UNIVERSITA’ DEGLI STUDI DI PAVIA
FACOLTA’ DI ECONOMIA
CORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO
CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO
PERIODO: II SEMESTRE
DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI
Enterprise risk management e gestione
strategica dei rischi framework, modelli
quantitativi, sistemi di supporto e scelte
organizzative
1
ENTERPRISE RISK MANAGEMENT E GESTIONE STRATEGICA DEI RISCHI
FRAMEWORK, MODELLI QUANTITATIVI, SISTEMI DI SUPPORTO E
SCELTE ORGANIZZATIVE - 1
[21a]
OBIETTIVI DELLA SESSIONE








Sistema di controllo interno
ERM: definizione
Obiettivi aziendali
Componenti dell’ERM
Legami tra obiettivi e componenti
Efficacia e limiti del modello
Ruoli e responsabilità
Tecniche applicative
2
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
SISTEMA DI CONTROLLO INTERNO:
EVOLUZIONE VERSO L’ENTERPRISE RISK
MANAGEMENT (ERM)
3
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM
Un buon sistema di controllo, rappresentato dalle linee d'azione e dalle procedure
adottate dalla direzione aziendale, garantisce la copertura dai rischi principali a cui
l’impresa è esposta, ed assicura l’assenza di errori materiali in bilancio.
Il CoSO Report (1992) introduce la definizione del Sistema di Controllo Interno,
individuandone i 3 obiettivi (attendibilità, economicità, conformità alle normative) e
le 5 componenti (ambiente di controllo, sistema informativo, attività di controllo,
valutazione dei rischi, monitoraggio)
L’attore del controllo non è più un soggetto distinto e distante da chi esercita
mansioni operative Viene dato spazio all’internal auditor, il cui ruolo è valutare
l’adeguatezza del SCI progettato dai manager operativi.
4
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
Intendendo il controllo inteso quale leva a disposizione del management per mitigare
l’esposizione ai rischi, allo stesso non è più affidato il solo compito di raggiungere
risultati, ma anche di individuare i rischi che compromettono il raggiungimento dei
risultati e di porre in essere le contromisure in grado di diminuire gli effetti negativi
correlati all’esposizione ai rischi o di trasferirli ad altri.
Viene enfatizzata quale skill manageriale l’attitudine a prevenire i rischi piuttosto che
la capacità di curare le conseguenze della loro manifestazione.
I manager devono dimostrarsi capaci di gestire convenientemente situazioni in
continuo divenire (accountability dei manager).
Si parla di “gestire i rischi”, ovvero di diffondere un sistema di corporate governance
basato sulla cultura della prevenzione dei fenomeni, accompagnata dall’utilizzo di
strumenti in grado di ridurre la probabilità di accadimento degli eventi rischiosi e di
circoscriverne l’impatto negativo (ciò è particolarmente utile nei contesti dinamici)
Aumenta l’attenzione verso rischi non economici (sociali, ambientali, etici) a beneficio
delle diverse categorie di stakeholder con cui l’azienda si relaziona.
5
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
In sostanza con l’implementazione del modello ERM ci si prefigge l’obiettivo
di avere all’interno della società:
 uno strumento di valutazione sistematica dei rischi;
 il rafforzamento della cultura dei rischi.
Il raggiungimento di tali obiettivi passa attraverso una sostanziale rivisitazione
ed upgrade del concetto stesso di Sistema di Controllo Interno.
6
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
L’approccio al rischio era tradizionalmente caratterizzato da:
 focus sull’identificazione e la valutazione dei rischi;
 percezione dei rischi come eventi estranei al business e alle strategie;
 mappatura e monitoraggio di tutti i rischi potenziali;
 implementazione di controlli per ridurre tutti i rischi;
 mancanza di tecniche di misurazione (soggettività nella valutazione);
 attitudine di tipo reattivo.
7
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
Nelle slide seguenti viene analizzato il modello ERM, come evoluzione del
modello di controllo interno presentato precedentemente.
In particolare, un moderno approccio al rischio è caratterizzato dai seguenti
aspetti:
 il risk management è un processo di tipo strategico;
 i rischi sono classificati per tipologie e raggruppati in un portafoglio dei
rischi (risk profile) specifici dell’impresa;
 l’attenzione è riposta sui rischi più critici;
 il portafoglio dei rischi è ottimizzato;
8
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Sistema di controllo interno
Sistema di controllo interno: evoluzione verso l’ERM (segue)
 esistenza di una strategia di rischio (risk appetite e risk response);
 i rischi sono misurati e monitorati;
 le responsabilità di gestione dei rischi sono definite a tutti i livelli
aziendali;
 l’attitudine dell’impresa nei confronti degli eventi incerti è di tipo
proattivo, tesa cioè a prevenire piuttosto che a gestire.
9
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Definizione di Enterprise Risk Management (ERM)
Tutte le aziende devono affrontare eventi incerti. L’incertezza rappresenta sia
un rischio che un’opportunità e può potenzialmente accrescere o ridurre il
valore dell’azienda. Il management ha il compito di creare valore per gli
stakeholders dell’impresa affrontando efficacemente le incertezze e i
conseguenti rischi e opportunità. Questo può essere consentito
dall’Enterprise Risk Management (ERM), che viene definito come segue:
10
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
ERM: DEFINIZIONE
11
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Definizione di Enterprise Risk Management (ERM)
La gestione del rischio aziendale è un processo, posto in essere dal Consiglio
di amministrazione, dal management e da altri operatori della struttura
aziendale, utilizzato per:
- la formulazione delle strategie in tutta l’organizzazione;
- progettato per individuare eventi potenziali che possono influire
sull’attività aziendale,
- progettato per gestire il rischio entro i limiti del rischio accettabile e
-per fornire una ragionevole sicurezza sul conseguimento degli obiettivi
aziendali.
12
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Definizione di Enterprise Risk Management (ERM)
Questa definizione estensiva, racchiude i concetti chiave, fondamentali per
capire come le aziende devono gestire il rischio; fornisce i criteri base da
applicare in tutte le organizzazioni, quale che sia la loro natura. Si focalizza
direttamente sul raggiungimento degli obiettivi di una specifica
organizzazione e fornisce i criteri per valutare l’efficacia dell’ERM stesso.
13
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
• Allineamento fra strategia e rischio accettabile;
una società farmaceutica associa un grado di rischio accettabile basso per il
valore del suo marchio (non è disposta a comprometterlo)
definirà una strategia che preveda l’implementazione di efficaci controlli per
assicurare la qualità dei propri farmaci.
14
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
•Miglioramento della risposta al rischio individuato;
Una società di trasporti identifica il rischio nei possibili costi che potrebbe
sostenere a fronte del verificarsi di un sinistro
Valuterà di:
• ridurre il rischio aumentando il grado di formazione degli autisti;
• stipulare una polizza assicurativa trasferendo parzialmente il rischio;
• esternalizzare l’attività presso un’azienda terza;
• accettare il rischio senza ulteriori attività aggiuntive.
15
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
•Miglioramento della capacità di identificare gli eventi riducendo
imprevisti e perdite conseguenti
Implementazione di KPI e criteri di benchmark con osservazioni periodiche
rispetto a un dato standard
Riduzione del tasso di rottura di una determinata tipologia di prodotti e delle
correlate perdite
16
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
•Identificazione di rischi correlati e multipli
Una banca considera la totalità del proprio portafoglio crediti identificando
eventuali correlazioni esistenti fra le diverse classi di credito.
Riduzione del rischio correlato al default di posizioni creditorie concentrate
nel medesimo settore.
17
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
•Risposte univoche a rischi multipli: la visione sistematica del rischio
consente di progettare risposte integrate
Un’azienda identifica eventi rischio nella qualità delle materie prime
acquistate, nei prezzi eccessivamente elevati, nella logistica e nei costi di
spedizione della merce da parte del fornitore, nella gestione del magazzino.
Valuta di rivedere l’intera supply chain prevedendo l’ottimizzazione delle
scorte e la definizione di partnership strategiche con aziende specializzate nel
settore della logistica.
18
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – ERM: definizione
Caratteristiche dell’ERM
Quali gli aspetti su cui il modello ERM porta a riflettere:
•Identificazione delle opportunità attraverso il miglioramento del
processo di identificazione degli eventi
Un’azienda nell’analizzare gli eventi si rende conto che i propri clienti stanno
modificando le proprie abitudini di consumo.
Un approccio proattivo al rischio porta l’azienda a identificare un’opportunità
nella modifica delle abitudini dei consumatori, modificando coerentemente la
propria stategia.
19
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
OBIETTIVI AZIENDALI
20
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Obiettivi aziendali
Obiettivi aziendali
Il management definisce la strategia aziendale e fissa gli obiettivi specifici; li
assegna a vari livelli della struttura organizzativa.
L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle
seguenti categorie:
 strategici: sono di natura generale e definiti ai livelli più elevati della
struttura organizzativa, allineati e a supporto della missione aziendale;
 operativi: riguardano l’impiego efficace ed efficiente delle risorse
aziendali;
 di reporting: riguardano l’affidabilità delle informazioni fornite dal
reporting;
 di conformità: riguardano l’osservanza delle leggi e dei regolamenti in
vigore.
21
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Obiettivi aziendali
Obiettivi aziendali
Obiettivi “interni”
Gli obiettivi riguardanti l’affidabilità del reporting e la conformità a leggi e
regolamenti sono sotto il diretto controllo dell’azienda, quindi, l’ERM è in
grado di fornire una ragionevole sicurezza per il conseguimento di tali
obiettivi.
Obiettivi esterni
Il conseguimento degli obiettivi strategici e operativi è soggetto a eventi
esterni che non sempre rientrano nella sfera di controllo dell’azienda; di
conseguenza, la gestione del rischio può solo fornire una ragionevole
sicurezza che il management e il consiglio di amministrazione, nel suo ruolo
di vigilanza, siano tempestivamente informati della misura in cui si stanno
realizzando detti obiettivi.
22
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
COMPONENTI DELL’ERM
23
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Introduzione
24
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Ambiente interno
Ambiente interno
L’ambiente interno è largamente influenzato dal consiglio di amministrazione.
L’esperienza e la levatura morale degli amministratori, la loro indipendenza dal
management, il loro livello di impegno e di supervisione e l’adeguatezza dei loro
interventi costituiscono elementi di rilievo dell’ambiente interno. Altri elementi
riguardano la loro determinazione nel sollevare e affrontare con il management
questioni controverse e delicate riguardanti la strategia, la pianificazione e la
performance, e l’interazione tra l’audit committee e gli internal auditor e i revisori
esterni.
La strategia e gli obiettivi di un’azienda e i metodi utilizzati per realizzarli sono
basati sulle preferenze, sui giudizi di valore e sullo stile direzionale. L’integrità e i
valori etici del management, che si traducono in un codice di condotta, influenzano
queste priorità e questi giudizi di valore. Dato che la buona reputazione di un’azienda
è preziosa, il codice di condotta deve andare al di là del semplice rispetto della legge.
25
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Ambiente interno
Ambiente interno
La strategia e gli obiettivi di un’azienda e i metodi utilizzati per
realizzarli sono basati sulle preferenze, sui giudizi di valore e sullo stile
direzionale. L’integrità e i valori etici del management, che si traducono in un
codice di condotta, influenzano queste priorità e questi giudizi di valore. Dato
che la buona reputazione di un’azienda è preziosa, il codice di condotta deve
andare al di là del semplice rispetto della legge.
26
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Definizione degli obiettivi
Definizione degli obiettivi
Il rischio è la possibilità che un evento accada e pregiudichi il conseguimento degli
obiettivi.
Gli obiettivi devono essere fissati dalla direzione prima dell’identificazione degli
eventi, in funzione dell’ambiente interno che determina la cultura del rischio (i
modi in cui i rischi attesi e inattesi sono concretamente affrontati da chi opera
nell’impresa, a loro volta funzione dei valori condivisi) e il rischio accettabile, cioè
quel “quantum” di rischio (meglio se quantificato) che l’impresa o ente è disposta ad
accettare per la creazione di valore per i propri stakeholders.
La creazione di valore si esplicita attraverso l’indicazione della propria missione (o
visione, il fine ultimo e generale che un’organizzazione aspira a realizzare), che a sua
volta viene perseguita mediante la fissazione di coerenti obiettivi strategici, pochi e di
natura generale, di solito stabili nel tempo poiché devono essere correlati al rischio
accettabile e alla sua tolleranza (margine di oscillazione proporzionato e accettabile).
27
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Definizione degli obiettivi
Definizione degli obiettivi (segue)
Per il conseguimento degli obiettivi strategici la direzione seleziona un’opportuna
strategia, cioè un piano qualitativo e generale eventualmente in parte variabile nel
tempo, e i coerenti obiettivi operativi (impiego efficace ed efficiente delle risorse
dell’impresa nel suo complesso), di reporting (frequenza e affidabilità delle
informazioni) e di conformità (o compliance, osservanza delle leggi e dei regolamenti
in vigore).
28
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Definizione degli obiettivi
Definizione degli obiettivi (segue)
Dagli obiettivi operativi discendono gli obiettivi correlati, cioè quei sotto-obiettivi
fissati per ogni funzione e area di responsabilità il cui raggiungimento è essenziale per
la creazione e preservazione del valore complessivo dell’azienda. E’ fondamentale che
siano espressi e in modo quantitativo (mediante valori o KPI, Key Performance
Indicator) e controllati continuamente anche qualitativamente (mediante
l’evidenziazione degli FCS, i Fattori Critici del Successo).
Processo iterativo
La scelta di tutti gli obiettivi, specie operativi e correlati, è comunque iterativamente
connessa alle successive fasi del processo di ERM.
29
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Definizione degli obiettivi
Definizione degli obiettivi :Esempio
Obiettivo strategico: posizionare i nostri prodotti fra quelli maggiormente venduti sul
mercato
Strategia: aumentare la produzione dei primi 5 prodotti venduti al dettaglio per
fronteggiare l’incremento della domanda
Obiettivi correlati:
o assumere personale qualificato per fronteggiare l’esigenza di incremento della
produzione;
o mantenere sufficientemente alta la qualità del prodotto (possibilmente misurabile)
o mantenere l’incidenza del corso del personale intorno al 20% del valore degli ordini
ricevuti;
30
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Definizione degli obiettivi
Definizione degli obiettivi :Esempio
Misure:
o unità prodotte;
o numero di nuovi assunti;
o qualità dei prodotti
Rischio accettabile (risk tolerance):
o accettare che la società impieghi quote rilevanti di capitale in nuovi beni, personale,
processi;
o accettare il rischio di un aumento della concorrenza a fronte del nostro tentativo di
aumentare la nostra quota di mercato;
o non accettare alcuna riduzione della qualità dei nostri prodotti
31
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Identificazione degli eventi
Identificazione degli eventi
Gli eventi sono fatti o accadimenti originati da
o fonti interne (personale, altre risorse, processi, ICT, infrastrutture, ecc.) o
o esterne all’impresa (economia, politica, ambiente, tecnologia, concorrenza, ecc.)
che incidono nell’implementazione della strategia o sul conseguimento degli obiettivi.
Possono avere un impatto (risultato quantitativo e/o effetto qualitativo) positivo o
negativo, oppure entrambi.
Gli eventi con impatto negativo rappresentano rischi, quelli con impatto negativo
costituisco opportunità.
32
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Identificazione degli eventi
Identificazione degli eventi (segue)
Con riferimento agli eventi potenziali, la direzione deve:

identificare quelli che potrebbero incidere sull’attività aziendale;

determinare se rappresentano rischi oppure opportunità;

analizzare come i fattori interni ed esterni possono combinarsi e interagire con gli
eventi;

valutarne le tipologie di impatto (inclusi correlati e multipli);

per i rischi > analizzare i fattori che richiedono una valutazione e una risposta;

per le opportunità > analizzare gli elementi che potrebbero richiedere un riesame
delle strategie definite in precedenza o dei processi in atto di definizione degli
obiettivi.
33
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Identificazione degli eventi
Identificazione degli eventi (segue)
Definizione di un catalogo degli eventi
E utile, sin da questa fase, formalizzare queste attività della direzione in una “MAPPA
dei RISCHI”, che si presti ad una rilevazione il più possibile quantitativa dei valori
economici e dei KPI – pochi ma essenziali – che sono oggetto delle successive fasi del
processo di ERM.
Alcuni esempi:
-Analisi di processo;
- Workshop con interviste;
- Indicatori di eventi (es. incassi ritardati come indicatori di potenziali insoluti)
34
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Identificazione degli eventi
Identificazione degli eventi : Esempio
Analisi degli impatti sugli obiettivi prefissati a fronte della manifestazione di dati
eventi
Evento 1: scadenza dei contratti di lavoro e modifica delle condizioni contrattuali
Impatto:
o possibili maggiori costi a fronte dell’assunzione di nuovo personale;
o possibile difficoltà nel mantenere l’incidenza del costo del personale entro il 20%
del valore degli ordini
Evento 2: possibilità di confrontare i prodotti via internet da parte dei consumatori
Impatto:
o difficoltà nel raggiungere e mantenere le quote di mercato;
o maggiori oneri pubblicitari
35
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Valutazione del rischio
Valutazione del rischio
La valutazione del rischio è la misurazione dell’incidenza di un evento potenziale sul
conseguimento degli obiettivi, svolta a tutti i livelli di responsabilità dell’azienda,
mediante una approfondita analisi dell’impresa dall’interno e dall’esterno.
La misurazione più utile, talvolta non facile, è quella che mira a stimare il capitale
necessario per coprire l’esposizione finanziaria generata dall’impatto economico
dell’evento.
La direzione deve misurare, col contributo dei singoli responsabili, questa incidenza in
termini di:
 probabilità > la possibilità che un evento accada, di solito espressa in %;
 impatto > l’effetto dell’accadimento, talvolta difficile da quantificare;
 rischio inerente > quello assunto quando non si attiva alcun intervento di risposta
al rischio;
 rischio residuo > quello che rimane dopo aver attivato una risposta al rischio.
36
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Valutazione del rischio
Valutazione del rischio (segue)
Questa attività di misurazione possono essere effettuate in vari modi, attraverso
l’applicazione di metodologie e di tecniche diverse e in parte complementari, da
scegliere di caso in caso.
Si possono impiegare tecniche quantitative quali:
 benchmarking > analisi e valutazione di competitor mediante bilanci, note
integrative, studi di settore, analisi di associazioni di categoria, stampa
specializzata;
 modelli probabilistici > value at risk, earning at risk, cash flow at risk [ma poco
usate per PMI];
 modelli non probabilistici > basati su ipotesi soggettive di impatto senza
quantificarne la probabilità, quali analisi di scenario, analisi di sensitività, stress
test.
Si possono anche impiegare tecniche qualitative, tra le quali si segnalano le interviste
e i workshop, tanto più utili laddove effettuate con interlocutori ben selezionati:
esperti esterni e indipendenti (per le interviste) panel molto coerenti con gli effettivi
target e non influenzati (workshop).
37
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Risposta al rischio
Risposta al rischio
La direzione, valutati probabilità e impatto, seleziona le possibili azioni di risposta in
rapporto alla loro capacità di ricondurre ciascun rischio emerso entro i livelli di
tolleranza del rischio accettabile.
Per selezionare la risposta al rischio più idonea caso per caso è necessario quantificare
l’esposizione al rischio, secondo la matrice probabilità/impatto di cui alla slide
successiva.
Le tipologie di risposta al rischio sono 4:
1. accettare il rischio = monitorarlo, senza intraprendere azioni che incidano su
probabilità/impatto;
2. evitarlo = eliminare l’attività che lo determina;
3. ridurlo = attivare azioni e controlli che incidano su probabilità/impatto;
4. condividerlo con terzi = partnership e/o assicurazioni.
38
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Risposta al rischio
Risposta al rischio (segue)
Alto
I
M
P
A
T
T
O
Medio rischio
[Condividere]
[Ridurre/Evitare]
Basso rischio
[Accettare]
Medio rischio
[Ridurre]
Alto rischio
Basso
Alto
PROBABILITA’
39
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Attività di controllo
Attività di controllo
Dopo aver selezionato le risposte al rischio, il management identifica le attività di
controllo che aiutano ad assicurare che le risposte al rischio siano eseguite
correttamente e nei tempi previsti.
Le attività di controllo costituiscono una parte importante del processo attraverso il
quale le aziende si adoperano per conseguire i loro obiettivi.
Le attività di controllo si basano normalmente su due elementi:
 le politiche che definiscono ciò che si deve fare;
 le procedure che realizzano in pratica le politiche.
40
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Informazione e comunicazione
Informazione e comunicazione
Informazione
Tutte le aziende devono identificare e raccogliere una vasta gamma di
informazioni relative ad eventi esterni ed interni e alle attività pertinenti
alla gestione aziendale. Queste informazioni devono essere trasmesse al
personale nei modi e nei tempi necessari per consentire agli stessi di
adempiere le proprie responsabilità loro assegnate.
È necessario che le informazioni siano diffuse a tutti i livelli della struttura
organizzativa per identificare, valutare e rispondere ai rischi e, parimenti, per
gestire l’azienda e realizzare i suoi obiettivi.
41
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Informazione e comunicazione
Informazione e comunicazione (segue)
Comunicazione
Il management comunica in maniera chiara l’importanza della responsabilità
di ciascuno nella gestione del rischio.
Il personale deve comprendere in maniera chiara il ruolo assegnato a ciascuno
nella gestione del rischio.
42
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Monitoraggio
Monitoraggio
L’intero processo dell’ERM deve essere monitorato e modificato ove necessario. Il
monitoraggio si concretizza in interventi continui integrati nella normale attività
operativa aziendale o in valutazioni separate, oppure in una combinazione dei due
metodi.
Spesso le valutazioni prendono la forma di autovalutazioni, mediante la quale le
persone responsabili di una particolare unità o funzione determinano l’efficacia
dell’ERM nell’ambito della propria attività.
Una delle migliori fonti d’informazione sulle carenze del processo di gestione del
rischio aziendale è proprio lo stesso processo. L’attività di monitoraggio continuo di
un’azienda, comprese le attività manageriali e la supervisione giornaliera del
personale, consentono di ottenere informazioni direttamente da coloro che sono
coinvolti nell’attività aziendale.
I terzi, quali i clienti, i fornitori, i revisori esterni, le autorità di vigilanza e altri che
intrattengono rapporti d’affari con l’azienda, spesso forniscono importanti
informazioni sul funzionamento del processo di gestione del rischio aziendale.
43
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
LEGAMI FRA OBIETTIVI E COMPONENTI
44
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Legami tra obiettivi e componenti
Legami tra obiettivi e componenti
Esiste un rapporto diretto tra obiettivi aziendali e componenti dell’ERM,
schematizzabile in una matrice, sotto riportata, detta CoSO Framework.
Le quattro categorie di obiettivi sono
rappresentate nelle colonne verticali del cubo,
le otto componenti nelle righe orizzontali e le
unità operative dell’organizzazione sono
rappresentate dalla terza dimensione della
matrice.
Tale modello risulta essere estremamente
flessibile in quanto può essere applicato sia
all’interno del processo di gestione del rischio
aziendale, sia distintamente alle singole
categorie di obiettivi, alle componenti, alle
singole unità operative.
La matrice evidenzia, inoltre, come il sistema di
controllo interno sia parte integrante dell’ERM.
45
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Legami tra obiettivi e componenti
Evoluzione verso l’ERM
Di seguito evidenziamo in forma grafica l’evoluzione dal sistema di controllo interno
dall’approccio tradizionale all’approccio ERM.
46
EFFICACIA E LIMITI DEL MODELLO
47
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Benefici dell’ERM
L’analisi costi-benefici può essere articolata come segue:
 identificazione e quantificazione dei costi associati al sistema di ERM;
 Formazione;
 implementazione e manutenzione dei supporti informativi (hardware,
software);
 consulenza esterna (significativi nella fase di start-up del processo);
 personale della funzione di Risk Management;
48
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Benefici dell’ERM
L’analisi costi-benefici può essere articolata come segue:
 identificazione dei benefici associati al sistema di gestione dei rischi;
 riduzione del costo dei controlli (per la focalizzazione sulle aree di
rischio);
 maggiore efficienza dei processi e riduzione delle perdite inattese
(riduzione dei tempi di approvvigionamento, riduzione dei reclami per
difetti dei prodotti, riduzione delle perdite su crediti …);
 riduzione dei costi per premi assicurativi;
49
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Benefici dell’ERM (segue)
 quantificazione dei benefici;
 non è sempre possibile apprezzare in termini monetari i benefici connessi
ai sistemi di gestione dei rischi (es. sicurezza dei dipendenti, capacità di
trattenere personale ad elevato potenziale, capacità di scongiurare danni di
immagine o di reputazione);
 spesso la consapevolezza di non avere investito in misura sufficiente si ha
solo a posteriori, al verificarsi di eventi dannosi di impatto significativo,
allorché non sono raggiunti gli obiettivi aziendali prefissati.
50
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Indicatori di efficacia dell’ERM
Alcuni indicatori di una efficace implementazione dei sistemi di risk
management, generalmente apprezzabili a posteriori, sono i seguenti:
 riduzione dei premi assicurativi;
 riduzione dei reclami e di altri costi;
 riduzione del turnover del personale;
 rispetto dei tempi di consegna;
 riduzione dei sinistri;
 miglioramento delle condizioni di approvvigionamento;
51
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Indicatori di efficacia dell’ERM
 miglioramento del “clima” interno;
 riduzione degli articoli di stampa negativi;
 aumento della % di raggiungimento degli obiettivi;
 maggiore facilità di accesso alle fonti di finanziamento;
 incremento del valore delle azioni;
 minore incidenza delle frodi;
 riduzione degli incidenti e degli eventi inattesi;
 feedback positivo dalle agenzie di rating.
52
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Efficacia e limiti del modello
Efficacia e limiti dell’ERM
La valutazione dell’efficacia del processo di gestione del rischio aziendale è
un giudizio soggettivo, fondato sulla presenza delle otto componenti e sul loro
corretto funzionamento. Pertanto, le componenti costituiscono anche dei
criteri di efficacia.
Quando un processo di gestione del rischio aziendale è giudicato efficace per
ciascuna delle quattro categorie di obiettivi, ciò significa che il CdA e il
management hanno una ragionevole sicurezza di venire a conoscenza della
misura in cui gli obiettivi strategici e operativi si stanno conseguendo, che i
report sono affidabili e che le leggi e i regolamenti in vigore sono osservati.
53
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Efficacia e limiti del modello
Efficacia e limiti dell’ERM
Sebbene l’ERM procuri importanti benefici esistono dei limiti dovuti a
possibili errori di giudizio quando si prendono decisioni gestionali,
all’impossibilità di proteggersi da tutti i rischi, anche perché il rapporto costibenefici diverrebbe gravoso, a errori umani che possono procurare danni
involontari, alla possibilità che i controlli siano aggirati da parte di due o più
persone in collusione e al management che può eludere le decisioni sulla
gestione dei rischi.
Queste limitazioni non consentono al management e al CdA di ottenere una
sicurezza assoluta sul conseguimento degli obiettivi aziendali.
54
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
RUOLI E RESPONSABILITA’
55
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Ruoli e responsabilità
Ruoli e responsabilità
Ogni persona, che opera in un’organizzazione, ha una certa responsabilità
nell’ERM.
Il CEO ne ha la responsabilità ultima e ne assume la paternità, il
management promuove la filosofia di gestione del rischio e l’osservanza del
livello di rischio accettabile, e gestisce i rischi nella sua sfera di responsabilità
in coerenza con i livelli di “tolleranza al rischio”.
Generalmente, il risk officer, il direttore finanziario, l’internal auditor
assolvono compiti chiave di supporto alla gestione del rischio, altre persone
svolgono invece compiti puramente esecutivi nella gestione del rischio in
conformità alle direttive e ai protocolli.
Il CdA svolge un ruolo importante di supervisione del processo di gestione
del rischio aziendale e contribuisce alla determinazione del livello di rischio
accettabile.
56
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Ruoli e responsabilità
Ruoli e responsabilità
Un certo numero di soggetti esterni, come i clienti, i fornitori, partner,
revisori esterni e analisti finanziari spesso forniscono informazioni utili per il
buon funzionamento del processo di gestione del rischio aziendale, ma essi
non rispondono della sua efficacia, ne fanno parte del processo.
57
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO
INTERNO - SARBOX ACT
TECNICHE APPLICATIVE
58
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative
Uno dei primi problemi che il management deve fronteggiare per mettere in
pratica gli elementi specifici del modello di gestione del rischio aziendale,
riguarda l’approccio da adottare nella realizzazione del modello stesso in tutta
l’azienda.
La dimensione dell’azienda, la complessità dell’attività, il settore economico
di appartenenza, la cultura, lo stile manageriale e altri attributi influiscono sul
modo in cui i principi e i concetti del modello sono implementati.
Esistono un’ampia varietà di approcci e scelte disponibili, tuttavia esistono
criteri comuni a tutte le organizzazioni. In breve:
 Creazione del gruppo di lavoro. Il primo passo fondamentale è di
costituire un gruppo di lavoro a livello centrale, che includa i rappresentati
delle unità operative e delle funzioni di supporto chiave. Questo gruppo
deve acquisire una conoscenza approfondita dei componenti del modello,
dei concetti e dei principi dell’ERM.
59
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative (segue)

Sponsorizzazione da parte del Top Management. L’executive leadership deve
illustrare chiaramente, fin dall’inizio del progetto, i benefici dell’ERM e stabilire e
comunicare il “business case” ai fini dei relativi investimenti in risorse. Il CEO
deve supportare l’iniziativa e generalmente, almeno all’inizio, deve essere
coinvolto visibilmente e svolgere un ruolo di guida per realizzare con successo il
progetto.

Sviluppo del piano di implementazione. Viene elaborato un piano iniziale per
prevedere le azioni da intraprendere, che indica le fasi chiave del progetto, include
le scadenze del lavoro, gli obiettivi intermedi, le risorse da impiegare, la tempistica
e le responsabilità.

Valutazione della situazione corrente. Consiste in una valutazione di come i
componenti della gestione del rischio aziendale, i concetti e i principi sono
applicati, in tutta l’azienda. Generalmente consiste nell’accertare se la filosofia
della gestione del rischio si sia evoluta all’interno dell’organizzazione e nello
stabilire se c’è una mutua comprensione del rischio accettabile dell’azienda.
60
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative (segue)
 La visione dell’ERM. Il gruppo di lavoro elabora la visione che indica i
modi in cui sarà messo in atto l’ERM e come sarà integrato
nell’organizzazione per conseguire i suoi obiettivi.
 Sviluppo delle capacità. La valutazione della situazione corrente e la
visione dell’ERM forniscono informazioni necessarie per determinare le
capacità attuali nell’ambito delle persone, della tecnologia e dei processi
già in essere e funzionanti, come pure le nuove capacità che bisogna
sviluppare.
 Piano di implementazione. Il piano iniziale è aggiornato e migliorato,
aggiungendo approfondimenti e ampliamenti, includendo ulteriori
valutazioni, progettazioni e sviluppi. Altre responsabilità sono definite e il
sistema di project management perfezionato secondo le necessità.
61
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Tecniche applicative
Tecniche applicative (segue)
 Gestione del cambiamento. Sono sviluppati interventi, secondo le
necessità, per implementare e sostenere la visione dell’ERM e le risorse
necessarie, inclusi i piani di sviluppo, le sessioni di formazione, il
rafforzamento dei meccanismi premianti e il monitoraggio di ciò che
rimane del processo di implementazione.
 Monitoraggio. Il management esaminerà di continuo e rafforzerà le risorse
destinate alla gestione del rischio come parte del suo processo
manageriale.
62
Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di
supporto e scelte organizzative – Conclusioni
Parallelo tra ERM e modello tradizionale di sistema di controllo interno
ERM
Ambiente interno
D.Lgs. 231 e linee guida
•
•
•
•
Codice etico con riferimento ai reati considerati
Sistema disciplinare
Sistema organizzativo
Comunicazione e formazione del personale
Definizione degli obiettivi
Identificazione degli eventi
• Mappatura dei processi a rischio
Valutazione del rischio
• Elenco dei rischi potenziali per processo
Risposta al rischio
• Analisi del sistema dei controlli preventivi
Attività di controllo
• Sistema dei controlli preventivi
• Suddivisione dei compiti: poteri autorizzativi di firma
• Enfasi sui controlli dei processi di tesoreria (creazione
e impiego di fondi)
• Documentazione dei controlli
Informazioni e comunicazione
• Procedure manuali ed informatiche
Monitoraggio
• Sistema di controllo di gestione
• Organo di vigilanza
63