Il ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali Working Paper Protiviti Giugno 2014 Il presente Working Paper è proprietà di Protiviti Srl. I suoi contenuti non possono essere riprodotti, in tutto o in parte, o citati per la distribuzione senza il preventivo consenso scritto di Protiviti Srl. Seconda edizione di stampa: Luglio 2014 2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Indice Premessa 1 1 La centralità del Board in tema di gestione dei rischi secondo il Codice di Autodisciplina 5 2 Un quadro di riferimento per la determinazione della propensione al rischio aziendale 9 3 Un quadro di riferimento per l’esame dei rischi a cura del Board 15 3.1 Rischi connessi alla gestione ordinaria del business 16 3.2 Rischi connessi ai piani e alle iniziative strategiche sottoposte all’esame e approvazione del Board 20 3.3 Rischi catastrofici e “Black Swan” 23 4 Il ruolo del Risk Officer e dell’Internal Audit a supporto del sistema di gestione dei rischi 25 4.1 Il ruolo del Risk Officer 25 4.2 Il ruolo dell’Internal Audit 27 5 Alcune domande “chiave” per il Board 29 Premessa Non esiste rendimento senza rischio: qualsiasi azienda, nel perseguimento dei propri obiettivi, assume rischi. Ne consegue che il rischio, inteso come qualsiasi evento incerto in grado di influenzare il raggiungimento degli obiettivi aziendali, è un elemento imprescindibile del “fare impresa” e il suo presidio rappresenta parte integrante e fondamentale delle responsabilità manageriali di gestione del business. É, questa, una presa di consapevolezza che ha ispirato anche il Codice di Autodisciplina per le Società Quotate nelle sue più recenti raccomandazioni in materia di gestione dei rischi (edizione dicembre 2011). Si rafforza, così, la convinzione che l’assunzione consapevole dei rischi e la loro compatibilità con gli obiettivi perseguiti e i risultati attesi siano condizione necessaria ai fini della sostenibilità e continuità dell’impresa nel medio-lungo periodo. In altri termini, il sistema di gestione dei rischi raccomandato dal Codice di Autodisciplina deve consentire alle società di: comprendere i principali rischi e opportunità cui il business è esposto; stabilire il livello di rischio ritenuto accettabile e assumere conseguentemente decisioni di business coerenti con il profilo di rischio-rendimento atteso; adottare regole, procedure, presidi e strumenti di trattamento adeguati a mantenere il profilo di rischio entro i livelli di accettabilità definiti. Nell’ambito di tale sistema, il Consiglio di Amministrazione (di seguito anche “Board”), previo lavoro istruttorio del Comitato Controllo e Rischi e con il supporto dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, assume un ruolo centrale sia nella definizione del profilo di rischio accettabile, sia nella valutazione e nel monitoraggio dell’adeguatezza dei sistemi posti in essere per la gestione dei rischi. Le raccomandazioni del Codice di Autodisciplina rimangono, tuttavia, di alto livello e non forniscono indicazioni pratiche su come tali responsabilità dovrebbero in concreto essere espletate, lasciando così discrezionalità alle aziende nell’individuare il modello e l’approccio più consoni alle proprie caratteristiche. Alcune domande sono tuttavia, a nostro avviso, d’obbligo. Qual è il ruolo che il Board dovrebbe svolgere in sede di determinazione della propensione ai rischi aziendali e di esame del profilo di rischio assunto? Quali sono i rischi che il Board dovrebbe esaminare e gli strumenti di analisi che potrebbero essere messi a sua disposizione? Con quale frequenza il Board dovrebbe svolgere le proprie analisi e valutazioni? Quali soggetti potrebbero assistere il Board nell’espletamento delle responsabilità assegnate? É proprio da queste domande che è nata l’idea di sviluppare il presente contributo, con l’intento di fornire agli organi amministrativi e di controllo delle società quotate e, più in Il ruolo del Consiglio di Amministrazione nel governo dei rischi 1 generale, di qualsiasi realtà imprenditoriale che desideri allineare i propri sistemi alle best practice di governance, un quadro di riferimento pratico per un espletamento maggiormente consapevole delle responsabilità in materia di gestione dei rischi. Per un miglior inquadramento della presente pubblicazione, precisiamo che il lavoro non ha inteso affrontare tutti gli aspetti attinenti il “Sistema di controllo interno e di gestione dei rischi” di cui all’Art. 7 del Codice di Autodisciplina, bensì i passaggi più strettamente connessi alla “Gestione del rischio”, focalizzando l’attenzione sui possibili contributi che il Board potrebbe fornire in quest’ambito. Al riguardo, il quadro di riferimento proposto, che trae spunto sia da soluzioni avanzate di risk management osservate sul campo, sia da contributi forniti a livello internazionale da autorevoli organizzazioni1, tocca vari ambiti di interesse per il Board, fra i quali: il ruolo che l’organo amministrativo può svolgere nella determinazione della propensione al rischio aziendale (c.d. Risk Appetite); il ruolo e i contributi che può fornire in sede di esame e valutazione di: – rischi e opportunità2 connessi all’ordinaria gestione del business, il cui presidio rientra nelle responsabilità di gestione e controllo degli organi delegati e rispetto ai quali il Board dovrebbe svolgere un ruolo di supervisione; – rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti all’esame e approvazione del Board, per i quali quest’ultimo dovrebbe svolgere un ruolo attivo di challenge al fine di meglio valutare la robustezza dei piani e la compatibilità dei rischi sottostanti con gli obiettivi strategici in esso riflessi; – rischi catastrofici e “Black Swan”, per i quali il Board dovrebbe valutare il grado di resilienza aziendale e la capacità di risposta del Management in caso di accadimento degli stessi. La pubblicazione affronta altresì i temi relativi al diverso ruolo, alle responsabilità e ai compiti che possono essere attribuiti al Risk Officer (o figura analoga) e all’Internal Audit con riguardo ai sistemi di gestione dei rischi, a supporto dell’Amministratore incaricato e del Board. Consapevoli che non esiste una risposta univoca ai temi oggetto di approfondimento e che gli approcci e le soluzioni adottabili non possono prescindere dalle peculiarità organizzative, 1 2 “A framework of Board Oversight of Enterprise Risks”, The Canadian Institute of Chartered Accountants (2012). “ICGN Corporate Risk Oversight Guidelines”, International Corporate Governance Network (2010). “Effective Enterprise Risk Oversight. The role of the Board of Directors”, COSO (2009). Nel proseguo del documento, la parola “rischi” viene utilizzata nella sua accezione più ampia, ovvero di evento incerto che può produrre effetti negativi o positivi sugli obiettivi e sulle performance aziendali (in quest’ultimo caso, opportunità). 2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi culturali e di business di un’azienda (oltre che dagli eventuali vincoli normativi di settore3), spetta ai Vertici aziendali valutare quali prassi adottare e stabilire con quale livello di profondità e gradualità procedere nella loro attuazione. In conclusione, considerato che la disciplina del governo e della gestione dei rischi è ancora in una fase evolutiva e di sperimentazione pratica nelle aziende, con interpretazioni e percorsi spesso diversi fra loro, ci auguriamo che la presente pubblicazione rappresenti un utile contributo per riflessioni e azioni concrete sull’argomento e auspichiamo che la stessa possa essere in futuro arricchita sulla base delle ulteriori esperienze maturate nel contesto italiano e internazionale. Buona lettura. Emma Marcandalli Managing Director 3 Il riferimento è, in particolare, ai soggetti vigilati, per i quali si applicano, in materia di controllo interno e gestione dei rischi, le disposizioni stabilite dalle Autorità di Vigilanza. Queste ultime richiedono, ad esempio, l’istituzione di apposite strutture o ruoli aziendali deputati alla gestione dei rischi, quali il Chief Risk Officer, la funzione di Compliance, un Risk Committee, formato da Manager e incaricato di coadiuvare gli organi sociali nel processo di analisi dei rischi. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 3 Sez. 1 La centralità del Board in tema di gestione dei rischi secondo il Codice di Autodisciplina L’ultima edizione del Codice di Autodisciplina ha rafforzato i concetti connessi alla gestione dei rischi, disciplinando le responsabilità in capo al Consiglio di Amministrazione negli Articoli 1 e 7 di seguito richiamati. Rif. Codice Raccomandazione Art. 1, criterio applicativo 1.C.1, lettere a) e b) Esamina e approva i piani strategici, industriali e finanziari dell’emittente e del gruppo di cui esso sia a capo, monitorandone periodicamente l’attuazione. Definisce la natura e il livello di rischio compatibile con gli obiettivi strategici dell’emittente. Le responsabilità articolate nell’ambito del citato Articolo 1, Criterio Applicativo 1.C.1 sono focalizzate sui piani strategici, industriali e finanziari dell’emittente e del gruppo ad esso facente capo e sui rischi che potrebbero compromettere il raggiungimento degli obiettivi strategici. L’espletamento di tali responsabilità non può, pertanto, prescindere dall’identificazione e misurazione (“natura” e “livello”) dei principali rischi connessi ai piani sottoposti all’esame e approvazione del Consiglio e dalla valutazione della loro accettabilità (“compatibilità”) rispetto agli obiettivi strategici perseguiti (c.d. Risk Appetite). Se ne deduce che l’analisi dei principali fattori di rischio debba essere integrata nei processi di definizione degli obiettivi e delle strategie aziendali ed essere svolta dal Consiglio di Amministrazione contestualmente all’esame e approvazione dei piani e delle iniziative strategiche, al fine di contribuire all’assunzione di decisioni consapevoli e favorire l’adozione dei necessari presidi, rafforzando così la capacità aziendale di realizzare gli obiettivi prefissati. Al Consiglio di Amministrazione sono altresì assegnate le seguenti ulteriori responsabilità: Il ruolo del Consiglio di Amministrazione nel governo dei rischi 5 Rif. Codice Raccomandazione Art. 7, criterio applicativo 7.C.1, lettere a) e b) Definisce le linee di indirizzo del sistema (…) affinché i principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell’impresa coerente con gli obiettivi strategici individuati. Valuta l'adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell'impresa e al profilo di rischio assunto, nonché la sua efficacia. L’Articolo 7, facendo più genericamente riferimento ai “principali rischi afferenti all’emittente e alle sue controllate”, estende il perimetro d’esame a tutte le tipologie di rischio cui l’azienda è esposta, includendo, oltre ai rischi di natura strategica in grado di compromettere la realizzazione dei piani e delle iniziative di sviluppo del business, anche quelli di natura operativa che potrebbero, ad esempio, mettere in discussione la continuità e l’efficienza operativa, l’integrità e correttezza dei comportamenti, la reputazione aziendale, la completezza e trasparenza delle informazioni. La gestione dei rischi dovrebbe, inoltre, essere estesa anche a quelli meno probabili, ma potenzialmente catastrofici, in grado, in caso di accadimento, di compromettere seriamente la sostenibilità aziendale. Rispetto ai principali rischi cui l’azienda è esposta, al Board è richiesto di (i) definire le linee di indirizzo per la loro identificazione, misurazione, gestione e monitoraggio e (ii) valutare l’adeguatezza e l’efficacia complessiva dei sistemi di gestione e controllo implementati, tenuto conto delle caratteristiche dell’impresa e del profilo di rischio cui l’impresa è esposta. Da un punto di vista di governance, infine, per l’espletamento delle responsabilità in materia di gestione dei rischi, il Codice raccomanda che il Consiglio di Amministrazione si avvalga di: Rif. Codice Raccomandazione Art. 7, principio 7.P.3 Uno o più amministratori incaricati dell’istituzione e del mantenimento di un efficace sistema di controllo interno e di gestione dei rischi. Un Comitato Controllo e Rischi, con il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio relative al sistema di (…) gestione dei rischi. Gli altri ruoli e funzioni aziendali con specifici compiti in tema di (…) gestione dei rischi, articolati in relazione a dimensioni, complessità e profilo di rischio dell’impresa. Il responsabile della funzione di internal audit, incaricato di verificare che il sistema sia funzionante e adeguato. 6 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Le responsabilità in capo al Board presuppongono un lavoro preparatorio del Comitato Controllo e Rischi e possono essere espletate attraverso il supporto operativo dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, che rappresenta l’interlocutore principale del Consiglio nel dare corso alle attività di identificazione, misurazione, gestione e monitoraggio dei rischi. È consigliabile che l’ “Amministratore incaricato” coincida con l’ “Amministratore delegato”, al quale compete la responsabilità complessiva della gestione aziendale, ivi inclusi gli aspetti di governo e controllo dei rischi ad essa connessi. A sua volta, per l’elaborazione delle informazioni al Board, l’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi può coinvolgere il Management aziendale (c.d. “controllo di primo livello”) e può avvalersi, in relazione alla complessità organizzativa e del profilo di rischio assunto, di strutture di supporto totalmente dedicate (e.g. Risk Officer) o già esistenti, cui possono aggiungersi compiti di coordinamento e sintesi del processo di analisi, monitoraggio e reporting dei rischi (c.d. “controllo di secondo livello”). L’Internal Audit rappresenta, invece, la funzione aziendale deputata a verificare in via indipendente che il sistema di gestione dei rischi sia, nel suo complesso, adeguato e funzionante (c.d. “controllo di terzo livello”). Il ruolo del Consiglio di Amministrazione nel governo dei rischi 7 8 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Sez. 2 Un quadro di riferimento per la determinazione della propensione al rischio aziendale Cos’è il Risk Appetite Il Codice di Autodisciplina richiede che il Board definisca il grado di compatibilità della natura e del livello di rischio assunto con una gestione dell’impresa coerente con gli obiettivi strategici dell’emittente ovvero, in altre parole, che stabilisca la propensione al rischio aziendale (c.d. Risk Appetite). Il Risk Appetite rappresenta, dunque, la decisione top-down circa il grado di rischio che l’emittente è disposto ad assumere nel perseguire i propri obiettivi strategici: tale propensione potrebbe essere espressa sia come livello di variabilità degli obiettivi perseguiti, sia come vincoli e/o divieti volti ad indirizzare i comportamenti e le scelte del Management, con la finalità di allineare il profilo di rischio assunto (c.d. Risk Profile) alle priorità aziendali e alle aspettative degli Stakeholder. Definire il Risk Appetite non significa adempiere ad un mero esercizio di compliance; al contrario, significa dotarsi di uno strumento strategico di governo aziendale, legato ai processi di definizione e monitoraggio degli obiettivi e dei piani aziendali. La definizione della propensione al rischio, essendo per sua natura strategica, non può che essere una responsabilità degli amministratori dell’impresa. Da un punto di vista pratico, la propensione al rischio può essere espressa attraverso la definizione di livelli (o vincoli) riferiti ad indicatori quali-quantitativi rilevanti per l’azienda, quali (a titolo esemplificativo): parametri finanziari: EBIT o EBITDA, Free Cash Flow, Earning per Share, Debt Rating, Net Debt/Equity Ratio, ecc.; parametri strategici: concentrazione del portafoglio prodotti/mercati/clienti, prodotti ammessi e non, investimenti ammessi e non, requisiti di sustainability e responsabilità d’impresa, ecc.; parametri operativi: soddisfazione dei clienti/dipendenti/terze parti strategiche, continuità dei servizi offerti, saturazione degli impianti, dipendenza da terze parti, ecc.; parametri di compliance: requisiti di salute, sicurezza e ambiente, pratiche commerciali ammesse e non, ecc.; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 9 in relazione ai quali il Board potrebbe discutere e definire4: il livello massimo di rischio assumibile (Risk Capacity), ovvero che l’emittente è in grado di assumere senza incorrere in situazioni di crisi, fallimento o mancato rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza (laddove esistenti); il livello di rischio “obiettivo” (Risk Target), ovvero che l’emittente intende assumere per il raggiungimento dei propri obiettivi strategici, tenuto conto delle dimensioni e della complessità organizzativa e del modello di business adottati; la soglia di rischio tollerata (Risk Tolerance), intesa quale deviazione massima consentita dal livello di rischio “obiettivo”, che dovrebbe poi guidare la definizione di limiti di rischio più puntuali e delle correlate procedure di escalation in caso di superamento. Al fine di incrementare l’efficacia del Risk Appetite e della compatibilità con il profilo di rischio assunto, i livelli di Risk Capacity, Tolerance e Target dovrebbero essere definiti sulle stesse metriche/indicatori chiave per l’azienda, che solitamente coincidono con le metriche di valutazione degli eventi di rischio. Ruolo e contributo del Board Il Risk Appetite dovrebbe essere discusso e definito dal Board a livello complessivo d’azienda, per poi essere declinato, a cura del Management, a livelli di maggior dettaglio (e.g., di unità organizzativa, di business unit, di area geografica, ecc.), coerentemente con gli obiettivi perseguiti e il modello organizzativo e di business adottato dall’azienda. In particolare, come approfondito nella successiva Sezione 3, il Board potrebbe discutere e definire il Risk Appetite aziendale in sede di: esame e approvazione dei piani strategici, finanziari e industriali dell’emittente, al fine di: ‒ fornire gli indirizzi sui livelli di rischio ritenuti accettabili, da aggiornare in sede di monitoraggio dei piani medesimi in ipotesi di cambiamenti significativi del contesto esterno e/o interno; ‒ verificare la coerenza degli obiettivi e delle strategie delineate nei piani con i livelli di rischio ritenuti accettabili; approvazione di specifiche linee di indirizzo ovvero politiche di gestione dei rischi significativi per l’emittente, al fine di assicurare: ‒ l’esistenza, ove necessario, di limiti o vincoli all’assunzione dei rischi; ‒ l’esistenza di processi di gestione e controllo strutturati; 4 Le definizioni dei vari livelli di Risk Appetite riportate nel presente documento si ispirano a quelle fornite da Banca d’Italia nella Circolare “Nuove disposizioni di vigilanza prudenziale per le banche”, aggiornata il 2 luglio 2013. 10 Il ruolo del Consiglio di Amministrazione nel governo dei rischi ‒ l’adeguatezza delle deleghe al Management; ‒ l’adeguatezza delle funzioni/risorse dedicate. Il Board dovrebbe altresì verificare periodicamente, con il supporto del Management e delle funzioni a ciò preposte: la coerenza fra il profilo di rischio effettivamente assunto in un dato istante temporale e le soglie di accettabilità definite a livello top-down e nell’ambito delle politiche di rischio approvate; la coerenza delle politiche di remunerazione del Management rispetto alla propensione al rischio definita dal Board; l’integrazione degli indirizzi/limiti fissati nei criteri di valutazione del Management per la determinazione della componente variabile; l’esistenza e l’efficacia di un processo di comunicazione degli indirizzi e dei limiti di rischio a tutti i livelli organizzativi. Ruolo e contributo degli altri attori del sistema Spetta, invece, all’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, anche con il supporto del Risk Officer (o figure analoghe, come meglio esplicitato alla successiva Sezione 4) e/o di Comitati Esecutivi o altri Comitati all’uopo istituiti (e.g., Comitato di Risk Management), il compito di: fornire al Board le informazioni sulla natura e sul livello di rischio cui l’emittente e le sue controllate sono esposti nel perseguimento degli obiettivi e nell’esercizio del business (e.g., in sede di presentazione dei piani aziendali ovvero in altro momento con riguardo ai rischi tipici e ricorrenti per il business, come meglio descritto alla successiva Sezione 3); stabilire i limiti operativi all’assunzione delle varie tipologie di rischio in coerenza con il Risk Appetite definito dal Board; assicurare la coerenza fra il livello di rischio accettato, la pianificazione aziendale, le politiche di governo dei rischi e il processo di gestione dei rischi, tenendo in considerazione l’evoluzione delle condizioni interne ed esterne in cui opera l’azienda e la sua complessità organizzativa e di business; implementare processi per il monitoraggio del rispetto degli indirizzi e dei limiti fissati. Approfondimenti ed esemplificazioni Si riportano di seguito alcuni approfondimenti e considerazioni pratiche sui livelli di rischio che potrebbero essere discussi e determinati in sede consiliare e, successivamente, declinati dal Management. Il quadro di riferimento nel seguito rappresentato si ispira alle disposizioni di Banca d’Italia in materia di Sistema dei Controlli Interni (Circolare n. 263 del 27 dicembre 2006, aggiornata Il ruolo del Consiglio di Amministrazione nel governo dei rischi 11 il 2 luglio 2013), applicabili agli istituti bancari. La sua estensione a settori non bancari non esclude, pertanto, possibili adattamenti o semplificazioni di taluni concetti. Impatto a Conto Economico Risk Tolerance Soglia di rischio tollerato Patrimonio Netto Cash Flow Risk Capacity Massimo livello di rischio sopportabile coerentemente con gli obiettivi perseguiti e i vincoli normativi Risk Target “Area” di rischio “obiettivo” Reputazione Risk Capacity È il livello massimo di rischio che un’azienda è in grado di assumere nell’esercizio del proprio business senza incorrere in situazioni di crisi, fallimento o mancato rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza. In linea generale, tanto più elevata è la capacità aziendale di auto-finanziarsi, ricapitalizzarsi o ricorrere a fonti di finanziamento esterno, tanto maggiore sarà la sua capacità di assumere rischi (e.g., sopportare eventi catastrofici, perdere commesse o clienti strategici, perdere quote di mercato, ecc.). Tale soglia può essere espressa in termini quantitativi o qualitativi a livello complessivo d’azienda. Ad esempio: ‒ livello massimo di indebitamento che un’organizzazione è in grado di sopportare; ‒ livello minimo di redditività che un’organizzazione è in grado di sostenere nel breve, medio e lungo; ‒ livello massimo di downgrade del rating del titolo/merito di credito sopportabile; ‒ livello minimo di adeguatezza del capitale regolamentare imposto dalle Autorità di Vigilanza; 12 Il ruolo del Consiglio di Amministrazione nel governo dei rischi ‒ situazioni di non conformità o altri eventi di natura endogena che, in caso di accadimento, possono compromettere la continuità aziendale e/o la sostenibilità dell’organizzazione nel medio-lungo termine. La soglia di Risk Capacity è dinamica, in quanto può essere influenzata da diversi fattori, quali la situazione economica globale, la situazione dei mercati finanziari, gli outlook di settore o societari, cambiamenti nel modello di business, ecc. Risk Tolerance Riflette il livello massimo di rischio che un’azienda è disposta a tollerare - ovvero non intende superare - nel perseguimento dei propri obiettivi (e.g., limiti minimi di risultati positivi ovvero massimi di risultati negativi). Tale soglia dovrebbe essere discussa e delineata: ‒ in sede di pianificazione strategica e operativa, con l’obiettivo di indirizzare le strategie di medio-lungo termine dell’emittente (e.g., individuazione di iniziative di investimento in linea con livelli di rischio tollerato); ‒ in sede di definizione delle modalità di governo e controllo dei principali rischi cui il business è esposto (e.g., approvazione di specifiche politiche di gestione del rischio/compliance con esplicitazione dei limiti operativi entro cui il Management deve operare ovvero dei divieti comportamentali o di assunzione di rischio). Può essere declinata a vari livelli di operatività (e.g., di gruppo, di tipologia di rischio, di business unit/prodotto, di area geografica/Paese, ecc.) in relazione alle finalità (di indirizzo strategico versus controllo operativo delle operazioni aziendali) e alla complessità aziendale. In caso di declinazione su più livelli, è necessario assicurare coerenza fra gli stessi. Può essere espressa attraverso più parametri quantitativi o qualitativi, in relazione agli obiettivi perseguiti. Ad esempio: ‒ livello minimo di marginalità operativa che si è disposti a tollerare o di cash flow necessario per sostenere gli impegni di investimento dichiarati; ‒ livello massimo di capitale da investire in nuove iniziative; ‒ livello minimo di quota di mercato tollerato; ‒ tipologia di clienti, prodotti, mercati ammessi; ‒ livello massimo di concentrazione/dipendenza da clienti, prodotti, mercati, ecc.; ‒ aree geografiche nelle quali o con le quali non si intende operare (e.g., Paesi inclusi nelle Black List internazionali). La Risk Tolerance dovrebbe essere definita tenendo in considerazione: ‒ il contesto di riferimento; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 13 ‒ la maturità, stabilità, potenzialità di crescita del settore di business in cui l’azienda opera; ‒ il posizionamento dell’azienda nell’Industry di riferimento; ‒ le aspettative degli Stakeholder; ‒ il livello di maturità dei processi e degli strumenti di risk management adottati. Risk Target Riflette il livello ottimale di rischio cui un’azienda vuole tendere nel perseguimento degli obiettivi e rendimenti desiderati, in un’ottica, quindi, di ottimale bilanciamento rischio-rendimento. Si tratta normalmente di una soglia inferiore (e quindi più prudente) rispetto alla Risk Tolerance, in quanto riflette il “margine di sicurezza” che l’azienda intende tenersi rispetto ai livelli massimi di rischio tollerati. Per la sua definizione, occorre tener presente sia i fattori già delineati per la Risk Tolerance, sia i rendimenti attesi, al fine di individuare il miglior bilanciamento rispetto ai rischi da assumere. I livelli di rischio “obiettivo” indirizzano le azioni tattiche del Management (e.g., di breve-medio periodo), al fine di realizzare le strategie e raggiungere gli obiettivi di lungo periodo. Risk Profile Rappresenta la natura e il livello di rischio assunto dall’organizzazione in un dato momento al netto dell’effetto delle contromisure in essere. Dovrebbe essere misurato in modo coerente con i limiti sopra delineati (ovvero rispetto alle metriche e ai parametri quali-quantitativi articolati per i limiti tollerati e i livelli target) ed essere rilevato: ‒ in sede di esame, approvazione e monitoraggio dei piani strategici, finanziari o industriali (focus sui rischi di contesto e di natura strategica), così come in sede di pianificazione operativa; ‒ secondo le diverse frequenze stabilite per il monitoraggio dei rischi operativi di natura ricorrente, tipici del settore di business in cui l’azienda opera (e.g., rischi commerciali, finanziari, industriali, di mercato, di compliance). Qualora il profilo di rischio assunto dovesse superare i limiti definiti, il Management dovrebbe valutare la revisione dei piani strategici in essere ovvero l’attivazione di piani di recovery o di mitigazione, al fine di riportare l’esposizione entro le soglie di accettabilità definite. 14 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Sez. 3 Un quadro di riferimento per l’esame dei rischi a cura del Board La determinazione della propensione al rischio aziendale in precedenza delineata richiede che il Board comprenda, valuti e monitori i rischi cui l’azienda è esposta nel perseguimento dei propri obiettivi. Al riguardo, per un espletamento maggiormente consapevole di tali compiti, si propone di seguito un quadro di riferimento che prevede l’esame da parte del Board dei seguenti ambiti: rischi e opportunità connessi alla gestione ordinaria/caratteristica del business; rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti all’esame e approvazione del Consiglio (i.e. piani strategici, industriali e finanziari, investimenti rilevanti, operazioni straordinarie); rischi catastrofici/di discontinuità che potrebbero creare situazioni di stress o crisi per l’azienda. Per ciascuno degli ambiti sopra delineati, i paragrafi che seguono forniscono alcuni spunti di riflessione con riguardo a: ruolo e contributo che il Board può fornire; tipologia di rischi da prendere in considerazione; frequenza/periodicità di valutazione a cura del Board; strumenti di analisi che il Board potrebbe avere a sua disposizione. Per gli aspetti metodologici e pratici più strettamente connessi alla valutazione di sintesi - da esprimere almeno annualmente a cura del Board - circa l’adeguatezza del sistema di controllo interno e gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto, si rinvia ad altre specifiche e autorevoli pubblicazioni5. 5 Si rinvia al documento “Amministratori e componenti del Comitato controllo e rischi: come valutare la governance in tema di rischi e di controlli” (febbraio 2013) curato da Carolyn Dittmeier e pubblicato da NedCommunity. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 15 3.1 Rischi connessi alla gestione ordinaria del business Ruolo e contributo del Board Le aziende sono esposte, nell’esercizio ordinario del proprio business, a varie tipologie di rischio tipiche del settore di appartenenza o connaturate al modello organizzativo e operativo prescelto. Tali rischi hanno natura ricorrente e, quando rilevanti, richiedono una gestione “nel continuo”, sistematica e strutturata: il loro presidio rientra tipicamente nelle responsabilità ordinarie del Management aziendale. Rispetto a tali rischi, il Board dovrebbe svolgere principalmente un ruolo di supervisione attraverso: ‒ la comprensione del profilo di rischio cui le attività di business sono esposte e il monitoraggio della sua evoluzione nel tempo; ‒ la valutazione della compatibilità del profilo di rischio assunto con gli obiettivi definiti e le caratteristiche dell’impresa; ‒ l’esame e la valutazione di adeguatezza dei sistemi posti in essere per la gestione dei rischi significativi (e.g., regole, limiti, politiche e procedure, presidi organizzativi, strumenti di trattamento); ‒ la formulazione di richieste di interventi correttivi o migliorativi in presenza di profili di rischio ritenuti non accettabili o non in linea con la propensione al rischio definita e gli obiettivi da raggiungere. Tale esame dovrebbe tener conto, fra l’altro, del grado d’integrazione delle attività di identificazione, valutazione e gestione dei rischi nei processi di business critici per l’assunzione di decisioni aziendali (e.g., acquisizione di nuovi clienti, lancio di nuovi prodotti, selezione e valutazione dei fornitori strategici), nonché nei processi di gestione della compliance a normative interne o esterne. In aggiunta a ciò, il Board potrebbe essere chiamato ad esaminare e approvare le politiche di gestione con riguardo ai rischi rilevanti per il business, contribuendo così a definire le regole di governo e controllo degli stessi, ivi incluse le soglie di accettabilità e i connessi processi di escalation in caso di superamento delle stesse. Tipologia di rischi da analizzare La mappatura dei rischi significativi connessi alla gestione ordinaria del business potrebbe essere guidata dalla preliminare comprensione (i) dei fattori critici di successo per il business e (ii) della struttura organizzativa e dei processi aziendali adottata dall’azienda. Tali rischi potrebbero includere, a titolo esemplificativo: ‒ Rischi caratteristici del settore di business e dei mercati in cui l’azienda opera (e.g., trend della domanda, azioni dei concorrenti, modifiche del contesto normativo di riferimento, instabilità dei Paesi di provenienza dei fattori 16 Il ruolo del Consiglio di Amministrazione nel governo dei rischi produttivi o di sbocco dei prodotti/servizi, volatilità dei prezzi dei fattori produttivi e delle commodity). ‒ Rischi industriali (e.g., vincoli di capacità produttiva, interruzioni del business, disponibilità e qualità dei fattori produttivi, affidabilità delle forniture, tutela degli asset, sicurezza sui luoghi di lavoro, tutela dell’ambiente, qualità e sicurezza dei prodotti). ‒ Rischi commerciali (e.g., dipendenza da pochi clienti o mercati, insoddisfazione dei clienti, concentrazione del portafoglio prodotti o servizi, inadeguatezza delle politiche di pricing). ‒ Rischi finanziari (e.g., volatilità dei tassi di interesse, instabilità dei cambi, rischio credito, rischio liquidità, rischio controparti). ‒ Rischi legali (e.g., impegni e vincoli contrattuali, responsabilità da prodotto, altri rischi di contenzioso). ‒ Rischi connessi ai sistemi informativi (e.g., disponibilità e integrità dei dati e delle informazioni, sicurezza dei sistemi IT, allineamento dei sistemi IT alle esigenze di business). ‒ Rischi di non conformità a leggi e regolamenti esterni ovvero a politiche interne (e.g., responsabilità amministrativa degli enti, legge sulla privacy, Antitrust, normativa del lavoro, normativa fiscale, regolamenti delle Autorità di Vigilanza, altre normative di settore, etica e integrità dei comportamenti, frodi, infedeltà). ‒ Rischi legati all’organizzazione e alla gestione delle risorse umane (e.g., disponibilità di risorse e competenze adeguate, capacità di trattenere le risorse chiave, leadership del Management, adeguatezza del sistema di deleghe e poteri, allineamento tra strategie e organizzazione, comunicazione interna). ‒ Rischi di reporting (e.g., completezza, tempestività e correttezza dell’informativa finanziaria, rilevanza e disponibilità dell’informativa gestionale). ‒ Altri rischi di natura reputazionale. La gestione dei rischi sopra elencati avviene normalmente attraverso l’adozione di strumenti di prevenzione, trasferimento e/o mitigazione quali, ad esempio, policy, procedure operative, controlli automatici o manuali, livelli autorizzativi, segregazione delle funzioni, strumenti di copertura, programmi/coperture assicurative, tutele contrattuali, condivisione del rischio con terze parti, programmi di sensibilizzazione e formazione del personale. Aspetti da considerare nell’analisi Per la comprensione del profilo di rischio connesso alla gestione ordinaria del business, il Board potrebbe periodicamente prendere in esame le seguenti informazioni (basate su stime judgmental del Management oppure su analisi di dati, storici o prospettici, disponibili a livello aziendale o di settore): Il ruolo del Consiglio di Amministrazione nel governo dei rischi 17 ‒ il livello di esposizione as is ai rischi identificati, in termini di (i) probabilità di accadimento su un orizzonte temporale rilevante per il business e (ii) impatti di natura economico-finanziaria, operativa o reputazionale6 secondo scale di valutazione quali-quantitative ovvero, laddove applicabili, tecniche quantitative più sofisticate (e.g., calcolo del VaR); ‒ la loro evoluzione nel tempo, ponendo particolare attenzione agli andamenti eccezionali o non ordinari accaduti nel passato (internamente o in contesti analoghi); ‒ le interrelazioni significative fra i rischi oggetto di analisi; ‒ altre caratteristiche del rischio utili alla comprensione della gravità dell’esposizione, come la “velocità” di manifestazione degli effetti in caso di accadimento, la loro persistenza nel tempo, la velocità di reazione del Management. Nel valutare, invece, il grado di compatibilità del profilo di rischio assunto con gli obiettivi aziendali definiti e l’adeguatezza dei sistemi di gestione adottati, il Board dovrebbe esaminare: ‒ il grado di accettabilità dell’esposizione ai rischi identificati e le conseguenti strategie di gestione (e.g. evitare, trasferire, ridurre, accettare, monitorare); ‒ la coerenza delle politiche, degli strumenti e dei presidi di gestione adottati con le strategie di risk management definite e la loro effettiva capacità di ridurre l’esposizione ai livelli ritenuti accettabili (anche sulla base delle evidenze fornite dall’Internal Audit); ‒ gli ulteriori piani di risk mitigation necessari per raggiungere i livelli di rischio desiderati, corredati di indicazioni su responsabilità e tempi di attuazione, oltre che sui costi necessari per la loro attuazione e i benefici attesi in termini di riduzione dell’esposizione. Per il monitoraggio nel continuo dei rischi maggiormente significativi, il Board potrebbe essere altresì informato sull’andamento di indicatori ritenuti rilevanti per comprendere l’evoluzione del livello di rischio cui il business è esposto. Periodicità/frequenza dell’analisi 6 L’analisi dei rischi in oggetto e dei relativi sistemi di risk management dovrebbe essere svolta dal Board: Il livello di esposizione al rischio può essere valutato al lordo (c.d. “rischio inerente”) o al netto (c.d. “rischio residuo”) delle mitigazioni esistenti. Sulla base dell’esperienza maturata, per i rischi di natura operativa risulta particolarmente difficile e aleatorio valutare l’esposizione al lordo dei fattori di mitigazione esistenti. Si suggerisce, pertanto, di focalizzare gli sforzi di analisi sull’esposizione residua, sul livello di accettabilità e sulle eventuali ulteriori azioni di trattamento da porre in essere per ridurre l’esposizione a livelli accettabili. 18 Il ruolo del Consiglio di Amministrazione nel governo dei rischi ‒ almeno una volta l’anno (con eventuale aggiornamento semestrale), per supportare la valutazione di adeguatezza del sistema di controllo interno e gestione dei rischi; ‒ con frequenza maggiore, per i rischi ricorrenti particolarmente critici per il business (e.g., rischi di credito, liquidità, cambio, commodity, salute e sicurezza sui luoghi di lavoro, ecc.); ‒ tempestivamente, in caso di situazioni/andamenti anomali o superamento delle soglie di accettabilità definite. Strumenti a supporto dell’analisi Esistono diversi strumenti di analisi che possono supportare il Board nella valutazione e nel monitoraggio dei rischi (e relativi presidi) connessi alla gestione ordinaria del business. Questi possono variare in relazione alla tipologia di rischio oggetto di analisi e possono spaziare da: ‒ Risk/Heat Map e Risk Mitigation Plan. ‒ Dashboard di indicatori di rischio (c.d. KRI) e relativi trend (e.g., evoluzione nel tempo, livello di esposizione rispetto alle soglie di accettabilità definite). ‒ Strumenti di analisi quantitativa di specifici rischi finanziari od operativi. ‒ Survey interne o esterne. ‒ Benchmark con peer/competitor. ‒ Report predisposti da strutture di compliance o risk management o da altre funzioni di controllo (e.g., report predisposti dal Controllo di Gestione o dall’Internal Audit). Qualunque sia lo strumento utilizzato, è buona prassi che le attività di analisi e monitoraggio dei rischi connessi alla gestione operativa del business siano integrati nei processi aziendali critici, al fine di supportare, in via continuativa e sistematica, l’assunzione di decisioni consapevoli e di garantire la ragionevole prevenzione di eventi indesiderati ovvero l’adeguata mitigazione dei relativi impatti in caso di accadimento. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 19 3.2 Rischi connessi ai piani e alle iniziative strategiche sottoposte all’esame e approvazione del Board Ruolo e contributo del Board Oltre ai rischi riconducibili all’ordinaria operatività del business, è auspicabile che, in sede di esame e approvazione dei piani e delle iniziative di sviluppo strategico (e.g. Business Plan, investimenti rilevanti, operazioni straordinarie), il Board discuta i principali rischi e opportunità ad essi connessi, al fine di valutare: ‒ la robustezza delle assunzioni alla base dei piani oggetto di esame e approvazione; ‒ il grado di vulnerabilità degli obiettivi e delle strategie di medio-lungo termine; ‒ l’eventuale grado di resilienza dei piani a fronte di (i) cambiamenti significativi nelle assunzioni di base o (ii) accadimento di situazioni di rischio rilevanti, in relazione alle capacità di risposta del Management; ‒ il grado di bilanciamento fra rischi e rendimenti attesi e la coerenza degli obiettivi e delle strategie delineate nei piani con i livelli di rischio ritenuti accettabili. A tal fine, il Board dovrebbe svolgere un ruolo di challenger, facendosi parte attiva nel: ‒ richiedere che i piani sottoposti al suo esame: esplicitino le assunzioni alla base dello sviluppo dei target e delle strategie di medio-lungo termine; evidenzino i principali rischi sottostanti il piano e i relativi impatti, illustrando, per le esposizioni maggiormente significative, le strategie alternative o gli interventi di recovery per mettere in sicurezza il piano in caso di accadimento; indichino le modalità e gli strumenti in essere per il monitoraggio dell’evoluzione dei rischi sull’orizzonte temporale di piano; ‒ fornire indirizzi circa il grado di accettabilità dei rischi di piano, tenuto conto degli obiettivi dichiarati e dei target attesi; ‒ sollecitare eventuali ripensamenti su obiettivi e strategie di piano o, in alternativa, la definizione di piani di trattamento a fronte di esposizioni ritenute non accettabili in relazione ai rendimenti attesi. Tipologia di rischi da analizzare In base all’esperienza maturata, l’analisi dei rischi in oggetto è guidata dalle assunzioni di piano, dai target economico-finanziari che il Management intende raggiungere e dalle iniziative strategiche sottostanti. 20 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Rispetto a tali driver di analisi, i rischi e le opportunità possono essere in linea generale ricondotti sia a variabili di contesto esterno e a rischi emergenti, che potrebbero modificare le assunzioni e gli scenari alla base dei piani mettendo così in discussione la validità degli indirizzi strategici sottostanti, sia a vulnerabilità e fattori di rischio interni, che potrebbero ostacolare la realizzazione delle iniziative strategiche pianificate. La loro corretta identificazione, valutazione e gestione può rappresentare per l’impresa un vantaggio competitivo nel medio-lungo termine. Pur potendo richiamare, in astratto, le tipologie di rischio rilevanti per la gestione ordinaria del business (di cui al precedente paragrafo 3.1), l’esperienza maturata sul campo ha evidenziato che la risk analysis guidata dal piano mette spesso in rilievo rischi diversi da quelli connessi alla gestione ordinaria del business, quali, a titolo esemplificativo: ‒ Rischi connessi al contesto (macro)economico esterno, che possono modificare le assunzioni alla base dei piani predisposti (e.g., situazioni di crisi o instabilità economico-sociale nelle aree geografiche “chiave” per l’azienda e conseguenti impatti su andamento del PIL, dell’inflazione, delle valute, del prezzo dei fattori produttivi, ecc.). ‒ Rischi emergenti connessi ai settori di business in cui l’azienda opera (e.g., possibili significativi mutamenti nella domanda e nell’offerta, introduzione di nuove normative, introduzione di nuove tecnologiche nell’arco dell’orizzonte di piano). ‒ Rischi emergenti connessi ai mercati finanziari (e.g., difficoltà a mantenere l’equilibrio finanziario desiderato o ad accedere alle fonti di finanziamento necessarie a sostenere il piano, aumento imprevisto del costo del capitale di debito nell’arco dell’orizzonte di piano). ‒ Rischi connessi all’esecuzione delle iniziative strategiche (e.g., legati all’indisponibilità delle risorse e competenze necessarie, all’inaffidabilità di controparti strategiche, alla lievitazione dei costi di realizzazione, al ritardo nei tempi di realizzazione, al disallineamento fra strutture organizzative e strategie definite, al disallineamento con le aspettative degli Stakeholder). ‒ Altri rischi di natura strategica strettamente connessi al modello di business prescelto (e.g., fallimento di partner, clienti od outsourcer strategici da cui può dipendere lo sviluppo e la crescita futura della società). L’identificazione e analisi dei rischi e delle opportunità dovrebbe essere svolta dal Management in sede di sviluppo del piano ed essere presentata al Board congiuntamente ai piani oggetto di esame e approvazione. Aspetti da considerare nell’analisi Si rinvia a quanto già commentato per i rischi connessi alla gestione ordinaria del business (paragrafo 3.1), con le peculiarità di seguito sintetizzate. ‒ Con riguardo all’esposizione: Il ruolo del Consiglio di Amministrazione nel governo dei rischi 21 la stima della probabilità di accadimento è normalmente ricondotta all’orizzonte temporale di piano; gli effetti dei rischi possono essere quantificati in termini di impatto sui target economico-finanziari di piano7 (cumulati o per singolo anno di piano), applicando tecniche di quantificazione deterministiche (analisi di scenario) o stocastiche (simulazioni Montecarlo) volte a calcolare il grado di variabilità complessiva dei target di piano derivante dal possibile accadimento dei rischi identificati; è auspicabile comprendere i principali fenomeni di correlazione fra gli eventi di rischio oggetto di quantificazione. ‒ Successivamente alla comprensione del profilo di rischio di piano, il Board dovrebbe (i) discutere il livello di accettabilità dei rischi cui il piano è esposto, (ii) fornire gli indirizzi sulla propensione al rischio complessiva rispetto agli obiettivi strategici perseguiti e (iii) verificare la compatibilità di questi ultimi con la propensione al rischio definita. ‒ Infine, nel corso dell’esame del piano, il Board dovrebbe accertarsi che il Management (i) abbia elaborato strategie alternative o piani di recovery per mettere “in sicurezza” il piano in caso di accadimento dei rischi identificati e (ii) disponga di strumenti e risorse adeguati per il monitoraggio dell’evoluzione dei rischi di piano (sia emergenti, sia esistenti). Periodicità/frequenza dell’analisi L’analisi dei rischi e delle opportunità di piano dovrebbe essere svolta dal Board tutte le volte che l’Amministratore delegato sottopone al suo esame e approvazione un piano industriale, strategico, finanziario ovvero un Business Plan d’investimento o di altra iniziativa di natura strategica. L’analisi potrebbe, quindi, essere ripetuta in sede di monitoraggio periodico dello stato di avanzamento del piano ovvero in ipotesi di cambiamenti significativi di contesto esterno o interno. Strumenti a supporto dell’analisi Gli strumenti di analisi dei rischi che possono essere messi a disposizione del Board in sede di esame e approvazione dei piani includono: ‒ Risk/Heat Map elaborate tenuto conto dei key value driver di piano. ‒ Stima della variabilità dei risultati di piano riconducibile ai rischi e alle opportunità identificati, calcolata attraverso modelli deterministici o stocastici. ‒ Analisi di stress su specifici scenari di rischio. 7 Senza considerare ulteriori risposte che il Management potrebbe mettere in atto per mitigare l’esposizione. 22 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Qualunque sia lo strumento utilizzato, è auspicabile che l’analisi dei principali rischi sia integrata nei piani aziendali e presentata al Board contestualmente all’approvazione dei medesimi. 3.3 Rischi catastrofici e “Black Swan” Ruolo e contributo del Board Le aziende possono essere esposte ad eventi di rischio caratterizzati da probabilità di accadimento remota, ma impatto (operativo, economico e/o reputazionale) potenzialmente catastrofico, rispetto ai quali è auspicabile che l’azienda sia in grado di resistere e di reagire attraverso strategie alternative di business, strumenti di copertura, programmi assicurativi, piani di disaster recovery e crisis management. Ancorché si tratti di situazioni di discontinuità per loro natura remote, il Board dovrebbe essere: ‒ consapevole del grado di vulnerabilità dell’azienda in caso di accadimento di eventi eccezionali e/o di natura catastrofica; ‒ in grado di valutare il livello di resilienza e la capacità di reazione del Management, in termini di esistenza e adeguatezza delle strategie e degli strumenti di risposta o recovery attivabili in caso di accadimento. A tale scopo, il Board potrebbe richiedere al Management di presentare, periodicamente o quando se ne presenti l’esigenza, analisi di scenari di stress, al fine di identificare i principali elementi di vulnerabilità del business e le strategie di risposta perseguibili. Tipologia di rischi da analizzare Esempi di tali tipologie di rischio possono includere: ‒ forti crisi o collassi di sistema o dei mercati rilevanti per l’azienda; ‒ forti instabilità politico-sociali nei mercati da cui l’azienda dipende; ‒ guerre/attacchi terroristici; ‒ disastri naturali; ‒ incidenti con effetti catastrofici su salute e sicurezza delle persone e dell’ambiente circostante; ‒ accadimento contestuale di più eventi fra loro correlati, tali da produrre effetti catastrofici per l’azienda. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 23 Aspetti da considerare nell’analisi Oltre a quanto già commentato con riferimento ai rischi connessi alla gestione ordinaria del business, per i rischi di natura catastrofica diventa particolarmente rilevante esaminare: ‒ situazioni di concentrazione o dipendenza particolarmente critiche per il business (e.g., mercati, clienti, prodotti, finanziatori, siti produttivi, canali distributivi), in grado di esporre l’azienda a impatti molto significativi in caso di accadimento di eventi catastrofici; ‒ tipologia e gravità delle possibili conseguenze in caso di accadimento di eventi catastrofici (e.g., costi da sostenere per risarcimento danni, possibili class action, costi da sostenere per la messa in sicurezza di asset e/o risorse aziendali); ‒ adeguatezza delle contromisure e/o del capitale necessari a far fronte all’emergenza. Periodicità/frequenza dell’analisi Il Board potrebbe richiedere analisi specifiche a fronte di rischi di discontinuità. Le analisi in oggetto potrebbero, ad esempio, essere svolte dal Board: ‒ “ad hoc”, a fronte di: previsione di possibili discontinuità significative nel contesto esterno di mercato; cambiamenti rilevanti nel modello di business adottato dall’azienda; lancio di nuove iniziative rilevanti per il business (e.g., ingresso in nuovi business, ingresso in nuovi mercati, apertura di nuovi plant); momenti di discontinuità, tensione o squilibrio finanziario significativi per il gruppo; ‒ tempestivamente, in caso di accadimento di un evento catastrofico. Strumenti a supporto dell’analisi A supporto dell’analisi di situazioni di possibili crisi e quando se ne ravveda la necessità, il Board potrebbe richiedere al Management l’esecuzione e presentazione di: ‒ Business Continuity Assessment. ‒ Stress Test sulla tenuta patrimoniale e di redditività al verificarsi di situazioni di rischio catastrofiche. 24 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Sez. 4 Il ruolo del Risk Officer e dell’Internal Audit nel sistema di gestione dei rischi 4.1 Il ruolo del Risk Officer In relazione alla complessità organizzativa e al profilo di rischio aziendale, il presidio continuativo dei processi di analisi, aggregazione e reporting dei rischi potrebbe rendere opportuna l’istituzione di una figura o struttura dedicata (Risk Officer) non direttamente coinvolta nel business e diversa dalla funzione di Internal Audit, che dovrebbe rappresentare il braccio operativo dell’Amministratore delegato/incaricato nell’espletamento delle proprie responsabilità in tema di istituzione e mantenimento del sistema di gestione dei rischi, contribuendo alla diffusione della cultura del rischio nell’organizzazione e portando contestualmente un punto di vista “obiettivo” sul profilo di rischio aziendale e sull’efficacia delle azioni/contromisure intraprese. Il ruolo assegnato a tale figura/struttura potrebbe essere di natura consultiva (valutare, raccomandare e coordinare), decisionale e/o gestionale (approvare e/o eseguire) ovvero un mix di entrambi i ruoli, in relazione alle specificità delle aree di rischio considerate nel perimetro del sistema di Risk Management definito dall’emittente. In realtà aziendali meno complesse, il ruolo sopra delineato potrebbe essere attribuito a funzioni aziendali già esistenti nell’ambito dell’organizzazione (e.g., Pianificazione Strategica, Controllo di Gestione, Insurance Risk Manager, Sustainability Officer), previa verifica della compatibilità dei nuovi compiti con quelli già svolti e della presenza delle necessarie competenze, risorse e strumenti di lavoro. Più in dettaglio, al Risk Officer potrebbero essere attribuiti i seguenti compiti: Creare e diffondere all’interno dell’organizzazione una cultura orientata al rischio, basata su una visione condivisa e trasparente dei rischi e delle responsabilità di Risk Management. Definire, aggiornare e diffondere processi, metodologie, competenze, strumenti e tecniche di gestione dei rischi: ‒ sviluppare metodi e strumenti per la raccolta, analisi e condivisione dei dati e delle informazioni sui principali rischi cui l’azienda è esposta e sull’efficacia delle strategie e azioni di risposta definite; ‒ proporre le linee guida/politiche di gestione del sistema di Risk Management, sottoponendole all’approvazione dei Vertici aziendali; ‒ proporre o validare metodologie e modelli di valutazione/misurazione dei rischi; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 25 ‒ facilitare la condivisione e diffusione delle migliori prassi di Risk Management all’interno dell’azienda; ‒ promuovere la diffusione di adeguate competenze di Risk Management, attraverso programmi di informazione e formazione dedicati; ‒ collaborare con il business al fine di mantenere ed evolvere le capacità di Risk Management; ‒ rivedere periodicamente i processi, le competenze, i sistemi di reporting e gli strumenti a supporto del processo di Risk Management, ai fini del miglioramento continuo del sistema nel suo complesso. Coordinare e supportare il Management in sede di rilevazione, analisi e valutazione dei rischi cui l’azienda è esposta e di definizione delle associate strategie e azioni di risposta: ‒ supportare il Management nell’integrare l’analisi e la gestione dei rischi nei processi decisionali chiave (e.g., pianificazione strategica e operativa, M&A, valutazione delle iniziative d’investimento); ‒ supportare il Management nelle decisioni sull’allocazione delle risorse e del capitale. Consolidare le analisi di rischio e predisporre il Risk Reporting per il Management, l’Amministratore incaricato del sistema di controllo interno e gestione dei rischi, il Board e gli organi di controllo interessati: ‒ raccogliere, analizzare e consolidare i dati e le informazioni sui vari rischi cui l’azienda è esposta; ‒ predisporre il reporting periodico sui rischi, fornendo il quadro dell’esposizione aggregata al Consiglio, all’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi e al/ai comitato/i designato/i. Definire e implementare il sistema di gestione dei rischi coerentemente con la visione adottata: ‒ supportare lo sviluppo e la diffusione delle politiche/procedure di Risk Management e dei limiti di rischio definiti, previa approvazione da parte del Management o degli organi designati; ‒ identificare eventuali carenze o ridondanze nei presidi di Risk Management esistenti che necessitano di interventi correttivi al fine di garantire un adeguato presidio dei rischi prioritari cui l’azienda è esposta; ‒ monitorare l’evoluzione del profilo di rischio aziendale e l’efficacia delle strategie e delle azioni di Risk Management identificate; ‒ collaborare con il Management per creare un ambiente di controllo che garantisca: (i) un monitoraggio adeguato dei rischi all’interno dell’organizzazione; (ii) la supervisione delle politiche e dei limiti di Risk Management; (iii) l’implementazione tempestiva di azioni correttive atte a 26 Il ruolo del Consiglio di Amministrazione nel governo dei rischi migliorare le capacità di Risk Management esistenti; (iv) la gestione efficace di eventuali criticità organizzative e culturali. Oltre alle attività sopra elencate, che contraddistinguono il ruolo del Risk Officer, il medesimo può fornire un punto di vista indipendente nella valutazione di specifiche iniziative strategiche e/o di business. A tal fine, l’Amministratore delegato/incaricato può prevedere un coinvolgimento sistematico di tale figura nella valutazione degli elementi di rischio-opportunità caratterizzanti le nuove iniziative strategiche e/o di business. In caso di istituzione della figura del Risk Officer, la sua collocazione all’interno dell’organizzazione deve essere coerente con il ruolo assegnato. Poiché nella pratica risulta diffusa l’attribuzione del ruolo consultivo e di supporto, che necessita di una collocazione organizzativa in grado di assicurare adeguata obiettività, il Risk Officer non dovrebbe, in tale veste, dipendere da alcuna unità di business e non dovrebbe avere responsabilità diretta nella gestione dei singoli rischi. Fatti salvi i settori regolamentati, la cui normativa di riferimento può fornire indicazioni specifiche circa gli assetti organizzativi e di governance da adottare in ambito rischi, compliance e controllo interno, non è inusuale assegnare al Risk Officer ruoli più operativi nell’ambito dei processi di gestione del rischio. In tali casi, alla struttura del Risk Officer possono essere fatte confluire unità organizzative coinvolte nella gestione di taluni aspetti di rischio (e.g., insurance risk management, asset protection, continuità operativa, credit risk, financial risk, compliance risk). Benché si osservino molteplici soluzioni organizzative, le Leading Practice suggeriscono il riporto diretto del Risk Officer all’Amministratore delegato/incaricato o, in alternativa, al Comitato esecutivo ovvero ad altro comitato manageriale con specifiche attribuzioni in materia di Risk Management (laddove esistenti). In realtà dimensionalmente meno complesse, tale figura potrebbe anche non riportare direttamente all’Amministratore delegato/incaricato, bensì ad altre strutture organizzative già esistenti (e.g., Pianificazione, Amministrazione, Finanza e Controllo, General Counsel). È, in ogni caso, buona prassi prevedere una linea di reporting al Board per il tramite del Comitato Controllo e Rischi. 4.2 Il ruolo dell’Internal Audit L’Internal Audit, in quanto funzione indipendente non coinvolta nella gestione operativa del business, ha il compito primario di verificare che il sistema di controllo interno e di gestione dei rischi sia funzionante e adeguato (terzo livello di controllo). In tal senso, al Responsabile Internal Audit e alla sua struttura spetta il compito di valutare il sistema di gestione dei rischi esistente in termini di: efficacia dell’ambiente di controllo esistente; efficacia dei processi di analisi e valutazione dei rischi in essere; efficacia e corretta applicazione delle politiche e delle procedure a presidio dei principali rischi aziendali; Il ruolo del Consiglio di Amministrazione nel governo dei rischi 27 qualità e affidabilità delle informazioni a supporto dei processi di gestione dei rischi; efficacia dell’attività di monitoraggio e supervisione svolta da funzioni di risk management. Per tale ragione, la funzione di Internal Audit non deve avere responsabilità dirette nei processi di gestione dei rischi, che dovrebbero invece essere attribuite ad altre strutture aziendali, a loro volta soggette a verifica indipendente da parte dell’Internal Audit. L’Institute of Internal Auditors (IIA) acconsente, invece, che l’Internal Audit svolga, nell’ambito del processo di gestione dei rischi, le seguenti attività: Educatore: può contribuire alla creazione e al rafforzamento della consapevolezza sui rischi e sulle prassi di risk management attraverso l’integrazione della metodologia di analisi e valutazione del rischio nell’ambito degli strumenti di audit, sensibilizzando così il Management e supportando la diffusione di una cultura condivisa all’interno dell’organizzazione. Facilitatore: può supportare e facilitare il Management nello svolgimento delle attività di valutazione del rischio e nella definizione delle azioni di mitigazione, senza tuttavia sostituirsi a quest’ultimo. Coordinatore: può contribuire alla raccolta, analisi e consolidamento delle informazioni sui rischi provenienti dalle varie “fonti” aziendali, nonché alla predisposizione del Risk Reporting aggregato. All’Internal Auditor non è, invece, consentito, in quanto verrebbe minata l’indipendenza e obiettività della funzione, di: definire la propensione al rischio dell’azienda; implementare processi e sistemi di gestione del rischio; sostituirsi al Management nell’identificazione e valutazione dei rischi; definire e implementare le risposte al rischio e le relative azioni di mitigazione; accettare responsabilità di Risk Management. 28 Il ruolo del Consiglio di Amministrazione nel governo dei rischi Sez. 5 Alcune domande “chiave” per il Board CONOSCENZA E CONSAPEVOLEZZA I componenti del Board, ivi incluso l’Amministratore delegato/incaricato del sistema di controllo interno e di gestione dei rischi, hanno una chiara conoscenza e comprensione del proprio ruolo e mandato in tema di gestione dei rischi? Il Board, il Comitato Controllo e Rischi e/o l’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi sono sufficientemente proattivi nell’espletamento delle proprie responsabilità? I componenti del Board hanno un’adeguata conoscenza del business, dell’organizzazione aziendale e dei principali rischi che l’emittente e il gruppo di appartenenza corrono o cui sono esposti (natura, tipologia, fonte, ecc.)? GRADO DI COINVOLGIMENTO DEL BOARD E QUALITA’ DELLE INFORMAZIONI È dedicato sufficiente spazio nell’agenda del Board alla discussione su temi di rischio? L’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi coinvolge il Board nella discussione sulle capacità aziendali di assumere e gestire rischi? Se sì, in quali occasioni? In particolare, il Board (anche previo lavoro istruttorio del Comitato Controllo e Rischi): ‒ Esamina in modo trasparente e consapevole i rischi e i rendimenti attesi in sede di approvazione dei piani aziendali? Discute il legame fra strategie perseguite e rischi assunti? Discute la robustezza dei piani oggetto di esame, le possibili cause di insuccesso, le relative conseguenze per la società? ‒ Oltre ai rischi connessi ai piani aziendali, riceve periodicamente un reporting strutturato sui principali rischi ricorrenti/tipici cui il business è esposto? ‒ Si esprime sui rischi non accettabili e sui necessari presidi di mitigazione/gestione? ‒ Ingaggia esperti di rischio nelle discussioni consiliari a fronte di situazioni particolarmente complesse e delicate? Il Board dispone di tutte le informazioni necessarie per valutare l’adeguatezza complessiva del sistema di controllo interno e di gestione dei rischi rispetto ai principali rischi assunti (i.e., di natura strategica, finanziaria, operativa, di compliance, di reporting) e alle caratteristiche dell’impresa? Il ruolo del Consiglio di Amministrazione nel governo dei rischi 29 ALTRI PRESIDI DEL SISTEMA DI GESTIONE DEI RISCHI L’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi dedica sufficiente attenzione allo sviluppo e all’implementazione di politiche e strumenti di risk management? Lo stesso è coadiuvato da adeguate risorse e competenze per l’espletamento di tale responsabilità? Sono in essere adeguati strumenti per il monitoraggio delle esposizioni al rischio e dell’efficacia delle contromisure in essere? I rischi e la loro corretta gestione sono considerati fra i criteri di valutazione del Management? I sistemi di remunerazione e incentivazione del Management sono coerenti con l’appetito al rischio definito? 30 Il ruolo del Consiglio di Amministrazione nel governo dei rischi La redazione del presente documento è stata curata da Emma Marcandalli, Managing Director Protiviti presso l’ufficio di Milano e responsabile dei Servizi di Enterprise Risk Management, con la collaborazione dei colleghi della Practice di Risk Consulting. Si desidera esprimere un sincero ringraziamento a Carolyn Dittmeier, Anna Fabbri, Elisabetta Magistretti e Francesco Taranto, per lo stimolo fornito alla realizzazione dell’iniziativa e il tempo dedicato alla rilettura del documento. Il ruolo del Consiglio di Amministrazione nel governo dei rischi 31 Contatti Protiviti Italia Ufficio di Milano Via Tiziano, 32 20145 Milano Tel.: +39 02 6550 6301 Fax: +39 02 6550 6333 Ufficio di Roma Via Tirso, 26 00198 Roma Tel.: +39 06 4204 9801 Fax: +39 06 4744 399 Ufficio di Torino Via Viotti, 1 10121 Torino Tel.: +39 011 7771 811 Fax: +39 011 7771 888 [email protected] www.protiviti.it 32 Il ruolo del Consiglio di Amministrazione nel governo dei rischi