra gli strumenti utilizzati principalmente, si distingue tra: diagrammi di flusso, questionari e check-list. La scelta è fatta in base all obiettivo da perseguire, la facilita d utilizzo da parte del personale e alla frequenza della valutazione stessa. A compimento di tali attività, tutte le carenze rilevate nell ERM dovranno essere relazionate a coloro in grado di attuare le opportune misure correttive. 36

37 Gli elementi appena analizzati sono si strutturati all interno dell ERM ma non in una visione sequenziale bensì si tratta di un procedimento interattivo e multi direzionale in cui ogni componente può influire sull altro, indipendentemente dalla sequenza del processo. Naturalmente ogni azienda implementerà il processo di ERM secondo le proprie modalità e conformemente ai propri bisogni e alle proprie caratteristiche (settore di appartenenza, dimensione, cultura e filosofia gestionale) Legame tra obiettivi e componenti Ai fini dell implementazione dell Enterprise Risk Management è necessario che esso discenda lungo tutte le articolazioni dell azienda (entità, divisioni, funzioni) in modo da soddisfare i differenti bisogni gestionali che le caratterizzano. L efficacia di tale processo dipende, dunque, dalla qualità delle relazioni che intercorrono tra gli obiettivi che l azienda si propone di conseguire, le componenti del sistema ERM (ovvero gli strumenti di riferimento necessari per la realizzazione degli obiettivi) e le varie articolazioni aziendali. La valutazione dell efficacia di questo modello resta comunque un giudizio soggettivo, che si basa sulla presenza e sul corretto funzionamento delle otto componenti. Se l ERM è giudicato efficace, significa che il consiglio di amministrazione e il management hanno la ragionevole sicurezza di conoscere il grado di realizzazione degli obiettivi strategici, di conoscere il grado di conseguimento degli obiettivi operativi, che i reports predisposti sono attendibili e che le leggi e i regolamenti in vigore sono rispettati. In definitiva tale processo può ritenersi efficace se le scelte effettuate determinano un abbassamento del rischio in linea con il livello accettabile e forniscono una ragionevole sicurezza sul conseguimento degli obiettivi. E possibile fornire una rappresentazione del sistema ERM nelle sue tre dimensioni interconnesse (obiettivi aziendali, componenti del sistema e articolazioni aziendali), come mostrato dalla figura : 37

38 Figura 1: Matrice ERM 40 Nelle colonne verticali del cubo sono rappresentate le quattro categorie di obiettivi strategici, operativi, di reporting e di conformità, le otto componenti del sistema sono invece rappresentate nelle righe orizzontali, la terza dimensione infine, rappresenta l azienda e le sue unità operative. In questo modello, come si può notare, non esistono relazioni univoche tra componenti del sistema, categorie di obiettivi aziendali e articolazioni dell organizzazione, ciascuna componente influenza il conseguimento di tutte le tipologie di obiettivi e deve trovare corrispondenza nelle risorse a essa destinate dalle diverse unità organizzative; allo stesso modo, tutte le otto componenti sono applicabili a ciascuna categoria di obiettivi e ciascuna unità organizzativa può perseguire categorie diverse di obiettivi. L Enterprise Risk Management, com è possibile osservare dalla figura, è un processo flessibile che può essere applicato sia all intero processo di gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi, ai componenti, alle singole unità operative. 40 Immagine scaricata dalla rete internet 38

39 2.5 I limiti dell ERM L Enterprise Risk management può fornire solo una ragionevole sicurezza sul conseguimento degli obiettivi aziendali. Pertanto, se da un lato consente di ottenere importanti benefici, dall altro presenta anche dei limiti. Questi ultimi sono determinati da scelte errate, da disfunzioni o da semplici errori. Inoltre, i controlli possono essere vanificati dalla collusione di due o più persone e dalla capacità del management di aggirare il processo di gestione del rischio, comprese le decisioni di risposta al rischio e le attività di controllo. Questi limiti impediscono al consiglio di amministrazione e ai manager di avere l assoluta certezza in relazione al raggiungimento degli obiettivi aziendali 41. Nel considerare i limiti dell Enterprise Risk Management si devono tener presente tre concetti: Il rischio riguarda un evento futuro e incerto: L ERM, anche se adeguato, opera a livelli diversi rispetto alle varie categorie di obiettivi. Per quanto concerne gli obiettivi strategici e operativi, tale processo può solo aiutare il management e il Consiglio di Amministrazione a conoscere se l azienda è indirizzata o meno verso i suddetti obiettivi, ma non può fornire nessuna sicurezza che gli stessi obiettivi saranno conseguiti; L ERM non può fornire la sicurezza assoluta nei confronti di nessuna delle categorie di obiettivi; Precisiamo però che l espressione ragionevole sicurezza non implica che l ERM sarà frequentemente inefficace o inadeguato ma è opportuno considerare che un efficace processo di Enterprise Risk Management può rivelarsi, in certi casi, inidoneo al suo scopo. Limite dell ERM sono anche le decisioni aziendali che vengono prese sulla base del giudizio umano e, quindi, delle considerazioni soggettive effettuate dal management. E opportuno considerare che anche se ben concepito, il processo di Enterprise Risk Management potrebbe fallire: il personale può interpretare male le istruzioni, compiere errori di giudizio o sbagliare per distrazione o per stanchezza. Ancora si può presentare il caso in cui il processo di gestione del rischio può diffondere nell impresa un clima di ossessione per il controllo del rischio. L Enterprise Risk Management, infatti, può indurre i manager a lavorare sotto 41 Casistiche aziendali di rischi operativi Amministrazione e Finanza Oro Sett-Ott

40 tensione con l idea fissa di effettuare continuamente controlli, determinando così un effetto indesiderato e conseguenze negative per l azienda stessa. Precisato che le risorse a disposizione sono sempre limitate, le aziende devono tener conto del rapporto costi benefici quando decidono di attivare le decisioni, comprese quelle concernenti la risposta al rischio e le attività di controllo. Quando si decide di attivare un particolare intervento o di introdurre un certo controllo, è necessario considerare il rischio d insuccesso e l effetto potenziale sull impresa, anche in termini di costi. Per esempio, può non essere economicamente corretto per una società realizzare un sofisticato controllo del magazzino per monitorare i livelli delle materie prime se il costo delle materie è piuttosto basso. Se da un lato attivare controlli eccessivi può risultare dispendioso e controproducente, dall altro controlli troppo superficiali elevano il rischio: in un ambiente altamente competitivo si richiede, quindi, un giusto equilibrio. Il processo di Enterprise Risk Management dipende, senza dubbio, dalle persone che lo pongono in essere: esso è tanto efficace quanto lo sono i responsabili che lo realizzano. Anche nelle aziende ben gestite e controllate, un manager può essere in grado di aggirare l ERM 42. Le azioni per aggirare il processo di gestione dei rischi non sono documentate e sono effettuate con l intento di occultare le azioni stesse. Tali limitazioni elencate, non consentono al consiglio di amministrazione e al management di ottenere una sicurezza assoluta sul conseguimento di obiettivi aziendali, ma grazie all effetto totale delle risposte al rischio si e in grado di ridurre le possibilità che l azienda possa mancare i propri obiettivi. 42 Con l espressione aggirare l ERM si intende qualsiasi violazione delle politiche o procedure stabilite posta in essere da un decision maker per, ad esempio, occultare il mancato rispetto degli obblighi di legge oppure aumentare i ricavi iscritti in bilancio per coprire un imprevisto calo della quota di mercato. Fonte: COSO, 2006, La gestione del rischio aziendale, ERM: modello di riferimento e alcune tecniche applicative, il Sole 24 Ore. 40

41 2.6 Approfondimento: La stima dei rischi L identificazione dei rischi rivela i rischi esistenti e ne descrive le caratteristiche rilevanti, mentre la valutazione serve a misurarne l entità. Questa informazione risulta essenziale per supportare il management ad adottare decisioni adeguate relativamente alla gestione dei rischi identificati. L importanza di questa seconda fase è anche spiegata dalla necessità di porre i rischi in ordine di priorità al fine di dirigere sforzi e risorse su quelli che risultano più pericolosi. Essendo però questi di natura eterogenea, dovranno essere espressi in una comune unità di misura al fine di essere adeguatamente valutati e misurati. La misurazione dei rischi identificati può essere svolta attraverso tre tipologie di tecniche: Qualitative: esse impiegano parole o scale descrittive per rappresentare probabilità e impatto di ciascun rischio individuato; queste tecniche hanno un carattere generale e nella maggior parte dei casi vengono utilizzate come base di partenza per uno studio più dettagliato; Semiquantitative: attribuiscono dei numeri alle categorie individuate attraverso l analisi qualitativa. Questi numeri non rappresentano però una vera e propria quantificazione della probabilità e dell impatto dei rischi, ma piuttosto servono a ordinare le diverse tipologie di rischi che sono state individuate; Quantitative: queste tecniche permettono di determinare la distribuzione di probabilità associata ai possibili impatti di un certo evento rischioso. In generale la scelta fra le possibili tecniche proposte presuppone una preventiva analisi di convenienza economica attraverso la quale si confrontano i costi che l azienda dovrà sostenere per realizzarla con i benefici derivanti da una migliore conoscenza dei fenomeni esaminati. Le tecniche qualitative e semiquantitative sono più semplici e meno costose da realizzare rispetto a quelle quantitative. Nella valutazione della tecnica da utilizzare si deve tener conto anche del tipo d informazione a disposizione (effettiva conoscenza delle persone coinvolte o di esperti, ricerche di mercato, informazioni storiche) e della tipologia di rischio che si vuole misurare. Se l informazione a disposizione sugli eventi rischiosi è scarsa, è consigliabile utilizzare tecniche qualitative o semiquantitative viste la presenza di maggiore incertezza che renderebbe meno significative le più onerose tecniche quantitative. Con riferimento alla tipologia di rischio da stimare, l adozione di tecniche 41

42 quantitative è impiegata soprattutto per la misurazione dei rischi finanziari, poiché l incertezza dipende in questi casi da variabili facilmente esaminabili nei mercati finanziari. Per la valutazione dei rischi operativi e strategici, al contrario, l impiego di tecniche qualitative o semiquantitative viene generalmente preferito vista la maggiore incertezza legata ai continui cambiamenti dell ambiente che rendono difficilmente utilizzabili le informazioni storiche a disposizione. A prescindere dalla tecnica utilizzata la valutazione dei rischi consiste nella stima di due parametri fondamentali che definiscono il rischio: la probabilità di manifestazione dell evento incerto; l impatto sulla capacità dell organizzazione di conseguire gli obiettivi prefissati. Il management inoltre, nello svolgimento di questa fase, deve considerare sia il rischio inerente, che il rischio residuo. Il rischio inerente è il rischio che un azienda assume nel caso in cui il management non abbia realizzato alcun intervento per modificare probabilità e impatto, cioè il rischio che prescinde dal tipo di controllo istituito in azienda. Il rischio residuo è invece quello che resta dopo che il management ha avviato una risposta al rischio. Il rischio viene quindi valutato prima di tutto come rischio inerente e, dopo l implementazione della risposta al rischio, come rischio residuo Stima qualitativa: matrice probabilità-impatto Le metodologie attualmente più diffuse si fondano sull identificazione soggettiva diretta della probabilità di manifestazione e dell impatto dell evento rischioso. Questo soprattutto perché le aziende, nella maggior parte dei casi, non dispongono di un ampia gamma di dati storici relativi ai rischi di business che permettano di stimare i due parametri dell evento rischioso utilizzando tecniche statistiche. La tecnica qualitativa più diffusa che permette di giungere a un ordinamento dei rischi individuati è la matrice probabilità-impatto. In questo caso la valutazione viene eseguita considerando unitamente i due parametri che definiscono il rischio, probabilità di manifestazione e impatto atteso, i quali vengono stimati tramite valutazioni soggettive L impiego di questa tecnica richiede prima di tutto la definizione di una scala qualitativa che rappresenti le probabilità di manifestazione dell evento incerto e di una scala qualitativa che rappresenti gli impatti attesi, ovvero le conseguenze economiche dell evento. Ciascun attributo utilizzato per la definizione delle due scale qualitative dovrà poi essere associato a una breve descrizione, in modo tale da facilitare e dare maggiore uniformità al processo di valutazione. Ciò permette di creare specifiche categorie di probabilità e 42

43 d impatto (sia descrittive, sia numeriche) in base al quale saranno classificati i rischi individuati. Ponendo in relazione probabilità e impatto dell evento rischioso, il management potrà inserire ciascuno di essi nella matrice probabilità-impatto ottenendo in tal modo una mappatura dei rischi gravanti sull organizzazione come mostrato in figura: Figura 2: Matrice probabilità-impatto semplificata. Fonte propria. 43 Generalmente i rischi caratterizzati da una bassa probabilità di manifestazione e un impatto non significativo, posti in basso a sinistra nella matrice, saranno accettati e monitorati dall azienda, la quale, al contrario, dovrà concentrare tutte le sue risorse sui rischi che presentano un elevata probabilità di accadimento associata a un impatto significativo. Tutti i rischi che si collocano tra questi due estremi dovranno invece essere oggetto di un attenta e adeguata analisi. L inserimento dei rischi all interno della matrice si basa generalmente sul giudizio soggettivo delle persone ritenute in possesso delle adeguate competenze per poterlo esprimere. Il Risk Management, a 43 Immagine ispirata dalla presentazione Implementare Il Framework Coso ERM, Angelo Micocci, Università di Macerata. 43

44 tal fine, potrà adottare interviste e workshop 44, approccio che viene impiegato anche per l identificazione dei rischi. Nel caso in cui in azienda si sia già ampiamente diffusa una cultura di Risk Management, si potrà giungere anche alla compilazione diretta della matrice da parte dei responsabili da cui deriva il rischio identificato. E necessario che lo schema di base utilizzato per la stima sia definito una sola volta e utilizzato poi per ogni stima qualitativa, onde evitare fraintendimenti e ambiguità nel linguaggio. Va ricordato che in questa fase oggetto della valutazione è il rischio inerente, ovvero quel livello di rischio che prescinde da qualsiasi tipo d intervento attuato per ridurre probabilità o impatto dell evento rischioso. Il rischio residuo verrà valutato solo dopo che l azienda ha attivato una risposta al rischio. In base alla logica enterprise, il management deve analizzare efficacemente gli eventi incerti e i conseguenti rischi e opportunità che emergono, le quali devono essere opportunamente valutate e sfruttate anticipatamente, incrementando così la capacità dell azienda di creare nuovo valore. Per la valutazione delle opportunità, oltre che dei rischi, basta modificare la scala qualitativa degli impatti, che in questo caso andrà a rappresentare non solo l intensità dell impatto ma anche il suo segno (ad esempio: negativo, nullo, positivo) Stima semiquantitativa Le tecniche semiquantitative assegnano alle classi individuate tramite le valutazioni qualitative dei numeri (o pesi) a ogni livello di probabilità e impatto individuato, permettendo così all azienda di valutare sinteticamente i rischi tramite un punteggio, detto risk score (o esposizione). 45 Il punteggio concernente l esposizione di ciascun rischio identificato si calcola quindi moltiplicando il peso associato a ogni livello di probabilità di accadimento (score di probabilità) con quello associato al corrispondente impatto atteso. I pesi assegnati alle classi e i punteggi che si riferiscono all esposizione non rappresentano tuttavia una vera e propria quantificazione di probabilità, impatto e rischio, ma piuttosto permettono all azienda di ordinare e confrontare più rischi. L aspetto chiave di questa tecnica è 44 Workshop: sono incontri, cui partecipano i rappresentanti delle diverse aree funzionali, con lo scopo di agevolare l identificazione degli eventi. In questa sede, tali incontri, sono tanto più utili, quanto maggiore risulta essere l ampiezza delle informazioni fornite; 45 FLOREANI A., 2005, Introduzione al risk management,libreria Rizzoli 44

45 rappresentato dalla scelta dei pesi associati a ogni classe di probabilità e impatto individuata. Possono, infatti, essere assegnati dei punteggi lineari, cioè proporzionali all effettiva probabilità di accadimento e all impatto atteso, oppure punteggi più che proporzionali o ancora punteggi che crescono con tasso decrescente. Dopo aver svolto questa misurazione relativamente ad ogni rischio identificato, tutti i rischi così stimati vengono inseriti nella matrice probabilitàimpatto, che permette all azienda di avere una visione congiunta degli stessi e una rappresentazione complessiva dell esposizione al rischio del processo o dell unità organizzativa oggetto di valutazione. Tale mappa dei rischi permette all azienda di creare un ordinamento degli stessi in base al livello di esposizione (elevata/media/bassa). Le attenzioni maggiori saranno date a quei rischi che presentano un elevato livello di esposizione, come specificato nel precedente paragrafo. Il management deve quindi pianificare e realizzare degli adeguati interventi finalizzati a ridurre la probabilità di manifestazione di tali eventi rischiosi, in modo tale da ricondurla a un livello ritenuto accettabile dall azienda. La stima semiquantitativa si presta a essere utilizzata nella stima e nella valutazione dei rischi puri, mentre l adattamento ai rischi speculativi risulta essere complesso. In sintesi l utilizzo di tecniche qualitative o semiquantitative di stima sembra essere giustificato solo per fare uno screening dei rischi puri, cioè per individuare quei rischi che devono essere analizzati e approfonditi tramite un analisi quantitativa e quei rischi che possono essere trascurati o gestiti senza ricorrere a una più complessa analisi Stima quantitativa L obiettivo delle tecniche quantitative è quello di determinare la distribuzione della/e variabile aleatoria rappresentativa dei rischi oggetto d indagine. Esistono tipicamente due rappresentazioni: la distribuzione dei risultati possibili e la distribuzione delle perdite possibili. La distribuzione dei risultati possibili indica l impatto del rischio sulla variabile obiettivo aziendale (patrimonio d impresa, valore economico o risultato economico) assumendo la neutralità degli altri rischi aziendali. Questa rappresentazione è particolarmente utile per i rischi speculativi. La distribuzione delle perdite possibili indica la variazione negativa che il rischio può determinare sulla variabile obiettivo aziendale. Essa è particolarmente indicata per i rischi puri o per quei rischi speculativi in cui esiste uno scenario migliore possibile. 45

46 Per il processo di stima quantitativa esistono molti modelli scientifici che possono essere impiegati. E possibile, tuttavia, individuare alcune tappe fondamentali comuni a tutti i modelli 46 : costruzione del modello; determinazione delle caratteristiche delle variabili aleatorie e non aleatorie; determinazione della distribuzione dei risultati e degli indicatori di sintesi; validazione e verifica del modello; L importanza e la complessità di ciascuno degli step menzionati è variabile in funzione dello specifico problema che si deve risolvere. Nel caso dei rischi aziendali la formulazione del modello è agevolata dalla natura monetaria delle variabili aleatorie coinvolte. La determinazione e la stima delle caratteristiche delle variabili aleatorie e di parametri del modello comportano l utilizzo di adeguate metodologie statistiche. Essa può avvenire principalmente tramite ipotesi e teorie su cui si fonda il modello, su serie storiche oppure su valutazioni soggettive di esperti. La distribuzione della variabile aleatoria obiettivo, invece, è generalmente determinata attraverso la simulazione: si tratta di una particolare modalità decisionale basata sulla costruzione di sistemi d ipotesi e sullo svolgimento di esperimenti. Le tecniche più conosciute sono: la risoluzione analitica; simulazione Monte Carlo; Nella risoluzione analitica la distribuzione della variabile aleatoria obiettivo viene individuata direttamente dal modello, in forza delle proprietà delle variabili aleatorie che lo costituiscono. Questo metodo è utilizzabile solo per modelli estremamente semplificati, quando le variabili aleatorie hanno una distribuzione normale. Quando non è possibile una risoluzione analitica, si può ricorrere a metodi simulati o numerici. Fra questi, la tecnica di simulazione Monte Carlo è la più diffusa. Tale metodo consiste nell estrazione di valori da variabili casuali, che corrispondono alla distribuzione attesa dei fattori di rischio al fine di ottenere scenari alternativi. Una volta definite le relazioni alla base del modello, gli esperimenti di simulazione possono avvenire anche tramite lo svolgimento di determinate analisi, come l analisi di sensitività e di scenario. Il primo tipo di analisi misura l impatto generato dalla modifica di alcuni fattori di rischio sul sistema di valori, in modo da poter determinare il grado di sensitività della 46 FLOREANI A., 2005, Introduzione al risk management, Libreria Rizzoli. 46

47 performance associato al manifestarsi di alcuni fattori di rischio. In questo caso si fa generalmente riferimento a rischi interni, mentre l analisi di scenario prende in considerazione fattori d incertezza esterni, sui quali l azienda ha un potere di controllo limitato o nullo. All interno del gruppo generico delle tecniche quantitative, occorre poi distinguere tra tecniche probabilistiche, non probabilistiche e di benchmarking. Le tecniche probabilistiche ipotizzano una certa distribuzione dei comportamenti degli eventi e si distinguono, a loro volta, in: A. Value at Risk: individua la variabilità di un valore che si prevede non ecceda un certo livello di confidenza in un determinato periodo di tempo. Un applicazione di questo concetto e rintracciabile nel settore degli intermediari finanziari, in cui, il Market Value at Risk rappresenta la perdita massima di uno strumento finanziario o di un portafoglio che si può prevedere dato un determinato orizzonte temporale e uno specifico livello di confidenza; B. Cash Flow Risk: simile a quello precedente, riguarda le variazioni del cash flow di un organizzazione o di un unita operativa utile per le aziende i cui risultati sono influenzati dalla variabilità del cash flow, non direttamente connessa ai prezzi di mercato; C. Earning At Risk: stima la variabilità degli utili che figurano in bilancio; D. Loss distribution: tecnica statistica basata su un ipotetica distribuzione delle perdite, utilizzata, al fine di calcolare, dato un certo livello di confidenza, le perdite massime possibili, risultanti dall analisi della gestione del rischio; E. Back testing: strumento utilizzato frequentemente dagli istituti di credito, che permette il confronto delle misurazioni di rischio in un azienda e i dati a consuntivo. La rilevazione viene eseguita periodicamente, con lo scopo di verificare la bontà del modello utilizzato per rappresentare le perdite. Le tecniche non probabilistiche invece, quantificano l impatto di un potenziale evento su un ipotesi di distribuzione, ma senza determinare le probabilità d accadimento, che, eventualmente, deve essere calcolate separatamente. In questo caso distinguiamo tra: F. Sensitivity Analysis: studia l impatto di variazioni di valore all interno dell azienda, al variare di uno o più parametri che lo determinano; viene spesso utilizzata a integrazione delle tecniche probabilistiche; G. Scenario Analysis: valuta l effetto di più eventi su un obiettivo; 47

48 H. Stress Testing: valuta l impatto di eventi che danno luogo a effetti gravi. Infine, le tecniche di benchmarking, sono utilizzate per valutare un rischio specifico in termini di probabilità e impatto e di conseguenza migliorare la risposta al rischio per entrambi gli aspetti. Le stesse possono essere, interne, concorrenziali o settoriali e Best in class. Nel primo caso si tratta di confrontare i dati dei diversi settori interni; nel secondo caso tale confronto viene fatto tra aziende direttamente concorrenti o con caratteristiche simili, mentre con il best in class si rapportano misure e dati simili appartenenti a società di settori o con caratteristiche diverse. L ultimo passo per tutte le modalità elencate è sempre la validazione e verifica del modello. Implica la formulazione di un giudizio sulla capacità del modello di rappresentare adeguatamente il fenomeno, in caso di giudizio positivo i risultati ottenuti potranno essere impiegati per lo svolgimento delle fasi successive del processo Risk Management che nel caso specifico sarà quello di valutazione dei rischi (fase quattro dell ERM). 48

49 Capitolo 3 L Enterprise Risk Management in Italia e il caso del gruppo Telecom 3.1 Sviluppo dell ERM nelle imprese italiane Nell attuale contesto, caratterizzato da un clima di generale incertezza a causa della congiuntura economica che ha interessato l economia globale, è cruciale domandarsi se le imprese, in particolare quelle di grandi dimensioni e quotate, dispongono di un adeguata cultura e di idonei strumenti di gestione dei rischi. Lo sviluppo di processi decisionali informati, la responsabilizzazione sul governo dei rischi a tutti i livelli aziendali, la salvaguardia della reputazione sul mercato, il contesto legislativo e regolatorio, rappresentano alcune delle principali motivazioni che hanno spinto, o che spingeranno, le imprese italiane a investire sempre più in sistemi di risk management. Tuttavia la situazione Italiana odierna comprova che la concezione di Risk Management non è ancora ampiamente condivisa dai management aziendali, specialmente nelle medio piccole imprese 47. Non è agevole, pertanto, trovare, nella realtà che ci circonda un impresa disposta a implementare un processo di Enterprise Risk Management, poiché tale attività richiede sacrifici in termini organizzativi ed economici con l utilizzo di risorse adeguate e finanziamenti appropriati. Le società quotate finora hanno fatto ricorso, o faranno ricorso, a programmi di risk management principalmente per accrescere, a tutti i livelli dell organizzazione, la consapevolezza e la responsabilizzazione nel fronteggiare i rischi. Gli obblighi normativi, contrariamente alla percezione diffusa, sembrerebbero avere scarsa influenza sulla decisione di avviare processi di risk management, i vertice aziendali ritengono opportuno piuttosto intraprendere 47 Con circa 4 milioni di imprese, l'italia fornisce il 20% delle imprese europee e mostra una densità di 65.3 imprese ogni 1000 abitanti, elevata rispetto alla media europea di 39.9 e solo inferiore a quelle di Repubblica Ceca, Portogallo e Grecia. Ragionando in termini di imprese «micro, piccole, medie e grandi», si nota come il numero delle «micro» sia superiore alla media europea (i.e.: 94.6% vs 91.8%); per tutte le altre classi, il numero é inferiore alla media. Mentre in Europa l'occupazione dipende, 32.9% del totale, dalle «grandi» imprese, in Italia dipende delle imprese «micro», che garantiscono, da sole, il 46.6% dell'occupazione. Fonte: RagionPolitica.it dati aggiornati a Ottobre

50 percorsi verso l implementazione di processi strutturati di risk management in ragione dei benefici attesi quali la difesa della reputazione aziendale, la creazione di valore o la riduzione di perdite, piuttosto che per esigenze di mera compliance 48. Un indagine realizzata dalla KPMG 49 mostra quali sono le principali motivazioni che hanno condotto le aziende a introdurre processi di ERM, il risultato è sintetizzato nel seguente istogramma: Figura 3: Principali elementi che porta le società a introdurre un processo di ERM. L indagine è stata svolta su un campione di settanta rappresentanti del mondo aziendale direttamente interessati nel processo ERM con la possibilità di poter effettuare risposte multiple fino a un massimo di tre. I risultati comprovano quanto affermato precedentemente presentando come elemento meno citato quello di soddisfare requisiti normativi, mentre, circa la metà degli intervistati sostiene 48 Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate italiane? KPMG, in collaborazione con l Osservatorio di Revisione della Scuola di Direzione Aziendale dell Università Bocconi, KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ( KPMG International ). L indagine ha coinvolto la generalità delle aziende italiane quotate appartenenti a tutti i settori di business, raccolto il punto di vista di 70 rappresentanti del mondo aziendale, a vario titolo responsabili o interessati dai processi di risk management. 50

51 che il processo debba essere introdotto per aumentare la responsabilità nella gestione dei rischi in tutti gli ambiti aziendali. Per quanto riguarda la progettazione e la realizzazione dei processi di ERM le società quotate Italiane considerano cruciali le componenti riguardanti l identificazione dei rischi, la definizione di un assetto di governance e l introduzione di un sistema di reporting. Tali componenti rappresentano le fasi iniziali del percorso che porta all implementazione del modello integrato di ERM, completato con lo sviluppo di tecniche di misurazione dei rischi e l ottimizzazione dei sistemi di controllo interno, queste ultime due componenti sono ritenute ancora poco esplorate e diffuse nella realtà italiana. Dal quadro generale, infatti, emerge che complessivamente la maggioranza dei rispondenti ha avviato progetti in tale direzione anche se molte società si trovano ancora nelle fasi preliminari dell implementazione di un vero e proprio processo di ERM dimostrando che molto rimane ancora da fare in termini di progettazione ed adozione di un modello integrato di risk management. Il modello di gestione del rischio più diffuso nel contesto italiano (68%) prevede la centralizzazione delle politiche di risk management e il decentramento, a livello di business unit/divisioni, della gestione operativa coerentemente con gli indirizzi strategici. Solo in pochissimi casi (5%), le politiche di risk management sono definite, attuate e gestite autonomamente dalle business unit aziendali senza il coinvolgimento dei vertici aziendali. Nonostante il modello ERM non sia sfruttato a pieno dalle aziende Italiane più del 90% delle società rispondenti ha eseguito almeno una volta il proprio risk assessment identificando i principali rischi che preoccupano il management e che minacciano gli obiettivi aziendali. I risultati sono esposti nel seguente istogramma Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate italiane? KPMG, in collaborazione con l Osservatorio di Revisione della Scuola di Direzione Aziendale dell Università Bocconi,

52 Figura 4: Principali rischi che minacciano il raggiungimento degli obiettivi delle società. Osservando il portafoglio dei rischi, così come delineato dai rispondenti, emerge che i rischi di mercato, di credito e reputazionale rappresentano le principali preoccupazioni del management italiano, forse anche influenzato dall attuale congiuntura economica. Poco interesse, in termini d impatto sul raggiungimento degli obiettivi strategici, viene attribuita ai rischi legati al terrorismo, ai cambiamenti climatici, alla criminalità e sicurezza e alle calamità naturali. Dall analisi emerge altresì che i rischi percepiti come maggiormente critici sono quelli più efficacemente gestiti, con un maggior utilizzo di tecniche di tipo qualitativo, seppur di poco, su quelle di tipo quantitativo. Per quanto riguarda la validità dell impiego del processo all interno dell azienda i manager interpellati sottolineano la sua funzione cruciale per orientare i processi decisionali e di pianificazione strategica. In particolare cresce la consapevolezza che il risk management è un fattore chiave per stabilizzare i percorsi di crescita sostenibile delle aziende. I risultati finali dello studio confermano che la gestione dei rischi è sì un tema di riconosciuta importanza che vede il percorso intrapreso dalle società verso modelli avanzati di risk management, ma che ancora compie i suoi primi passi. I benefici dell ERM sono reali e in alcuni casi misurabili, questo è quanto emerge dalle risposte del vertice delle società italiane. La creazione di valore e la protezione della reputazione sono individuati quali principali benefici e 52

53 rappresentano, in effetti, anche le maggiori motivazioni alla base dell implementazione del processo ERM. Tra i principali ostacoli all introduzione e allo sviluppo del processo, emerge su tutti la mancanza di tempo e risorse. La fase finale del progetto di questa tesi sarà quello di cercare di presentare e analizzare al meglio l esperienza di un importante azienda italiana, compito non facile visto che a dispetto della crescente pressione normativa verso una più ampia ed efficace divulgazione al mercato in tema di risk management, il vertice delle società italiane sembra poco propenso a diffondere informazioni di tipo quantitativo o a rendere noto l assetto organizzativo definito per il presidio dei rischi. Tra le aziende presenti sul territorio nazionale, è stato ritenuto opportuno riportare il caso del Gruppo Telecom Italia. Questa scelta è dovuta al fatto che in Telecom, l attività di Risk Management è stata ampiamente sviluppata seguendo fedelmente alcuni concetti e metodologie presenti in letteratura. Il Gruppo Telecom Italia ha utilizzato l ERM come attività fondamentale per una sana e duratura crescita dell azienda. 3.2 Profilo dell impresa e principali dati economici Il Gruppo Telecom Italia è una realtà industriale italiana con oltre cento anni di esperienza nel mondo delle telecomunicazioni. E un gruppo che offre telecomunicazioni a 360 : servizi di telefonia fissa e mobile, accesso a internet, contenuti multimediali, televisione e news, office and systems solution. Telecom Italia è leader nazionale della telefonia fissa e mobile, primo operatore internet con 9,1 milioni di accessi broadband in Italia di cui 1,9 i clienti wholesale e, grazie a TI Media, opera nella televisione e nel mondo dell informazione. Vicinanza al cliente e innovazione tecnologica sono le parole chiave del Gruppo con un organizzazione snella e centrata sulla qualità del servizio, offerte semplici, attenzione ai momenti di contatto con la clientela e costante attività di ricerca nei laboratori TILab. La leadership domestica di Telecom Italia è accompagnata da una significativa presenza internazionale centrata sul grande mercato sudamericano, con Tim Brasil e Telecom Argentina, che rappresentano oggi il 34% dei ricavi del Gruppo. Tradizione ed esperienza sono messe al servizio dell innovazione dell offerta per i clienti, che oggi sono 31,3 milioni sul mobile in Italia e 55,5 milioni in Brasile, mentre sono 15 milioni su linea fissa in Italia di cui 7,2 milioni sulla banda 53

54 larga. Una realtà creata dalla disponibilità della banda larga, attraverso l'adsl diffusa da Telecom Italia sul 97% del territorio nazionale a fine 2010 con l'impegno di portarla al 99% entro il Sviluppando le nuove tecnologie basate sulla banda larga fissa e mobile, modalità tariffarie semplici e un approccio commerciale flessibile, Telecom Italia, Alice e TIM hanno contribuito alla sempre più ampia diffusione nel Paese di un nuovo modo di fare comunicazione, permettendo alle tecnologie e ai prodotti di integrarsi per rendere i servizi facilmente utilizzabili in ogni circostanza (da casa, in movimento, dall ufficio) e al tempo stesso sempre più ricchi nelle funzionalità e nei contenuti. La sua attività in questi settori è sostenuta da marchi che evocano tradizione ed esperienza, innovazione e qualità: Telecom Italia, TIM, La7, APCOM, MTV Italia, Olivetti. Qualità e innovazione offerta sia nel settore televisivo (nei canali tradizionali o digitali e nelle piattaforme multimediali con QOOB Tv) che nell informazione. Olivetti, infine, è sinonimo di alta tecnologia e design raffinato. Oggi presente in 83 mercati esteri è leader mondiale nella fornitura di periferiche di sportello bancarie ed è anche l unica azienda europea insieme ad altre cinque al mondo proprietaria della tecnologia inkjet 51. La costante attività di ricerca ha il proprio centro nei Telecom Italia Lab, i laboratori di ricerca del Gruppo, ricchi di esperienza e know how nelle tecnologie più avanzate, che si sviluppano i principali obiettivi di innovazione nell offerta di servizi e prodotti e diffusione delle tecnologie avanzate. L avvento della società digitale, secondo la visione del Gruppo Telecom avrà profonde ripercussioni sull economia, sui comportamenti e sugli usi di persone e aziende. La disponibilità estesa della Banda Larga quale fattore abilitante per la crescita e l innovazione, la riduzione dei costi di accesso all ecosistema digitale ed i nuovi luoghi di comunicazione, che trovano nella rete la propria ragione di esistere, rappresentano gli elementi che consentiranno questa profonda evoluzione. Per questo la vision e la mission dell impresa deve continuamente modificarsi e adattarsi alle esigente della clientela : Essere un Service Provider evoluto in grado di fornire servizi di comunicazione associati a capacità di elaborazione di informazioni e contenuti digitali, in modo compatibile con l ambiente e con la comunità 52 questa è l ultima mission rivelata dal gruppo, dove viene anche svelato il fattore di successo che in questo contesto sarà la capacità di mettere a disposizione dei clienti: Banda Larga, Intelligenza di Rete e Piattaforme Applicative; [ ]provando a rispondere alle esigenze dei clienti assicurando esperienze d uso distintive ed efficaci, mirando all eccellenza nella connettività per 51 Il getto d inchiostro è una tecnologia di stampa che consiste nel proiettare minuscole goccioline d inchiostro sul supporto da stampare senza toccare la superficie nella fase di stampa ultimo aggiornamento

55 fruibilità e qualità, e creando piattaforme di servizio e ambienti comunicativi compatibili che consentano di cogliere tutte le opportunità offerte dalle nuove tecnologie. 53 Il Gruppo Telecom inoltre affonda le proprie radici su un sistema di valori che costituisce il punto di riferimento comportamentale per tutte le persone che lavorano nel Gruppo, ha anche identificato un modello manageriale che rappresenta la sintesi dei comportamenti cui i manager del Gruppo dovranno ispirarsi nel perseguimento degli obiettivi di business, sono 54 : Centralità del cliente; Creazione del valore; Valorizzazione delle persone; Governo del cambiamento; Networking e integrazione; I principi di comportamento con i clienti e gli impegni assunti dalle principali società del Gruppo in materia di qualità del servizio seguono la Carta dei Servizi 55, [ ]siamo convinti che l etica nella conduzione degli affari sia anche una condizione importante per il successo dell impresa. Tutte le nostre attività vengono svolte nel rispetto dei principi del Codice Etico che rappresenta appunto la nostra carta dei valori. 56 La continua evoluzione dei mercati, tecnologie e soddisfazione della clientela, come abbiamo appreso dagli studi aziendali, richiedono un modello di impresa flessibile e in continua evoluzione. Il Gruppo Telecom non è da meno, confermato da un cambiamento del modello organizzativo avvenuto nel gennaio 2009 pensato per favorire la convergenza tra tecnologie (fissa e mobile) e offerta da un lato, ed esigenze della clientela dall altro. La riorganizzazione si è basata su una nuova segmentazione e individuazione dei target in base a tre tipologie: i privati (consumatori individuali e famiglie), la clientela business e le grandi aziende. Quest operazione ha avuto il duplice obiettivo di fornire un servizio migliore ai clienti e di rendere la rete distributiva più efficiente e capace di generare profitti. Per orientare al cliente e alla sua soddisfazione tutti i processi aziendali, la Direzione Domestic Market Operations è stata strutturata in tre macro aree 57 : 53 ultimo aggiornamento aggiornamento La Carta dei Servizi è un codice comportamentale che viene rivisto e allineato continuamente ai nuovi requisiti di trasparenza, chiarezza e tempestività richiesti dall'autorità per le Garanzie nelle Comunicazioni (AGCOM) aggiornamento aggiornamento

56 I. Consumer Market: responsabile della clientela privati, focalizzata sull aumento dell'uso dei servizi innovativi di rete da parte di individui e famiglie, sulla difesa delle quote di mercato nei servizi tradizionali e innovativi, nel fisso e nel mobile; II. III. Business Market : responsabile della clientela business (professionisti, artigiani e negozianti e piccole e medie imprese) impegnata a promuovere l uso delle tecnologie ICT puntando a difendere ed aumentare le quote di mercato nei servizi tradizionali e innovativi; Top Clients & Networked IT Services: incaricata di accrescere il valore della base clienti Top, Large Account ed Enterprise affiancando le grandi aziende dell industria e dei servizi, le banche e la pubblica amministrazione nella trasformazione dei processi di business; Le tre strutture elencate aderiscono meglio alle diverse esigenze dei target, sia nella definizione del profilo delle offerte che nella capacità di relazione e cura dei clienti. Oltre a queste macro strutture, il nuovo modello organizzativo prevede in Italia Open Access, la struttura che fornisce servizi di accesso alla Direzione Commerciale retail di Telecom Italia e a operatori alternativi attraverso la funzione aziendale National Wholesale Services, le due attività sono state separate e gestite autonomamente dalle altre funzioni commerciali del Gruppo Telecom Italia. L organigramma aziendale aggiornato a gennaio 2009 è: Figura 5: Organigramma aziendale Telecom Italia al 30 dicembre

57 Per avere una visione più completa della realtà aziendale analizzata è opportuno riportare gli indicatori economici maggiormente rilevanti del Gruppo Telecom Italia aggiornati al primo trimestre del Gli investimenti industriali effettuati sono pari a milioni di euro (4.583 milioni di euro nel 2010), mentre i ricavi registrati sono pari a milioni di euro ( milioni di euro nel 2010), il personale occupato in azienda è pari a , di cui in Italia. La positiva performance commerciale è peraltro enfatizzata dal miglioramento della redditività di Gruppo: l EBITDA 58 consolidato reported si incrementa di 700mln di euro (8.475mln di euro nel 2010), su tale risultato ha inciso positivamente l ingresso nel perimetro di consolidamento della Business Unit Argentina, mentre L EBITDA ha registrato un incremento del 16.6% (+456mln di euro). L EBITDA margin reported consolidato invece si riduce di 1,2 punti percentuali assestandosi nei primi nove mesi del 2011 al 41.6%. La generazione di cassa del Gruppo si conferma solida, grazie anche all impegno di miglioramento dell efficienza soprattutto sul mercato domestico. L operating cash flow 59 è pari a 4.524mln di euro nei primi nove mesi del 2011, questi risultati hanno consentito di proseguire il percorso di riduzione dell indebitamento netto rettificato che risulta in riduzione di 1.520mln di euro rispetto al precedente anno. Il margine di liquidità si è ulteriormente rafforzato raggiungendo un livello di disponibilità netta pari a circa euro 5,3 miliardi (escludendo la liquidità del Brasile pari a euro 0,5 miliardi) cui si aggiungono circa euro 6,5 miliardi di disponibilità su linee di credito di lungo termine non revocabili, Nel presente contesto di incertezza dei mercati finanziari, Telecom Italia si conferma con un elevato livello di solidità finanziaria, avendo a propria disposizione la possibilità di far fronte alle scadenze di rimborso del debito dei prossimi mesi EBITDA: aggregato del bilancio riclassificato; più precisamente è l'utile ante interessi, imposte sul reddito, componenti straordinari, svalutazioni delle immobilizzazioni e ammortamenti. Rappresenta, nella sostanza, il margine operativo lordo prodotto dalla gestione. 59 Cash flow operazionale: è una delle componenti specifiche del cash flow e rappresenta il flusso monetario derivante dalle sole operazioni di esercizio, con esclusione quindi dei flussi monetari derivanti da attività d investimento e di finanziamento, e da quelli relativi a distribuzione di utili e rimborsi di capitale. Fonte Glossario Economico a cura del professore Paolo Bastia 60 Tutti i risultati riportati sono stati presi dal resoconto intermedio della gestione del mese di settembre 2011e dal sito TelecomItalia.com. 57

58 3.3 Le strategie del Gruppo Telecom Italia Il Gruppo Telecom Italia agisce nella convinzione che le attività di business debbano essere svolte tenendo in considerazione le aspettative degli stakeholder, in linea con i principi stabiliti dagli standard internazionali di trasparenza. Per questo motivo da tredici anni Telecom Italia pubblica il Bilancio di sostenibilità in cui analizza la proprie performance nei confronti dei portatori di interesse con i quali interagisce quotidianamente, definisce le proprie strategie e i programmi si sostenibilità. Proprio nella definizione di questi ultimi due punti il Gruppo s ispira alle linee guida emanate dai principali organismi mondiali di indirizzo e standardizzazione sulla Corporate Responsibility. Sulla base di quanto detto il Gruppo ha inteso perseguire una strategia di crescita focalizzata sul mercato nazionale e sullo sviluppo all estero dei servizi mobile basati in primo piano sulla soddisfazione della clientela. Tale strategia ha come obiettivi: Garantire una risposta immediata e competente alle esigenze della clientela uniformando i propri comportamenti a correttezza negoziale, trasparenza nei rapporti e impegni contrattuali, cortesia e collaborazione; Una maggiore attenzione al cliente anche attraverso maggiori investimenti nel Customer Care e nella qualità del servizio; La difesa della posizione di leadership sul mercato domestico fisso e mobile, spinta sulla crescente penetrazione della larga banda, convergenza fisso - mobile, trasparenza e flessibilità nell offerta ai clienti e continua innovazione e sviluppo di servizi a valore aggiunto; Allargamento della presenza a settori adiacenti, in particolare sviluppo di offerte di contenuti sulle piattaforme innovative (IPTV, Mobile TV) ed estensione e rafforzamento dell offerta ICT per i clienti business; Sviluppo dell impronta internazionale, confermando l attuale presenza in Sud America e consolidando i progetti europei in Germania e Francia. 58

59 3.4 Risk Management nel Gruppo Telecom Italia L esperienza di Telecom Italia nella gestione del rischio dura da oltre dieci anni. In quest arco temporale la gestione del rischio è stata affrontata in diverse forme mutando continuamente nel tentativo di dare vita ad un processo di gestione dei rischi sempre più affine al processo di gestione integrata del rischio ERM. Ripercorriamo alcuni punti fondamentali che introducono l attuale processo di gestione del rischio. Nel 2002, il Gruppo ha voluto sviluppare una metodologia importante per il miglioramento dei sistemi di corporate governance dell azienda, un lavoro di progettazione e sviluppo che ha richiesto la mobilitazione dei manager in tutte le unità operative, in attività di formazione, di analisi dei processi, di individuazione e valutazione dei rischi e di verifica delle salvaguardie esistenti e di quelle da predisporre. Nell ambito del sistema di governance aziendale, il Gruppo Telecom Italia ha istituito nel 2006 il Comitato Risk Management con la responsabilità di gestire i rischi e di garantire la continuità operativa del business. Ha, inoltre, istituito la funzione Group Risk Officer con il compito di realizzare il processo di Enterprise Risk Management, diffondendone metodologie e strumenti e coordinando il processo di risk assessment. Al suo interno si colloca il CRSA (Control & Risk Self Assessment), che rappresentava lo strumento di governance del rischio aziendale, attraverso il quale veniva realizzata l identificazione, la valutazione e la gestione dei rischi operativi. Il CRSA si basava sull autovalutazione del rischio da parte del management che, con l ausilio di misure e parametri quali - quantitativi, sviluppava la rilevazione del sistema dei controlli già esistenti e le eventuali proposte di miglioramento. Il ciclo di rilevazione e gestione dei rischi attraverso il CRSA veniva svolto con cadenza annuale supportato da un sistema informativo web - based che integrava i sistemi CRSA e APM (Action Plan Monitoring) e consentiva la gestione e il monitoraggio automatico delle scadenze dei piani di azione definiti in sede di CRSA, in analogia a quanto già effettuato per gli action plan derivanti da interventi di audit. 61 Il Ciclo CRSA 2006, a dimostrazione, ha portato all individuazione di 218 azioni a fronte dei portafogli rischi consolidati a livello di Funzione Centrale/Operations/Business Unit (180 rischi individuati) e 14 azioni relative al portafoglio rischi di Gruppo (6 rischi individuati) Fornisce informazioni sulla risk governance assicurando il Board e il Senior Management che i rischi sono stati compresi e gestiti in modo appropriato e svolge un attività di consulenza fornendo suggerimenti per il miglioramento della governance, del risk management e della struttura di controllo. 62 Risultati riportati dal resoconto intermedio della gestione del mese di settembre 2006 dal sito telecomitalia.com 59

60 Il ciclo CRSA, vista l ampiezza del progetto, innestandosi sulla scelta di ampia partecipazione del management, ha richiesto un rilevante sforzo organizzativo per il Gruppo nel suo complesso, e per il project office in particolare 63. A dispetto dei buoni risultati ottenuti nei precedenti anni il Gruppo Telecom ha tuttavia avviato nel 2009 una forte revisione del sistema di Risk Management precedente. Si è adottato un nuovo processo integrato in grado di assicurare un approccio globale alla gestione del rischio e al tempo stesso una maggiore flessibilità ispirato proprio all Enterprise Risk Management, attraverso il processo viene così realizzata l identificazione, la valutazione e la gestione dei rischi Il Comitato di Gruppo Risk Management Il Comitato di Risk Management istituito nel 2006, con la responsabilità di gestire i rischi e di garantire la continuità operativa degli affari aziendali, ha mantenuto la sua forma originale per soli tre anni ed è stato travolto anch esso della recente revisione di tutto il sistema di Risk Management. Il 9 Aprile 09 è stata definita una nuova definizione organizzativa presieduta e coordinata dal responsabile della funzione Administration, Finance and Control ed è così composto: Dai responsabili delle direzioni Domestic Market Operations, Tecnology & Operations e International Business ; Dai responsabili delle funzioni General Counsel & Corporate and Legal Affairs, Administration, Finance and Control, Human Resources and Organization, Purchasing e Security ; Dal Responsabile della funzione Risk Management di Administration, Finance and Control ; Il responsabile della funzione Risk Management svolge anche la funzione di supporto al coordinamento del comitato. Come si può notare nella scelta degli operatori coinvolti nel comitato, che costruiscono parte delle svariate unità presenti nell azienda, è stata ritratta la terza dimensione del COSO Report riguardante i livelli organizzativi, a significare che il processo è posto in essere da persone che si trovano ad ogni livello organizzativo 63 Al progetto furono dedicate in sede di prima implementazione oltre 8000 ore/uomo, impegnando oltre 500 quadri direttivi. Fonte 60

61 verticale e trasversale all organizzazione, dal consiglio di amministrazione al management a tutti coloro che operativamente contribuiscono allo svolgimento di attività quotidiane. Le persone inserite nel processo devono recepire come le proprie responsabilità ed attività influenzano il raggiungimento degli obiettivi aziendali in relazione alla strategia definita dai vertici. Il comitato in questione ha lo scopo di garantire il governo del processo di gestione dei rischi di Gruppo coordinando il piano di azioni preventive finalizzate ad assicurare la continuità operativa del business e monitorando l efficacia delle contromisure adottate. Si riunisce con cadenza trimestrale o in relazione a specifiche esigenze Il nuovo processo ERM di Telecom Italia L implementazione del nuovo sistema di Risk Management risponde a esigenze di corporate governance che si intrecciano con esigenze gestionali. Iniziativa necessaria per aderire ai migliori standard internazionali in tema di controllo interno e di corporate governance ed è diventato uno strumento di gestione del Gruppo che rafforza la cultura del controllo e promuove una valutazione sistematica dei rischi, integrata nei sistemi di management. Il nuovo approccio ERM, approvato dal comitato di risk management si basa sulla valutazione del profilo di rischio da parte del management, sia in relazione ai processi aziendali, sia in relazione agli obiettivi strategici. Tale approccio prevede la mappatura dei rischi e il focus su quelli ritenuti più significativi, la definizione di un master plan delle azioni di mitigazione e un azione di trattamento dei rischi mediante la costituzione di gruppi di lavoro interfunzionali definiti dal comitato. Nel dettaglio il processo ERM di Telecom Italia prevede quattro fasi principali: I. Analisi II. Valutazione III. Trattamento e verifica IV. Reporting La fase di analisi è la prima fase, si basa a sua volta in due sotto fasi che sono: a) Analisi preliminare che prevede: La mappatura dei processi aziendali e l individuazione dei sotto processi associati; 61

62 L abbinamento delle funzioni aziendali ai sotto-processi 64 ; La rilevazione dal Piano Industriale degli obiettivi strategici; La rilevazione degli incentivi di breve termine (MBO) e degli obiettivi di governance trasversali. b) L identificazione dei rischi: è una fase che segue una logica di tipo topdown, sono intervistati i primi riporti dell Amministratore Delegato e del Presidente nonché alcuni secondi riporti, cosiddetti Risk Owner 65, che identificano i rischi nell ambito di un modello specifico del settore delle telecomunicazioni. Le fonti di rischio identificate possono essere sia esterne sia interne (quest ultime ripartite in strategiche, operative, finanziarie). I rischi individuati sono collegati ai processi e agli obiettivi aziendali statuiti; Dopo la prima fase, che analizza e identifica univocamente i rischi si passa alla seconda fase, la valutazione dei rischi che il Gruppo ha deciso di suddividere a sua volta in tre sottofasi: a) La valutazione dei rischi, che si basa su una metodologia che prende in considerazione sia criteri quantitativi sia qualitativi. In particolare sono identificati: Impatto: da minimo 1 (trascurabile) a massimo 5 (catastrofico), che misura le conseguenze del suo accadimento sull obiettivo/processo. La valutazione effettuata dal risk owner, sebbene rappresenti un dato qualitativo, è frutto dell associazione del giudizio con scale di valori quantificate in termini economico finanziari (EBITDA netto Capex, Customer Satisfaction Index, Market Share, ecc.); Probabilità: da minimo 1 (improbabile) a massimo 5 (molto probabile), che misura il grado di incertezza dell accadimento. Sulla base delle valutazioni effettuate sono individuati i rischi più rilevanti per la corretta gestione dei processi aziendali e per il raggiungimento dei relativi obiettivi; 64 La mappatura dei processi/funzioni viene aggiornata trimestralmente dalla funzione Human Resources and Organization e trasmessa alla funzione Risk Management. 65 Sono responsabili della gestione dei rischi e, pertanto, nell ambito della metodologia ERM, individuano, valutano e pongono in essere le azioni correttive per la mitigazione dei rischi stessi assicurando altresì il loro monitoraggio. 62

63 b) Identificazione dei risk owner: i rischi individuati sono assegnati alla funzione owner del sotto-processo oggetto di analisi. Tale funzione è responsabile sia della valutazione delle misure di mitigazione in essere sia della definizione degli action plan relativamente ai rischi per i quali, in fase di gap analysis, non è stata riscontrata un adeguata mitigazione; c) Approvazione action plan 66 : il Comitato Risk Management, supportato dalla funzione Risk Management, supervisiona le protezioni indicate dalle funzioni owner e approva gli action plan proposti. L implementazione delle misure di prevenzione o di riduzione del rischio è oggetto di valutazioni di opportunità e di un attenta analisi costi/benefici; Redatta la valutazione impatto-probabilità e le azioni di protezione o riduzione sui rischi analizzati si passa alla fase tre che riguarda il Trattamento e la Verifica delle azioni descritte in precedenza, è una fase molto delicata del processo perché deve giudicare il lavoro svolto nelle due precedenti fasi. Comprende, ancora, l insieme delle attività finalizzate a selezionare e attuare gli interventi ritenuti conformi all obiettivo di ridurre i rischi entro il limite accettabile (tolerance), verificandone l efficacia rispetto ai risultati attesi. E formata da due sottofasi: a) Applicazione Intervento ovvero implementazione delle misure d intervento ritenute idonee a riportare il livello di rischio entro i limiti ritenuti accettabili dall azienda; b) Verifica Risultati per misurare l effetto degli interventi in termini di riduzione dei rischi e apportando eventuali misure correttive; Questa fase, vista la mole e la complessità, prevede la costituzione di gruppi di lavoro 67 interfunzionali per il monitoraggio degli action plan approvati dal Comitato Risk Management. L attività di monitoring sugli stati di avanzamento e/o 66 E un documento costituito dalla descrizione delle azioni di mitigazione del rischio che gli owner intendono porre in essere in un arco di tempo definito, al fine di portare il Rating (rischiosità) al livello ritenuto adeguato. Si indicheranno pertanto i) il livello di Rating a cui si vuole giungere con le azioni indicate, ii) i pesi di ciascuna singola azione, iii) i tempi in cui si intende realizzarla, iv) il costo di implementazione, v) la presenza di eventuali progetti di investimento per la singola azione. L implementazione del piano di azioni dovrà essere monitorata periodicamente. 67 E il team di esperti del processo su cui il rischio impatta e che viene incaricato dal risk owner di definire le azioni da intraprendere ai fini della mitigazione del rischio stesso e del suo monitoraggio. All interno del GdL viene individuato un Team Leader che ha l incarico di coordinare i lavori, riportare al risk owner circa i risultati ottenuti e interfacciare la funzione aziendale incaricata di gestire il processo ERM. 63

64 completamento degli action plan, unitamente ai Key Risk Indicator (KRI) 68, fornisce un flusso informativo di dati destinati al Comitato che supporterà la definizione del ciclo successivo di Risk Management. L ultima fase, non per questo di minore importanza, è quella di Reporting ovvero si implementa un flusso d informazioni sulla struttura del profilo di rischio e la sua evoluzione secondo uno schema flessibile, definito e messo a disposizione di tutti gli stakeholder in base alle loro esigenze. L informazione data dovrà avere le seguenti caratteristiche: Chiarezza: il modello di rappresentazione dei risultati deve essere il più trasparente/credibile possibile e la reportistica e le comunicazioni devono essere essenziali nei contenuti, ma altresì accurate e comprensibili; Completezza: i report devono essere completi e in grado di catturare tutte le tipologie di rischio alle quali risulta esposta l azienda; Consistenza: le informazioni relative alla misurazione del rischio si basano sull utilizzo di criteri standard e devono essere applicate, dove possibile, nello stesso modo per tutte le differenti realtà aziendali. La consistenza delle informazioni viene assicurata tramite la standardizzazione dei report; Tempestività: la frequenza dei flussi d informazione deve essere determinata in modo da riflettere tempestivamente i mutamenti nell esposizione al rischio sottostante e lasciare sufficiente tempo al Top Management per decidere le azioni di intervento; User-focused: i report devono contenere le sole informazioni focalizzate su quegli aspetti di rischio che sono rilevanti per il soggetto destinatario oltre che il livello di aggregazione e di dettaglio più appropriato, come il CEO 69, Collegio Sindacale, Agenzie di Rating ecc. In definitiva il supporto del Vertice è indispensabile al fine di fornire il giusto focus sugli obiettivi, le risorse da dedicare, e l attenzione da porre per il successo del processo ERM. Il compito del Vertice non è quindi quello di gestire le attività ERM, bensì supportare in maniera chiara e con il giusto livello di pubblicità le 68 Il Key Risk Indicator (KRI) di un rischio TOP è un indicatore sintetico in grado di far comprendere immediatamente la situazione relativamente a quel rischio in quel momento. Vuole essere un efficace strumento di comunicazione dello stato di criticità del rischio nella continuità. Il destinatario ultimo di tale comunicazione è il Vertice Aziendale e pertanto deve avere le caratteristiche di immediatezza, semplicità di lettura e facilità di costruzione per poter essere spiegato agevolmente anche ai non addetti ai lavori. 69 Cura l identificazione, il monitoraggio e le modalità di gestione dei rischi aziendali, che sottopone all esame del Consiglio di Amministrazione. 64

65 iniziative derivanti dall implementazione del processo (es.: mappatura, action plan, ecc.) oltre a fornire le necessarie risorse per la sua realizzazione. È altresì compito del Vertice definire le linee guida del processo con il livello di propensione al rischio dell azienda (Appetite) nonché il livello di pervasività delle analisi e delle azioni di mitigazione. Il processo ERM all interno del Gruppo, concludendo, è aggiornato su base annuale o con maggiore frequenza, a discrezione del Comitato di Gruppo di Risk Management e la responsabilità di aggiornamento e supporto è in capo alla funzione Risk Management. Successivamente ad una prima applicazione e verifica del nuovo processo di Risk Management adottato, dopo solo tre mesi, il gruppo di lavoro è riuscito a definire il corporate risk profile (profilo di rischio) della Società a esclusione di Tim Brasil che comporta il completamento della fase di analisi e di parte di quella di valutazione (valutazione rischi e assegnazione) mentre le altre fasi sono state svolte negli scorsi anni con buoni risultati facendo volgere particolare attenzione su un gruppo di rischi risultati molto rilevanti, prima di allora poco considerati, che sono stati definiti Top Risk che sono ancora in fase di costante monitoraggio, trattamento e verifica. 3.5 Prospettive di sviluppo dell ERM nel Gruppo Telecom La gestione dei rischi è ormai un argomento consolidato all interno del Gruppo Telecom dopo tutti questi anni di esperienza, ma in ogni caso è in continua evoluzione. C è l esigenza dunque di dare continuità all esperienza di Enterprise Risk Management, per un periodico aggiornamento del portafoglio rischi e delle soluzioni adottate. Infatti, solo un monitoraggio continuo del sistema obiettivi - risorse - rischi consente una tempestiva identificazione di situazioni a rischio e l attivazione di efficaci risposte. Al fine di dare continuità all esperienza dell attività di gestione del rischio e assicurarne la completa trasformazione da esercizio a pratica manageriale, è necessario mantenere pressione sul processo stesso ed offrire la giusta informativa in tutto il complesso aziendale. Per questo sono state avviate alcune linee d intervento quali : La nomina di un referente del processo di ERM per ciascuna unità del Gruppo, responsabile nei confronti del vertice della corretta ed efficace applicazione della metodologia; 65

66 La definizione di norme e procedure di controllo dei rischi che definiscono a livello di Gruppo prassi e punti di controllo finalizzati al governo dei rischi; L istruzione di un ruolo di supporto metodologico permanente che dia continuità all iniziativa e stimoli il miglioramento delle soluzioni metodologiche sviluppate nelle prime sperimentazioni; Lo sviluppo di un applicazione informatica a supporto della gestione dei rischi; Le linee sviluppate all interno del Gruppo, costituiscono il repository 70 dei rischi identificati e valutati dal management. Inoltre, essendo distribuita all interno del Gruppo, supporta la gestione dei piani d azione identificati all interno a livello sia di manager responsabili della loro implementazione, sia di responsabili di business unit/funzione, sia di preposto all attuazione. Al fine di assicurare nel tempo la rilevanza dei contenuti informativi del repository di rischi e piani d azione, sono previsti periodici aggiornamenti in occasione dell elaborazione e revisione dei piani di business. Le prospettive future per il Gruppo sono quelle del mantenimento e dello sviluppo della metodologia e quelle d integrazione dello stesso con il sistema di pianificazione e controllo. 70 Un repository (che sarebbe preferibile italianizzare con il termine deposito o repositorio) è un ambiente di un sistema informativo (di tipo Enterprise Resource Planning), in cui vengono gestiti i dati, attraverso tabelle relazionali;. 66

67 Capitolo 4 Applicazione pratica del modello LDA 4.1 Premessa Dopo aver descritto minuziosamente il processo ERM, gli attori coinvolti, i vantaggi e gli svantaggi dell attuazione, gli aspetti qualitativi del processo, terminiamo la tesi con l esposizione di un modello applicativo pratico adoperato direttamente su dati aziendali. Per motivi di privacy non possiamo rivelare il nome dell azienda e il suo campo di attività. Gli obiettivi strategici di quest attività, tra i più comuni nel mondo dell imprenditoria, si suddividono nelle tre dimensioni che rendono l agire imprenditoriale, sono: La responsabilità economica, generare profitto; La responsabilità sociale, garantire servizi di qualità, opportunità di crescita e rispetto dei diritti umani; La responsabilità ambientale, ovverosia salvaguardare le risorse naturali e governarne gli impatti; Tutto ciò viene perseguito monitorando ed effettuando i rendiconti delle politiche e risultati attraverso la realizzazione e la diffusione del Bilancio di Sostenibilità. L azienda inoltre è eretta su valori quali la sicurezza e la centralità del cliente. Il Risk Management aziendale da alcuni anni ha inserito nei propri processi L ERM per la gestione integrata del rischio, ha già realizzato la fase di Risk self Assessment e ha poggiato le fondamenta su cui costruire un modello quantitativo per la valutazione, il monitoraggio e la gestione del rischio e per cogliere le opportunità a esso connesse. 67

68 Figura 6: Concepibile modello di ERM secondo l opinione dell azienda osservata La figura sopra riportata rappresenta un concepibile modello di ERM. Le parti in giallo sono quelle già implementate dall azienda, quelle in arancione sono le fasi che potrebbero essere attivate a questo livello di evoluzione. I passi successivi potrebbero riguardare, in modo indipendente l una dall altra, le due fasi di: Loss Data Management Misurazione del rischio Con riferimento alla fase di Loss Data Management, da un punto di vista teorico, tale attività dovrebbe basarsi sulla raccolta di dinamiche empiriche passate, relative all incidenza dei vari fattori di rischio nel tempo. La raccolta in oggetto potrebbe essere arricchita da eventuali riferimenti a database esterni. Per quanto attiene la fase di Misurazione del rischio, una possibile finalità consiste, per i fattori di rischio che meglio si prestano a una modellizzazione probabilistica, nel costruire un modello attuariale LDA di valutazione del rischio. La presentazione del caso convoglierà in particolare sulla misurazione del rischio, partendo dalla predisposizione di un modello attuariale di modellizzazione del rischio, proseguendo con un prototipo di ERM fino a indirizzarsi nell implementazione di un modello di Loss Distribution Approach su dati reali. 68