UNIVERSITA’ DEGLI STUDI DI PAVIA
FACOLTA’ DI ECONOMIA
CORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO
CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO
PERIODO: II SEMESTRE
DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI
Enterprise risk management e gestione
strategica dei rischi framework, modelli
quantitativi, sistemi di supporto e scelte
organizzative - 1
1
ENTERPRISE RISK MANAGEMENT E GESTIONE STRATEGICA DEI RISCHI
FRAMEWORK, MODELLI QUANTITATIVI, SISTEMI DI SUPPORTO E
SCELTE ORGANIZZATIVE - 1
[21a]
OBIETTIVI DELLA SESSIONE








Sistema di controllo interno
ERM: definizione
Obiettivi aziendali
Componenti dell’ERM
Legami tra obiettivi e componenti
Efficacia e limiti del modello
Ruoli e responsabilità
Tecniche applicative
2
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM
Un buon sistema di controllo, rappresentato dalle linee d'azione e dalle procedure
adottate dalla direzione aziendale, garantisce la copertura dai rischi principali a cui
l’impresa è esposta, ed assicura l’assenza di errori materiali in bilancio.
Il CoSO Report (1992) introduce la definizione del Sistema di Controllo Interno,
individuandone i 3 obiettivi (attendibilità, economicità, conformità alle normative) e
le 5 componenti (ambiente di controllo, sistema informativo, attività di controllo,
valutazione dei rischi, monitoraggio)
L’attore del controllo non è più un soggetto distinto e distante da chi esercita mansioni
operative Viene dato spazio all’internal auditor, il cui ruolo è valutare l’adeguatezza
del SCI progettato dai manager operativi.
3
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
Intendendo il controllo inteso quale leva a disposizione del management per mitigare
l’esposizione ai rischi, allo stesso non è più affidato il solo compito di raggiungere
risultati, ma anche di individuare i rischi che compromettono il raggiungimento dei
risultati e di porre in essere le contromisure in grado di diminuire gli effetti negativi
correlati all’esposizione ai rischi o di trasferirli ad altri.
Viene enfatizzata quale skill manageriale l’attitudine a prevenire i rischi piuttosto che
la capacità di curare le conseguenze della loro manifestazione.
I manager devono dimostrarsi capaci di gestire convenientemente situazioni in
continuo divenire (accountability dei manager).
Si parla di “gestire i rischi”, ovvero di diffondere un sistema di corporate governance
basato sulla cultura della prevenzione dei fenomeni, accompagnata dall’utilizzo di
strumenti in grado di ridurre la probabilità di accadimento degli eventi rischiosi e di
circoscriverne l’impatto negativo (ciò è particolarmente utile nei contesti dinamici)
Aumenta l’attenzione verso rischi non economici (sociali, ambientali, etici) a beneficio
delle diverse categorie di stakeholder con cui l’azienda si relaziona.
4
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
In sostanza con l’implementazione del modello ERM ci si prefigge l’obiettivo di
avere all’interno della società:
 uno strumento di valutazione sistematica dei rischi;
 il rafforzamento della cultura dei rischi.
Il raggiungimento di tali obiettivi passa attraverso una sostanziale rivisitazione ed
upgrade del concetto stesso di Sistema di Controllo Interno.
L’approccio al rischio era tradizionalmente caratterizzato da:
 focus sull’identificazione e la valutazione dei rischi
 percezione dei rischi come eventi estranei al business e alle
 strategie
 mappatura e monitoraggio di tutti i rischi potenziali
 implementazione di controlli per ridurre tutti i rischi
 mancanza di tecniche di misurazione (soggettività nella valutazione)
 attitudine di tipo reattivo
5
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
Nelle slide seguenti viene analizzato il modello ERM, come evoluzione del modello di
controllo interno presentato precedentemente.
In particolare, un moderno approccio al rischio è caratterizzato dai seguenti aspetti:
 il risk management è un processo di tipo strategico;
 i rischi sono classificati per tipologie e raggruppati in un portafoglio dei rischi (risk
profile) specifici dell’impresa;
 l’attenzione è riposta sui rischi più critici;
 il portafoglio dei rischi è ottimizzato;
 esistenza di una strategia di rischio (risk appetite e risk response);
 i rischi sono misurati e monitorati;
 le responsabilità di gestione dei rischi sono definite a tutti i livelli aziendali;
 l’attitudine dell’impresa nei confronti degli eventi incerti è di tipo proattivo, tesa
cioè a prevenire piuttosto che a gestire.
6
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Definizione di Enterprise Risk Management (ERM)
Tutte le aziende devono affrontare eventi incerti. L’incertezza rappresenta sia un
rischio che un’opportunità e può potenzialmente accrescere o ridurre il valore
dell’azienda. Il management ha il compito di creare valore per gli stakeholders
dell’impresa affrontando efficacemente le incertezze e i conseguenti rischi e
opportunità. Questo può essere consentito dall’Enterprise Risk Management (ERM),
che viene definito come segue:
La gestione del rischio aziendale è un processo, posto in essere dal Consiglio di
amministrazione, dal management e da altri operatori della struttura aziendale;
utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato
per individuare eventi potenziali che possono influire sull’attività aziendale, per
gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole
sicurezza sul conseguimento degli obiettivi aziendali.
Questa definizione estensiva, racchiude i concetti chiave, fondamentali per capire
come le aziende devono gestire il rischio; fornisce i criteri base da applicare in tutte le
organizzazioni, quale che sia la loro natura. Si focalizza direttamente sul
raggiungimento degli obiettivi di una specifica organizzazione e fornisce i criteri per
valutare l’efficacia dell’ERM stesso.
7
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Obiettivi aziendali
Obiettivi aziendali
Il management definisce la strategia aziendale e fissa gli obiettivi specifici; li assegna
a vari livelli della struttura organizzativa.
L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle seguenti
categorie:
 strategici: sono di natura generale e definiti ai livelli più elevati della struttura
organizzativa, allineati e a supporto della missione aziendale;
 operativi: riguardano l’impiego efficace ed efficiente delle risorse aziendali;
 di reporting: riguardano l’affidabilità delle informazioni fornite dal reporting;
 di conformità: riguardano l’osservanza delle leggi e dei regolamenti in vigore.
Gli obiettivi riguardanti l’affidabilità del reporting e la conformità a leggi e
regolamenti sono sotto il diretto controllo dell’azienda, quindi, l’ERM è in grado di
fornire una ragionevole sicurezza per il conseguimento di tali obiettivi.
Il conseguimento degli obiettivi strategici e operativi è soggetto a eventi esterni che
non sempre rientrano nella sfera di controllo dell’azienda; di conseguenza, la gestione
del rischio può solo fornire una ragionevole sicurezza che il management e il consiglio
di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della
misura in cui si stanno realizzando detti obiettivi.
8
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Componenti dell’ERM
Le componenti dell’ERM
L’ERM è costituito da otto componenti interconnesse, derivanti dal modo in cui il
management gestisce l’azienda e integrate con i processi operativi.
1) Ambiente interno. L’ambiente interno che costituisce l’identità essenziale di
un’organizzazione, determina il modo in cui il rischio è considerato e affrontato
dalle persone che operano in azienda, come pure la filosofia della gestione del
rischio, i livelli di accettabilità del rischio, l’integrità e i valori etici e l’ambiente di
lavoro in generale.
2) Definizione degli obiettivi. Gli obiettivi devono essere fissati prima di procedere
all’identificazione degli eventi che possono potenzialmente pregiudicare il loro
conseguimento. L’ERM assicura che il management abbia attivato un adeguato
processo di definizione degli obiettivi e che gli obiettivi scelti supportino e siano
coerenti con la missione aziendale e siano in linea con i livelli di rischio
accettabile.
9
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Componenti dell’ERM
Le componenti dell’ERM
3) Identificazione degli eventi. Gli eventi esterni e interni, che influiscono sul
conseguimento degli obiettivi aziendali, devono essere identificati distinguendoli
tre “rischi” e “opportunità”. Le opportunità devono essere valutate riconsiderando
la strategia definita in precedenza o il processo di formulazione degli obiettivi in
atto.
4) Valutazione del rischio. I rischi sono analizzati, determinando la probabilità che si
verifichino in futuro e il loro impatto, al fine di stabilire come devono essere
gestiti. I rischi sono valutati in termini di rischio inerente (rischio in assenza di
qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato
interventi per ridurlo).
5) Risposta al rischio. Il management seleziona le risposte al rischio emerso
(evitarlo, accettarlo, ridurlo, comparteciparlo) sviluppando interventi per allineare i
rischi emersi con i livelli di tolleranza al rischio e di rischio accettabile.
6) Attività di controllo. Devono essere definite e realizzate politiche e procedure per
assicurare che le risposte al rischio siano efficacemente eseguite.
10
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Componenti dell’ERM
Le componenti dell’ERM
7) Informazioni e comunicazione. Le informazioni pertinenti devono essere
identificate, raccolte e diffuse nella forma e nei tempi che consentano alle persone
di adempiere correttamente le proprie responsabilità. In linea generale si devono
attivare comunicazioni efficaci, in modo che queste fluiscano per l’intera struttura
organizzativa: verso il basso, verso l’alto e trasversalmente.
8) Monitoraggio. L’intero processo dell’ERM deve essere monitorato e modificato
ove necessario. Il monitoraggio si concretizza in interventi continui integrati nella
normale attività operativa aziendale o in valutazioni separate, oppure in una
combinazione dei due metodi.
L’ERM non è un processo strettamente sequenziale, nel qual un componente influisce
solo sul successivo. Si tratta di un processo interattivo e multidirezionale in cui ogni
componente influisce o può influire su un altro componente.
11
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Legami tra obiettivi e componenti
Legami tra obiettivi e componenti
Esiste un rapporto diretto tra obiettivi aziendali e componenti dell’ERM,
schematizzabile in una matrice, sotto riportata, detta CoSO Framework.
Le quattro categorie di obiettivi sono
rappresentate nelle colonne verticali del cubo,
le otto componenti nelle righe orizzontali e le
unità operative dell’organizzazione sono
rappresentate dalla terza dimensione della
matrice.
Tale modello risulta essere estremamente
flessibile in quanto può essere applicato sia
all’interno del processo di gestione del rischio
aziendale, sia distintamente alle singole
categorie di obiettivi, alle componenti, alle
singole unità operative.
La matrice evidenzia, inoltre, come il sistema di
controllo interno sia parte integrante dell’ERM.
12
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Legami tra obiettivi e componenti
Evoluzione verso l’ERM
Di seguito evidenziamo in forma grafica l’evoluzione dal sistema di controllo interno
dall’approccio tradizionale all’approccio ERM.
13
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Efficacia e limiti del modello
Efficacia e limiti dell’ERM
La valutazione dell’efficacia del processo di gestione del rischio aziendale è un
giudizio soggettivo, fondato sulla presenza delle otto componenti e sul loro corretto
funzionamento. Pertanto, le componenti costituiscono anche dei criteri di efficacia.
Quando un processo di gestione del rischio aziendale è giudicato efficace per ciascuna
delle quattro categorie di obiettivi, ciò significa che il CdA e il management hanno una
ragionevole sicurezza di venire a conoscenza della misura in cui gli obiettivi strategici
e operativi si stanno conseguendo, che i report sono affidabili e che le leggi e i
regolamenti in vigore sono osservati.
Sebbene l’ERM procuri importanti benefici esistono dei limiti dovuti a possibili errori
di giudizio quando si prendono decisioni gestionali, all’impossibilità di proteggersi da
tutti i rischi, anche perché il rapporto costi-benefici diverrebbe gravoso, a errori umani
che possono procurare danni involontari, alla possibilità che i controlli siano aggirati
da parte di due o più persone in collusione e al management che può eludere le
decisioni sulla gestione dei rischi.
Queste limitazioni non consentono al management e al CdA di ottenere una sicurezza
assoluta sul conseguimento degli obiettivi aziendali.
14
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Ruoli e responsabilità
Ruoli e responsabilità
Ogni persona, che opera in un’organizzazione, ha una certa responsabilità nell’ERM.
Il CEO ne ha la responsabilità ultima e ne assume la paternità, il management
promuove la filosofia di gestione del rischio e l’osservanza del livello di rischio
accettabile, e gestisce i rischi nella sua sfera di responsabilità in coerenza con i livelli
di “tolleranza al rischio”. Generalmente, il risk officer, il direttore finanziario,
l’internal auditor assolvono compiti chiave di supporto alla gestione del rischio, altre
persone svolgono invece compiti puramente esecutivi nella gestione del rischio in
conformità alle direttive e ai protocolli.
Il CdA svolge un ruolo importante di supervisione del processo di gestione del rischio
aziendale e contribuisce alla determinazione del livello di rischio accettabile.
Un certo numero di soggetti esterni, come i clienti, i fornitori, partner, revisori esterni
e analisti finanziari spesso forniscono informazioni utili per il buon funzionamento del
processo di gestione del rischio aziendale, ma essi non rispondono della sua efficacia,
ne fanno parte del processo.
15
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative
Uno dei primi problemi che il management deve fronteggiare per mettere in pratica gli
elementi specifici del modello di gestione del rischio aziendale, riguarda l’approccio
da adottare nella realizzazione del modello stesso in tutta l’azienda.
La dimensione dell’azienda, la complessità dell’attività, il settore economico di
appartenenza, la cultura, lo stile manageriale e altri attributi influiscono sul modo in
cui i principi e i concetti del modello sono implementati.
Esistono un’ampia varietà di approcci e scelte disponibili, tuttavia esistono criteri
comuni a tutte le organizzazioni. In breve:

Creazione del gruppo di lavoro. Il primo passo fondamentale è di costituire un
gruppo di lavoro a livello centrale, che includa i rappresentati delle unità operative
e delle funzioni di supporto chiave. Questo gruppo deve acquisire una conoscenza
approfondita dei componenti del modello, dei concetti e dei principi dell’ERM.
16
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative (segue)



Sponsorizzazione da parte del Top Management. L’executive leadership deve
illustrare chiaramente, fin dall’inizio del progetto, i benefici dell’ERM e stabilire e
comunicare il “business case” ai fini dei relativi investimenti in risorse. Il CEO
deve supportare l’iniziativa e generalmente, almeno all’inizio, deve essere
coinvolto visibilmente e svolgere un ruolo di guida per realizzare con successo il
progetto.
Sviluppo del piano di implementazione. Viene elaborato un piano iniziale per
prevedere le azioni da intraprendere, che indica le fasi chiave del progetto, include
le scadenze del lavoro, gli obiettivi intermedi, le risorse da impiegare, la tempistica
e le responsabilità.
Valutazione della situazione corrente. Consiste in una valutazione di come i
componenti della gestione del rischio aziendale, i concetti e i principi sono
applicati, in tutta l’azienda. Generalmente consiste nell’accertare se la filosofia
della gestione del rischio si sia evoluta all’interno dell’organizzazione e nello
stabilire se c’è una mutua comprensione del rischio accettabile dell’azienda.
17
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative (segue)





La visione dell’ERM. Il gruppo di lavoro elabora la visione che indica i modi in
cui sarà messo in atto l’ERM e come sarà integrato nell’organizzazione per
conseguire i suoi obiettivi.
Sviluppo delle capacità. La valutazione della situazione corrente e la visione
dell’ERM forniscono informazioni necessarie per determinare le capacità attuali
nell’ambito delle persone, della tecnologia e dei processi già in essere e
funzionanti, come pure le nuove capacità che bisogna sviluppare.
Piano di implementazione. Il piano iniziale è aggiornato e migliorato,
aggiungendo approfondimenti e ampliamenti, includendo ulteriori valutazioni,
progettazioni e sviluppi. Altre responsabilità sono definite e il sistema di project
management perfezionato secondo le necessità.
Gestione del cambiamento. Sono sviluppati interventi, secondo le necessità, per
implementare e sostenere la visione dell’ERM e le risorse necessarie, inclusi i
piani di sviluppo, le sessioni di formazione, il rafforzamento dei meccanismi
premianti e il monitoraggio di ciò che rimane del processo di implementazione.
Monitoraggio. Il management esaminerà di continuo e rafforzerà le risorse
destinate alla gestione del rischio come parte del suo processo manageriale.
18