ERM FOR DUMMIES: l evoluzione da Risk Manager a Chief Risk Officer. Massimo Livatino e Paola Tagliavini. Lab ERM SDA Bocconi

Transcript

1 ERM FOR DUMMIES: l evoluzione da Risk Manager a Chief Risk Officer Massimo Livatino e Paola Tagliavini Lab ERM SDA Bocconi

2 Agenda Centralità della gestione del rischio nel Codice di Autodisciplina Evoluzione da Risk Manager a Chief Risk Officer Ruoli e relazioni tra attori per la gestione del rischio Le leve a disposizione del RM/CRO per l implementazione di successo dell ERM Lo stato dell arte nelle imprese quotate italiane Quali sfide per i Risk Manager? 2

3 Gli attori dei sistemi di Risk Management Conformità con il Codice di Autodisciplina Consiglio di Amministrazione Definisce l indirizzo e valuta l adeguatezza del sistema Amministratori Incaricati Istituzione del sistema e mantenimento della sua efficacia Comitato Controllo e Rischi Supporta il Consiglio di Amministrazione mediante adeguata istruttoria Sistema di controllo interno e gestione dei rischi Collegio Sindacale Vigila sull efficacia del sistema Internal Audit Verifica adeguatezza e funzionamento del sistema Altre funzioni aziendali (es. compliance, risk mngt, risk owners) Specifici compiti e competenze 3

4 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 Viene sottolineata la «centralità del rischio» nel sistema dei controlli, anche attraverso la ridenominazione del «sistema di controllo» in «sistema di controllo interno e di gestione dei rischi». Ne viene introdotta l obbligatorietà L integrazione delle diverse componenti è condizione necessaria per l efficacia del sistema dei controlli Un efficace sistema di controllo interno e di gestione dei rischi viene considerato uno strumento gestionale in grado di contribuire ad una conduzione dell impresa coerente con gli obiettivi ed all assunzione di decisioni consapevoli All interno del CdA vengono individuati uno o più «amministratori incaricati del sistema di controllo interno e di gestione dei rischi» (viene eliminata la coincidenza, di norma, con il CEO) Il «comitato per il controllo interno» viene ridenominato «comitato controllo e rischi»; ad esso viene attribuito il compito di supportare le valutazioni e le decisioni gestionali del CdA sul sistema di controllo interno e di gestione dei rischi (viene chiarita la differenza di ruoli con il collegio sindacale, al quale spetta invece il compito di vigilare sull efficacia del sistema di controllo interno e di gestione dei rischi) ARTICOLO 7 SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI 7.P.1. Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale ed internazionale. 7.P.2. Un efficace sistema di controllo interno e di gestione dei rischi contribuisce ad una conduzione dell impresa coerente con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, favorendo l assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l efficienza e l efficacia dei processi aziendali, l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne. 7.P.3. Il sistema di controllo interno e di gestione dei rischi coinvolge, ciascuno per le proprie competenze: a) il consiglio di amministrazione, che svolge un ruolo di indirizzo e di valutazione dell adeguatezza del sistema e individua al suo interno: (i) uno o più amministratori, incaricati dell istituzione e del mantenimento di un efficace sistema di controllo interno e di gestione dei rischi (nel seguito dell articolo 7, l amministratore incaricato del sistema di controllo interno e di gestione dei rischi ), nonché (ii) un comitato controllo e rischi, avente le caratteristiche indicate nel principio 7.P.4, con il compito di supportare, con un adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all approvazione delle relazioni finanziarie periodiche; b) il responsabile della funzione di internal audit, incaricato di verificare che il sistema di controllo interno e di gestione dei rischi sia funzionante e adeguato; 4

5 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 E lasciata discrezionalità rispetto allo svolgimento dell attività operativa di gestione dei rischi (1^ e 2^ linea di difesa) Il coordinamento tra i soggetti facenti parte del sistema, necessario al fine di incrementarne l efficienza, viene affidato all emittente Il comitato controllo e rischi deve essere composto da amministratori indipendenti o amministratori non esecutivi in maggioranza indipendenti e con presidente indipendente. Il precedente codice richiedeva che fosse composto da amministratori non esecutivi, la maggioranza dei quali indipendenti. c) gli altri ruoli e funzioni aziendali con specifici compiti in tema di controllo interno e gestione dei rischi, articolati in relazione a dimensioni, complessità e profilo di rischio dell impresa; d) il collegio sindacale, anche in quanto comitato per il controllo interno e la revisione contabile, che vigila sull efficacia del sistema di controllo interno e di gestione dei rischi. L emittente prevede modalità di coordinamento tra i soggetti sopra elencati al fine di massimizzare l efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre le duplicazioni di attività. 7.P.4. Il comitato controllo e rischi è composto da amministratori indipendenti. In alternativa, il comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il presidente del comitato è scelto tra gli amministratori indipendenti. Se l emittente è controllato da altra società quotata o è soggetto all attività di direzione e coordinamento di un altra società, il comitato è comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato possiede un adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da parte del consiglio di amministrazione al momento della nomina. 5

6 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 Al CdA viene attribuita la responsabilità di definire la natura e il livello del rischio compatibile con gli obiettivi strategici dell emittente (art. 1.C.1) Al CdA viene affidato il compito di approvare il piano di audit con cadenza almeno annuale; all interno del precedente codice non vi erano riferimenti relativi a tale approvazione Al CdA viene affidata la responsabilità di nominare e revocare il responsabile dell internal audit, assicurando che sia dotato di risorse adeguate. All interno del precedente codice al CdA era attribuita solamente la responsabilità di nominare e revocare uno o più soggetti preposti al controllo interno, definendone la remunerazione in modo coerente con le politiche aziendali. CRITERI APPLICATIVI 7.C.1. Il consiglio di amministrazione, previo parere del comitato controllo e rischi: a) definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, in modo che i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell impresa coerente con gli obiettivi strategici individuati; b) valuta, con cadenza almeno annuale, l adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell impresa e al profilo di rischio assunto, nonché la sua efficacia; c) approva, con cadenza almeno annuale, il piano di lavoro predisposto dal responsabile della funzione di internal audit, sentiti il collegio sindacale e l amministratore incaricato del sistema di controllo interno e di gestione dei rischi; d) descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo interno e di gestione dei rischi, esprimendo la propria valutazione sull adeguatezza dello stesso; e) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. Il consiglio di amministrazione, su proposta dell amministratore incaricato del sistema di controllo interno e di gestione dei rischi e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale: nomina e revoca il responsabile della funzione di internal audit; assicura che lo stesso sia dotato delle risorse adeguate all espletamento delle proprie responsabilità; ne definisce la remunerazione coerentemente con le politiche aziendali. 6

7 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 Al comitato controllo e rischi vengono attribuite le responsabilità, non previste all interno del precedente codice, di: esaminare le relazioni relative alla valutazione del sistema di controllo interno e di gestione dei rischi; monitorare l autonomia, l adeguatezza, l efficacia e l efficienza dell internal audit. Ad esso viene inoltre attribuita la facoltà di chiedere all internal audit lo svolgimento di verifiche su specifiche aree operative, dandone comunicazione al collegio sindacale 7.C.2. Il comitato controllo e rischi, nell assistere il consiglio di amministrazione: a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; b) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali; c) esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit; d) monitora l autonomia, l adeguatezza, l efficacia e l efficienza della funzione di internal audit; e) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale; f) riferisce al consiglio, almeno semestralmente, in occasione dell approvazione della relazione finanziaria annuale e semestrale, sull attività svolta nonché sull adeguatezza del sistema di controllo interno e di gestione dei rischi. 7

8 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 All amministratore incaricato del sistema di controllo interno e di gestione dei rischi sono attribuite: la facoltà di chiedere all internal audit lo svolgimento di verifiche su specifiche aree operative, dandone comunicazione ai presidenti di CdA, collegio sindacale e comitato controllo e rischi; la responsabilità di riferire tempestivamente al comitato controllo e rischi (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività Viene eliminato ogni riferimento alla figura del «preposto al controllo interno», ora identificata univocamente con il responsabile della funzione di internal audit L internal audit viene chiamato ad operare seguendo un piano di audit «risk based» basato su un processo di analisi e prioritizzazione dei rischi, approvato dal CdA Viene introdotta la dipendenza gerarchica dell internal audit dal CdA 7.C.3. Ai lavori del comitato controllo e rischi partecipa il presidente del collegio sindacale o altro sindaco da lui designato; possono comunque partecipare anche gli altri sindaci. 7.C.4. L amministratore incaricato del sistema di controllo interno e di gestione dei rischi: a) cura l identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte dall emittente e dalle sue controllate, e li sottopone periodicamente all esame del consiglio di amministrazione; b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la progettazione, realizzazione e gestione del sistema di controllo interno e di gestione dei rischi e verificandone costantemente l adeguatezza e l efficacia; c) si occupa dell adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; d) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali, dandone contestuale comunicazione al presidente del consiglio di amministrazione, al presidente del comitato controllo e rischi e al presidente del collegio sindacale; e) riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative. 7.C.5. Il responsabile della funzione di internal audit: a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l operatività e l idoneità del sistema di controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi; b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di amministrazione; c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell incarico; d) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull idoneità del sistema di controllo interno e di gestione dei rischi; 8

9 Il Codice di Autodisciplina Le principali novità introdotte nel 2011 L internal audit viene chiamato a: predisporre relazioni periodiche contenenti adeguate informazioni sulla propria attività e sulle modalità di gestione dei rischi, indirizzate ai presidenti di collegio sindacale, CdA, comitato controllo e rischi e amministratore incaricato del sistema di controllo interno e di gestione dei rischi; predisporre relazioni «ad hoc» su eventi di particolare rilevanza, indirizzate ai presidenti di collegio sindacale, CdA, comitato controllo e rischi e amministratore incaricato del sistema di controllo interno e di gestione dei rischi. e) predispone tempestivamente relazioni su eventi di particolare rilevanza; f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio sindacale, del comitato controllo e rischi e del consiglio di amministrazione nonché all amministratore incaricato del sistema di controllo interno e di gestione dei rischi; g) verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. 7.C.6. La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere affidata a un soggetto esterno all emittente, purché dotato di adeguati requisiti di professionalità, indipendenza e organizzazione. L adozione di tali scelte organizzative, adeguatamente motivata, è comunicata agli azionisti e al mercato nell ambito della relazione sul governo societario. 9

10 L evoluzione del Risk Management Da focus operativo a link con le decisioni strategiche Strategic planning Rischi critici ERM - Link al processo decisionale strategico in conformità al Codice di Autodisciplina ERM collega il processo di Risk Management alla assunzione di decisioni strategiche CRO Risk Tolerance Risk Appetite Risk Limits Sistema dei Controlli Interni Reporting sul rischio RM tradizionale Valutazione del rischio Gestione e mitigazione del rischio ha un focus operativo e tipicamente porta con sé una visione a silos dei rischi RM Identificazione del rischio Il processo di RM 10 10

11 ERM e presidio degli obiettivi strategici e operativi Soggetti e strumenti con cui confrontarsi SOGGETTI A PRESIDIO 1. CdA, Amministratori Incaricati, Collegio Sindacale 2. Comitato Controllo e Rischi in seno ai Cda per i rischi strategici e di indirizzo a. Supervisione con periodicità definita (es. mensile) dei livelli di rischio assunti rispetto ai limiti approvati dal Cda b. Approvazione strategia di copertura in caso di superamento dei limiti approvati 3. Altri comitati manageriali, ad hoc per tematiche specifiche di rischio 4. Internal audit/cro 5. Risk Owner/ Management: separazione della funzioni di misurazione e controllo e definizione delle strategie di copertura del rischio STRUMENTI A PRESIDIO Pianificazione Strategica, controllo di gestione e reporting: sistema orientato alla definizione di obiettivi/strategie aziendali, allo sviluppo del budget e del business plan Risk policy Piani di audit risk based Sistema delle procedure operative aziendali: ai fini della corretta applicazione delle direttive aziendali e della riduzione dei rischi connessi al raggiungimento degli obiettivi Sistemi Informativi: Infrastruttura hardware e software, sicurezza privacy e tutela del dato Piani di Risk Control e Risk Financing 11

12 Le principali aree di attività del CRO Nuovi ambiti di competenza per il RM Sviluppare, mantenere e aggiornare il framework di risk management: Risk policies, risk appetite e risk limits (da approvare comunque dal CdA) Infrastrutture per il rischio, processi e reporting Focalizzazione su interdipendenze e link tra rischi Coordinare le attività con le business line: Risk training Risk assessment e piani di azione Definizione delle metriche per il rischio Garanzia che le business lines abbiano le capacità di gestione dei rischi (persone e infrastrutture) Fornire flussi informativi al Senior/Top Management Informazioni in tema di rischio per l assunzione di decisioni strategiche Predisposizione di report dettagliati e aggregati sui rischi in linea con il risk appetite e i risk limits Monitoraggio delle best practices in tema di rischio (concorrenti e non) Stimolare l attività dei Comitati CARATTERISTICHE DEL CRO E un leader, un facilitatore, integratore e coordinatore del rischio piuttosto che un manager del rischio! Stimola una diffusa consapevolezza di rischio all interno dell organizzazione Ha un incarico formale per inserire la considerazione del rischio nel processo di assunzione di decisioni strategiche Sviluppa un centro di eccellenza per gestire i rischi utilizzando le risorse dei singoli risk manager (specialisti del rischio) Il CRO ha una profonda conoscenza dei rischi, ma non necessariamente conosce altrettanto bene ogni processo; a loro volta i process owner conoscono perfettamente i processi che gestiscono, ma potrebbero non essere in grado di cogliere appieno le interrelazioni fra i rischi perché non hanno una visione d insieme: l ERM consiste nel far sì che questi due ruoli lavorino a stretto contatto! E il riferimento per la comunicazione agli stakeholders (interni ed esterni) in tema di rischio Porta la visione d insieme (big picture) dei rischi nell organizzazione 12

13 Le interazioni interne ed esterne del CRO Gli interlocutori specialistici Aree principali di interazione Risk Audit Terza linea di difesa (assurance provider) Risk Risk Risk Finance Compliance Security Safety Insurance Dati e reporting Rischi finanziari Allocazione del capitale Performance management Definizione dei limiti Risk Tolerance Assessment dei rischi di non conformità aree comuni Gestione dei processi comuni Relazioni funzionali Definizione dei limiti Maggiore complessità in assenza di unica funzione (OdV, DP, ecc.) Relazioni funzionali del Security Manager, Safety manager e dell Insurance Manager con il RM/CRO Coordinamentio per assessment di rischi specialistici Definizione dei limiti e delle policies C è un ambito di forti relazioni e cooperazioni tra RM e altre funzioni (Audit, Finanza, Strategia, Security, Safety, Insurance, Compliance) Se pur necessarie, non sempre tali relazioni si sviluppano Risk Strategia Piano strategico e rischi prioritari CRO e comitato per la pianificazione strategica Analisi di scenario e proiezioni per il rischio 13

14 Le interazioni interne ed esterne del CRO Una pluralità di altri rilevanti interlocutori non tecnici Interazioni con il Board (almeno ogni trimestre) Interazioni con il Senior Management, ancora più frequenti che con il Board Reporting agli azionisti (almeno in occasione del bilancio) Rapporti con i regulators Rapporti con le rating agencies Predisposizione di reportistica periodica ai Comitati e al Board Riporto al CEO Promozione della Risk Culture all interno dell intera organizzazione 14

15 Le aree di miglioramento richieste dai Board Il grado di coinvolgimento del Board sui temi di rischio è ritenuto migliorabile da circa la metà degli intervistati, in particolare con riferimento a: informazioni sui rischi maggiormente significativi coinvolgimento del Board nella discussione sulla propensione al rischio in fase di presentazione dei piani strategici aziendali e dei risultati attesi da parte del Management (i.e. rischi da accettare o rifiutare) tempo dedicato, nelle riunioni consiliari, alla discussione sui rischi critici e sulle risposte di mitigazione previste In alcuni casi è dichiarata l esistenza di sistemi e presidi di risk management limitatamente ad alcune tipologie di rischio, senza pertanto garanzia di adeguata copertura di tutte le esposizioni critiche per l azienda Le performance di Risk Management non sono per nulla integrate nei sistemi di valutazione e incentivazione delle performance manageriali nel 60% circa dei casi riportati Con riguardo al processo di Risk Reporting, emerge in numerosi casi una prevalenza della forma sulla sostanza e, nuovamente, un attenzione solo ad alcune tipologie di rischio Gli aspetti organizzativi, procedurali e di ampiezza/portata dei processi di Risk Management esistenti risultano essere gli elementi su cui, secondo l opinione degli Amministratori e Sindaci intervistati, le aziende dovrebbero ancora lavorare per migliorare i propri sistemi di gestione complessiva Ricerca Nedcommunity

16 L evoluzione da RM a CRO Le skills richieste RM tradizionale Enfatizza competenze assicurative e quantitative Focus sui rischi assicurabili Comunicazione di nicchia, più con assicuratori e pari Utilizzo di linguaggio tecnico e specialistico CRO Attitudini quantitative, finalizzate non tanto alla realizzazione di Modelli ma alla loro comprensione Ottima comprensione della catena del valore della propria organizzazione, vedendo i collegamenti fra i rischi che una visione a silos non è in grado di fornire Capacità di pensare in modo strategico Capacità di identificare i rischi emergenti Abilità di comprendere le questioni (rischi e opportunità) legate al business Capacità di promuovere una cultura del rischio Project manager di iniziative in tema di rischio Abilità di sintetizzare una gran mole di informazioni con linguaggio non tecnico e di individuare trend e potenziali impatti dalle informazioni di cui dispone Capacità di adottare metodi di comunicazione efficaci rispetto a interlocutori differenti 16

17 Considerazioni per implementare un ERM efficace Il bisogno di cambiamento per il Risk Manager che vuole diventare CRO 1. Commitment e coinvolgimento diretto del vertice 2. Risk executive dedicato (es. CRO) in posizione senior per guidare e facilitare il processo di ERM 3. Staff dedicato e dotato di responsabilità, con l autorità di operare come agente di cambiamento 4. Cultura di ERM che incentivi un pieno coinvolgimento e responsabilizzazione a tutti i livelli dell organizzazione 5. Coinvolgimento degli stakeholders nello sviluppo della strategia di risk management e nella definizione delle policies 6. Rendere l ERM parte della cultura d impresa (realizzare interdipendenze tra le diverse strutture a silos) 7. Trasparenza della comunicazione di rischio 8. Integrazione delle informazioni di rischio finanziario e operativo nel processo di assunzione di decisioni 9. Utilizzo di metodi quantitativi sofisticati per comprendere i rischi e dimostrare il valore aggiunto del risk management 10. Identificazione di rischi nuovi ed emergenti utilizzando dati interni e informazioni da provider esterni 11. Passaggio da una visione di rischio in accezione meramente negativa ( evitare o mitigare ) ad una visione che ne coglie il valore come opportunità Elaborazioni Lab ERM

18 L implementazione di successo del RM Sintesi della ricerca accademica L ERM è ancora alla ricerca di best practices Il CRO riveste un ruolo critico come promotore e garante per l implementazione di un sistema di ERM. La sua nomina appare pertanto un elemento determinante. I sistemi di ERM più maturi si riscontrano nelle aziende quotate e dotate di CRO e di Audit Committee (governance del rischio strutturata) Incentivi all adozione dell ERM (nomina CRO assunta a proxy dell adozione) Rilevanti dimensioni Elevato leverage finanziario (elevato indebitamento) Ambiente regolamentato Volatilità degli utili Volatilità del cash flow operativo Volatilità dei corsi azionari Assetto proprietario più legato a investitori istituzionali Autorevolezza e qualità del CRO Presenza di una società di revisione Benefici dell ERM Migliori performance in presenza di: incertezza dell ambiente esterno, elevata concorrenza, maggiori dimensioni, complessità d impresa, coinvolgimento diretto del Board Maggiore consenso da parte del management Assunzione di decisioni informate Migliore accountability del management Apprezzamento da parte del mercato Fattori associati a un ERM di qualità (reale o percepita) Complessità aziendale, disponibilità di risorse finanziarie e migliore corporate governance Elevata frequenza dell attività di assessment e di reporting Impiego di tecniche quantitative di assessment (ma non è differenziale la meccanica applicazione di risk limits) Integrazione delle policies di rischio con le altre business policies Rafforzata comunicazione delle politiche di assunzione di rischio Disclosure del risk appetite Informativa e Risk Knowledge La cultura di rischio del Board risulta critica ai fini delle seguenti fasi implementative: integrazione tra le policies di rischio diffusione della cultura di rischio nell organizzazione definizione del risk appetite La condivisione dei limiti (risk appetite) tra il top management e i membri del Board, facilita il dialogo sul rischio L efficacia dei meccanismi di comunicazione è fortemente correlata alla comprensione e coinvolgimento del Board nell ERM La risk culture è correlata alla capacità dell impresa di creare team integrati (comitati) Elaborazioni Lab ERM

19 Le evidenze per le quotate FTSE MIB 40 La totalità delle società del FTSE MIB sta attuando una rivisitazione dei documenti societari e delle procedure interne per riflettere il nuovo assetto in materia di rischi, in recepimento delle modifiche introdotte dal Codice di Autodisciplina del Nel rispetto delle best practice nazionali e internazionali, le società organizzano il sistema di controllo interno e di gestione dei rischi in base ai tre livelli di difesa: - 1 livello: risk owner; - 2 livello: risk control - 3 livello: risk assurance Inoltre, nella ripartizione dei rischi all interno delle aziende si nota come la maggior parte delle società quotate nell indice FTSE MIB prevedano la ripartizione basata sulle categorie previste nel COSO report 2004: strategici, operativi, finanziari e di compliance. 19

20 Le evidenze per le quotate FTSE MIB 40 La totalità delle aziende FTSE MIB è conforme al Codice di Autodisciplina in merito agli attori coinvolti nel processo integrato di ERM. All interno del gruppo FTSE MIB abbiamo esaminato le principali evidenze in merito agli attori coinvolti nel processo di ERM. Le maggiori differenze di comportamenti si riscontrano nell ambito del 2 livello di difesa: la quasi totalità delle aziende esaminate evidenzia l istituzione della funzione di risk management (o un apposito Comitato), fornendo tuttavia poche informazioni (es. posizionamento organizzativo); le società che hanno nominato il CRO all interno del gruppo Ftse MIB sono ancora poche e le informazioni in merito, spesso, non sono esaustive; si evidenzia la presenza di aziende che, accanto agli «attori tipici», istituiscono funzioni/comitati con il compito di gestire particolari rischi/classi di rischio; alcune società hanno creato dei comitati Guida ERM, per controllare l implementazione delle azioni di ERM; in alcuni casi non è stata istituita alcuna funzione ad hoc. L incarico di gestire i rischi aziendali è affidato al Responsabile dell Internal Audit e questo deve predisporre informazione periodica su come è stata svolta l attività e sul rispetto dei piani definiti sul contenimento dei rischi. Tale atteggiamento è piuttosto diffuso nelle aziende di minori dimensioni quotate al segmento STAR. 20

21 Internal audit e ERM Una relazione in divenire

22 Banche e assicurazioni Industriali Le evidenze per le quotate FTSE MIB 40 La presenza del CRO nelle società del campione Presenza/assenza CRO Ripartizione settoriale CRO 120,0% 100,0% 80,0% 60,0% 40,0% 100,00% 60,7% 20,0% 39,3% 0,0% CRO CRO assente 22

23 Stato dell arte Si rilevano tra le società quotate Progressi significativi in tema di risk management, con ruoli e funzioni definiti e formalizzati Cda maggiormente impegnati nella definizione dei rischi associati agli obiettivi strategici Crescente presenza di Risk Manager e Chief Risk Officer Si rilevano tuttavia lacune ancora da colmare Cda devono essere più incisivi Serve una visione più integrata dei rischi I RM/CRO incontrano ancora difficoltà e resistenze nello svolgere le loro funzioni Fondamentale aggiornare i modelli di assessment e attivare i processi per la continuità di monitoraggio delle esposizioni Necessità di potenziare le risorse dedicate al risk management Elaborazioni Lab ERM

24 Le tendenze internazionali Analisi di benchmark da informativa pubblica BASF Panel Deutsche Telecom Chiara attribuzione delle responsabilità di "oversight" sui rischi Presenza di un comitato rischi a livello di Board ConocoPhillips TOTAL S.A. E.On Statoil Risk Governance Presenza di uno o più comitati rischi a livello di management Presenza di una funzione centrale di risk management BP Plc Chevron Corporation Presenza di un Chief Risk Officer e relativo riporto gerarchico Royal Dutch/Shell Enel Presenza di funzioni/unità decentralizzate di risk management General Electric Lukoil Specifico riferimento a un processo di identificazione e valutazione dei rischi aziendali Volkswagen Telecom Italia BMW IBM Siemens Risk Assessment Specifico riferimento a un processo di quantificazione avanzata (es. calcolo impatti su EBITDA, calcolo Operational VAR) Disclosure sulle categorie di rischio oggetto del processo di risk assessment FIAT - Chrysler Daimler Disclosure sull approccio seguito nel processo di risk assessment (es. top-down o bottom-up) Pirelli AngloAmerican Disclosure sul processo di reporting dei rischi ExxonMobil Corporation Ricerca KPMG Reporting Disclosure sulla frequenza di predisposizione del reporting Disclosure sui contenuti del risk reporting Scala: 0-25% 26-50% 51-75% %

25 Elementi di discussione Il Chief Risk Officer è una posizione di cd. C-Level manager creata per gestire i rischi al più elevato livello nelle organizzazioni. Questa posizione può rappresentare un aspirazione per i Risk Manager In occasione dell assunzione di decisioni strategiche, il CRO fornisce agli altri C-Level manager e al Board le più aggiornate informazioni sui rischi che l organizzazione può affrontare. Alcuni sostengono che il Risk Manager sia svantaggiato nella strada per diventare un CRO, reputando che le competenze del RM nell identificazione dei rischi si esauriscano in un riporto ad altri manager di livello più elevato, senza che il RM sia significativamente coinvolto nell assunzione di decisioni. Altri ritengono invece che i Risk Manager, svolgendo un attività sistematica di identificazione e gestione dei rischi, abbiano tutte le carte in regola per evolvere da un ruolo operativo verso un ruolo più strategico rispetto all attuale qual è quello del CRO. SPUNTI DI RIFLESSIONE 1. Ruolo del risk manager vs. internal audit 2. Interrelazioni/conflittualità con altre funzioni 3. Aree di miglioramento 25