Il ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali

Il ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali Working Paper Protiviti Giugno 2014

Il presente Working Paper è proprietà di Protiviti Srl. I suoi contenuti non possono essere riprodotti, in tutto o in parte, o citati per la distribuzione senza il preventivo consenso scritto di Protiviti Srl. Seconda edizione di stampa: Luglio 2014 2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Indice Premessa 1 1 La centralità del Board in tema di gestione dei rischi secondo il Codice di Autodisciplina 5 2 Un quadro di riferimento per la determinazione della propensione al rischio aziendale 9 3 Un quadro di riferimento per l esame dei rischi a cura del Board 15 3.1 Rischi connessi alla gestione ordinaria del business 16 3.2 Rischi connessi ai piani e alle iniziative strategiche sottoposte all esame e approvazione del Board 20 3.3 Rischi catastrofici e Black Swan 23 4 Il ruolo del Risk Officer e dell Internal Audit a supporto del sistema di gestione dei rischi 25 4.1 Il ruolo del Risk Officer 25 4.2 Il ruolo dell Internal Audit 27 5 Alcune domande chiave per il Board 29

Premessa Non esiste rendimento senza rischio: qualsiasi azienda, nel perseguimento dei propri obiettivi, assume rischi. Ne consegue che il rischio, inteso come qualsiasi evento incerto in grado di influenzare il raggiungimento degli obiettivi aziendali, è un elemento imprescindibile del fare impresa e il suo presidio rappresenta parte integrante e fondamentale delle responsabilità manageriali di gestione del business. É, questa, una presa di consapevolezza che ha ispirato anche il Codice di Autodisciplina per le Società Quotate nelle sue più recenti raccomandazioni in materia di gestione dei rischi (edizione dicembre 2011). Si rafforza, così, la convinzione che l assunzione consapevole dei rischi e la loro compatibilità con gli obiettivi perseguiti e i risultati attesi siano condizione necessaria ai fini della sostenibilità e continuità dell impresa nel medio-lungo periodo. In altri termini, il sistema di gestione dei rischi raccomandato dal Codice di Autodisciplina deve consentire alle società di: comprendere i principali rischi e opportunità cui il business è esposto; stabilire il livello di rischio ritenuto accettabile e assumere conseguentemente decisioni di business coerenti con il profilo di rischio-rendimento atteso; adottare regole, procedure, presidi e strumenti di trattamento adeguati a mantenere il profilo di rischio entro i livelli di accettabilità definiti. Nell ambito di tale sistema, il Consiglio di Amministrazione (di seguito anche Board ), previo lavoro istruttorio del Comitato Controllo e Rischi e con il supporto dell Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, assume un ruolo centrale sia nella definizione del profilo di rischio accettabile, sia nella valutazione e nel monitoraggio dell adeguatezza dei sistemi posti in essere per la gestione dei rischi. Le raccomandazioni del Codice di Autodisciplina rimangono, tuttavia, di alto livello e non forniscono indicazioni pratiche su come tali responsabilità dovrebbero in concreto essere espletate, lasciando così discrezionalità alle aziende nell individuare il modello e l approccio più consoni alle proprie caratteristiche. Alcune domande sono tuttavia, a nostro avviso, d obbligo. Qual è il ruolo che il Board dovrebbe svolgere in sede di determinazione della propensione ai rischi aziendali e di esame del profilo di rischio assunto? Quali sono i rischi che il Board dovrebbe esaminare e gli strumenti di analisi che potrebbero essere messi a sua disposizione? Con quale frequenza il Board dovrebbe svolgere le proprie analisi e valutazioni? Quali soggetti potrebbero assistere il Board nell espletamento delle responsabilità assegnate? É proprio da queste domande che è nata l idea di sviluppare il presente contributo, con l intento di fornire agli organi amministrativi e di controllo delle società quotate e, più in Il ruolo del Consiglio di Amministrazione nel governo dei rischi 1

generale, di qualsiasi realtà imprenditoriale che desideri allineare i propri sistemi alle best practice di governance, un quadro di riferimento pratico per un espletamento maggiormente consapevole delle responsabilità in materia di gestione dei rischi. Per un miglior inquadramento della presente pubblicazione, precisiamo che il lavoro non ha inteso affrontare tutti gli aspetti attinenti il Sistema di controllo interno e di gestione dei rischi di cui all Art. 7 del Codice di Autodisciplina, bensì i passaggi più strettamente connessi alla Gestione del rischio, focalizzando l attenzione sui possibili contributi che il Board potrebbe fornire in quest ambito. Al riguardo, il quadro di riferimento proposto, che trae spunto sia da soluzioni avanzate di risk management osservate sul campo, sia da contributi forniti a livello internazionale da autorevoli organizzazioni 1, tocca vari ambiti di interesse per il Board, fra i quali: il ruolo che l organo amministrativo può svolgere nella determinazione della propensione al rischio aziendale (c.d. Risk Appetite); il ruolo e i contributi che può fornire in sede di esame e valutazione di: rischi e opportunità 2 connessi all ordinaria gestione del business, il cui presidio rientra nelle responsabilità di gestione e controllo degli organi delegati e rispetto ai quali il Board dovrebbe svolgere un ruolo di supervisione; rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti all esame e approvazione del Board, per i quali quest ultimo dovrebbe svolgere un ruolo attivo di challenge al fine di meglio valutare la robustezza dei piani e la compatibilità dei rischi sottostanti con gli obiettivi strategici in esso riflessi; rischi catastrofici e Black Swan, per i quali il Board dovrebbe valutare il grado di resilienza aziendale e la capacità di risposta del Management in caso di accadimento degli stessi. La pubblicazione affronta altresì i temi relativi al diverso ruolo, alle responsabilità e ai compiti che possono essere attribuiti al Risk Officer (o figura analoga) e all Internal Audit con riguardo ai sistemi di gestione dei rischi, a supporto dell Amministratore incaricato e del Board. Consapevoli che non esiste una risposta univoca ai temi oggetto di approfondimento e che gli approcci e le soluzioni adottabili non possono prescindere dalle peculiarità organizzative, 1 A framework of Board Oversight of Enterprise Risks, The Canadian Institute of Chartered Accountants (2012). ICGN Corporate Risk Oversight Guidelines, International Corporate Governance Network (2010). Effective Enterprise Risk Oversight. The role of the Board of Directors, COSO (2009). 2 Nel proseguo del documento, la parola rischi viene utilizzata nella sua accezione più ampia, ovvero di evento incerto che può produrre effetti negativi o positivi sugli obiettivi e sulle performance aziendali (in quest ultimo caso, opportunità). 2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

culturali e di business di un azienda (oltre che dagli eventuali vincoli normativi di settore 3 ), spetta ai Vertici aziendali valutare quali prassi adottare e stabilire con quale livello di profondità e gradualità procedere nella loro attuazione. In conclusione, considerato che la disciplina del governo e della gestione dei rischi è ancora in una fase evolutiva e di sperimentazione pratica nelle aziende, con interpretazioni e percorsi spesso diversi fra loro, ci auguriamo che la presente pubblicazione rappresenti un utile contributo per riflessioni e azioni concrete sull argomento e auspichiamo che la stessa possa essere in futuro arricchita sulla base delle ulteriori esperienze maturate nel contesto italiano e internazionale. Buona lettura. Emma Marcandalli Managing Director 3 Il riferimento è, in particolare, ai soggetti vigilati, per i quali si applicano, in materia di controllo interno e gestione dei rischi, le disposizioni stabilite dalle Autorità di Vigilanza. Queste ultime richiedono, ad esempio, l istituzione di apposite strutture o ruoli aziendali deputati alla gestione dei rischi, quali il Chief Risk Officer, la funzione di Compliance, un Risk Committee, formato da Manager e incaricato di coadiuvare gli organi sociali nel processo di analisi dei rischi. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 3

Sez. 1 La centralità del Board in tema di gestione dei rischi secondo il Codice di Autodisciplina L ultima edizione del Codice di Autodisciplina ha rafforzato i concetti connessi alla gestione dei rischi, disciplinando le responsabilità in capo al Consiglio di Amministrazione negli Articoli 1 e 7 di seguito richiamati. Rif. Codice Art. 1, criterio applicativo 1.C.1, lettere a) e b) Raccomandazione Esamina e approva i piani strategici, industriali e finanziari dell emittente e del gruppo di cui esso sia a capo, monitorandone periodicamente l attuazione. Definisce la natura e il livello di rischio compatibile con gli obiettivi strategici dell emittente. Le responsabilità articolate nell ambito del citato Articolo 1, Criterio Applicativo 1.C.1 sono focalizzate sui piani strategici, industriali e finanziari dell emittente e del gruppo ad esso facente capo e sui rischi che potrebbero compromettere il raggiungimento degli obiettivi strategici. L espletamento di tali responsabilità non può, pertanto, prescindere dall identificazione e misurazione ( natura e livello ) dei principali rischi connessi ai piani sottoposti all esame e approvazione del Consiglio e dalla valutazione della loro accettabilità ( compatibilità ) rispetto agli obiettivi strategici perseguiti (c.d. Risk Appetite). Se ne deduce che l analisi dei principali fattori di rischio debba essere integrata nei processi di definizione degli obiettivi e delle strategie aziendali ed essere svolta dal Consiglio di Amministrazione contestualmente all esame e approvazione dei piani e delle iniziative strategiche, al fine di contribuire all assunzione di decisioni consapevoli e favorire l adozione dei necessari presidi, rafforzando così la capacità aziendale di realizzare gli obiettivi prefissati. Al Consiglio di Amministrazione sono altresì assegnate le seguenti ulteriori responsabilità: Il ruolo del Consiglio di Amministrazione nel governo dei rischi 5

Rif. Codice Art. 7, criterio applicativo 7.C.1, lettere a) e b) Raccomandazione Definisce le linee di indirizzo del sistema ( ) affinché i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell impresa coerente con gli obiettivi strategici individuati. Valuta l'adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell'impresa e al profilo di rischio assunto, nonché la sua efficacia. L Articolo 7, facendo più genericamente riferimento ai principali rischi afferenti all emittente e alle sue controllate, estende il perimetro d esame a tutte le tipologie di rischio cui l azienda è esposta, includendo, oltre ai rischi di natura strategica in grado di compromettere la realizzazione dei piani e delle iniziative di sviluppo del business, anche quelli di natura operativa che potrebbero, ad esempio, mettere in discussione la continuità e l efficienza operativa, l integrità e correttezza dei comportamenti, la reputazione aziendale, la completezza e trasparenza delle informazioni. La gestione dei rischi dovrebbe, inoltre, essere estesa anche a quelli meno probabili, ma potenzialmente catastrofici, in grado, in caso di accadimento, di compromettere seriamente la sostenibilità aziendale. Rispetto ai principali rischi cui l azienda è esposta, al Board è richiesto di (i) definire le linee di indirizzo per la loro identificazione, misurazione, gestione e monitoraggio e (ii) valutare l adeguatezza e l efficacia complessiva dei sistemi di gestione e controllo implementati, tenuto conto delle caratteristiche dell impresa e del profilo di rischio cui l impresa è esposta. Da un punto di vista di governance, infine, per l espletamento delle responsabilità in materia di gestione dei rischi, il Codice raccomanda che il Consiglio di Amministrazione si avvalga di: Rif. Codice Raccomandazione Art. 7, principio 7.P.3 Uno o più amministratori incaricati dell istituzione e del mantenimento di un efficace sistema di controllo interno e di gestione dei rischi. Un Comitato Controllo e Rischi, con il compito di supportare, con un adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio relative al sistema di ( ) gestione dei rischi. Gli altri ruoli e funzioni aziendali con specifici compiti in tema di ( ) gestione dei rischi, articolati in relazione a dimensioni, complessità e profilo di rischio dell impresa. Il responsabile della funzione di internal audit, incaricato di verificare che il sistema sia funzionante e adeguato. 6 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Le responsabilità in capo al Board presuppongono un lavoro preparatorio del Comitato Controllo e Rischi e possono essere espletate attraverso il supporto operativo dell Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, che rappresenta l interlocutore principale del Consiglio nel dare corso alle attività di identificazione, misurazione, gestione e monitoraggio dei rischi. È consigliabile che l Amministratore incaricato coincida con l Amministratore delegato, al quale compete la responsabilità complessiva della gestione aziendale, ivi inclusi gli aspetti di governo e controllo dei rischi ad essa connessi. A sua volta, per l elaborazione delle informazioni al Board, l Amministratore incaricato del sistema di controllo interno e di gestione dei rischi può coinvolgere il Management aziendale (c.d. controllo di primo livello ) e può avvalersi, in relazione alla complessità organizzativa e del profilo di rischio assunto, di strutture di supporto totalmente dedicate (e.g. Risk Officer) o già esistenti, cui possono aggiungersi compiti di coordinamento e sintesi del processo di analisi, monitoraggio e reporting dei rischi (c.d. controllo di secondo livello ). L Internal Audit rappresenta, invece, la funzione aziendale deputata a verificare in via indipendente che il sistema di gestione dei rischi sia, nel suo complesso, adeguato e funzionante (c.d. controllo di terzo livello ). Il ruolo del Consiglio di Amministrazione nel governo dei rischi 7

8 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Sez. 2 Un quadro di riferimento per la determinazione della propensione al rischio aziendale Cos è il Risk Appetite Il Codice di Autodisciplina richiede che il Board definisca il grado di compatibilità della natura e del livello di rischio assunto con una gestione dell impresa coerente con gli obiettivi strategici dell emittente ovvero, in altre parole, che stabilisca la propensione al rischio aziendale (c.d. Risk Appetite). Il Risk Appetite rappresenta, dunque, la decisione top-down circa il grado di rischio che l emittente è disposto ad assumere nel perseguire i propri obiettivi strategici: tale propensione potrebbe essere espressa sia come livello di variabilità degli obiettivi perseguiti, sia come vincoli e/o divieti volti ad indirizzare i comportamenti e le scelte del Management, con la finalità di allineare il profilo di rischio assunto (c.d. Risk Profile) alle priorità aziendali e alle aspettative degli Stakeholder. Definire il Risk Appetite non significa adempiere ad un mero esercizio di compliance; al contrario, significa dotarsi di uno strumento strategico di governo aziendale, legato ai processi di definizione e monitoraggio degli obiettivi e dei piani aziendali. La definizione della propensione al rischio, essendo per sua natura strategica, non può che essere una responsabilità degli amministratori dell impresa. Da un punto di vista pratico, la propensione al rischio può essere espressa attraverso la definizione di livelli (o vincoli) riferiti ad indicatori quali-quantitativi rilevanti per l azienda, quali (a titolo esemplificativo): parametri finanziari: EBIT o EBITDA, Free Cash Flow, Earning per Share, Debt Rating, Net Debt/Equity Ratio, ecc.; parametri strategici: concentrazione del portafoglio prodotti/mercati/clienti, prodotti ammessi e non, investimenti ammessi e non, requisiti di sustainability e responsabilità d impresa, ecc.; parametri operativi: soddisfazione dei clienti/dipendenti/terze parti strategiche, continuità dei servizi offerti, saturazione degli impianti, dipendenza da terze parti, ecc.; parametri di compliance: requisiti di salute, sicurezza e ambiente, pratiche commerciali ammesse e non, ecc.; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 9

in relazione ai quali il Board potrebbe discutere e definire 4 : il livello massimo di rischio assumibile (Risk Capacity), ovvero che l emittente è in grado di assumere senza incorrere in situazioni di crisi, fallimento o mancato rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza (laddove esistenti); il livello di rischio obiettivo (Risk Target), ovvero che l emittente intende assumere per il raggiungimento dei propri obiettivi strategici, tenuto conto delle dimensioni e della complessità organizzativa e del modello di business adottati; la soglia di rischio tollerata (Risk Tolerance), intesa quale deviazione massima consentita dal livello di rischio obiettivo, che dovrebbe poi guidare la definizione di limiti di rischio più puntuali e delle correlate procedure di escalation in caso di superamento. Al fine di incrementare l efficacia del Risk Appetite e della compatibilità con il profilo di rischio assunto, i livelli di Risk Capacity, Tolerance e Target dovrebbero essere definiti sulle stesse metriche/indicatori chiave per l azienda, che solitamente coincidono con le metriche di valutazione degli eventi di rischio. Ruolo e contributo del Board Il Risk Appetite dovrebbe essere discusso e definito dal Board a livello complessivo d azienda, per poi essere declinato, a cura del Management, a livelli di maggior dettaglio (e.g., di unità organizzativa, di business unit, di area geografica, ecc.), coerentemente con gli obiettivi perseguiti e il modello organizzativo e di business adottato dall azienda. In particolare, come approfondito nella successiva Sezione 3, il Board potrebbe discutere e definire il Risk Appetite aziendale in sede di: esame e approvazione dei piani strategici, finanziari e industriali dell emittente, al fine di: fornire gli indirizzi sui livelli di rischio ritenuti accettabili, da aggiornare in sede di monitoraggio dei piani medesimi in ipotesi di cambiamenti significativi del contesto esterno e/o interno; verificare la coerenza degli obiettivi e delle strategie delineate nei piani con i livelli di rischio ritenuti accettabili; approvazione di specifiche linee di indirizzo ovvero politiche di gestione dei rischi significativi per l emittente, al fine di assicurare: l esistenza, ove necessario, di limiti o vincoli all assunzione dei rischi; l esistenza di processi di gestione e controllo strutturati; 4 Le definizioni dei vari livelli di Risk Appetite riportate nel presente documento si ispirano a quelle fornite da Banca d Italia nella Circolare Nuove disposizioni di vigilanza prudenziale per le banche, aggiornata il 2 luglio 2013. 10 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

l adeguatezza delle deleghe al Management; l adeguatezza delle funzioni/risorse dedicate. Il Board dovrebbe altresì verificare periodicamente, con il supporto del Management e delle funzioni a ciò preposte: la coerenza fra il profilo di rischio effettivamente assunto in un dato istante temporale e le soglie di accettabilità definite a livello top-down e nell ambito delle politiche di rischio approvate; la coerenza delle politiche di remunerazione del Management rispetto alla propensione al rischio definita dal Board; l integrazione degli indirizzi/limiti fissati nei criteri di valutazione del Management per la determinazione della componente variabile; l esistenza e l efficacia di un processo di comunicazione degli indirizzi e dei limiti di rischio a tutti i livelli organizzativi. Ruolo e contributo degli altri attori del sistema Spetta, invece, all Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, anche con il supporto del Risk Officer (o figure analoghe, come meglio esplicitato alla successiva Sezione 4) e/o di Comitati Esecutivi o altri Comitati all uopo istituiti (e.g., Comitato di Risk Management), il compito di: fornire al Board le informazioni sulla natura e sul livello di rischio cui l emittente e le sue controllate sono esposti nel perseguimento degli obiettivi e nell esercizio del business (e.g., in sede di presentazione dei piani aziendali ovvero in altro momento con riguardo ai rischi tipici e ricorrenti per il business, come meglio descritto alla successiva Sezione 3); stabilire i limiti operativi all assunzione delle varie tipologie di rischio in coerenza con il Risk Appetite definito dal Board; assicurare la coerenza fra il livello di rischio accettato, la pianificazione aziendale, le politiche di governo dei rischi e il processo di gestione dei rischi, tenendo in considerazione l evoluzione delle condizioni interne ed esterne in cui opera l azienda e la sua complessità organizzativa e di business; implementare processi per il monitoraggio del rispetto degli indirizzi e dei limiti fissati. Approfondimenti ed esemplificazioni Si riportano di seguito alcuni approfondimenti e considerazioni pratiche sui livelli di rischio che potrebbero essere discussi e determinati in sede consiliare e, successivamente, declinati dal Management. Il quadro di riferimento nel seguito rappresentato si ispira alle disposizioni di Banca d Italia in materia di Sistema dei Controlli Interni (Circolare n. 263 del 27 dicembre 2006, aggiornata Il ruolo del Consiglio di Amministrazione nel governo dei rischi 11

il 2 luglio 2013), applicabili agli istituti bancari. La sua estensione a settori non bancari non esclude, pertanto, possibili adattamenti o semplificazioni di taluni concetti. Impatto a Conto Economico Risk Tolerance Soglia di rischio tollerato Cash Flow Patrimonio Netto Risk Capacity Massimo livello di rischio sopportabile coerentemente con gli obiettivi perseguiti e i vincoli normativi Reputazione Risk Target Area di rischio obiettivo Risk Capacity È il livello massimo di rischio che un azienda è in grado di assumere nell esercizio del proprio business senza incorrere in situazioni di crisi, fallimento o mancato rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza. In linea generale, tanto più elevata è la capacità aziendale di auto-finanziarsi, ricapitalizzarsi o ricorrere a fonti di finanziamento esterno, tanto maggiore sarà la sua capacità di assumere rischi (e.g., sopportare eventi catastrofici, perdere commesse o clienti strategici, perdere quote di mercato, ecc.). Tale soglia può essere espressa in termini quantitativi o qualitativi a livello complessivo d azienda. Ad esempio: livello massimo di indebitamento che un organizzazione è in grado di sopportare; livello minimo di redditività che un organizzazione è in grado di sostenere nel breve, medio e lungo; livello massimo di downgrade del rating del titolo/merito di credito sopportabile; livello minimo di adeguatezza del capitale regolamentare imposto dalle Autorità di Vigilanza; 12 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

situazioni di non conformità o altri eventi di natura endogena che, in caso di accadimento, possono compromettere la continuità aziendale e/o la sostenibilità dell organizzazione nel medio-lungo termine. La soglia di Risk Capacity è dinamica, in quanto può essere influenzata da diversi fattori, quali la situazione economica globale, la situazione dei mercati finanziari, gli outlook di settore o societari, cambiamenti nel modello di business, ecc. Risk Tolerance Riflette il livello massimo di rischio che un azienda è disposta a tollerare - ovvero non intende superare - nel perseguimento dei propri obiettivi (e.g., limiti minimi di risultati positivi ovvero massimi di risultati negativi). Tale soglia dovrebbe essere discussa e delineata: in sede di pianificazione strategica e operativa, con l obiettivo di indirizzare le strategie di medio-lungo termine dell emittente (e.g., individuazione di iniziative di investimento in linea con livelli di rischio tollerato); in sede di definizione delle modalità di governo e controllo dei principali rischi cui il business è esposto (e.g., approvazione di specifiche politiche di gestione del rischio/compliance con esplicitazione dei limiti operativi entro cui il Management deve operare ovvero dei divieti comportamentali o di assunzione di rischio). Può essere declinata a vari livelli di operatività (e.g., di gruppo, di tipologia di rischio, di business unit/prodotto, di area geografica/paese, ecc.) in relazione alle finalità (di indirizzo strategico versus controllo operativo delle operazioni aziendali) e alla complessità aziendale. In caso di declinazione su più livelli, è necessario assicurare coerenza fra gli stessi. Può essere espressa attraverso più parametri quantitativi o qualitativi, in relazione agli obiettivi perseguiti. Ad esempio: livello minimo di marginalità operativa che si è disposti a tollerare o di cash flow necessario per sostenere gli impegni di investimento dichiarati; livello massimo di capitale da investire in nuove iniziative; livello minimo di quota di mercato tollerato; tipologia di clienti, prodotti, mercati ammessi; livello massimo di concentrazione/dipendenza da clienti, prodotti, mercati, ecc.; aree geografiche nelle quali o con le quali non si intende operare (e.g., Paesi inclusi nelle Black List internazionali). La Risk Tolerance dovrebbe essere definita tenendo in considerazione: il contesto di riferimento; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 13

la maturità, stabilità, potenzialità di crescita del settore di business in cui l azienda opera; il posizionamento dell azienda nell Industry di riferimento; le aspettative degli Stakeholder; il livello di maturità dei processi e degli strumenti di risk management adottati. Risk Target Riflette il livello ottimale di rischio cui un azienda vuole tendere nel perseguimento degli obiettivi e rendimenti desiderati, in un ottica, quindi, di ottimale bilanciamento rischio-rendimento. Si tratta normalmente di una soglia inferiore (e quindi più prudente) rispetto alla Risk Tolerance, in quanto riflette il margine di sicurezza che l azienda intende tenersi rispetto ai livelli massimi di rischio tollerati. Per la sua definizione, occorre tener presente sia i fattori già delineati per la Risk Tolerance, sia i rendimenti attesi, al fine di individuare il miglior bilanciamento rispetto ai rischi da assumere. I livelli di rischio obiettivo indirizzano le azioni tattiche del Management (e.g., di breve-medio periodo), al fine di realizzare le strategie e raggiungere gli obiettivi di lungo periodo. Risk Profile Rappresenta la natura e il livello di rischio assunto dall organizzazione in un dato momento al netto dell effetto delle contromisure in essere. Dovrebbe essere misurato in modo coerente con i limiti sopra delineati (ovvero rispetto alle metriche e ai parametri quali-quantitativi articolati per i limiti tollerati e i livelli target) ed essere rilevato: in sede di esame, approvazione e monitoraggio dei piani strategici, finanziari o industriali (focus sui rischi di contesto e di natura strategica), così come in sede di pianificazione operativa; secondo le diverse frequenze stabilite per il monitoraggio dei rischi operativi di natura ricorrente, tipici del settore di business in cui l azienda opera (e.g., rischi commerciali, finanziari, industriali, di mercato, di compliance). Qualora il profilo di rischio assunto dovesse superare i limiti definiti, il Management dovrebbe valutare la revisione dei piani strategici in essere ovvero l attivazione di piani di recovery o di mitigazione, al fine di riportare l esposizione entro le soglie di accettabilità definite. 14 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Sez. 3 Un quadro di riferimento per l esame dei rischi a cura del Board La determinazione della propensione al rischio aziendale in precedenza delineata richiede che il Board comprenda, valuti e monitori i rischi cui l azienda è esposta nel perseguimento dei propri obiettivi. Al riguardo, per un espletamento maggiormente consapevole di tali compiti, si propone di seguito un quadro di riferimento che prevede l esame da parte del Board dei seguenti ambiti: rischi e opportunità connessi alla gestione ordinaria/caratteristica del business; rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti all esame e approvazione del Consiglio (i.e. piani strategici, industriali e finanziari, investimenti rilevanti, operazioni straordinarie); rischi catastrofici/di discontinuità che potrebbero creare situazioni di stress o crisi per l azienda. Per ciascuno degli ambiti sopra delineati, i paragrafi che seguono forniscono alcuni spunti di riflessione con riguardo a: ruolo e contributo che il Board può fornire; tipologia di rischi da prendere in considerazione; frequenza/periodicità di valutazione a cura del Board; strumenti di analisi che il Board potrebbe avere a sua disposizione. Per gli aspetti metodologici e pratici più strettamente connessi alla valutazione di sintesi - da esprimere almeno annualmente a cura del Board - circa l adeguatezza del sistema di controllo interno e gestione dei rischi rispetto alle caratteristiche dell impresa e al profilo di rischio assunto, si rinvia ad altre specifiche e autorevoli pubblicazioni 5. 5 Si rinvia al documento Amministratori e componenti del Comitato controllo e rischi: come valutare la governance in tema di rischi e di controlli (febbraio 2013) curato da Carolyn Dittmeier e pubblicato da NedCommunity. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 15

3.1 Rischi connessi alla gestione ordinaria del business Ruolo e contributo del Board Le aziende sono esposte, nell esercizio ordinario del proprio business, a varie tipologie di rischio tipiche del settore di appartenenza o connaturate al modello organizzativo e operativo prescelto. Tali rischi hanno natura ricorrente e, quando rilevanti, richiedono una gestione nel continuo, sistematica e strutturata: il loro presidio rientra tipicamente nelle responsabilità ordinarie del Management aziendale. Rispetto a tali rischi, il Board dovrebbe svolgere principalmente un ruolo di supervisione attraverso: la comprensione del profilo di rischio cui le attività di business sono esposte e il monitoraggio della sua evoluzione nel tempo; la valutazione della compatibilità del profilo di rischio assunto con gli obiettivi definiti e le caratteristiche dell impresa; l esame e la valutazione di adeguatezza dei sistemi posti in essere per la gestione dei rischi significativi (e.g., regole, limiti, politiche e procedure, presidi organizzativi, strumenti di trattamento); la formulazione di richieste di interventi correttivi o migliorativi in presenza di profili di rischio ritenuti non accettabili o non in linea con la propensione al rischio definita e gli obiettivi da raggiungere. Tale esame dovrebbe tener conto, fra l altro, del grado d integrazione delle attività di identificazione, valutazione e gestione dei rischi nei processi di business critici per l assunzione di decisioni aziendali (e.g., acquisizione di nuovi clienti, lancio di nuovi prodotti, selezione e valutazione dei fornitori strategici), nonché nei processi di gestione della compliance a normative interne o esterne. In aggiunta a ciò, il Board potrebbe essere chiamato ad esaminare e approvare le politiche di gestione con riguardo ai rischi rilevanti per il business, contribuendo così a definire le regole di governo e controllo degli stessi, ivi incluse le soglie di accettabilità e i connessi processi di escalation in caso di superamento delle stesse. Tipologia di rischi da analizzare La mappatura dei rischi significativi connessi alla gestione ordinaria del business potrebbe essere guidata dalla preliminare comprensione (i) dei fattori critici di successo per il business e (ii) della struttura organizzativa e dei processi aziendali adottata dall azienda. Tali rischi potrebbero includere, a titolo esemplificativo: Rischi caratteristici del settore di business e dei mercati in cui l azienda opera (e.g., trend della domanda, azioni dei concorrenti, modifiche del contesto normativo di riferimento, instabilità dei Paesi di provenienza dei fattori 16 Il ruolo del Consiglio di Amministrazione nel governo dei rischi