Il modello Enterprise Risk Management come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali nell Adozione del Modello Organizzativo 231 Via Alberto Nota, 5-10122 Torino - Piazzale Biancamano, 8-20121 Milano - Via Roma, 4-33100 Udine Tel. 011/5690291 - Fax 011/5690247 - N verde gratuito 800.300.368 info@knetproject.com - www.knetproject.com
A più di un decennio dall'introduzione nel nostro ordinamento di una forma di responsabilità amministrativa delle società e degli enti per gli illeciti penali commessi dai propri amministratori e dipendenti nell'interesse delle stesse, si impone sul tema una riflessione più ampia e matura. Più precisamente, è indispensabile un nuovo approccio al decreto legislativo sulla responsabilità amministrativa di enti e società, affinché non sia più visto come onere ma come opportunità per passare a un vero sistema di controllo interno integrato. In effetti, la necessità di creare modelli organizzativi per evitare l'applicazione di sanzioni in relazione a comportamenti illeciti sempre più comuni (quali i reati connessi con la sicurezza del lavoro) è stata interpretata dalle imprese e dagli enti interessati solo in modo negativo quale ulteriore adempimento generatore di costi e responsabilità di cui se ne poteva fare certamente a meno. Questo modo di interpretare la normativa ha portato le aziende a creare modelli organizzativi "di facciata" senza vedere in questi alcuna utilità diretta sul piano gestionale e strategico. La giurisprudenza, con sanzioni gravi, ha punito questo tipo di approccio disattendendo il modello, in quanto non creato a misura d impresa, ma copiato da un prototipo soggettivamente inefficace. MODELLO 231: PERCHE UN NUOVO APPROCCIO? È giunta, dunque, l'ora di vedere gli obblighi che scaturiscono dal Dlgs 231/2001 in un'ottica nuova. I modelli organizzativi devono essere creati quale fondamento per un sistema integrato di controlli che consentano di gestire in modo efficiente e puntuale qualsiasi forma di rischio, offrendo all'imprenditore, ai soci e alla governance aziendale un vero e proprio sistema capace di monitorare l'attività dell'impresa. Il sistema deve essere in grado di rispondere a più livelli alle diverse esigenze informative espresse da coloro che operano all'interno dell'impresa stessa e dal mercato che con essa interagisce. In effetti, vari fattori inducono a questa riflessione più ampia e matura: l'elaborazione della dottrina giuridica che, soprattutto negli ultimi anni, si è formata; la realtà economica che per effetto di una serie di scandali societari ha determinato un più frequente ricorso a tale normativa nonché maggiore consapevolezza e familiarità con 2
la stessa da parte degli operatori economici e dei magistrati; infine, il fatto che il novero dei reati originariamente presupposti per la responsabilità delle società e degli enti si sia ampliato a dismisura. Tale continuo aumento, che non sempre ha seguito un filone logico e razionale, ha peraltro introdotto connotati la cui portata e vastità vanno attentamente delineate e approfondite. Prendiamo, ad esempio, le rilevantissime modifiche apportate nel 2007 e nel 2008: dai reati di riciclaggio, ai reati previsti in materia di sicurezza sul lavoro, ai reati ambientali, ai delitti informatici e al trattamento illecito di dati. in termini di efficacia che di costi - dei tradizionali sistemi di controllo interno e di compliance dall'altra. Quindi questo modello di riferimento, paradossalmente, nella misura in cui contribuisce a ottimizzare gli sforzi e i costi dell'impresa diviene un "sistema" potenzialmente molto efficace per migliorare la capacità di gestire i rischi e di conseguire i propri obiettivi strategici: anche per quelle imprese di più modeste dimensioni in cui questa "competenza" dell'organizzazione viene troppo spesso sacrificata all'esigenza di salvaguardare il risultato economico e finanziario, quasi come se quest'ultimo sia l'unico elemento reale su cui fondare la strategia di sopravvivenza o di sviluppo dell'impresa. INTEGRAZIONE TRA CORPORATE GOVERNANCE, RISK MANAGEMENT E CONTROLLO INTERNO Ne discende che l'attuale assetto del Dlgs 231/2001 risulta non solo enormemente ampliato ma anche valorizzato in termini di interesse per l'impresa, poiché viene a costituire de facto un "sistema dei sistemi" o, per meglio dire, un modello di organizzazione e gestione che si eleva sugli altri specifici "modelli" di gestione nei confronti dei quali costituisce uno strumento di controllo e di supervisione e, pertanto, ne assicura la "integrazione" nell'ambito dell'organizzazione aziendale complessiva. In sintesi, esso rappresenta lo strumento che può aiutare l'azienda a ottimizzare i suoi sforzi organizzativi e gestionali fino a ottenere un sistema di controllo interno integrato, proponendosi quale collante naturale che può consentire di contemperare in modo efficiente le sempre più forti esigenze di corporate governance e di risk management da una parte e di ottimizzazione - sia Una buona governance si fonda su un sistema di controllo interno da intendere come "l'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell'impresa sana, corretta e coerente con gli obiettivi prefissati" (Codice autodisciplina Borsa italiana, cit.). Esso costituisce, evidentemente, la trama su cui tutti i soggetti e le funzioni aziendali lavorano per contribuire alla gestione dell'impresa, in coerenza con l'obiettivo di conferire il massimo valore sostenibile a ogni attività dell'organizzazione. In tale contesto, tuttavia, il Legislatore, ampliando per motivi spesso contingenti la fattispecie e il numero dei soggetti responsabilizzati di controlli di varia natura all'interno dell'impresa, ha indirettamente frazionato le 3
responsabilità e generato una certa proliferazione di modelli di valutazione e gestione tra di loro non integrati e potenzialmente conflittuali e non economici. In realtà, la realizzazione di un effettivo sistema di governance aziendale deve tener conto delle azioni e delle valutazioni espresse da tutti i soggetti coinvolti sia nel controllo che nel risk management e deve, pertanto, garantire il presidio dei rischi aziendali sulla base di un sistema di controllo interno unico e univoco e tale da assicurare al suo interno efficacia ed economicità. In pratica, un sistema di controllo interno "integrato", in cui, sul presupposto dei limiti di tollerabilità e accettabilità del rischio, siano correttamente formulati gli obiettivi di controllo, quali gli obiettivi aziendali di business e di governance rilevanti, siano definite le fonti di rischio, e, infine, sia assicurata l'adeguatezza dei controlli (cioè l'efficacia, determinata dalle caratteristiche intrinseche del processo e dal funzionamento del controllo e l'economicità, determinata dai fattori del danno potenziale e del costo del controllo). of the Treadway Commission). Nell ambito di questo studio il modello di gestione del rischio aziendale viene definito come "un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l'organizzazione; progettato per individuare eventi potenziali che possono influire sull'attività aziendale, per gestire il rischio entro i limiti del "rischio accettabile" e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali". Il modello Erm è, dunque, finalizzato al conseguimento degli obiettivi aziendali ricompresi nelle seguenti categorie: strategici, operativi, di reporting e di conformità e presuppone che ogni componente dell'organizzazione aziendale ne abbia una certa responsabilità, fino all'amministratore delegato che ne ha la responsabilità ultima e ne assume la paternità, laddove il consiglio di amministrazione assolva alla sua generale supervisione e contribuisce alla determinazione del livello di "rischio accettabile". IL MODELLO ERM Il sistema di controllo interno è, altresì, parte integrante del modello di riferimento internazionale per la gestione del rischio aziendale che è noto come "Erm", cioè l'acronimo della definizione inglese di Enterprise Risk Management. Esso trae origine dagli studi avviati negli Stati Uniti, sull'onda degli scandali economici e finanziari degli anni 80 e degli inizi degli anni 90, dal settore privato e dalle associazioni professionali più prestigiose d'america che diedero vita a una commissione di studio, la Treadway Commission: il risultato fu la pubblicazione nel 1992 del volume Internal Control - Integrated Framework, noto come Coso Report (Committee of Sponsoring Organizations Anche in tale contesto internazionale di riferimento, dunque, appare evidente come la gestione del rischio debba intendersi non rispetto a una singola categoria ma, viceversa, in modalità integrata e cioè comprensiva di ogni tipologia di rischio capace di incidere negativamente su ciascun processo: rischio strategico (quote di mercato, allocazione delle risorse, struttura organizzativa eccetera); 4
rischio gestionale (frodi interne ed esterne, logistica e distribuzione, soddisfazione del cliente, gestione acquisti eccetera); rischio finanziario (gestione fiscale, flussi monetari, autorizzazioni, pagamenti, gestione investimenti eccetera); rischio di mancata conformità (compliance). di organizzazione e gestione (come la sicurezza del lavoro, la gestione finanziaria, il trattamento informatico dei dati eccetera), ha assunto de facto la valenza di una matrice di impostazione, progettazione, redazione e revisione di un "super modello" attraverso cui l'alta direzione dell'azienda può ottenere riscontri particolarmente dettagliati su efficacia ed efficienza dell'organizzazione e dei sistemi di gestione aziendali e sugli interventi migliorativi realizzabili in una visione integrata. È un processo strategico di natura integrata attuato nei singoli processi aziendali ed è la base di processi decisionali realmente informati affinché soggetti e funzioni aziendali possano guidare la società non solo nel rispetto degli obiettivi di business ma anche in modo coerente con le aspettative di tutti gli stakeholder, in modo da sostanziare un modello di governo societario adeguato, moderno e dinamico. Sembra a questo punto agevole richiamare l'attenzione sul fatto che oggigiorno la disciplina racchiusa nel Dlgs 231/2001, stante la sua pervasività in tutti i processi aziendali, inclusi per richiamo quelli che altre discipline normative già regolano in termini di modelli o di sistemi Il modello così costruito, nell'ottica cioè della matrice integrata per il governo aziendale, diventa: un corpus non più limitato alle sole finalità di prevenzione dei reati di cui al Dlgs 231/2001; uno strumento di integrazione e ottimizzazione dei diversi sistemi interni all'azienda e di attuazione di specifici interventi di miglioramento su singoli processi, funzioni o aree; un monitor di controllo di tutti i sistemi aziendali attuabile e fruibile con strumenti informatizzati. RELAZIONE TRA MODELLO E SISTEMI INTERNI Compliance Sistema Organizzativo MODELLO 231/01 Risk Management Corporate Governance Controllo interno 5
I COMPONENTI DELL ERM L ERM è costituito da otto componenti interconnessi. Essi derivano dal modo in cui il management gestisce l azienda e sono integrati con i processi operativi. Questi componenti sono: 1) Ambiente interno: l ambiente interno, che costituisce l identità essenziale di un organizzazione, determina i modi in cui il rischio è considerato e affrontato dalle persone che operano in azienda, come pure la filosofia della gestione del rischio, i livelli di accettabilità del rischio, l integrità e i valori etici e l ambiente di lavoro in generale. 2) Definizione degli obiettivi: gli obiettivi devono essere fissati prima di procedere all identificazione degli eventi che possono potenzialmente pregiudicare il loro conseguimento. L ERM assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi e che gli obiettivi scelti supportino e siano coerenti con la missione aziendale e siano in linea con i livelli di rischio accettabile. 3) Identificazione degli eventi: gli eventi esterni e interni, che influiscono sul conseguimento degli obiettivi aziendali, devono essere identificati distinguendoli tra rischi e opportunità. Le opportunità devono essere valutate riconsiderando la strategia definita in precedenza o il processo di formulazione degli obiettivi in atto. 4) Valutazione del rischio: i rischi sono analizzati, determinando la probabilità che si verifichino in futuro e il loro impatto, al fine di stabilire come devono essere gestiti. I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo). 5) Risposta al rischio: il management seleziona le risposte al rischio emerso (evitarlo, accettarlo, ridurlo, comparteciparlo) sviluppando interventi per allineare i rischi emersi con i livelli di tolleranza al rischio e di rischio accettabile. 6) Attività di controllo: devono essere definite e realizzate politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite. 7) Informazioni e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentano alle persone di adempiere correttamente le proprie responsabilità. In linea generale, si devono attivare comunicazioni efficaci, in modo che queste fluiscano per l intera struttura organizzativa: verso il basso, verso l alto e trasversalmente. 8) Monitoraggio: l intero processo dell ERM deve essere monitorato e modificato ove necessario. Il monitoraggio si concretizza in interventi continui integrati nella normale attività operativa aziendale o in valutazioni separate, oppure in una combinazione dei due metodi. LEGAMI TRA OBIETTIVI E COMPONENTI Esiste un rapporto diretto tra gli obiettivi, ossia ciò che un azienda si sforza di conseguire, e i componenti dell ERM, ovvero ciò che occorre per conseguire gli obiettivi. Questo rapporto è schematizzato in una matrice tridimensionale a forma di cubo. 6
Le quattro categorie di obiettivi strategici, operativi, di reporting e di conformità sono rappresentate nelle colonne verticali del cubo, gli otto componenti sopra definiti sono invece rappresentati nelle righe orizzontali del cubo, e le unità operative dell organizzazione sono rappresentate dalla terza dimensione della matrice. Lo schema fa capire l estrema flessibilità del modello: esso può essere applicato, sia all intero processo di gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi, ai componenti, alle singole unità operative e alle singole sub unità di queste ultime. RUOLI E RESPOSNSABILITA Ogni persona che opera in un organizzazione ha una certa responsabilità nell ERM. Il CEO ne ha la responsabilità ultima e ne assume la paternità. Il management promuove la filosofia di gestione del rischio e l osservanza del livello di rischio accettabile, e gestisce i rischi nella sua sfera di responsabilità in coerenza con i livelli di tolleranza al rischio. Generalmente, il risk officer, il direttore finanziario, l internal auditor assolvono compiti chiave di supporto alla gestione del rischio, altre persone svolgono invece compiti puramente esecutivi nella gestione del rischio in conformità alle direttive e ai protocolli. Il consiglio di amministrazione svolge un ruolo importante di supervisione del processo di gestione del rischio aziendale e contribuisce alla determinazione del livello di rischio accettabile. Un certo numero di soggetti esterni, come i clienti, i fornitori, partner, revisori esterni e analisti finanziari spesso forniscono informazioni utili per il buon funzionamento del processo di gestione del rischio aziendale, ma essi non rispondono della sua efficacia, né fanno parte del processo medesimo. I VANTAGGI NELL ADOZIONE DELL ERM Il management massimizza il valore quando formula strategie e obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita e di redditività e rischi conseguenti, e quando impiega in modo efficiente e efficace le risorse nel perseguire gli obiettivi aziendali. 7
L ERM ha le seguenti caratteristiche: L allineamento della strategia al rischio accettabile : il management stabilisce il livello di rischio accettabile per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano. Il miglioramento della risposta al rischio individuato: l ERM fornisce una metodologia rigorosa per identificare e selezionare tra più risposte alternative al rischio quella più adeguata (evitare, ridurre, condividere, accettare il rischio). La riduzione degli imprevisti e delle perdite conseguenti: le aziende, accrescendo la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducono la frequenza degli imprevisti come pure i costi e le perdite conseguenti. L identificazione e la gestione dei rischi correlati e multipli: ogni azienda deve affrontare una miriade di rischi che interessano diverse aree dell organizzazione, e l ERM facilita la formulazione di un efficace risposta ai rischi con impatti correlati e risposte univoche a rischi multipli. L identificazione delle opportunità : analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere proattivamente le opportunità che emergono. complessivo e di migliorare, così, l allocazione del capitale. Queste caratteristiche proprie dell ERM aiutano il management a conseguire i propri obiettivi di performance e di redditività e di evitare perdite di risorse. Inoltre, contribuiscono ad assicurare l efficacia del reporting e la conformità alle leggi e ai regolamenti, e costituiscono un ausilio per evitare danni all immagine aziendale e le conseguenze che ne derivano. In sintesi, l ERM supporta l organizzazione nel raggiungimento delle mete desiderate evitando insidie e imprevisti di percorso. Questa definizione riflette alcuni concetti fondamentali. L'ERM è un processo continuo e pervasivo che interessa tutta l organizzazione svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale utilizzato in tutta l organizzazione: sia nelle sue singole attività (in ogni livello e in ogni unità della struttura), che nella sua attività complessiva. Esso include una visione del rischio che considera l azienda nel suo complesso; progettato per identificare eventi potenziali che potrebbero influire sull attività aziendale e per gestire il rischio entro i limiti del rischio accettabile; Il miglioramento dell impiego di capitale: l acquisizione di informazioni affidabili sui rischi consente al management di valutare efficacemente il fabbisogno finanziario in grado di fornire una ragionevole sicurezza al consiglio di amministrazione e al management; in grado di conseguire obiettivi relativi a una o più categorie distinte, ma che si possono sovrapporre. 8
Questa definizione è intenzionalmente estensiva e racchiude i concetti chiave, fondamentali per capire come le aziende devono gestire il rischio; fornisce i criteri di base da applicare in tutte le organizzazioni, quale che sia la loro natura. Si focalizza sul raggiungimento degli obiettivi di una specifica organizzazione e fornisce i criteri per valutare l efficacia dell ERM. nuove disposizioni ex. Art 19, D.Lgs. 39/2010 di recepimento dell VIII Direttiva sulla revisione dei conti, relative agli obblighi di vigilanza del Collegio Sindacale; obblighi di informativa ex Art.123-bis, D.Lgs. 58/1998. IL SUPPORTO DELL ERM ALL OTTEMPERAMENTO DELLE PRESCRIZIONI LEGALI La definizione di un sistema di Enterprise Risk Management consente di soddisfare esigenze connaturate all attività di amministrazione e controllo di impresa, nonché di coadiuvare la società nell espletamento di attività relative a prescrizioni normative e regolamentari, quali: Un sistema organico e coordinato di risk management può rappresentare inoltre lo strumento per realizzare l integrazione ed il monitoraggio unico di sistemi di controllo definiti ed implementati in ragione di precise esigenze di compliance, quali il D.Lgs. 231/01, la L. 262/05 per gli emittenti di strumenti finanziari quotati, i sistemi di controllo ex D.Lgs. 196/2003 - Testo unico sulla privacy, adeguamento del sistema qualità agli standard ISO 31000. prescrizioni del Codice di Autodisciplina per amministratori e soggetti deputati al controllo interno; Tabella di confronto tra il ERM e il Modello 231 9
CONCLUSIONI Questa visione alternativa e non basic del Dlgs 231/2001 integrato con le tecniche del ERM può produrre per il soggetto collettivo non un semplice modello di prevenzione ma un valore che si sostanzia in: uno strumento valido addirittura per combattere le frodi commerciali, per ottenere informazioni utili e corrette sulla gestione dell'impresa, ma soprattutto per mantenere, anche in organizzazioni complesse, un controllo efficace su tutti quegli elementi che sono potenzialmente portatori di rischi. Quanto detto impone, però, che chi vuole raggiungere tutti gli obiettivi descritti deve avere un approccio rispetto agli obblighi imposti dal Dlgs 231/2001 del tutto diverso da quello finora generalmente adottato: ripensamento e miglioramento dell'organizzazione aziendale; razionalizzazione e unificazione delle strutture di controllo esistenti; stimolo a una governance funzionale complessiva. Appare, quindi, evidente come sia possibile predisporre, con la struttura del modello 231, una rete di protezione intorno al soggetto collettivo anche rispetto a potenziali perdite in termini di reputazione dell'organizzazione, con un sistema che produrrebbe anche un risparmio di costi di gestione e risorse umane impiegate nei diversi controlli sulla gestione già attuati e esistenti in azienda. è necessario progettare modelli organizzativi tagliati su misura sull'impresa, integrandoli con gli altri strumenti di controllo esistenti; bisogna avere una visione prospettica della struttura, senza cercare di realizzare interventi troppo invasivi, ma applicando in modo scalabile e coinvolgente misure di adeguamento delle strutture interne interessate. LOGICA DELLA MATRICE D INTERVENTO Elemento 231/01 Individuazione delle criticità esistenti nei sistemi aziendali nei quali lo specifico elemento 231/01 deve trovare attuazione Valutazione dei possibili interventi in una visione integrata del sistema di controllo Tutto questo produce per l'impresa vantaggi effettivi che, pur rispettando gli obblighi di legge, superano di gran lunga lo scopo stesso del Dlgs 231/2001, fornendo agli attori che operano nell'impresa o al di fuori di essa Vantaggi organizzativi e gestionali 10
COME INTERVIENE KNET PROJECT? Intervento di Risk Management in 5 fasi Allineamento degli obiettivi di Risk Management a quelli di business 1 Individuazione dei rischi 2 Analisi e valutazione dei rischi (Risk Assessment) 3 Trattamento dei rischi (Risk Treatment) 4 Controllo e monitoraggio dei rischi 5 Il nostro supporto alle aziende CONOSCERE E QUANTIFICARE I RISCHI La conoscenza è il presupposto della loro gestione e della limitazione delle vulnerabilità aziendali DEFINIRE E APPLICARE UNA POLITICA UNITARIA DI GESTIONE E PREVENZIONE DEI RISCHI L incidenza dei fattori d incertezza, di ottenere significativi risparmi nei costi d esercizio e di conseguire miglioramenti nei risultati di gestione REALIZZARE UN PROGRAMMA DI TRATTAMENTO DEI RISCHI EFFICACE, EFFICIENTE E CRESCENTE NEL TEMPO Per gestire adeguatamente i rischi è necessario che il Risk Management sia un processo ciclico, anche in relazione ai cambiamenti dell esposizione a rischi esistenti o a potenziali nuovi rischi determinati dall evoluzione dell attività aziendale 11
KNET PROJECT opera nella Consulenza di Direzione Aziendale affiancando il Management nel processo di Analisi, Definizione ed Attivazione dei Programmi di Miglioramento Dinamico delle Performance Aziendali, fornendo la competenza necessaria allo sviluppo e all implementazione del loro business. Contatti Massimo Penzo Business&Consulting Manager Linkedin: it.linkedin.com/in/massimopenzo/ E-Mail: m.penzo@knetproject.com Mobile: +39 335 81 66 393 www.knetproject.com 12