Il ruolo del Consiglio
di Amministrazione nel governo
dei rischi aziendali
Working Paper Protiviti
Giugno 2014
Il presente Working Paper è proprietà di Protiviti Srl.
I suoi contenuti non possono essere riprodotti, in tutto o in parte, o citati per la distribuzione
senza il preventivo consenso scritto di Protiviti Srl.
Seconda edizione di stampa: Luglio 2014
2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Indice
Premessa
1
1 La centralità del Board in tema di gestione dei rischi secondo il
Codice di Autodisciplina
5
2 Un quadro di riferimento per la determinazione della
propensione al rischio aziendale
9
3 Un quadro di riferimento per l’esame dei rischi a cura del
Board
15
3.1
Rischi connessi alla gestione ordinaria del business
16
3.2
Rischi connessi ai piani e alle iniziative strategiche
sottoposte all’esame e approvazione del Board
20
3.3
Rischi catastrofici e “Black Swan”
23
4 Il ruolo del Risk Officer e dell’Internal Audit a supporto del
sistema di gestione dei rischi
25
4.1
Il ruolo del Risk Officer
25
4.2
Il ruolo dell’Internal Audit
27
5 Alcune domande “chiave” per il Board
29
Premessa
Non esiste rendimento senza rischio: qualsiasi azienda, nel perseguimento dei propri
obiettivi, assume rischi. Ne consegue che il rischio, inteso come qualsiasi evento incerto in
grado di influenzare il raggiungimento degli obiettivi aziendali, è un elemento
imprescindibile del “fare impresa” e il suo presidio rappresenta parte integrante e
fondamentale delle responsabilità manageriali di gestione del business.
É, questa, una presa di consapevolezza che ha ispirato anche il Codice di Autodisciplina per
le Società Quotate nelle sue più recenti raccomandazioni in materia di gestione dei rischi
(edizione dicembre 2011). Si rafforza, così, la convinzione che l’assunzione consapevole dei
rischi e la loro compatibilità con gli obiettivi perseguiti e i risultati attesi siano condizione
necessaria ai fini della sostenibilità e continuità dell’impresa nel medio-lungo periodo. In
altri termini, il sistema di gestione dei rischi raccomandato dal Codice di Autodisciplina deve
consentire alle società di:

comprendere i principali rischi e opportunità cui il business è esposto;

stabilire il livello di rischio ritenuto accettabile e assumere conseguentemente
decisioni di business coerenti con il profilo di rischio-rendimento atteso;

adottare regole, procedure, presidi e strumenti di trattamento adeguati a
mantenere il profilo di rischio entro i livelli di accettabilità definiti.
Nell’ambito di tale sistema, il Consiglio di Amministrazione (di seguito anche “Board”),
previo lavoro istruttorio del Comitato Controllo e Rischi e con il supporto
dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi,
assume un ruolo centrale sia nella definizione del profilo di rischio accettabile, sia nella
valutazione e nel monitoraggio dell’adeguatezza dei sistemi posti in essere per la gestione
dei rischi.
Le raccomandazioni del Codice di Autodisciplina rimangono, tuttavia, di alto livello e non
forniscono indicazioni pratiche su come tali responsabilità dovrebbero in concreto essere
espletate, lasciando così discrezionalità alle aziende nell’individuare il modello e l’approccio
più consoni alle proprie caratteristiche.
Alcune domande sono tuttavia, a nostro avviso, d’obbligo.

Qual è il ruolo che il Board dovrebbe svolgere in sede di determinazione della
propensione ai rischi aziendali e di esame del profilo di rischio assunto?

Quali sono i rischi che il Board dovrebbe esaminare e gli strumenti di analisi che
potrebbero essere messi a sua disposizione?

Con quale frequenza il Board dovrebbe svolgere le proprie analisi e valutazioni?

Quali soggetti potrebbero assistere il Board nell’espletamento delle responsabilità
assegnate?
É proprio da queste domande che è nata l’idea di sviluppare il presente contributo, con
l’intento di fornire agli organi amministrativi e di controllo delle società quotate e, più in
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 1
generale, di qualsiasi realtà imprenditoriale che desideri allineare i propri sistemi alle best
practice di governance, un quadro di riferimento pratico per un espletamento
maggiormente consapevole delle responsabilità in materia di gestione dei rischi.
Per un miglior inquadramento della presente pubblicazione, precisiamo che il lavoro non ha
inteso affrontare tutti gli aspetti attinenti il “Sistema di controllo interno e di gestione dei
rischi” di cui all’Art. 7 del Codice di Autodisciplina, bensì i passaggi più strettamente connessi
alla “Gestione del rischio”, focalizzando l’attenzione sui possibili contributi che il Board
potrebbe fornire in quest’ambito.
Al riguardo, il quadro di riferimento proposto, che trae spunto sia da soluzioni avanzate di
risk management osservate sul campo, sia da contributi forniti a livello internazionale da
autorevoli organizzazioni1, tocca vari ambiti di interesse per il Board, fra i quali:

il ruolo che l’organo amministrativo può svolgere nella determinazione della
propensione al rischio aziendale (c.d. Risk Appetite);

il ruolo e i contributi che può fornire in sede di esame e valutazione di:
– rischi e opportunità2 connessi all’ordinaria gestione del business, il cui
presidio rientra nelle responsabilità di gestione e controllo degli organi
delegati e rispetto ai quali il Board dovrebbe svolgere un ruolo di
supervisione;
– rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti
all’esame e approvazione del Board, per i quali quest’ultimo dovrebbe
svolgere un ruolo attivo di challenge al fine di meglio valutare la robustezza
dei piani e la compatibilità dei rischi sottostanti con gli obiettivi strategici in
esso riflessi;
– rischi catastrofici e “Black Swan”, per i quali il Board dovrebbe valutare il
grado di resilienza aziendale e la capacità di risposta del Management in caso
di accadimento degli stessi.
La pubblicazione affronta altresì i temi relativi al diverso ruolo, alle responsabilità e ai
compiti che possono essere attribuiti al Risk Officer (o figura analoga) e all’Internal Audit
con riguardo ai sistemi di gestione dei rischi, a supporto dell’Amministratore incaricato e del
Board.
Consapevoli che non esiste una risposta univoca ai temi oggetto di approfondimento e che
gli approcci e le soluzioni adottabili non possono prescindere dalle peculiarità organizzative,
1
2
“A framework of Board Oversight of Enterprise Risks”, The Canadian Institute of Chartered Accountants
(2012). “ICGN Corporate Risk Oversight Guidelines”, International Corporate Governance Network (2010).
“Effective Enterprise Risk Oversight. The role of the Board of Directors”, COSO (2009).
Nel proseguo del documento, la parola “rischi” viene utilizzata nella sua accezione più ampia, ovvero di
evento incerto che può produrre effetti negativi o positivi sugli obiettivi e sulle performance aziendali (in
quest’ultimo caso, opportunità).
2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
culturali e di business di un’azienda (oltre che dagli eventuali vincoli normativi di settore3),
spetta ai Vertici aziendali valutare quali prassi adottare e stabilire con quale livello di
profondità e gradualità procedere nella loro attuazione.
In conclusione, considerato che la disciplina del governo e della gestione dei rischi è ancora
in una fase evolutiva e di sperimentazione pratica nelle aziende, con interpretazioni e
percorsi spesso diversi fra loro, ci auguriamo che la presente pubblicazione rappresenti un
utile contributo per riflessioni e azioni concrete sull’argomento e auspichiamo che la stessa
possa essere in futuro arricchita sulla base delle ulteriori esperienze maturate nel contesto
italiano e internazionale.
Buona lettura.
Emma Marcandalli
Managing Director
3
Il riferimento è, in particolare, ai soggetti vigilati, per i quali si applicano, in materia di controllo interno e
gestione dei rischi, le disposizioni stabilite dalle Autorità di Vigilanza. Queste ultime richiedono, ad esempio,
l’istituzione di apposite strutture o ruoli aziendali deputati alla gestione dei rischi, quali il Chief Risk Officer, la
funzione di Compliance, un Risk Committee, formato da Manager e incaricato di coadiuvare gli organi sociali
nel processo di analisi dei rischi.
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 3
Sez. 1 La centralità del Board in tema
di gestione dei rischi secondo il
Codice di Autodisciplina
L’ultima edizione del Codice di Autodisciplina ha rafforzato i concetti connessi alla gestione
dei rischi, disciplinando le responsabilità in capo al Consiglio di Amministrazione negli
Articoli 1 e 7 di seguito richiamati.
Rif. Codice
Raccomandazione
Art. 1, criterio
applicativo 1.C.1,
lettere a) e b)

Esamina e approva i piani strategici, industriali e finanziari
dell’emittente e del gruppo di cui esso sia a capo,
monitorandone periodicamente l’attuazione.

Definisce la natura e il livello di rischio compatibile con gli
obiettivi strategici dell’emittente.
Le responsabilità articolate nell’ambito del citato Articolo 1, Criterio Applicativo 1.C.1 sono
focalizzate sui piani strategici, industriali e finanziari dell’emittente e del gruppo ad esso
facente capo e sui rischi che potrebbero compromettere il raggiungimento degli obiettivi
strategici.
L’espletamento di tali responsabilità non può, pertanto, prescindere dall’identificazione e
misurazione (“natura” e “livello”) dei principali rischi connessi ai piani sottoposti all’esame e
approvazione del Consiglio e dalla valutazione della loro accettabilità (“compatibilità”)
rispetto agli obiettivi strategici perseguiti (c.d. Risk Appetite).
Se ne deduce che l’analisi dei principali fattori di rischio debba essere integrata nei processi
di definizione degli obiettivi e delle strategie aziendali ed essere svolta dal Consiglio di
Amministrazione contestualmente all’esame e approvazione dei piani e delle iniziative
strategiche, al fine di contribuire all’assunzione di decisioni consapevoli e favorire l’adozione
dei necessari presidi, rafforzando così la capacità aziendale di realizzare gli obiettivi
prefissati.
Al Consiglio di Amministrazione sono altresì assegnate le seguenti ulteriori responsabilità:
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 5
Rif. Codice
Raccomandazione
Art. 7, criterio
applicativo 7.C.1,
lettere a) e b)

Definisce le linee di indirizzo del sistema (…) affinché i
principali rischi afferenti all’emittente e alle sue controllate
risultino correttamente identificati, nonché adeguatamente
misurati, gestiti e monitorati, determinando inoltre il grado di
compatibilità di tali rischi con una gestione dell’impresa
coerente con gli obiettivi strategici individuati.

Valuta l'adeguatezza del sistema di controllo interno e di
gestione dei rischi rispetto alle caratteristiche dell'impresa e
al profilo di rischio assunto, nonché la sua efficacia.
L’Articolo 7, facendo più genericamente riferimento ai “principali rischi afferenti
all’emittente e alle sue controllate”, estende il perimetro d’esame a tutte le tipologie di
rischio cui l’azienda è esposta, includendo, oltre ai rischi di natura strategica in grado di
compromettere la realizzazione dei piani e delle iniziative di sviluppo del business, anche
quelli di natura operativa che potrebbero, ad esempio, mettere in discussione la continuità
e l’efficienza operativa, l’integrità e correttezza dei comportamenti, la reputazione
aziendale, la completezza e trasparenza delle informazioni. La gestione dei rischi dovrebbe,
inoltre, essere estesa anche a quelli meno probabili, ma potenzialmente catastrofici, in
grado, in caso di accadimento, di compromettere seriamente la sostenibilità aziendale.
Rispetto ai principali rischi cui l’azienda è esposta, al Board è richiesto di (i) definire le linee
di indirizzo per la loro identificazione, misurazione, gestione e monitoraggio e (ii) valutare
l’adeguatezza e l’efficacia complessiva dei sistemi di gestione e controllo implementati,
tenuto conto delle caratteristiche dell’impresa e del profilo di rischio cui l’impresa è esposta.
Da un punto di vista di governance, infine, per l’espletamento delle responsabilità in materia
di gestione dei rischi, il Codice raccomanda che il Consiglio di Amministrazione si avvalga di:
Rif. Codice
Raccomandazione
Art. 7, principio 7.P.3

Uno o più amministratori incaricati dell’istituzione e del
mantenimento di un efficace sistema di controllo interno e di
gestione dei rischi.

Un Comitato Controllo e Rischi, con il compito di supportare,
con un’adeguata attività istruttoria, le valutazioni e le
decisioni del Consiglio relative al sistema di (…) gestione dei
rischi.

Gli altri ruoli e funzioni aziendali con specifici compiti in
tema di (…) gestione dei rischi, articolati in relazione a
dimensioni, complessità e profilo di rischio dell’impresa.

Il responsabile della funzione di internal audit, incaricato di
verificare che il sistema sia funzionante e adeguato.
6 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Le responsabilità in capo al Board presuppongono un lavoro preparatorio del Comitato
Controllo e Rischi e possono essere espletate attraverso il supporto operativo
dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, che
rappresenta l’interlocutore principale del Consiglio nel dare corso alle attività di
identificazione, misurazione, gestione e monitoraggio dei rischi.
È consigliabile che l’ “Amministratore incaricato” coincida con l’ “Amministratore delegato”,
al quale compete la responsabilità complessiva della gestione aziendale, ivi inclusi gli aspetti
di governo e controllo dei rischi ad essa connessi.
A sua volta, per l’elaborazione delle informazioni al Board, l’Amministratore incaricato del
sistema di controllo interno e di gestione dei rischi può coinvolgere il Management
aziendale (c.d. “controllo di primo livello”) e può avvalersi, in relazione alla complessità
organizzativa e del profilo di rischio assunto, di strutture di supporto totalmente dedicate
(e.g. Risk Officer) o già esistenti, cui possono aggiungersi compiti di coordinamento e sintesi
del processo di analisi, monitoraggio e reporting dei rischi (c.d. “controllo di secondo
livello”).
L’Internal Audit rappresenta, invece, la funzione aziendale deputata a verificare in via
indipendente che il sistema di gestione dei rischi sia, nel suo complesso, adeguato e
funzionante (c.d. “controllo di terzo livello”).
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 7
8 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 2 Un quadro di riferimento per la
determinazione della propensione
al rischio aziendale
Cos’è il Risk Appetite
Il Codice di Autodisciplina richiede che il Board definisca il grado di compatibilità della
natura e del livello di rischio assunto con una gestione dell’impresa coerente con gli
obiettivi strategici dell’emittente ovvero, in altre parole, che stabilisca la propensione al
rischio aziendale (c.d. Risk Appetite).
Il Risk Appetite rappresenta, dunque, la decisione top-down circa il grado di rischio che
l’emittente è disposto ad assumere nel perseguire i propri obiettivi strategici: tale
propensione potrebbe essere espressa sia come livello di variabilità degli obiettivi
perseguiti, sia come vincoli e/o divieti volti ad indirizzare i comportamenti e le scelte del
Management, con la finalità di allineare il profilo di rischio assunto (c.d. Risk Profile) alle
priorità aziendali e alle aspettative degli Stakeholder.
Definire il Risk Appetite non significa adempiere ad un mero esercizio di compliance; al
contrario, significa dotarsi di uno strumento strategico di governo aziendale, legato ai
processi di definizione e monitoraggio degli obiettivi e dei piani aziendali. La definizione
della propensione al rischio, essendo per sua natura strategica, non può che essere una
responsabilità degli amministratori dell’impresa.
Da un punto di vista pratico, la propensione al rischio può essere espressa attraverso la
definizione di livelli (o vincoli) riferiti ad indicatori quali-quantitativi rilevanti per l’azienda,
quali (a titolo esemplificativo):

parametri finanziari: EBIT o EBITDA, Free Cash Flow, Earning per Share, Debt
Rating, Net Debt/Equity Ratio, ecc.;

parametri strategici: concentrazione del portafoglio prodotti/mercati/clienti,
prodotti ammessi e non, investimenti ammessi e non, requisiti di sustainability e
responsabilità d’impresa, ecc.;

parametri operativi: soddisfazione dei clienti/dipendenti/terze parti strategiche,
continuità dei servizi offerti, saturazione degli impianti, dipendenza da terze parti,
ecc.;

parametri di compliance: requisiti di salute, sicurezza e ambiente, pratiche
commerciali ammesse e non, ecc.;
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 9
in relazione ai quali il Board potrebbe discutere e definire4:

il livello massimo di rischio assumibile (Risk Capacity), ovvero che l’emittente è in
grado di assumere senza incorrere in situazioni di crisi, fallimento o mancato
rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza (laddove
esistenti);

il livello di rischio “obiettivo” (Risk Target), ovvero che l’emittente intende
assumere per il raggiungimento dei propri obiettivi strategici, tenuto conto delle
dimensioni e della complessità organizzativa e del modello di business adottati;

la soglia di rischio tollerata (Risk Tolerance), intesa quale deviazione massima
consentita dal livello di rischio “obiettivo”, che dovrebbe poi guidare la definizione
di limiti di rischio più puntuali e delle correlate procedure di escalation in caso di
superamento.
Al fine di incrementare l’efficacia del Risk Appetite e della compatibilità con il profilo di
rischio assunto, i livelli di Risk Capacity, Tolerance e Target dovrebbero essere definiti sulle
stesse metriche/indicatori chiave per l’azienda, che solitamente coincidono con le metriche
di valutazione degli eventi di rischio.
Ruolo e contributo del Board
Il Risk Appetite dovrebbe essere discusso e definito dal Board a livello complessivo
d’azienda, per poi essere declinato, a cura del Management, a livelli di maggior dettaglio
(e.g., di unità organizzativa, di business unit, di area geografica, ecc.), coerentemente con gli
obiettivi perseguiti e il modello organizzativo e di business adottato dall’azienda.
In particolare, come approfondito nella successiva Sezione 3, il Board potrebbe discutere e
definire il Risk Appetite aziendale in sede di:

esame e approvazione dei piani strategici, finanziari e industriali dell’emittente, al
fine di:
‒ fornire gli indirizzi sui livelli di rischio ritenuti accettabili, da aggiornare in sede
di monitoraggio dei piani medesimi in ipotesi di cambiamenti significativi del
contesto esterno e/o interno;
‒ verificare la coerenza degli obiettivi e delle strategie delineate nei piani con i
livelli di rischio ritenuti accettabili;

approvazione di specifiche linee di indirizzo ovvero politiche di gestione dei rischi
significativi per l’emittente, al fine di assicurare:
‒ l’esistenza, ove necessario, di limiti o vincoli all’assunzione dei rischi;
‒ l’esistenza di processi di gestione e controllo strutturati;
4
Le definizioni dei vari livelli di Risk Appetite riportate nel presente documento si ispirano a quelle fornite da
Banca d’Italia nella Circolare “Nuove disposizioni di vigilanza prudenziale per le banche”, aggiornata il 2 luglio
2013.
10 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ l’adeguatezza delle deleghe al Management;
‒ l’adeguatezza delle funzioni/risorse dedicate.
Il Board dovrebbe altresì verificare periodicamente, con il supporto del Management e delle
funzioni a ciò preposte:

la coerenza fra il profilo di rischio effettivamente assunto in un dato istante
temporale e le soglie di accettabilità definite a livello top-down e nell’ambito delle
politiche di rischio approvate;

la coerenza delle politiche di remunerazione del Management rispetto alla
propensione al rischio definita dal Board;

l’integrazione degli indirizzi/limiti fissati nei criteri di valutazione del Management
per la determinazione della componente variabile;

l’esistenza e l’efficacia di un processo di comunicazione degli indirizzi e dei limiti di
rischio a tutti i livelli organizzativi.
Ruolo e contributo degli altri attori del sistema
Spetta, invece, all’Amministratore incaricato del sistema di controllo interno e di gestione
dei rischi, anche con il supporto del Risk Officer (o figure analoghe, come meglio esplicitato
alla successiva Sezione 4) e/o di Comitati Esecutivi o altri Comitati all’uopo istituiti (e.g.,
Comitato di Risk Management), il compito di:

fornire al Board le informazioni sulla natura e sul livello di rischio cui l’emittente e
le sue controllate sono esposti nel perseguimento degli obiettivi e nell’esercizio del
business (e.g., in sede di presentazione dei piani aziendali ovvero in altro momento
con riguardo ai rischi tipici e ricorrenti per il business, come meglio descritto alla
successiva Sezione 3);

stabilire i limiti operativi all’assunzione delle varie tipologie di rischio in coerenza
con il Risk Appetite definito dal Board;

assicurare la coerenza fra il livello di rischio accettato, la pianificazione aziendale,
le politiche di governo dei rischi e il processo di gestione dei rischi, tenendo in
considerazione l’evoluzione delle condizioni interne ed esterne in cui opera
l’azienda e la sua complessità organizzativa e di business;

implementare processi per il monitoraggio del rispetto degli indirizzi e dei limiti
fissati.
Approfondimenti ed esemplificazioni
Si riportano di seguito alcuni approfondimenti e considerazioni pratiche sui livelli di rischio
che potrebbero essere discussi e determinati in sede consiliare e, successivamente, declinati
dal Management.
Il quadro di riferimento nel seguito rappresentato si ispira alle disposizioni di Banca d’Italia
in materia di Sistema dei Controlli Interni (Circolare n. 263 del 27 dicembre 2006, aggiornata
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 11
il 2 luglio 2013), applicabili agli istituti bancari. La sua estensione a settori non bancari non
esclude, pertanto, possibili adattamenti o semplificazioni di taluni concetti.
Impatto a Conto Economico
Risk Tolerance
Soglia di rischio tollerato
Patrimonio Netto
Cash Flow
Risk Capacity
Massimo livello di rischio sopportabile
coerentemente con gli obiettivi perseguiti
e i vincoli normativi
Risk Target
“Area” di rischio “obiettivo”
Reputazione
Risk Capacity

È il livello massimo di rischio che un’azienda è in grado di assumere nell’esercizio
del proprio business senza incorrere in situazioni di crisi, fallimento o mancato
rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza.

In linea generale, tanto più elevata è la capacità aziendale di auto-finanziarsi,
ricapitalizzarsi o ricorrere a fonti di finanziamento esterno, tanto maggiore sarà la
sua capacità di assumere rischi (e.g., sopportare eventi catastrofici, perdere
commesse o clienti strategici, perdere quote di mercato, ecc.).

Tale soglia può essere espressa in termini quantitativi o qualitativi a livello
complessivo d’azienda. Ad esempio:
‒ livello massimo di indebitamento che un’organizzazione è in grado di
sopportare;
‒ livello minimo di redditività che un’organizzazione è in grado di sostenere nel
breve, medio e lungo;
‒ livello massimo di downgrade del rating del titolo/merito di credito
sopportabile;
‒ livello minimo di adeguatezza del capitale regolamentare imposto dalle
Autorità di Vigilanza;
12 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ situazioni di non conformità o altri eventi di natura endogena che, in caso di
accadimento, possono compromettere la continuità aziendale e/o la
sostenibilità dell’organizzazione nel medio-lungo termine.

La soglia di Risk Capacity è dinamica, in quanto può essere influenzata da diversi
fattori, quali la situazione economica globale, la situazione dei mercati finanziari,
gli outlook di settore o societari, cambiamenti nel modello di business, ecc.
Risk Tolerance

Riflette il livello massimo di rischio che un’azienda è disposta a tollerare - ovvero
non intende superare - nel perseguimento dei propri obiettivi (e.g., limiti minimi di
risultati positivi ovvero massimi di risultati negativi).

Tale soglia dovrebbe essere discussa e delineata:
‒ in sede di pianificazione strategica e operativa, con l’obiettivo di indirizzare le
strategie di medio-lungo termine dell’emittente (e.g., individuazione di
iniziative di investimento in linea con livelli di rischio tollerato);
‒ in sede di definizione delle modalità di governo e controllo dei principali rischi
cui il business è esposto (e.g., approvazione di specifiche politiche di gestione
del rischio/compliance con esplicitazione dei limiti operativi entro cui il
Management deve operare ovvero dei divieti comportamentali o di assunzione
di rischio).

Può essere declinata a vari livelli di operatività (e.g., di gruppo, di tipologia di
rischio, di business unit/prodotto, di area geografica/Paese, ecc.) in relazione alle
finalità (di indirizzo strategico versus controllo operativo delle operazioni aziendali)
e alla complessità aziendale. In caso di declinazione su più livelli, è necessario
assicurare coerenza fra gli stessi.

Può essere espressa attraverso più parametri quantitativi o qualitativi, in relazione
agli obiettivi perseguiti. Ad esempio:
‒ livello minimo di marginalità operativa che si è disposti a tollerare o di cash
flow necessario per sostenere gli impegni di investimento dichiarati;
‒ livello massimo di capitale da investire in nuove iniziative;
‒ livello minimo di quota di mercato tollerato;
‒ tipologia di clienti, prodotti, mercati ammessi;
‒ livello massimo di concentrazione/dipendenza da clienti, prodotti, mercati,
ecc.;
‒ aree geografiche nelle quali o con le quali non si intende operare (e.g., Paesi
inclusi nelle Black List internazionali).

La Risk Tolerance dovrebbe essere definita tenendo in considerazione:
‒ il contesto di riferimento;
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 13
‒ la maturità, stabilità, potenzialità di crescita del settore di business in cui
l’azienda opera;
‒ il posizionamento dell’azienda nell’Industry di riferimento;
‒ le aspettative degli Stakeholder;
‒ il livello di maturità dei processi e degli strumenti di risk management adottati.
Risk Target

Riflette il livello ottimale di rischio cui un’azienda vuole tendere nel perseguimento
degli obiettivi e rendimenti desiderati, in un’ottica, quindi, di ottimale
bilanciamento rischio-rendimento.

Si tratta normalmente di una soglia inferiore (e quindi più prudente) rispetto alla
Risk Tolerance, in quanto riflette il “margine di sicurezza” che l’azienda intende
tenersi rispetto ai livelli massimi di rischio tollerati.

Per la sua definizione, occorre tener presente sia i fattori già delineati per la Risk
Tolerance, sia i rendimenti attesi, al fine di individuare il miglior bilanciamento
rispetto ai rischi da assumere.

I livelli di rischio “obiettivo” indirizzano le azioni tattiche del Management (e.g., di
breve-medio periodo), al fine di realizzare le strategie e raggiungere gli obiettivi di
lungo periodo.
Risk Profile

Rappresenta la natura e il livello di rischio assunto dall’organizzazione in un dato
momento al netto dell’effetto delle contromisure in essere.

Dovrebbe essere misurato in modo coerente con i limiti sopra delineati (ovvero
rispetto alle metriche e ai parametri quali-quantitativi articolati per i limiti tollerati
e i livelli target) ed essere rilevato:
‒ in sede di esame, approvazione e monitoraggio dei piani strategici, finanziari o
industriali (focus sui rischi di contesto e di natura strategica), così come in sede
di pianificazione operativa;
‒ secondo le diverse frequenze stabilite per il monitoraggio dei rischi operativi di
natura ricorrente, tipici del settore di business in cui l’azienda opera (e.g., rischi
commerciali, finanziari, industriali, di mercato, di compliance).

Qualora il profilo di rischio assunto dovesse superare i limiti definiti, il
Management dovrebbe valutare la revisione dei piani strategici in essere ovvero
l’attivazione di piani di recovery o di mitigazione, al fine di riportare l’esposizione
entro le soglie di accettabilità definite.
14 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 3 Un quadro di riferimento
per l’esame dei rischi a cura
del Board
La determinazione della propensione al rischio aziendale in precedenza delineata richiede
che il Board comprenda, valuti e monitori i rischi cui l’azienda è esposta nel perseguimento
dei propri obiettivi.
Al riguardo, per un espletamento maggiormente consapevole di tali compiti, si propone di
seguito un quadro di riferimento che prevede l’esame da parte del Board dei seguenti
ambiti:

rischi e opportunità connessi alla gestione ordinaria/caratteristica del business;

rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti
all’esame e approvazione del Consiglio (i.e. piani strategici, industriali e finanziari,
investimenti rilevanti, operazioni straordinarie);

rischi catastrofici/di discontinuità che potrebbero creare situazioni di stress o crisi
per l’azienda.
Per ciascuno degli ambiti sopra delineati, i paragrafi che seguono forniscono alcuni spunti di
riflessione con riguardo a:

ruolo e contributo che il Board può fornire;

tipologia di rischi da prendere in considerazione;

frequenza/periodicità di valutazione a cura del Board;

strumenti di analisi che il Board potrebbe avere a sua disposizione.
Per gli aspetti metodologici e pratici più strettamente connessi alla valutazione di sintesi - da
esprimere almeno annualmente a cura del Board - circa l’adeguatezza del sistema di
controllo interno e gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di
rischio assunto, si rinvia ad altre specifiche e autorevoli pubblicazioni5.
5
Si rinvia al documento “Amministratori e componenti del Comitato controllo e rischi: come valutare la
governance in tema di rischi e di controlli” (febbraio 2013) curato da Carolyn Dittmeier e pubblicato da
NedCommunity.
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 15
3.1 Rischi connessi alla gestione ordinaria del business
Ruolo e contributo del Board

Le aziende sono esposte, nell’esercizio ordinario del proprio business, a varie
tipologie di rischio tipiche del settore di appartenenza o connaturate al modello
organizzativo e operativo prescelto. Tali rischi hanno natura ricorrente e, quando
rilevanti, richiedono una gestione “nel continuo”, sistematica e strutturata: il loro
presidio rientra tipicamente nelle responsabilità ordinarie del Management
aziendale.

Rispetto a tali rischi, il Board dovrebbe svolgere principalmente un ruolo di
supervisione attraverso:
‒ la comprensione del profilo di rischio cui le attività di business sono esposte e il
monitoraggio della sua evoluzione nel tempo;
‒ la valutazione della compatibilità del profilo di rischio assunto con gli obiettivi
definiti e le caratteristiche dell’impresa;
‒ l’esame e la valutazione di adeguatezza dei sistemi posti in essere per la
gestione dei rischi significativi (e.g., regole, limiti, politiche e procedure, presidi
organizzativi, strumenti di trattamento);
‒ la formulazione di richieste di interventi correttivi o migliorativi in presenza di
profili di rischio ritenuti non accettabili o non in linea con la propensione al
rischio definita e gli obiettivi da raggiungere.

Tale esame dovrebbe tener conto, fra l’altro, del grado d’integrazione delle attività
di identificazione, valutazione e gestione dei rischi nei processi di business critici
per l’assunzione di decisioni aziendali (e.g., acquisizione di nuovi clienti, lancio di
nuovi prodotti, selezione e valutazione dei fornitori strategici), nonché nei processi
di gestione della compliance a normative interne o esterne.

In aggiunta a ciò, il Board potrebbe essere chiamato ad esaminare e approvare le
politiche di gestione con riguardo ai rischi rilevanti per il business, contribuendo
così a definire le regole di governo e controllo degli stessi, ivi incluse le soglie di
accettabilità e i connessi processi di escalation in caso di superamento delle stesse.
Tipologia di rischi da analizzare

La mappatura dei rischi significativi connessi alla gestione ordinaria del business
potrebbe essere guidata dalla preliminare comprensione (i) dei fattori critici di
successo per il business e (ii) della struttura organizzativa e dei processi aziendali
adottata dall’azienda.

Tali rischi potrebbero includere, a titolo esemplificativo:
‒ Rischi caratteristici del settore di business e dei mercati in cui l’azienda opera
(e.g., trend della domanda, azioni dei concorrenti, modifiche del contesto
normativo di riferimento, instabilità dei Paesi di provenienza dei fattori
16 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
produttivi o di sbocco dei prodotti/servizi, volatilità dei prezzi dei fattori
produttivi e delle commodity).
‒ Rischi industriali (e.g., vincoli di capacità produttiva, interruzioni del business,
disponibilità e qualità dei fattori produttivi, affidabilità delle forniture, tutela
degli asset, sicurezza sui luoghi di lavoro, tutela dell’ambiente, qualità e
sicurezza dei prodotti).
‒ Rischi commerciali (e.g., dipendenza da pochi clienti o mercati, insoddisfazione
dei clienti, concentrazione del portafoglio prodotti o servizi, inadeguatezza
delle politiche di pricing).
‒ Rischi finanziari (e.g., volatilità dei tassi di interesse, instabilità dei cambi,
rischio credito, rischio liquidità, rischio controparti).
‒ Rischi legali (e.g., impegni e vincoli contrattuali, responsabilità da prodotto,
altri rischi di contenzioso).
‒ Rischi connessi ai sistemi informativi (e.g., disponibilità e integrità dei dati e
delle informazioni, sicurezza dei sistemi IT, allineamento dei sistemi IT alle
esigenze di business).
‒ Rischi di non conformità a leggi e regolamenti esterni ovvero a politiche interne
(e.g., responsabilità amministrativa degli enti, legge sulla privacy, Antitrust,
normativa del lavoro, normativa fiscale, regolamenti delle Autorità di Vigilanza,
altre normative di settore, etica e integrità dei comportamenti, frodi,
infedeltà).
‒ Rischi legati all’organizzazione e alla gestione delle risorse umane (e.g.,
disponibilità di risorse e competenze adeguate, capacità di trattenere le risorse
chiave, leadership del Management, adeguatezza del sistema di deleghe e
poteri, allineamento tra strategie e organizzazione, comunicazione interna).
‒ Rischi di reporting (e.g., completezza, tempestività e correttezza
dell’informativa finanziaria, rilevanza e disponibilità dell’informativa
gestionale).
‒ Altri rischi di natura reputazionale.

La gestione dei rischi sopra elencati avviene normalmente attraverso l’adozione di
strumenti di prevenzione, trasferimento e/o mitigazione quali, ad esempio, policy,
procedure operative, controlli automatici o manuali, livelli autorizzativi,
segregazione delle funzioni, strumenti di copertura, programmi/coperture
assicurative, tutele contrattuali, condivisione del rischio con terze parti, programmi
di sensibilizzazione e formazione del personale.
Aspetti da considerare nell’analisi

Per la comprensione del profilo di rischio connesso alla gestione ordinaria del
business, il Board potrebbe periodicamente prendere in esame le seguenti
informazioni (basate su stime judgmental del Management oppure su analisi di
dati, storici o prospettici, disponibili a livello aziendale o di settore):
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 17
‒ il livello di esposizione as is ai rischi identificati, in termini di (i) probabilità di
accadimento su un orizzonte temporale rilevante per il business e (ii) impatti di
natura economico-finanziaria, operativa o reputazionale6 secondo scale di
valutazione quali-quantitative ovvero, laddove applicabili, tecniche quantitative
più sofisticate (e.g., calcolo del VaR);
‒ la loro evoluzione nel tempo, ponendo particolare attenzione agli andamenti
eccezionali o non ordinari accaduti nel passato (internamente o in contesti
analoghi);
‒ le interrelazioni significative fra i rischi oggetto di analisi;
‒ altre caratteristiche del rischio utili alla comprensione della gravità
dell’esposizione, come la “velocità” di manifestazione degli effetti in caso di
accadimento, la loro persistenza nel tempo, la velocità di reazione del
Management.

Nel valutare, invece, il grado di compatibilità del profilo di rischio assunto con gli
obiettivi aziendali definiti e l’adeguatezza dei sistemi di gestione adottati, il Board
dovrebbe esaminare:
‒ il grado di accettabilità dell’esposizione ai rischi identificati e le conseguenti
strategie di gestione (e.g. evitare, trasferire, ridurre, accettare, monitorare);
‒ la coerenza delle politiche, degli strumenti e dei presidi di gestione adottati con
le strategie di risk management definite e la loro effettiva capacità di ridurre
l’esposizione ai livelli ritenuti accettabili (anche sulla base delle evidenze
fornite dall’Internal Audit);
‒ gli ulteriori piani di risk mitigation necessari per raggiungere i livelli di rischio
desiderati, corredati di indicazioni su responsabilità e tempi di attuazione, oltre
che sui costi necessari per la loro attuazione e i benefici attesi in termini di
riduzione dell’esposizione.

Per il monitoraggio nel continuo dei rischi maggiormente significativi, il Board
potrebbe essere altresì informato sull’andamento di indicatori ritenuti rilevanti per
comprendere l’evoluzione del livello di rischio cui il business è esposto.
Periodicità/frequenza dell’analisi

6
L’analisi dei rischi in oggetto e dei relativi sistemi di risk management dovrebbe
essere svolta dal Board:
Il livello di esposizione al rischio può essere valutato al lordo (c.d. “rischio inerente”) o al netto (c.d. “rischio
residuo”) delle mitigazioni esistenti. Sulla base dell’esperienza maturata, per i rischi di natura operativa
risulta particolarmente difficile e aleatorio valutare l’esposizione al lordo dei fattori di mitigazione esistenti.
Si suggerisce, pertanto, di focalizzare gli sforzi di analisi sull’esposizione residua, sul livello di accettabilità e
sulle eventuali ulteriori azioni di trattamento da porre in essere per ridurre l’esposizione a livelli accettabili.
18 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ almeno una volta l’anno (con eventuale aggiornamento semestrale), per
supportare la valutazione di adeguatezza del sistema di controllo interno e
gestione dei rischi;
‒ con frequenza maggiore, per i rischi ricorrenti particolarmente critici per il
business (e.g., rischi di credito, liquidità, cambio, commodity, salute e sicurezza
sui luoghi di lavoro, ecc.);
‒ tempestivamente, in caso di situazioni/andamenti anomali o superamento
delle soglie di accettabilità definite.
Strumenti a supporto dell’analisi

Esistono diversi strumenti di analisi che possono supportare il Board nella
valutazione e nel monitoraggio dei rischi (e relativi presidi) connessi alla gestione
ordinaria del business. Questi possono variare in relazione alla tipologia di rischio
oggetto di analisi e possono spaziare da:
‒ Risk/Heat Map e Risk Mitigation Plan.
‒ Dashboard di indicatori di rischio (c.d. KRI) e relativi trend (e.g., evoluzione nel
tempo, livello di esposizione rispetto alle soglie di accettabilità definite).
‒ Strumenti di analisi quantitativa di specifici rischi finanziari od operativi.
‒ Survey interne o esterne.
‒ Benchmark con peer/competitor.
‒ Report predisposti da strutture di compliance o risk management o da altre
funzioni di controllo (e.g., report predisposti dal Controllo di Gestione o
dall’Internal Audit).

Qualunque sia lo strumento utilizzato, è buona prassi che le attività di analisi e
monitoraggio dei rischi connessi alla gestione operativa del business siano integrati
nei processi aziendali critici, al fine di supportare, in via continuativa e sistematica,
l’assunzione di decisioni consapevoli e di garantire la ragionevole prevenzione di
eventi indesiderati ovvero l’adeguata mitigazione dei relativi impatti in caso di
accadimento.
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 19
3.2 Rischi connessi ai piani e alle iniziative strategiche sottoposte all’esame
e approvazione del Board
Ruolo e contributo del Board

Oltre ai rischi riconducibili all’ordinaria operatività del business, è auspicabile che,
in sede di esame e approvazione dei piani e delle iniziative di sviluppo strategico
(e.g. Business Plan, investimenti rilevanti, operazioni straordinarie), il Board discuta
i principali rischi e opportunità ad essi connessi, al fine di valutare:
‒ la robustezza delle assunzioni alla base dei piani oggetto di esame e
approvazione;
‒ il grado di vulnerabilità degli obiettivi e delle strategie di medio-lungo termine;
‒ l’eventuale grado di resilienza dei piani a fronte di (i) cambiamenti significativi
nelle assunzioni di base o (ii) accadimento di situazioni di rischio rilevanti, in
relazione alle capacità di risposta del Management;
‒ il grado di bilanciamento fra rischi e rendimenti attesi e la coerenza degli
obiettivi e delle strategie delineate nei piani con i livelli di rischio ritenuti
accettabili.

A tal fine, il Board dovrebbe svolgere un ruolo di challenger, facendosi parte attiva
nel:
‒ richiedere che i piani sottoposti al suo esame:

esplicitino le assunzioni alla base dello sviluppo dei target e delle
strategie di medio-lungo termine;

evidenzino i principali rischi sottostanti il piano e i relativi impatti,
illustrando, per le esposizioni maggiormente significative, le strategie
alternative o gli interventi di recovery per mettere in sicurezza il piano in
caso di accadimento;

indichino le modalità e gli strumenti in essere per il monitoraggio
dell’evoluzione dei rischi sull’orizzonte temporale di piano;
‒ fornire indirizzi circa il grado di accettabilità dei rischi di piano, tenuto conto
degli obiettivi dichiarati e dei target attesi;
‒ sollecitare eventuali ripensamenti su obiettivi e strategie di piano o, in
alternativa, la definizione di piani di trattamento a fronte di esposizioni ritenute
non accettabili in relazione ai rendimenti attesi.
Tipologia di rischi da analizzare

In base all’esperienza maturata, l’analisi dei rischi in oggetto è guidata dalle
assunzioni di piano, dai target economico-finanziari che il Management intende
raggiungere e dalle iniziative strategiche sottostanti.
20 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Rispetto a tali driver di analisi, i rischi e le opportunità possono essere in linea
generale ricondotti sia a variabili di contesto esterno e a rischi emergenti, che
potrebbero modificare le assunzioni e gli scenari alla base dei piani mettendo così
in discussione la validità degli indirizzi strategici sottostanti, sia a vulnerabilità e
fattori di rischio interni, che potrebbero ostacolare la realizzazione delle iniziative
strategiche pianificate. La loro corretta identificazione, valutazione e gestione può
rappresentare per l’impresa un vantaggio competitivo nel medio-lungo termine.

Pur potendo richiamare, in astratto, le tipologie di rischio rilevanti per la gestione
ordinaria del business (di cui al precedente paragrafo 3.1), l’esperienza maturata
sul campo ha evidenziato che la risk analysis guidata dal piano mette spesso in
rilievo rischi diversi da quelli connessi alla gestione ordinaria del business, quali, a
titolo esemplificativo:
‒ Rischi connessi al contesto (macro)economico esterno, che possono modificare
le assunzioni alla base dei piani predisposti (e.g., situazioni di crisi o instabilità
economico-sociale nelle aree geografiche “chiave” per l’azienda e conseguenti
impatti su andamento del PIL, dell’inflazione, delle valute, del prezzo dei fattori
produttivi, ecc.).
‒ Rischi emergenti connessi ai settori di business in cui l’azienda opera (e.g.,
possibili significativi mutamenti nella domanda e nell’offerta, introduzione di
nuove normative, introduzione di nuove tecnologiche nell’arco dell’orizzonte di
piano).
‒ Rischi emergenti connessi ai mercati finanziari (e.g., difficoltà a mantenere
l’equilibrio finanziario desiderato o ad accedere alle fonti di finanziamento
necessarie a sostenere il piano, aumento imprevisto del costo del capitale di
debito nell’arco dell’orizzonte di piano).
‒ Rischi connessi all’esecuzione delle iniziative strategiche (e.g., legati
all’indisponibilità delle risorse e competenze necessarie, all’inaffidabilità di
controparti strategiche, alla lievitazione dei costi di realizzazione, al ritardo nei
tempi di realizzazione, al disallineamento fra strutture organizzative e strategie
definite, al disallineamento con le aspettative degli Stakeholder).
‒ Altri rischi di natura strategica strettamente connessi al modello di business
prescelto (e.g., fallimento di partner, clienti od outsourcer strategici da cui può
dipendere lo sviluppo e la crescita futura della società).

L’identificazione e analisi dei rischi e delle opportunità dovrebbe essere svolta dal
Management in sede di sviluppo del piano ed essere presentata al Board
congiuntamente ai piani oggetto di esame e approvazione.
Aspetti da considerare nell’analisi

Si rinvia a quanto già commentato per i rischi connessi alla gestione ordinaria del
business (paragrafo 3.1), con le peculiarità di seguito sintetizzate.
‒ Con riguardo all’esposizione:
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 21

la stima della probabilità di accadimento è normalmente ricondotta
all’orizzonte temporale di piano;

gli effetti dei rischi possono essere quantificati in termini di impatto sui
target economico-finanziari di piano7 (cumulati o per singolo anno di
piano), applicando tecniche di quantificazione deterministiche (analisi di
scenario) o stocastiche (simulazioni Montecarlo) volte a calcolare il grado
di variabilità complessiva dei target di piano derivante dal possibile
accadimento dei rischi identificati;

è auspicabile comprendere i principali fenomeni di correlazione fra gli
eventi di rischio oggetto di quantificazione.
‒ Successivamente alla comprensione del profilo di rischio di piano, il Board
dovrebbe (i) discutere il livello di accettabilità dei rischi cui il piano è esposto,
(ii) fornire gli indirizzi sulla propensione al rischio complessiva rispetto agli
obiettivi strategici perseguiti e (iii) verificare la compatibilità di questi ultimi
con la propensione al rischio definita.
‒ Infine, nel corso dell’esame del piano, il Board dovrebbe accertarsi che il
Management (i) abbia elaborato strategie alternative o piani di recovery per
mettere “in sicurezza” il piano in caso di accadimento dei rischi identificati e (ii)
disponga di strumenti e risorse adeguati per il monitoraggio dell’evoluzione dei
rischi di piano (sia emergenti, sia esistenti).
Periodicità/frequenza dell’analisi

L’analisi dei rischi e delle opportunità di piano dovrebbe essere svolta dal Board
tutte le volte che l’Amministratore delegato sottopone al suo esame e
approvazione un piano industriale, strategico, finanziario ovvero un Business Plan
d’investimento o di altra iniziativa di natura strategica.

L’analisi potrebbe, quindi, essere ripetuta in sede di monitoraggio periodico dello
stato di avanzamento del piano ovvero in ipotesi di cambiamenti significativi di
contesto esterno o interno.
Strumenti a supporto dell’analisi

Gli strumenti di analisi dei rischi che possono essere messi a disposizione del Board
in sede di esame e approvazione dei piani includono:
‒ Risk/Heat Map elaborate tenuto conto dei key value driver di piano.
‒ Stima della variabilità dei risultati di piano riconducibile ai rischi e alle
opportunità identificati, calcolata attraverso modelli deterministici o stocastici.
‒ Analisi di stress su specifici scenari di rischio.
7
Senza considerare ulteriori risposte che il Management potrebbe mettere in atto per mitigare l’esposizione.
22 Il ruolo del Consiglio di Amministrazione nel governo dei rischi

Qualunque sia lo strumento utilizzato, è auspicabile che l’analisi dei principali rischi
sia integrata nei piani aziendali e presentata al Board contestualmente
all’approvazione dei medesimi.
3.3 Rischi catastrofici e “Black Swan”
Ruolo e contributo del Board

Le aziende possono essere esposte ad eventi di rischio caratterizzati da probabilità
di accadimento remota, ma impatto (operativo, economico e/o reputazionale)
potenzialmente catastrofico, rispetto ai quali è auspicabile che l’azienda sia in
grado di resistere e di reagire attraverso strategie alternative di business,
strumenti di copertura, programmi assicurativi, piani di disaster recovery e crisis
management.

Ancorché si tratti di situazioni di discontinuità per loro natura remote, il Board
dovrebbe essere:
‒ consapevole del grado di vulnerabilità dell’azienda in caso di accadimento di
eventi eccezionali e/o di natura catastrofica;
‒ in grado di valutare il livello di resilienza e la capacità di reazione del
Management, in termini di esistenza e adeguatezza delle strategie e degli
strumenti di risposta o recovery attivabili in caso di accadimento.

A tale scopo, il Board potrebbe richiedere al Management di presentare,
periodicamente o quando se ne presenti l’esigenza, analisi di scenari di stress, al
fine di identificare i principali elementi di vulnerabilità del business e le strategie di
risposta perseguibili.
Tipologia di rischi da analizzare

Esempi di tali tipologie di rischio possono includere:
‒ forti crisi o collassi di sistema o dei mercati rilevanti per l’azienda;
‒ forti instabilità politico-sociali nei mercati da cui l’azienda dipende;
‒ guerre/attacchi terroristici;
‒ disastri naturali;
‒ incidenti con effetti catastrofici su salute e sicurezza delle persone e
dell’ambiente circostante;
‒ accadimento contestuale di più eventi fra loro correlati, tali da produrre effetti
catastrofici per l’azienda.
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 23
Aspetti da considerare nell’analisi

Oltre a quanto già commentato con riferimento ai rischi connessi alla gestione
ordinaria del business, per i rischi di natura catastrofica diventa particolarmente
rilevante esaminare:
‒ situazioni di concentrazione o dipendenza particolarmente critiche per il
business (e.g., mercati, clienti, prodotti, finanziatori, siti produttivi, canali
distributivi), in grado di esporre l’azienda a impatti molto significativi in caso di
accadimento di eventi catastrofici;
‒ tipologia e gravità delle possibili conseguenze in caso di accadimento di eventi
catastrofici (e.g., costi da sostenere per risarcimento danni, possibili class
action, costi da sostenere per la messa in sicurezza di asset e/o risorse
aziendali);
‒ adeguatezza delle contromisure e/o del capitale necessari a far fronte
all’emergenza.
Periodicità/frequenza dell’analisi

Il Board potrebbe richiedere analisi specifiche a fronte di rischi di discontinuità. Le
analisi in oggetto potrebbero, ad esempio, essere svolte dal Board:
‒ “ad hoc”, a fronte di:

previsione di possibili discontinuità significative nel contesto esterno di
mercato;

cambiamenti rilevanti nel modello di business adottato dall’azienda;

lancio di nuove iniziative rilevanti per il business (e.g., ingresso in nuovi
business, ingresso in nuovi mercati, apertura di nuovi plant);

momenti di discontinuità, tensione o squilibrio finanziario significativi per il
gruppo;
‒ tempestivamente, in caso di accadimento di un evento catastrofico.
Strumenti a supporto dell’analisi

A supporto dell’analisi di situazioni di possibili crisi e quando se ne ravveda la
necessità, il Board potrebbe richiedere al Management l’esecuzione e
presentazione di:
‒ Business Continuity Assessment.
‒ Stress Test sulla tenuta patrimoniale e di redditività al verificarsi di situazioni di
rischio catastrofiche.
24 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 4 Il ruolo del Risk Officer e
dell’Internal Audit nel sistema di
gestione dei rischi
4.1 Il ruolo del Risk Officer
In relazione alla complessità organizzativa e al profilo di rischio aziendale, il presidio
continuativo dei processi di analisi, aggregazione e reporting dei rischi potrebbe rendere
opportuna l’istituzione di una figura o struttura dedicata (Risk Officer) non direttamente
coinvolta nel business e diversa dalla funzione di Internal Audit, che dovrebbe rappresentare
il braccio operativo dell’Amministratore delegato/incaricato nell’espletamento delle proprie
responsabilità in tema di istituzione e mantenimento del sistema di gestione dei rischi,
contribuendo alla diffusione della cultura del rischio nell’organizzazione e portando
contestualmente un punto di vista “obiettivo” sul profilo di rischio aziendale e sull’efficacia
delle azioni/contromisure intraprese.
Il ruolo assegnato a tale figura/struttura potrebbe essere di natura consultiva (valutare,
raccomandare e coordinare), decisionale e/o gestionale (approvare e/o eseguire) ovvero un
mix di entrambi i ruoli, in relazione alle specificità delle aree di rischio considerate nel
perimetro del sistema di Risk Management definito dall’emittente.
In realtà aziendali meno complesse, il ruolo sopra delineato potrebbe essere attribuito a
funzioni aziendali già esistenti nell’ambito dell’organizzazione (e.g., Pianificazione Strategica,
Controllo di Gestione, Insurance Risk Manager, Sustainability Officer), previa verifica della
compatibilità dei nuovi compiti con quelli già svolti e della presenza delle necessarie
competenze, risorse e strumenti di lavoro.
Più in dettaglio, al Risk Officer potrebbero essere attribuiti i seguenti compiti:

Creare e diffondere all’interno dell’organizzazione una cultura orientata al rischio,
basata su una visione condivisa e trasparente dei rischi e delle responsabilità di
Risk Management.

Definire, aggiornare e diffondere processi, metodologie, competenze, strumenti e
tecniche di gestione dei rischi:
‒ sviluppare metodi e strumenti per la raccolta, analisi e condivisione dei dati e
delle informazioni sui principali rischi cui l’azienda è esposta e sull’efficacia
delle strategie e azioni di risposta definite;
‒ proporre le linee guida/politiche di gestione del sistema di Risk Management,
sottoponendole all’approvazione dei Vertici aziendali;
‒ proporre o validare metodologie e modelli di valutazione/misurazione dei
rischi;
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 25
‒ facilitare la condivisione e diffusione delle migliori prassi di Risk Management
all’interno dell’azienda;
‒ promuovere la diffusione di adeguate competenze di Risk Management,
attraverso programmi di informazione e formazione dedicati;
‒ collaborare con il business al fine di mantenere ed evolvere le capacità di Risk
Management;
‒ rivedere periodicamente i processi, le competenze, i sistemi di reporting e gli
strumenti a supporto del processo di Risk Management, ai fini del
miglioramento continuo del sistema nel suo complesso.

Coordinare e supportare il Management in sede di rilevazione, analisi e valutazione
dei rischi cui l’azienda è esposta e di definizione delle associate strategie e azioni di
risposta:
‒ supportare il Management nell’integrare l’analisi e la gestione dei rischi nei
processi decisionali chiave (e.g., pianificazione strategica e operativa, M&A,
valutazione delle iniziative d’investimento);
‒ supportare il Management nelle decisioni sull’allocazione delle risorse e del
capitale.

Consolidare le analisi di rischio e predisporre il Risk Reporting per il Management,
l’Amministratore incaricato del sistema di controllo interno e gestione dei rischi, il
Board e gli organi di controllo interessati:
‒ raccogliere, analizzare e consolidare i dati e le informazioni sui vari rischi cui
l’azienda è esposta;
‒ predisporre il reporting periodico sui rischi, fornendo il quadro dell’esposizione
aggregata al Consiglio, all’Amministratore incaricato del sistema di controllo
interno e di gestione dei rischi e al/ai comitato/i designato/i.

Definire e implementare il sistema di gestione dei rischi coerentemente con la
visione adottata:
‒ supportare lo sviluppo e la diffusione delle politiche/procedure di Risk
Management e dei limiti di rischio definiti, previa approvazione da parte del
Management o degli organi designati;
‒ identificare eventuali carenze o ridondanze nei presidi di Risk Management
esistenti che necessitano di interventi correttivi al fine di garantire un adeguato
presidio dei rischi prioritari cui l’azienda è esposta;
‒ monitorare l’evoluzione del profilo di rischio aziendale e l’efficacia delle
strategie e delle azioni di Risk Management identificate;
‒ collaborare con il Management per creare un ambiente di controllo che
garantisca: (i) un monitoraggio adeguato dei rischi all’interno
dell’organizzazione; (ii) la supervisione delle politiche e dei limiti di Risk
Management; (iii) l’implementazione tempestiva di azioni correttive atte a
26 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
migliorare le capacità di Risk Management esistenti; (iv) la gestione efficace di
eventuali criticità organizzative e culturali.
Oltre alle attività sopra elencate, che contraddistinguono il ruolo del Risk Officer, il
medesimo può fornire un punto di vista indipendente nella valutazione di specifiche
iniziative strategiche e/o di business. A tal fine, l’Amministratore delegato/incaricato può
prevedere un coinvolgimento sistematico di tale figura nella valutazione degli elementi di
rischio-opportunità caratterizzanti le nuove iniziative strategiche e/o di business.
In caso di istituzione della figura del Risk Officer, la sua collocazione all’interno
dell’organizzazione deve essere coerente con il ruolo assegnato. Poiché nella pratica risulta
diffusa l’attribuzione del ruolo consultivo e di supporto, che necessita di una collocazione
organizzativa in grado di assicurare adeguata obiettività, il Risk Officer non dovrebbe, in tale
veste, dipendere da alcuna unità di business e non dovrebbe avere responsabilità diretta
nella gestione dei singoli rischi.
Fatti salvi i settori regolamentati, la cui normativa di riferimento può fornire indicazioni
specifiche circa gli assetti organizzativi e di governance da adottare in ambito rischi,
compliance e controllo interno, non è inusuale assegnare al Risk Officer ruoli più operativi
nell’ambito dei processi di gestione del rischio. In tali casi, alla struttura del Risk Officer
possono essere fatte confluire unità organizzative coinvolte nella gestione di taluni aspetti di
rischio (e.g., insurance risk management, asset protection, continuità operativa, credit risk,
financial risk, compliance risk).
Benché si osservino molteplici soluzioni organizzative, le Leading Practice suggeriscono il
riporto diretto del Risk Officer all’Amministratore delegato/incaricato o, in alternativa, al
Comitato esecutivo ovvero ad altro comitato manageriale con specifiche attribuzioni in
materia di Risk Management (laddove esistenti). In realtà dimensionalmente meno
complesse, tale figura potrebbe anche non riportare direttamente all’Amministratore
delegato/incaricato, bensì ad altre strutture organizzative già esistenti (e.g., Pianificazione,
Amministrazione, Finanza e Controllo, General Counsel). È, in ogni caso, buona prassi
prevedere una linea di reporting al Board per il tramite del Comitato Controllo e Rischi.
4.2 Il ruolo dell’Internal Audit
L’Internal Audit, in quanto funzione indipendente non coinvolta nella gestione operativa del
business, ha il compito primario di verificare che il sistema di controllo interno e di gestione
dei rischi sia funzionante e adeguato (terzo livello di controllo). In tal senso, al Responsabile
Internal Audit e alla sua struttura spetta il compito di valutare il sistema di gestione dei
rischi esistente in termini di:

efficacia dell’ambiente di controllo esistente;

efficacia dei processi di analisi e valutazione dei rischi in essere;

efficacia e corretta applicazione delle politiche e delle procedure a presidio dei
principali rischi aziendali;
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 27

qualità e affidabilità delle informazioni a supporto dei processi di gestione dei
rischi;

efficacia dell’attività di monitoraggio e supervisione svolta da funzioni di risk
management.
Per tale ragione, la funzione di Internal Audit non deve avere responsabilità dirette nei
processi di gestione dei rischi, che dovrebbero invece essere attribuite ad altre strutture
aziendali, a loro volta soggette a verifica indipendente da parte dell’Internal Audit.
L’Institute of Internal Auditors (IIA) acconsente, invece, che l’Internal Audit svolga,
nell’ambito del processo di gestione dei rischi, le seguenti attività:

Educatore: può contribuire alla creazione e al rafforzamento della consapevolezza
sui rischi e sulle prassi di risk management attraverso l’integrazione della
metodologia di analisi e valutazione del rischio nell’ambito degli strumenti di audit,
sensibilizzando così il Management e supportando la diffusione di una cultura
condivisa all’interno dell’organizzazione.

Facilitatore: può supportare e facilitare il Management nello svolgimento delle
attività di valutazione del rischio e nella definizione delle azioni di mitigazione,
senza tuttavia sostituirsi a quest’ultimo.

Coordinatore: può contribuire alla raccolta, analisi e consolidamento delle
informazioni sui rischi provenienti dalle varie “fonti” aziendali, nonché alla
predisposizione del Risk Reporting aggregato.
All’Internal Auditor non è, invece, consentito, in quanto verrebbe minata l’indipendenza e
obiettività della funzione, di:

definire la propensione al rischio dell’azienda;

implementare processi e sistemi di gestione del rischio;

sostituirsi al Management nell’identificazione e valutazione dei rischi;

definire e implementare le risposte al rischio e le relative azioni di mitigazione;

accettare responsabilità di Risk Management.
28 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 5 Alcune domande “chiave”
per il Board
CONOSCENZA E CONSAPEVOLEZZA

I componenti del Board, ivi incluso l’Amministratore delegato/incaricato del sistema di
controllo interno e di gestione dei rischi, hanno una chiara conoscenza e comprensione
del proprio ruolo e mandato in tema di gestione dei rischi?

Il Board, il Comitato Controllo e Rischi e/o l’Amministratore incaricato del sistema di
controllo interno e di gestione dei rischi sono sufficientemente proattivi
nell’espletamento delle proprie responsabilità?

I componenti del Board hanno un’adeguata conoscenza del business,
dell’organizzazione aziendale e dei principali rischi che l’emittente e il gruppo di
appartenenza corrono o cui sono esposti (natura, tipologia, fonte, ecc.)?
GRADO DI COINVOLGIMENTO DEL BOARD E QUALITA’ DELLE INFORMAZIONI

È dedicato sufficiente spazio nell’agenda del Board alla discussione su temi di rischio?

L’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi
coinvolge il Board nella discussione sulle capacità aziendali di assumere e gestire rischi?
Se sì, in quali occasioni? In particolare, il Board (anche previo lavoro istruttorio del
Comitato Controllo e Rischi):
‒ Esamina in modo trasparente e consapevole i rischi e i rendimenti attesi in sede di
approvazione dei piani aziendali? Discute il legame fra strategie perseguite e rischi
assunti? Discute la robustezza dei piani oggetto di esame, le possibili cause di
insuccesso, le relative conseguenze per la società?
‒ Oltre ai rischi connessi ai piani aziendali, riceve periodicamente un reporting
strutturato sui principali rischi ricorrenti/tipici cui il business è esposto?
‒ Si esprime sui rischi non accettabili e sui necessari presidi di mitigazione/gestione?
‒ Ingaggia esperti di rischio nelle discussioni consiliari a fronte di situazioni
particolarmente complesse e delicate?

Il Board dispone di tutte le informazioni necessarie per valutare l’adeguatezza
complessiva del sistema di controllo interno e di gestione dei rischi rispetto ai principali
rischi assunti (i.e., di natura strategica, finanziaria, operativa, di compliance, di
reporting) e alle caratteristiche dell’impresa?
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 29
ALTRI PRESIDI DEL SISTEMA DI GESTIONE DEI RISCHI

L’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi
dedica sufficiente attenzione allo sviluppo e all’implementazione di politiche e
strumenti di risk management?

Lo stesso è coadiuvato da adeguate risorse e competenze per l’espletamento di tale
responsabilità?

Sono in essere adeguati strumenti per il monitoraggio delle esposizioni al rischio e
dell’efficacia delle contromisure in essere?

I rischi e la loro corretta gestione sono considerati fra i criteri di valutazione del
Management? I sistemi di remunerazione e incentivazione del Management sono
coerenti con l’appetito al rischio definito?
30 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
La redazione del presente documento è stata curata da Emma Marcandalli,
Managing Director Protiviti presso l’ufficio di Milano e responsabile dei
Servizi di Enterprise Risk Management, con la collaborazione dei colleghi
della Practice di Risk Consulting.
Si desidera esprimere un sincero ringraziamento a Carolyn Dittmeier, Anna
Fabbri, Elisabetta Magistretti e Francesco Taranto, per lo stimolo fornito
alla realizzazione dell’iniziativa e il tempo dedicato alla rilettura del
documento.
Il ruolo del Consiglio di Amministrazione nel governo dei rischi 31
Contatti Protiviti Italia
Ufficio di Milano
Via Tiziano, 32
20145 Milano
Tel.: +39 02 6550 6301
Fax: +39 02 6550 6333
Ufficio di Roma
Via Tirso, 26
00198 Roma
Tel.: +39 06 4204 9801
Fax: +39 06 4744 399
Ufficio di Torino
Via Viotti, 1
10121 Torino
Tel.: +39 011 7771 811
Fax: +39 011 7771 888
[email protected]
www.protiviti.it
32 Il ruolo del Consiglio di Amministrazione nel governo dei rischi