Sommario Introduzione ....................................................................................................................................... 5 Capitolo 1 Introduzione al rischio e la sua gestione in ambito aziendale 1.1 Contesto di riferimento ...................................................................................................... 8 1.2 Nozione di rischio e rischio d’impresa .................................................................... 12 1.3 Principali tipologie di rischio presenti in azienda .............................................. 14 1.3.1 I Rischi finanziari .................................................................................................... 15 1.3.2 Il Rischio operativo ................................................................................................. 18 1.3.3 Il Rischio strategico ................................................................................................. 20 1.4 Gestione del rischio e cultura aziendale ................................................................. 21 Capitolo 2 Enterprise Risk Management, nozioni e sviluppo ................................................................... 23 2.1 Il concetto di Risk Management .................................................................................. 24 2.2 Il processo di Risk Management.................................................................................. 25 2.3 “ERM” come innovazione manageriale..................................................................... 26 2.4 Profilo organizzativo del Risk Management all’interno dell’azienda .......... 30 2.4.1 Gli obiettivi dell’ERM .............................................................................................. 32 2.4.2 I componenti dell’ERM ........................................................................................... 33 2.4.3 Legame tra obiettivi e componenti .................................................................... 37 2.5 I limiti dell’ERM ................................................................................................................. 39 1 2.6 Approfondimento: La stima dei rischi ........................................................................ 41 2.6.1 Stima qualitativa: matrice probabilità-impatto ............................................ 42 2.6.2 Stima semiquantitativa ........................................................................................... 44 2.6.3 Stima quantitativa ..................................................................................................... 45 Capitolo 3 L’Enterprise Risk Management in Italia e il caso del gruppo Telecom 3.1 Sviluppo dell’ERM nelle imprese Italiane .................................................................. 49 3.2 Profilo dell’impresa e principali dati economici .................................................... 53 3.3 Le strategie del Gruppo Telecom Italia ...................................................................... .58 3.4 Risk Management nel Gruppo Telecom Italia ......................................................... 59 3.4.1 Il Comitato di Gruppo Risk Management ........................................................ 60 3.4.2 Il nuovo processo ERM di Telecom Italia ......................................................... 61 3.5 Prospettive di sviluppo dell’“ERM” nel Gruppo Telecom .................................. 65 Capitolo 4 Applicazione pratica del modello LDA 4.1 Premessa ............................................................................................................................... 67 4.2 Predisposizione del modello attuariale .................................................................... 69 4.3 Prototipo di ERM ............................................................................................................... 73 4.4 Modello di misurazione del rischio........................................................................... 77 2 4.4.1 4.5 Specificazione distribuzioni e metodi utilizzati........................................ 79 Loss Distribution Approach ....................................................................................... 84 Considerazioni conclusive .............................................................................. 91 Bibliografia ......................................................................................................... 94 3 4 Introduzione «I rischi sono eventi futuri incerti che possono influenzare negativamente il raggiungimento degli obiettivi strategici, operativi, finanziari e di compliance»1 La capacità di assumersi e gestire i rischi è da sempre l’essenza fondamentale dell’attività imprenditoriale e una componente irrinunciabile del management d’impresa. Fino a pochi anni fa la gestione di tali rischi si è concentrata, tanto nella prassi quanto nella letteratura manageriale, su poche aree specialistiche funzionali o settoriali, quali la gestione dei rischi finanziari e la copertura dei rischi assicurabili. Ai giorni nostri il mondo dell’imprenditoria è chiamato a dedicare una maggiore attenzione verso le tematiche della gestione del rischio per continuare a competere in un contesto economico e finanziario sempre più globale, turbolento e complesso. Il rischio, la complessità e l’incertezza sono ormai fattori che inevitabilmente caratterizzano l’ambiente in cui ogni azienda opera. La crescente competitività, i cambiamenti normativi e i nuovi modelli organizzativi adottati, gli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business, i collassi finanziari che recentemente hanno travolto alcune grandi imprese quotate, la crescente instabilità dei contesti economico-politico-sociale, hanno aumentato il livello di instabilità, incertezza e il numero di variabili che incidono sul raggiungimento degli obiettivi aziendali, evidenziando l’esigenza di migliorare i sistemi di controllo interni delle medesime imprese al fine di anticipare e gestire il cambiamento, e, dunque, di rafforzare e accrescere la propria capacità di creare valore per gli stakeholder. Si ha dunque un’inversione di tendenza rispetto al passato, le aziende stanno comprendendo sempre più che il rischio non è unicamente un onere da sopportare, bensì, se ben gestito, può diventare un fattore critico di successo e dare un vantaggio competitivo in grado di garantire la protezione dell’attività aziendale e il suo sviluppo. Da qui deriva l’attuale riconoscimento al Risk Management come un processo teso ad affiancare e integrare gli altri processi presenti in azienda, per governare in modo continuativo e formalizzato mediante soluzioni organizzative riconosciute e condivise dall’intera organizzazione. La nuova sfida per il management sarà quella di determinare correttamente la soglia di incertezza-rischio accettabile per la propria impresa adottando le proprie scelte in maniera consapevole e razionale, potendo 1 Standards Australia/Standards New Zealand, 1999, T93 5 disporre di un vero e proprio “portafoglio rischi” rappresentativo del profilo di rischio dell’organizzazione. L’odierna all’individuazione attenzione di prestata adeguati da modelli un di numero risk crescente management d’imprese deriva dalla consapevolezza degli organi di governo aziendale che obiettivi quali lo sviluppo di equilibri economici di lungo periodo, la creazione di valore e l’incremento del patrimonio imprenditoriale possano essere perseguiti solo attraverso una politica coerente e consapevole di gestione e controllo di tutti i rischi a cui è sottoposta l’impresa nel suo operare. La capacità d’identificazione, valutazione e controllo dei potenziali eventi di rischio rappresenta, infatti, un importante punto di forza dei processi di gestione, fattore determinante per il successo nel lungo termine2. Un buon modello di risk management permette la comprensione dei potenziali aspetti positivi e negativi di tutti i fattori che possono influenzare l’organizzazione, incrementando la probabilità di successo della strategia riducendo l’incertezza sul raggiungimento degli obiettivi generali dell’azienda. Nonostante ciò, il Risk Management in Italia è una realtà ancora poco conosciuta e soprattutto, poco praticata per diversi motivi. Innanzitutto, non si può non tenere conto della struttura del nostro sistema economico, che vede il prevalere di unità aziendali di dimensioni medio piccole, poco inclini a sviluppare ampie strutture amministrative. Inoltre, è da sottolineare la carenza culturale, relativa sia alla tendenza dei manager italiani a sottovalutare o ad ignorare i rischi di evento dannoso, sia all’incapacità di sviluppare quell’atteggiamento orientato alla sicurezza che trova più frequentemente riscontro in altri paesi. In relazione alle considerazioni sopra esposte, il lavoro prevede un’analisi del processo e dello sviluppo della funzione di Risk Management, riportando anche un esempio di un impresa estratta dalla realtà italiana, il Gruppo Telecom Italia, e un modello applicativo applicato direttamente su un processo aziendale. La scelta dell’ERM come tema della tesi, deriva dalla necessita di annoverare lo svolgimento del processo di valutazione del rischio all’interno delle imprese e evidenziando come la gestione dello stesso sia parte fondamentale della vita aziendale, non solo a livello organizzativo e direzionale ma anche a livello operativo. In particolare il presente elaborato si sviluppa in quattro capitoli. Nel primo, ci si propone di fornire un quadro concettuale del rischio e dei principali rischi che sono presenti in ambito aziendale. Di conseguenza, sono illustrate le varie tipologie e classificazioni dei rischi al fine di avere una chiara panoramica di tutti quegli eventi che possono compromettere il normale svolgimento dell’attività aziendale. 2 S. Fortunato, M.Livatino, P. Mantovano, N. Pecchiari; “L’Enterprise Risk Management” , pag.58. 6 Il secondo capitolo, nasce con l’intento di definire il concetto di gestione del rischio, ovvero mira ad illustrare il processo di Risk Management, definendo i concetti essenziali di tale processo per dare modo, quindi, di comprendere cosa si intende per “gestione del rischio”. Si descrive una sintetica evoluzione storica del Risk Management per arrivare a definire il concetto di Enterprise Risk Management come innovazione manageriale. Si espone inoltre dettagliatamente il processo ERM, gli attori coinvolti all'interno dell'azienda, gli obiettivi del processo, le componenti e i suoi limiti. Si pone, inoltre, attenzione sulle motivazioni che spingono le imprese ad adottare un processo di gestione dei rischi. Il capitolo termina con un approfondimento sul processo di stima dei rischi. Il terzo capitolo analizza l’introduzione dell'ERM nelle imprese italiane con alcuni dati statistici. Si prosegue con la descrizione dell'esperienza del gruppo Telecom, vengono illustrati il profilo dell’impresa e i principali dati economici del Gruppo per avere una chiara panoramica della realtà aziendale oggetto di studio. Si descrivono, altresì, le attività di Risk Management svolte dall’impresa facendo attenzione alla composizione della struttura organizzativa in relazione al processo di gestione del rischio . Si termina illustrando le prospettive future di sviluppo del processo di gestione del rischio all’interno dell’azienda oggetto d’indagine. Il quarto e ultimo capitolo, è quello in cui si presenta l’applicazione degli strumenti qualitativi e quantitativi presentati nei primi tre capitoli. Si indirizzerà in particolare sulla misurazione del rischio, partendo dalla predisposizione di un modello attuariale di modellizzazione del rischio, proseguendo con un prototipo di ERM fino a volgere nell’implementazione di un modello di Loss Distribution Approach su dati reali. Questa tesi vorrebbe essere un supporto utile per ampliare la conoscenza sulla gestione integrata del rischio e del processo di Enterprise Risk Management, fondamento per tutte le imprese che desiderano avvicinarsi al tema per migliorare il loro processo strategico, sfruttando con prontezza le opportunità che derivano dall’elevata incertezza che caratterizza l’attuale contesto competitivo. 7 Capitolo 1 Introduzione al rischio e la sua gestione in ambito aziendale 1.1 Contesto di riferimento Da sempre le capacità d’identificazione, valutazione e gestione dei rischi sono alla base del successo aziendale. Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere per definizione un tratto distintivo dell’azione imprenditoriale e una componente irrinunciabile del management. L’interesse per il tema del risk management gradualmente accresciutosi nell’ultimo decennio, è letteralmente esploso negli anni più recenti, alimentato in primo luogo dal verificarsi di collassi finanziari che hanno travolto alcune grandi imprese quotate, interessando i destini di migliaia inconsapevoli investitori. Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai più profonde di quelle desumibili dall’esame dei vari scandali, questi sono da considerarsi, infatti, casi limite in cui si è mescolato il mal intento dei vertici aziendali con decisioni di management non all’altezza, assunte in un passato più o meno lontano e con l’inadeguatezza dei sistemi di controllo interno3. Se si prova a spingere lo sguardo al di là delle più immediate evidenze, si ha modo di vedere come l’importanza di gestire i rischi aziendali affondi le sue radici in motivazioni profonde e consistenti: • nella crescente instabilità dei contesti economico-politico-sociali in cui le imprese operano; • nei nuovi modelli organizzativi adottati dalle imprese; • negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business; • • nell’evoluzione della normativa; nell’accresciuta sensibilità e attenzione da parte degli stakeholder circa il raggiungimento degli obiettivi stabiliti dal vertice aziendale; La gestione del rischio in ambito aziendale muta al variare della tipologia d’impresa. All’interno di sistemi aziendali relativamente semplici governati in logica accentrata, con una presenza diretta dell’imprenditore attivo in prima persona sui 3 S.Beretta – Valutazione dei rischi e Controllo Interno – Università Bocconi Editore – Milano, 2004 8 diversi fronti del processo decisionale, troviamo assetti organizzativi spinti verso una gestione del rischio scarsamente formalizzata ma naturalmente integrata, perché accentrata in un’unica figura. Le imprese di dimensioni maggiori, invece, sono tipicamente realtà complesse, altamente articolate al loro interno e governate in logica decentrata. Sono dunque realtà entro le quali l’attenzione di ciascun manager è concentrata su limitati segmenti di attività, dall’osservazione della quale è possibile cogliere solo visioni frammentate del sistema di rischi cui l’azienda è esposta. L’elevata articolazione dell’assetto organizzativo diventa spesso responsabile di gestioni locali del rischio fra loro poco coordinate e, conseguentemente, poco efficaci nel tentativo di gestire i rischi in ottica integrata. Alla complessità organizzativa sopracitata si aggiunge l’evoluzione del contesto economico, politico e sociale: l’apertura della Comunità Europea ai Paesi dell’Europa dell’Est, l’emergere nei mercati internazionali di nuove economie, l’invecchiamento della popolazione nei Paesi industrializzati, l’evoluzione delle tecnologie di calcolo e di interconnessione, sono solo alcuni tra gli elementi che hanno avuto, è continueranno ad avere nei successivi anni, effetti veementi sul modo di fare impresa. Oltre a questi fattori di natura generale se ne aggiungono di più specifici relativi sia ai business aziendali sia al Paese nel quale l’azienda opera. I mutamenti nei diversi contesti normativi (ad esempio del lavoro, della tutela dell’ambiente, della protezione dei consumatori, ecc.), l’avvento di nuove tecnologie di produzione e di comunicazione, l’ingresso nel sistema competitivo di nuovi attori, i frequenti cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e forme distributive sono tutti fattori che inevitabilmente limitano l’autonomia di governo del management, impattando sugli obiettivi e sulle strategie d’impresa e determinando una continua evoluzione dei modelli di business. Da ultimo, l’accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a una sempre più attiva rivendicazione da parte di questi del soddisfacimento delle proprie attese, imponendo al management di conseguire con continuità risultati sempre più ambiziosi. Tutti gli elementi sopraelencati sono, in sintesi, la causa di nuovi rischi e di un aumento dell’impatto e della frequenza di accadimento di quelli già esistenti, evidenziando così il riconoscimento al tema del risk management e alla sua recente espansione. Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento degli obiettivi fissati in sede di pianificazione delle strategie aziendali possono, tuttavia, divenire fonti di opportunità per coloro i quali, meglio di altri, sappiano anticiparli e governarli. La capacità di identificare, misurare e gestire i rischi diventa, pertanto, un differenziale competitivo che l’azienda può sfruttare per cogliere opportunità di 9 business compatibili con il profilo di rischio prescelto. In tal senso, il processo di gestione del rischio diventa, oltre che strumento per prevenire e gestire l’impatto di eventi dannosi sull’impresa, una leva per creare valore. In conclusione si cerca di passare dalla precedente visione dei rischi a “compartimenti”, con l’effetto di utilizzare una gestione i rischi in maniera frammentata, identificando gli stessi singolarmente e al di fuori di un contesto complessivo, verso la più evoluta raffigurazione di gestione del rischio dettata dall’ Enterprise Risk Management “come un processo finalizzato alla gestione integrata dei rischi di gruppo […] tale strumento risponde all’esigenza di valutare in modo sistematico il profilo di rischio associato alle attività di business, per consentire la pianificazione e la gestione delle performance aziendali in un’ottica integrata redditività-rischio.4 1.2 Nozione di rischio e rischio di impresa In letteratura e nel linguaggio corrente non vi è unanimità sul significato da attribuire al termine «rischio»5. Ciascun soggetto interessato a definire tale concetto è influenzato dallo specifico problema che intende risolvere e di conseguenza utilizza la nozione che meglio si adatta ad esso. Analizzeremo alcune definizioni di rischio che meglio si sposano con gli argomenti che affronteremo in seguito, partendo da alcune enunciazioni letterarie. Knight, lo studioso che per primo si è concentrato sul rischio d’impresa come oggetto di studio, afferma che “quello in cui viviamo è un mondo di mutamenti ed un mondo di incertezza. Noi viviamo solo perché conosciamo qualche cosa del futuro; mentre i problemi della vita o almeno della condotta derivano dal fatto che noi ne conosciamo troppo poco. Questo è altrettanto vero negli affari come nelle altre sfere di attività. L’essenza della situazione sta nell’azione derivante dall’opinione, più o meno fondata e valida, che non vi è né ignoranza assoluta, né completa e perfetta informazione ma conoscenza parziale”6. Secondo la definizione di Arthur Andersen, in relazione alla politica di trattamento dei rischi: “la gestione dei rischi costituisce l’elemento caratterizzante la gestione d’impresa, di qualsiasi impresa, saper gestire 4 5 Definizione tratta dal sito edisoncasa.it Nonostante sia di uso comune in una pluralità di contesti, il concetto di «rischio» non sempre è inteso in maniera univoca, né in ambito operativo, né in quello accademico; in particolare si è notato, con un cero imbarazzo, come vi sia un disaccordo tra gli studiosi di risk management e quelli di assicurazione sul vero significato da attribuire alla parola «rischio». Crowe R.M., Horn R.C., The meaning of risk, in «Journal of Risk and Insurance», vol. 34, 1967 6 Knight F. H., 1921, “Rischio, incertezza e profitto”, La Nuova Italia, Firenze 10 adeguatamente tutti i rischi cui un’attività imprenditoriale è esposta, rappresenta l’elemento essenziale del successo”. Tali citazioni manifestano come molti autori abbiano riservato alla gestione del rischio un posto centrale nelle loro ricerche riconoscendolo come elemento chiave per lo sviluppo al quale deve essere tributata la giusta attenzione, mostrano come il rischio sia presente in ogni attività, influenzando l’andamento di un’impresa determinando, quindi, incertezza. Le molteplici nozioni di rischio introdotte in letteratura possono, in generale, confluire nei seguenti approcci 7: 1. Approccio tradizionale-assicurativo, il rischio è inteso come insieme delle possibili minacce, la visione solo negativa di tale approccio deriva dal fatto che fino a pochi decenni fa veniva prestata attenzione solo ai rischi puri. Questi ultimi si caratterizzano per la presenza di solo due scenari possibili, il primo dettato dal fatto che non si verifichi alcun effetto economico per l’azienda abbinato a un’alta probabilità di accadimento, il secondo che si verifichi un evento contrassegnato da un danno elevato con bassa probabilità di concretizzazione. Seguendo tale approccio si può incorrere in un errore molto frequente ossia sottostimare gli effetti di eventi a bassissima probabilità ma con danni ingenti. 2. L'approccio statistico – finanziario considera i rischi come “aleatorietà stocastica” ovvero per rischio può intendersi l’eventualità che si manifesti una deviazione sfavorevole da un risultato atteso. Esso trae la sua origine dallo sviluppo delle scienze statistiche e può essere adottato da tutte le tipologie di rischio, anche se può risultare meno consona se applicata ai rischi puri, di fatto, un soggetto avvertirebbe un certo disagio ogni anno a scoprirsi fortunato perché la propria impresa non è stata ancora distrutta da un terremoto 8. 3. Approccio manageriale, il rischio è visto come possibile scostamento rispetto agli obiettivi precedentemente fissati. In questo filone rientra la seguente definizione: “i rischi sono eventi futuri e incerti che possono influenzare il raggiungimento 9 degli obiettivi strategici, operativi e finanziari di un’istituzione” . L’approccio manageriale è molto simile a quello statistico – finanziario. Infatti entrambi considerano minacce ed opportunità. Tuttavia se nel precedente filone sono rilevati gli scostamenti rispetto al valore atteso, in quello esaminato gli scostamenti rispetto agli obiettivi da predeterminati. L’approccio manageriale è generalmente più flessibile rispetto agli altri due. 7 8 9 Floreani, Introduzione al Risk Management, Etas, Parma, 2005, p. 5. D’Avino D., De Rosa M., Ferrara F., La Pietra M.P., Letterese L., Scarpa S., Germano M.R., I concetti di rischio, op.cit., p. 10. Floreani, Introduzione al Risk Management, op. cit., p. 7. 11 Infatti esso si adatta sia alla gestione dei rischi puri con l’obiettivo di “non subire alcun danno”, sia alla gestione dei rischi finanziari, in questo caso l’obiettivo potrà coincidere con le aspettative. Abbandonando le definizioni letterarie possiamo approfondire quella che è l’esplicitazione di rischio secondo un’impostazione principalmente aziendale, che presenta il rischio composto in parte da elementi oggettivi e in parte da elementi soggettivi. Gli elementi soggettivi dipendono principalmente dalle ipotesi formulate dal management sugli effetti derivanti da decisioni, comportamenti, mutamenti ambientali futuri. Tali ipotesi traggono origine dal grado di conoscenza ed esperienza dell’individuo che la formula: quanto maggiore è la possibilità di errore nell’ipotesi, tanto più grande sarà la presenza nel rischio di elementi soggettivi. Ne consegue che il rischio si può caratterizzare da un lato per una componente soggettiva strettamente correlata alla capacità ed alla conoscenza dell’individuo che formula la previsione, dall’altro per una dimensione oggettiva, in relazione cioè all’aleatorietà degli eventi che l’azienda è costretta a subire ed alle modalità attraverso le quali questi eventi si manifestano. Pertanto il rischio è strettamente connesso al processo di formulazione delle ipotesi e ai processi di valutazione relativi a eventi incerti. Da quanto affermato si può, quindi, concludere che “mentre nel rischio l’elemento conoscenza è presente associato all’esperienza, quest’ultima è assente nell’incertezza”10. È proprio per questo che il rischio viene considerato un fenomeno oggettivo e soggettivo. L’incertezza, invece, costituisce un fatto prettamente soggettivo poiché si è impossibilitati a ricorrere all’esperienza per risolvere i problemi. Sulla base di tali affermazioni si parla di rischio in relazione alle operazioni aziendali e di incertezza in riferimento a decisioni aziendali11. Le prime sono relative a scelte nelle quali è possibile tener conto sia della frequenza con la quale certi eventi si sono prodotti in passato, sia del loro grado di probabilità futuro; le seconde riguardano, invece, decisioni prese in ordine di eventi futuri che rimangono del tutto sconosciuti. Pertanto il concetto di rischio in ambito aziendale si caratterizza per due fondamentali elementi: • il primo è relativo all’esistenza di fatti eventuali dei quali non è possibile stabilire esattamente le probabili manifestazioni future ed i possibili effetti sull’azienda; 10 Le nozioni di rischio, cui si è accennato, sono intimamente legate al concetto d’incertezza. In realtà i due termini, sebbene assimilabili sotto diversi profili, hanno significati differenti. “il rischio (o variabilità stocastica) attiene all’aleatorietà intrinseca degli eventi, mentre l’incertezza riguarda la mancanza di conoscenza” Floreani, Introduzione al Risk Management, op. cit., p.29 11 BERTINI U., 1968, “Introduzione allo studio dei rischi in economia aziendale”, Giuffrè Editore S.p.A., Milano. 12 • il secondo elemento fa riferimento all’analisi sia dei processi di valutazione, previsione e stima degli andamenti futuri dell’azienda, sia dei rischi che vengono originati dai processi di valutazione individuali. Di conseguenza, il rischio aziendale viene definito come il risultato di un processo di analisi e di valutazione, trae origine dall’esistenza dell’incertezza e si manifesta nello scostamento potenziale esistente tra quanto previsto da un soggetto all’interno di un’organizzazione e quanto empiricamente osservato. Inoltre l’eventualità che non si verifichi una determinata ipotesi, si abbiano conseguenze sfavorevoli per il soggetto che le ha formulate può essere intesa come un sinonimo di rischio. In pratica “si ha il rischio ogni qualvolta, di un certo evento, può essere razionalmente formulata un’ipotesi di danno”.12 L’azienda quando assume decisioni relativamente alla propria dimensione, organizzazione, attività, definisce e, quindi, indirettamente sceglie il proprio grado di rischio. Fatta questa premessa, la definizione di rischio che s’intende utilizzare per questo lavoro, ritenendola più coerente con gli obiettivi di sviluppo della tesi, considera il rischio come la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi d’incerta manifestazione, interni o esterni al sistema aziendale. Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle variabili critiche del business model13 all’influsso dei fattori di rischio. L’influsso dei fattori di rischio può avere connotazione sia positiva sia negativa, configurandosi il rischio come generatore sia di possibili perdite, sia di opportunità di creazione di valore. Il rischio in taluni casi può essere anche modellizzato come combinazione di probabilità di accadimento e impatto (esposizione). La definizione di rischio qui accolta implica che il rischio sia strettamente correlato alle caratteristiche del business model e, quindi, alla combinazione di variabili di sistema che determinano sia l’esposizione al rischio, sia le potenzialità di creazione di valore dell’impresa14. Tali variabili possono essere sostanzialmente ricondotte a tre categorie: Variabili organizzative/commerciali: Definiscono le caratteristiche dei soggetti che partecipano alla gestione delle transazioni di business: management, risorse aziendali interne, clienti, fornitori e altri soggetti partecipanti. Si pensi, ad esempio, alle implicazioni sulla rischiosità di un business indotte dalla solvibilità dei clienti (rischio di credito) o di certi fornitori (rischio di conformità dei prodotti). 12 13 BERTINI U., 1968, “Introduzione allo studio dei rischi in economia aziendale”, Giuffrè Editore S.p.A., Milano. Un modello di business descrive la logica di come un'organizzazione crea, diffonde e cattura valore (economico,sociale o altre forme di valore). Il processo di costruzione del modello di business è parte della strategia di business. Fonte Wikipedia.org. 14 Amit, R. and C.Zort (2001). 'Value creation in e-business, Strategic Management Journal, 22 (6. 7), pp. 493 e ss. 13 Variabili infrastrutturali/tecnologiche: Definiscono le caratteristiche delle infrastrutture e dei meccanismi organizzativi e tecnologici che supportano lo svolgimento degli scambi. Rientrano, in tal caso, i rischi connessi all’impiego di valute diverse (rischio di cambio) e i rischi indotti dall’adozione di soluzioni informatiche a presidio degli scambi (rischio di continuità del business). Variabili di governance: Definiscono la struttura di governo dell’impresa stabilendone i meccanismi decisionali e di controllo. I rischi sono legati all’inadeguatezza del vertice aziendale ad assumere decisioni critiche per lo sviluppo del business (rischio di inadeguatezza del processo decisionale). Con le convenzioni introdotte, un’azienda è esposta al rischio quando il potenziale mutamento di una delle variabili del modello di business o del contesto in cui opera l’impresa potrebbero comportare, entro un orizzonte temporale definito, uno scostamento negativo o positivo dalle performance attese. L'ultima, autorevole definizione di rischio che voglio esporre è quella fornita dal COSO (Committee of Sponsoring Organization) nell'Enterprise Risk Management – Integrated Framework, secondo il quale “il rischio è la possibilità che un evento si verifichi e influisca in senso negativo sul conseguimento degli obiettivi”. Eventi con un impatto positivo possono compensare impatti negativi o possono costituire opportunità. Quest'ultima può essere definita come “la possibilità che un evento si verifichi e influisca in senso positivo sul conseguimento degli obiettivi”.15 1.3 Principali tipologie di rischio presenti in azienda La capacità di gestire il rischio assume un valore strategico per le aziende. Gli azionisti e il management delle società leader sono sempre più consapevoli dell'importanza che riveste la gestione dei rischi aziendali nella creazione di valore per i propri stakeholder. Riproponendo una definizione di Enterprise Risk Management “[...] è un processo finalizzato alla gestione integrata dei rischi di gruppo”16 osserviamo come la funzione principale svolta dall’ERM centrale è quella di far confluire in un unico punto di raccolta tutti i rischi aziendali, nonostante questi siano gestiti, misurati e controllati da Risk Manager periferici e 15 16 CoSO (Committee of Sponsoring Organization), Enterprise Risk Management – Integrated Framework 2004 Edison.it 14 gestirli integralmente. Nel precedente paragrafo ci siamo occupati delle principali definizioni di rischio, in questo invece ci occupiamo di elencare e descrivere i principali rischi, di valutare le probabilità che essi si verifichino e il loro impatto potenziale, che si manifestano nelle aziende e facenti parte di un generico modello di Enterprise Risk Management.17 Nel modello di Enterprise Risk Management, devono essere inclusi, necessariamente, non solo i rischi di natura finanziaria, ma anche quelli strategici, operativi, legali e normativi, d’immagine, di gestione delle informazioni, quelli per la sicurezza dei sistemi informatici utilizzati e, infine, i cosiddetti rischi emergenti, che potrebbero impattare l’impresa, esempio il rischio di nuovi concorrenti sul mercato. 1.3.1 I Rischi finanziari La gestione di rischi finanziari presenti in azienda deriva da posizioni commerciali e finanziarie non coperte, esposte a variazioni di mercato dei tassi di cambio, dei tassi di interesse, delle varie attività presenti in portafoglio, e del merito di credito delle controparti.18 Come si può desumere dalla definizione il rischio finanziario può a sua volta essere distinto tra rischio di credito e rischio di mercato. Il Financial Risk Management è l’attività di gestione, presente all’interno dell’ERM, che si occupa della gestione di suddetti rischi cercando di minimizzarne il potenziale impatto sui margini generati. I. Rischio di Credito: Storicamente sono le aziende di credito le imprese meglio attrezzate per la gestione di tale rischio, in quanto è di gran lunga il rischio principale da gestire e il fulcro del loro business. Quello di credito è uno dei rischi di mercato più analizzati e di difficile quantificazione. Usualmente il problema è stato affrontato mediante l'applicazione di metodi attuariali basati su dati storici. Tuttavia la rapida crescita nei mercati finanziari delle attività e dei titoli derivati nonché l'elevato livello di sofisticazione di alcuni strumenti finanziari, hanno evidenziato l'inadeguatezza dei metodi tradizionali nel valutare in modo equo i rischi conseguenti. Cerchiamo innanzitutto di definire il concetto “rischio di credito”. In 17 18 Brogan J.C., D’arcy S.P. Maggio 2001. “Journal of Risk Management of Corea” ERM “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 15 prima istanza, il rischio di credito può essere definito come l'eventualità che una delle parti di un contratto non onori gli obblighi di natura finanziaria assunti, causando una perdita per la controparte creditrice19. Tale definizione contempla solamente il caso estremo in cui il debitore si rende insolvente. Ma una perdita di valore della posizione creditoria può derivare anche da un deterioramento delle condizioni economico finanziarie del debitore da cui dipende la capacità di far fronte agli impegni finanziari, pur non divenendo insolvente. In un'accezione meno semplificata, per rischio di credito si intende allora la possibilità che da una variazione inattesa del merito creditizio di un debitore derivi una variazione inattesa del valore del credito. I rating forniti, ad esempio, dalle note agenzie Standard & Poor's e Moody's rappresentano una stima del merito creditizio delle imprese e dei Paesi. Per quanto riguarda gli strumenti per la gestione e mitigazione del rischio di credito sono presenti nei mercati i contratti derivati20 o le operazioni di cartolarizzazione21, che, pur avendo ottime caratteristiche sono di difficile impiego per le imprese industriali e commerciali poiché pensati più per le esigenze di gestione di crediti finanziari. Il rischio di credito inoltre può essere gestito tramite un buon sistema di controllo interno adottato dall’azienda per poter assicurare la salvaguardia del patrimonio aziendale, di cui i crediti sono parte integrante. Devono essere definite delle politiche aziendali in merito alla concessione e gestione dei crediti aggiungendo un’adeguata organizzazione, procedure e strumenti in linea con le esigenze aziendali22. II. Rischio di mercato: può essere definito come il rischio di variazioni negative del fair value di attività o passività derivante da variazioni 19 20 Ammann M., Credit Risk Valuation. Methods, Models, and Applications. Springer- Verlag , Berlin 2001 Derivati “contratti atipici di natura finanziaria consistenti nella negoziazione a termine di un’entità economica e nella relativa valorizzazione autonoma del differenziale emergente dal raffronto fra il prezzo dell’entità al momento della stipulazione e il suo valore alla scadenza pattuita per l’esecuzione” per apprendimenti sui derivati leggere: GIRINO E., I contratti derivati, Giuffrè. Milano, 2001. 21 “La cartolarizzazione (securitisation) è una tecnica di finanziamento che consente di smobilizzare poste attive illiquide convertendole in attività negoziabili attraverso la creazione di un titolo cedibile sul mercato” . Per approfondimenti Galiani, Polimeni, Proietti, Credit derivates e cartolarizzazione. Metodologie e analisi dei rischi , Il sole 24ore (2003). 22 Per un approfondimento sulla tematica delle gestione del rischio di credito leggere “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann nota 16. 16 nei parametri di mercato23. Lo stesso a sua volta può essere distinto in rischio di cambio, rischio di prezzo e rischio di tasso di interesse. Il rischio di cambio trova origine nella diversa combinazione delle operazioni generate dai processi operativi dell’impresa. La maggior parte delle decisioni inerenti alle operazioni in valuta estera, che sono la principale fonte del rischio di cambio, vengono prese di fatto dall’area operativa e determinano le modalità con cui tale rischio influenzerà in futuro l’azienda. Si riferisce alla presenza di una probabilità, più o meno elevata, che le variazioni dei tassi di cambio producano effetti sull’economicità della gestione diversi da quelli attesi, gli effetti che si suole ricondurre al concetto sono evidentemente quelli di segno negativo, che possono danneggiare l’impresa. L’ampia definizione data indica che il rischio a carico dell’impresa dipende dalla variabilità attesa dei cambi stessi e dal grado di dipendenza dei risultati economici dalla dinamica dei cambi. Il rischio di prezzo invece, si manifesta quando, a parità di tutte le altre condizioni, il valore di mercato degli strumenti in portafoglio e sensibile all’andamento dei mercati azionari, ad esempio il prezzo di una certa commodity (es. petrolio) genera un effetto negativo sul conto economico per un aumento di prezzo tra il momento in cui si è definito un listino e il momento di effettivo esborso finanziario. Il rischio di tasso di interesse, invece, si manifesta quando a parità di tutte le altre condizioni il valore di mercato dell’investimento è sensibile a variazioni dei tassi d’interesse. Una variazione degli ultimi produce un mutamento del valore delle attività o del costo delle passività detenute, un aumento dei tassi di mercato comporta una riduzione del valore di mercato di un titolo e viceversa. Tale variazione inciderà dunque sui margini economici in funzione della struttura (es. temporale) delle attività e passività sottostanti. Tale rischio è tanto maggiore quanto più lontana è la scadenza del titolo, è tipico delle obbligazioni e dei contratti derivati sui tassi di interesse. Ad esempio per una società che offre credito e stipula un mutuo a tasso fisso e si presenta un aumento dei tassi, si avrà un mancato guadagno perché la stessa società potrebbe riscattare il mutuo e concederne uno nuovo a un tasso maggiore. 23 “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 pag 69. 17 Le strategie per gestione dei rischi di mercato sono molteplici e molto complesse24 è comunque opportuno che le aziende si dotino di una capacità analitica e previsionale che permetta di comprendere i vari scenari di mercato e di formulare previsioni, o comunque valutare in modo consapevole le previsioni fornite loro da banche o analisti esterni. La razio che accomuna suddette strategie è quella di proteggere l’azienda da perdite impreviste, mantenere la stabilità dei ricavi e la certezza dei cash flows, beneficiare ove possibile di movimenti favorevoli dei tassi di mercato nei limiti di rischio prestabili e contribuire a generare valore per gli azionisti. 1.3.2 Il rischio operativo L’attenzione verso il rischio operativo da parte di studiosi e operatori è piuttosto recente, essa risale di fatto a metà degli anni ‘90, fino ad allora lasciata in ombra, se non per specifiche tipologie di rischio come frodi ed errori nel trattamento delle operazioni, nonostante la piena consapevolezza della sua esistenza. Inizialmente si considerava il rischio operativo come una categoria residuale, facendovi confluire tutti i rischi che non potevano essere considerati come rischi di mercato o rischi di credito. Dagli anni novanta ai giorni nostri le principali istituzioni finanziarie hanno intrapreso un percorso per giungere a una definizione positiva di questa categoria di rischio. Tra queste istituzioni figura il Comitato di Basilea25 che fornisce la seguente definizione “Il rischio operativo, è il rischio di subire perdite derivanti dall'inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi, oppure da eventi esogeni” . Tale definizione comprende il rischio legale ma esclude i rischi strategici e di reputazione, include le perdite monetarie direttamente riconducibili al manifestarsi di eventi esterni o di eventi verificatisi nel corso dello svolgimento di attività interne. La suddetta 24 25 Per approfondimenti vedere, Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann (nota 16) Il comitato di Basilea per la vigilanza bancaria, e un'organizzazione internazionale istituita dai governatori delle Banche centrali dei dieci paesi più industrializzati (G10) alla fine del 1974, che opera sotto il patrocinio della Banca per i Regolamenti internazionali (Bank for International Settlements: BIS). Il suo scopo era quello di promuovere la cooperazione fra le banche centrali ed altre agenzie equivalenti allo scopo di perseguire la stabilita monetaria e finanziaria. […].il comitato coordina la ripartizione delle responsabilità di vigilanza fra le autorità nazionali, per attuare la supervisione delle attività http://it.wikipedia.org/wiki/Comitato_di_Basilea. 18 bancarie a livello mondiale. Tratto da: definizione, può essere ampliata descrivendo il rischio operativo come l'insieme di tutte le anomalie che, inficiando l'output aziendale possono determinare una perdita economica, un maggior costo nello svolgimento delle attività o un minor ricavo comprende un’enorme varietà di situazioni. Dalla definizione emerge inoltre che il Comitato di Basilea riconduce, agli eventi generatori di perdita, quattro principali categorie di fattori causali: Risorse umane: si fa riferimento a tutti i problemi d’incompetenza o negligenza del personale, in particolare dunque, a errori, frodi, collusione, non osservanza di regole interne o di settore e violazioni della sicurezza informatica. Possono costituire delle cause di perdite operative, anche la perdita di risorse umane rilevanti e i rischi connessi ai rapporti con clienti, azionisti e aziende partner. Tecnologia: comprendono tutti i problemi, causati non intenzionalmente, relativi ai sistemi informativi. In particolare, incompatibilità dei sistemi con le necessità dell’azienda, errori di programmazione informatica, interruzioni nella struttura di rete ed eventuali crisi dei sistemi di telecomunicazione e d’informazione in genere. Processi interni: rientrano nella categoria i processi produttivi e di gestione. I problemi che si possono manifestare sono nelle procedure esistenti o assenza di determinate procedure, errori d’esecuzione, registrazione, regolamento, documentazione, carenze nel sistema dei controlli interni, insufficiente formalizzazione delle procedure interne, inadeguata definizione e attribuzione di ruoli e responsabilità. Fattori esterni: comprende avvenimenti che derivano da persone o entità esterne all’attività, quali: attività fraudolente commesse da soggetti esterni come furti, atti di vandalismo o terrorismo; eventi politici e militari come sanzioni internazionali, guerre; cambiamenti nel contesto legislativo e fiscale; eventi naturali dannosi incendi, terremoti, inondazioni. Questi fattori causali, manifestandosi singolarmente o tramite una loro espressione congiunta, danno luogo agli eventi che generano le perdite operative. I loro effetti sono generalmente di natura limitata sul piano temporale e materiale e possono essere fronteggiati nell’ambito della normale gestione d’impresa. Inoltre, molti rischi operativi sono assicurabili. Gli strumenti utilizzati per contenere il rischio operativo sono in prevalenza il controllo di gestione e il controllo interno: il primo si preoccupa di valutare continuamente i risultati ottenuti ed analizzare gli scostamenti rispetto agli obiettivi di risultato formulati nel budget; il secondo si 19 occupa di valutare il rispetto delle procedure aziendali e di prevenire comportamenti fraudolenti o sconsiderati che possano provocare danni al patrimonio aziendale. 1.3.3 Il rischio Strategico Il rischio strategico e connesso strettamente con il settore di appartenenza dell'impresa, cioè con la combinazione prodotto- mercato- tecnologia con cui opera la stessa. Deriva da inattesi cambiamenti nel contesto competitivo o dal mancato riconoscimento delle tendenze in atto nel settore di appartenenza, oppure in errate conclusioni riguardo queste tendenze 26. Tra i principali rischi vi sono quelli legati alla competitività, alla soddisfazione del cliente, alla regolamentazione ad eventuali ostacoli politici, nonché tutti quei rischi legati al ciclo di vita delle imprese, quali processi produttivi o innovazioni tecnologiche. Hanno origine nei livelli più alti del sistema organizzativo aziendale e includono vari tipi di cause, ad esempio: errori di previsione della domanda di mercato, errate supposizioni in merito alla strategia di business, rischi derivanti dal lancio di nuovi prodotti o servizi, errori nella scelta del mix di attività, perdita del controllo sulla proprietà intellettuale d’idee innovative, investimenti sbagliati, errori nelle operazioni di acquisizione e fusione con altre aziende, e diverse altre cause. Tra le aree di criticità del rischio strategico vi è quella riguardante la mancanza di una sua precisa definizione in termini di fattori di rischio da analizzare. La letteratura in merito, permette l’individuazione delle numerose cause alle quali possono essere ricondotte le perdite o gli utili derivanti da questa tipologia di rischio. Gli autori Adrian J. Slywotzky e John Drzik di Mercer in un articolo della Harvard Business Review dell'aprile 2005 distinguono sette classi di rischio strategico: 1) Settore; 2) Tecnologia; 3) Brand; 4) Concorrente; 5) Cliente; 26 Crf www.unicreditgroup.eu: il rischio strategico. 20 6) Progetto; 7) Stagnazione; Il fattore chiave per affrontare e gestire il rischio strategico sarà quello di individuare la pratica di successo per il conseguimento, il mantenimento e l’accrescimento nel tempo dei vantaggi competitivi aziendali. Per quanto riguarda il grado di orientamento strategico dell’impresa è essenziale quindi una pianificazione della gestione adeguata alla missione aziendale, il perseguimento di vantaggi competitivi sostenibili ed attuabili attraverso assetti strutturali, organizzativi e finanziari adeguati. Per quanto riguarda l’assetto organizzativo l’impresa dovrà valutare attentamente le capacità professionali del management, la coerenza fra la strategia prefissata e la struttura organizzativa utilizzata per raggiungerla, la snellezza procedurale e i possibili conflitti interni. Infine i due sottolineano come anche alcuni rischi finanziari e operativi possano, in qualche modo, avere una certa rilevanza strategica. I rischi strategici non sempre condurranno a delle perdite specifiche e, nel caso in cui esse avvengano, possono impiegare anche molti anni per divenire apparenti, più spesso il loro impatto finanziario è rappresentato, invece, da un costo-opportunità. Tali caratteristiche rendono questa categoria di rischi molto difficile da misurare. In genere le tecniche e gli strumenti per la gestione dei rischi strategici sono soggettivi e variano molto da business a business. 1.4 Gestione del rischio e cultura aziendale Oggi le aziende si presentano sempre più come organizzazioni caratterizzate da una struttura complessa e articolata. Nella realtà che ci circonda, è possibile riscontrare ancora attività gestite e controllate da un solo soggetto imprenditore che svolge tutte le funzioni relative all’area organizzativa, finanziaria e commerciale. Si tratta in questo caso di piccole imprese con un assetto organizzativo piuttosto semplice. Le aziende di media e grande dimensione, invece, non possono essere controllate da un solo soggetto ma è opportuno suddividere l’attività aziendale in vari settori o aree (commerciali, produttivi, finanziari, ecc) e delegare poteri direttivi e di controllo a vari responsabili in modo da rendere più flessibile la gestione e attenuare la probabilità di arresti o disfunzionamenti all’interno dell’impresa che possono, di conseguenza, generare rischi. 21 Per questo e a causa del cambiamento e la proliferazione dei rischi, è necessario che ogni responsabile dei diversi settori aziendali, per quanto di sua competenza, identifichi i rischi reali per la propria organizzazione, ne stimi le probabilità di accadimento, li valuti rispetto alla tolleranza della organizzazione stessa e, quando possibile, li compari, tramite analisi comparative, con quelli dei loro mercati e settori di riferimento27. Gli approcci per una corretta gestione dei rischi possono differire enormemente da azienda ad azienda e anche tra i diversi settori della stessa azienda. C'è comunque concordanza sul fatto che l'approccio debba nascere dal vertice e che trovi fondamento e supporto nella strategia aziendale e il modello che ne deriva sia coerente con la struttura dell’impresa e ne rispetti i livelli di delega, di autonomia e di responsabilità. I rischi pertanto possono essere gestiti, a seconda della loro importanza e impatto, a livello di vertice strategico o essere trasferiti alle strutture più operative. Per una corretta identificazione e analisi dei rischi è necessario disporre di una serie di metodologie e strumenti specifici. Ogni area aziendale deve essere coinvolta nelle fasi di analisi e di definizione delle misure da adottare in quanto l'applicazione delle metodologie e degli strumenti di analisi-gestione dei rischi richiedono competenze e professionalità specifiche di ogni settore. E’ in questa realtà aziendale che si afferma il processo di gestione integrata dei rischi Enterprise Risk Management. 27 Giorgino M., TravagliniI F., febbraio 2008, “Il risk management nelle imprese italiane”, Il Sole 24 Ore. 22 Capitolo 2 Enterprise Risk Management, nozioni e sviluppo La moderna teoria del Risk Management è riconducibile alla scuola americana, che inizia a fornire i propri contributi nella seconda metà degli anni ’50. Il mondo aziendale americano ha sempre rappresentato una guida nell’evoluzione della materia grazie all’anticipata sperimentazione di determinati fenomeni tecnologici, economici, sociali che hanno reso particolarmente evidente il vantaggio per le società di adottare adeguate tecniche di gestione dei rischi. In una prima fase, la gestione del rischio in azienda coincide con l’attività di ricerca di idonee coperture assicurative, la scuola americana considera, invece, il Risk Management come un insieme di soluzioni finalizzate a gestire i rischi in modo diverso dalla tradizionale sottoscrizione del contratto di assicurazione. Gli studi di Risk Management appartengono quindi inizialmente a un filone assicurativo: nascono, infatti, dalla ricerca sull’economia delle imprese assicurative e sono orientati alla gestione dei “rischi puri” tipicamente assicurabili tramite coperture danni. Negli anni ’70 si verifica un rinnovamento degli studi e la nascita di un nuovo filone di ricerca che mette in relazione il Risk Management con la più generale teoria dell’impresa. Comincia quindi a svilupparsi la convinzione che l’assicurazione contro i rischi non debba necessariamente essere la norma, e che, in certe circostanze, l’assunzione di rischi possa essere una soluzione conveniente. Si intende cioè verificare se l’introduzione del Risk Management nell’impresa, come funzione manageriale, può o meno massimizzare il valore della stessa impresa e in quale modo ciò accada. Si compie in tal modo il percorso che porta dall’“insurance management” che vede l’assicurazione come soluzione normale , al “Risk Management”, che affronta esplicitamente la gestione dei rischi non assicurabili la cui gestione richiede l'uso di strumenti diversi dal contratto di assicurazione. Negli anni recenti emerge la tendenza ad una visione globale del Risk Management, basata sulla considerazione che esso debba occuparsi di "tutti i rischi dell'azienda", politici, finanziari, di mercato28. 28 Pignolo P., 2002, “La gestione e la ritenzione del rischio d’impresa”, Franco Angeli – Editore, Milano 23 2.1 Il concetto di risk management Essere imprenditori significa assumere dei rischi. Quel che è importante è non assumere rischi di entità tale da mettere in crisi l'azienda, capire il rischio, valutare se lo si può affrontare con le risorse umane e finanziarie a disposizione, se lo si può gestire tanto da minimizzare i costi per dominarlo e ridurre le perdite nel caso in cui il danno accada. Per raggiungere questi obiettivi occorre il supporto di un processo, il Risk Management, che porta a seguire un percorso ben definito, a fare delle riflessioni obbligate. Risk Management significa letteralmente “Gestione del Rischio” dove per rischio si intende la probabilità di accadimento di tutti quegli eventi che possono comportare perdite o danni per l’azienda e per le persone coinvolte (es. danni alle strutture, danni alle persone fisiche, danni economici o di immagine). Il Risk Management può essere definito come il sistema, fondato su una metodologia logica e sistematica che consente di identificare, analizzare, valutare, comunicare, eliminare e monitorare i rischi associati a qualsiasi attività o processo in modo da rendere l’organizzazione capace di minimizzare le perdite e massimizzare le opportunità29. Il primo passo basilare per il Risk Management è conoscere in modo preventivo i rischi, quali sono gli eventi potenzialmente dannosi, con quale frequenza si possono manifestare e quale impatto possono avere. Senza la conoscenza del rischio non c’è possibilità di preparare o di adottare azioni correttive, preventive o migliorative. Questa fase di valutazione del rischio deve essere necessariamente un processo continuo finalizzato al miglioramento. Considerando che, nel tempo, i fattori esterni o interni di rischio possono cambiare, deve comprendere altresì una previsione dei costi di gestione del rischio, in termini di risorse economiche, di capacità e di mezzi. I costi di gestione del rischio non devono chiaramente superare i costi di eventuali danni causati dal concretizzarsi del rischio stesso. Da questa prima definizione si evince che lo strumento principale per attuare un buon modello di ERM fa riferimento al concetto di “gestione integrata”. In altre parole, quando si parla di ERM, ci si riferisce a un framework di gestione, che, individuando tutti i rischi li gestisca tenendo in considerazione l’effetto complessivo sul modello organizzativo e operativo, in maniera tale da fornire una ragionevole certezza che, sebbene taluni obiettivi e rischi possano risentire di 29 Giorgino M., TravagliniI F., febbraio 2008, “Il risk management nelle imprese italiane”, Il Sole 24 Ore 24 agenti esterni, tutti i livelli aziendali si muovano nella stessa direzione per il raggiungimento degli stessi obiettivi30. Gestendo il rischio in maniera efficace, le organizzazioni possono non solo minimizzare il rischio nel momento in cui un evento negativo accade, ma essere anche in grado di sfruttare in maniera attiva le opportunità che potrebbero presentarsi nel raggiungimento dei propri obiettivi. Molte organizzazioni nel mondo utilizzano, al fine di fronteggiare il rischio, specifici strumenti e processi di gestione del rischio, strumenti e processi che finiscono per essere integrati operosamente con la gestione del proprio business. 2.2 “ERM” come innovazione manageriale L’innovazione rappresenta da sempre il principale fattore di sviluppo delle singole imprese e del sistema produttivo in genere. L’innovazione non si limita, però, alla sfera della tecnologia e della creazione di nuovi prodotti o processi, accanto all’innovazione tecnologica vi è quella manageriale che si concretizza nella creazione di nuove tecniche di gestione delle risorse, di organizzazione del lavoro, di programmazione delle operazioni, di assunzione delle decisioni. L’innovazione manageriale può essere finalizzata a risparmi di costi, a incrementi del fatturato o più in generale al miglioramento della “qualità” della gestione aziendale. L’Enterprise Risk Management costituisce un esempio di innovazione manageriale relativa alle problematiche della gestione dei rischi dell’azienda. E’ “un’attività strategica di supporto al processo direzionale d’impresa volta a creare valore aziendale a favore dei portatori di capitali di rischio attraverso un processo integrato di identificazione, stima, valutazione, trattamento e controllo di tutti i rischi d’impresa”31. Quest’approccio prende in considerazione, in un’ottica di conoscenza e valutazione dei rischi, tutti gli aspetti di gestione aziendale. Attraverso l’Enterprise Risk Management si attua un processo integrato di organizzazione, pianificazione, gestione e controllo di tutte le attività collegate alla identificazione, alla valutazione e gestione dei rischi ai quali l’azienda è esposta. Quando difatti, si parla di “ERM”, ci si riferisce a un framework di gestione che, individuando tutti i rischi, li gestisca tenendo in considerazione l’effetto complessivo sul modello organizzativo e operativo. Ogni impresa di successo 30 31 “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli. 25 affronta rischi, l’“ERM” tratta sia le opportunità che i rischi e per questo motivo è vitale per il successo. Dato che ogni scelta del management ha un impatto sul profilo di rischio aziendale, l’”ERM” assiste il management stesso con lo scopo di comprendere i rischi aziendali e gestirli, permettendo di sviluppare le competenze interne necessarie per adottare le scelte migliori32. 2.3 Il processo di Risk Management Il Risk Management è “il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli riguardanti le singole attività o l’insieme delle stesse”.33 Secondo questo approccio il processo di Risk Management è costituito da quattro fondamentali fasi 34: 1. Definizione degli obiettivi dell’impresa e di Risk Management: Gli obiettivi strategici dell’impresa e il contesto di mercato in cui essa si muove sono estremamente rilevanti, in quanto contribuiscono a determinare l’atteggiamento dell’organizzazione di fronte alle diverse tipologie di rischio, le risorse da dedicare all’attività di Risk Management e le decisioni sulla più idonea modalità di trattamento degli stessi. Ogni organizzazione può avere obiettivi propri da cui discendono particolari obiettivi operativi, risorse e criteri valutativi. Secondo l’“ERM” l’obiettivo dell’impresa è quello di massimizzare il valore aziendale creato dalla gestione a favore dei portatori di capitale di rischio. L’Enterprise Risk Management consente di circoscrivere l’analisi ai soli rischi aziendali, cioè gli effetti economici, finanziari e patrimoniali che i rischi possono determinare nell’impresa. In particolare: Obiettivo principale dell’attività di Risk Management è di contribuire a creare valore aziendale a favore degli stakeholder; Le risorse assegnate all’attività e la conseguente strutturazione del processo sono tali da massimizzare la differenza tra il valore creato dal processo di Risk Management e i costi del processo; Il criterio è quello del massimo valore aziendale creato dalle diverse alternative decisionali. 32 COSO, 2006, “La gestione del rischio aziendale, ERM –Enterprise Risk Management: modello di riferimento e alcune tecniche applicative”, il Sole 24 Ore. 33 34 Airmic.com (Association of Insurance Risk Manager). FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli. 26 Inoltre, per evitare che i diversi interventi di gestione del rischio risultino frammentati e incoerenti, è necessario stabilire con chiarezza le finalità da attribuire al processo; 2. Risk assessment: una volta definiti gli obiettivi, stabilite le risorse e i criteri di valutazione il processo di Risk Management si avvia attraverso questa fase, durante la quale si identificano, valutano e stimano i rischi che gravano sull’organizzazione. La realizzazione del risk assessment presuppone che l’azienda abbia definito il proprio livello di risk appetite (livello massimo di rischio accettabile), superato il quale i rischi identificati diventano rilevanti e devono essere opportunamente gestiti. La valutazione dei rischi identificati permetterà quindi di creare un ordinamento degli stessi secondo la loro significatività. Si suddivide in quattro fasi: I. L’identificazione dei rischi: consiste nell’individuare le fonti di aleatorietà, cioè quegli eventi rischiosi che possono determinare effetti inattesi sugli obiettivi dell’impresa. In certi contesti l’identificazione dei rischi è la fase più importante e delicata del processo di Risk Management. Ciò accade quando la mancata o non corretta identificazione di singoli rischi può pregiudicare il successo di determinati progetti o mettere in pericolo l’equilibrio economico e patrimoniale delle aziende. All’identificazione dei rischi segue la descrizione. Essa consiste nel descrivere le principali caratteristiche dei singoli rischi identificati secondo una modalità standardizzata. La descrizione dei rischi è finalizzata da un lato ad agevolare le successive fasi di stima, integrazione e valutazione, dall’altro a disporre in ogni momento di un’informativa sintetica e aggiornata dei rischi. II. La stima dei rischi: rappresenta la fase centrale del risk assessment. Attraverso opportune tecniche di stima si definiscono probabilità e conseguenze del rischio. Le tecniche utilizzate a tal fine possono essere di tipo quantitativo, semiquantitativo o qualitativo. III. L’integrazione dei rischi: consiste nell’aggregazione di tutti i rischi individuati e stimati, e nella stima dell’impatto che ciascuno di questi 27 ha sulla rischiosità complessiva dell’impresa. La fase di integrazione è essenziale e nel contempo estremamente complessa. IV. La valutazione dei rischi: la fase di valutazione del rischio conclude il risk assessment. Tale fase è strettamente legata agli obiettivi dell’azienda e al processo di Risk Management. La fase di risk assessment origina un report sintetico (risk reporting) volto a descrivere il rischio e la sua manifestazione originaria, permette così, a chi ne ha la responsabilità di prendere le adeguate decisioni. La fase si termina con il giudizio sul rischio che sarà ritenuto adeguato o meno rispetto agli obiettivi aziendali. Nel primo caso non sarà necessario alcun trattamento e al massimo si prevedrà un monitoraggio della sua evoluzione nel tempo, nel secondo caso si deciderà un intervento passando alla fase successiva (risk treatment). Tutte le alternative gestionali che saranno individuate andranno però valutate e di conseguenza potrà rendersi necessaria una nuova fase di risk assessment; 3. Risk treatment (trattamento dei rischi): consiste nel selezionare e implementare idonee misure atte a modificare il profilo di rischio, in linea con gli obiettivi di Risk Management e i connessi criteri valutativi: si tratta, in pratica, di prendere delle decisioni aziendali che hanno un’influenza sui rischi esaminati. Dopo aver deciso e implementato le più idonee misure di gestione del rischio è necessario effettuare una nuova stima del rischio che residua in seguito alle azioni realizzate; 4. Monitoring (controllo): una volta realizzati, gli interventi di gestione devono essere opportunamente monitorati permettendo all’azienda di verificare anche il livello di conseguimento degli obiettivi. Attraverso questa attività potranno essere identificati eventuali fattori che impediscono l’efficacia degli interventi realizzati. I continui mutamenti del sistema dei rischi ai quali l’azienda è esposta impongono anche che venga effettuato un regolare controllo al fine di mantenere aggiornato l’archivio dei rischi significativi e verificare l’efficacia del processo di gestione in atto. Il controllo può essere strutturato su più livelli e consiste nello svolgimento delle seguenti attività: I. Controllo dell’esposizione al rischio e dell’andamento dei rischi assunti : questa attività di controllo può essere considerata una vera e propria modalità di gestione del rischio (controllo di gestione); 28 II. Reiterazione parziale o totale del processo di Risk Management in caso di necessità: il processo si presenta dinamico e deve essere ripetuto periodicamente e in ogni caso qualunque volta che si modificano le condizioni di ambiente come, per esempio, in caso di modifica di un III. rischio o dell’introduzione di nuove modalità di gestione; Determinazione dell’efficacia del processo di Risk Management ed eventuali revisioni dello stesso : questa attività è molto ardua in quanto è complesso valutare i benefici del Risk Management. Un processo di Risk Management si presenta efficace quando tutto funziona in modo “ordinario”, in altre parole, quando non si manifestano degli scenari che non erano stati previsti o quando in presenza di manifestazioni negative del rischio le misure di riduzione e contenimento del danno operano correttamente. Se è chiaro che delle anomalie possono essere addebitate a malfunzionamenti del processo di Risk Management, l’assenza di anomalie non permette di comprendere facilmente se il processo è adeguato o se si è trattato solo di una circostanza favorevole. Infine, oltre ai controlli sopra delineati, il Risk Management, come tutte le altre attività aziendali, deve essere sottoposte al processo di internal auditing35, vale a dire deve essere verificato che le persone chiamate a definire e realizzare obiettivi, politiche, processi e procedure di Risk Management agiscano correttamente. 35 Il processo d’internal auditing (IA) […..]sono attività professionali di consulenza verso una organizzazione per la verifica delle procedure, svolta principalmente da personale interno. 29 2.4 Profilo organizzativo del Risk Management all’interno dell’azienda L’azienda che intende implementare un processo di Risk Management deve prima di tutto stabilire ruoli e responsabilità delle diverse funzioni che partecipano al processo. E’ importante distinguere i soggetti direttamente coinvolti da quelli che non fanno parte del processo, ma che, attraverso la propria attività, possono influenzare positivamente lo stesso. Le principali aree coinvolte direttamente nel processo sono: Consiglio di Amministrazione: esso definisce prima di tutto le strategie di base per lo sviluppo e la realizzazione di un efficace processo di gestione del rischio. Formula gli obiettivi generali che l’organizzazione dovrà perseguire relativamente all’assunzione dei rischi e verifica l’efficacia del processo e il rispetto degli stessi obiettivi generali. Il consiglio di amministrazione svolge un ruolo di supervisore e di guida, verificando il grado di efficacia con cui il management realizza il processo di gestione del rischio, ottenendo informazioni sui rischi più rilevanti e sull’adeguatezza delle risposte del management e comparando il profilo di rischio effettivo dell’azienda con quello tollerato. A tal fine il consiglio di amministrazione deve avere a diposizione tutti gli strumenti necessari per poter adempiere adeguatamente ai propri compiti e, in particolar modo, deve essere padrone di efficaci ed efficienti canali informativi e di comunicazione. Management: il management è direttamente responsabile del processo di gestione del rischio, con diverse responsabilità in base al livello manageriale. Al top management (di solito il CEO, in altre parole l’amministratore delegato) spetta la responsabilità ultima dell’effettiva e adeguata implementazione del processo di Risk Management. Esso deve controllare che tutte le fasi siano correttamente realizzate, attraverso riunioni periodiche con i manager responsabili delle maggiori aree funzionali (senior manager). Tramite questi continui contatti, il CEO viene quindi a conoscenza dell’attività svolta nelle diverse aree e dell’approccio impiegato per la gestione del rischio e può anch’esso svolgere un ruolo di guida e direzione in favore dei sopraccitati manager. Essi sono quindi responsabili della gestione dei rischi che gravano sull’area di loro competenza e, attribuiscono a loro volta responsabilità ai manager che operano in specifici processi o funzioni. 30 Risk Manager: figura centrale che fornisce supporto e assistenza ai manager di linea per implementare un efficace processo di gestione del rischio relativamente alle aree di loro competenza. Essi devono assumersi la responsabilità principale della gestione del rischio nelle aree di loro competenza e devono rendere conto del loro operato. Il risk manager provvede anche al coordinamento delle diverse aree. Tale attività risulta necessaria nel caso in cui diverse funzioni si trovino a dover gestire gli stessi rischi, ed è anche rilevante per misurare il contributo della singola area al livello di rischiosità complessivo dell’azienda. Se esiste, il risk manager è abitualmente nominato dal CEO e può essere responsabile anche della periodica revisione del processo sulla base degli indirizzi strategici definiti dal consiglio di amministrazione. Inoltre prepara dei report sull’andamento del processo di Risk Management da presentare al consiglio di amministrazione o al top management. Nella fase iniziale d’implementazione del processo, il ruolo principale del risk manager è invece quello di contribuire alla diffusione di una cultura di gestione del rischio. Internal auditing: attraverso il risk control la funzione di internal auditing si occupa anche dei rischi aziendali. Nello svolgimento della sua attività, l’internal auditor accerta che l’azienda non si assuma un ammontare di rischi superiore a un livello prestabilito (risk appetite) e che abbia a disposizione risorse adeguate per la sua gestione. Il soggetto controllante verifica che l’atteggiamento dell’azienda sia adeguato alle procedure, ai regolamenti o alle norme relative all’assunzione dei rischi. I “controllori”, inoltre, devono rendere conto del loro operato esclusivamente al consiglio di amministrazione e al top management. Ciò li rende indipendenti e neutrali nella loro valutazione, facendo di questa funzione un valido strumento per valutare e migliorare il processo di Risk Management. 31 2.4.1 Gli obiettivi dell’ERM Nell’ambito della mission aziendale, il management definisce gli obiettivi strategici, fissa gli obiettivi specifici, coerenti con la strategia, e gli assegna ai vari livelli della struttura organizzativa. Il COSO sostiene che l’ERM è finalizzato al conseguimento degli obiettivi rientranti nelle seguenti categorie: a. Obiettivi strategici: rientrano gli obiettivi di carattere generale definiti ai livelli più alti della struttura organizzativa cosi da essere allineati alla missione aziendale. In sede di definizione degli obiettivi strategici, il management compie un’analisi delle varie alternative possibili e ne individua i rischi connessi e le relative implicazioni; b. Obiettivi Operativi: riguardano invece la capacità dell’azienda di utilizzare le risorse a disposizione per il conseguimento degli obiettivi in maniera efficace ed efficiente36. Insieme agli obiettivi di reporting e di conformità, costituiscono i cosiddetti obiettivi correlati e consentono di individuare i fattori critici di successo e gli elementi chiave necessari per conseguire gli obiettivi strategici. Nello specifico, gli obiettivi operativi, concernono l’impiego delle risorse in modo efficace ed efficiente e analizzano i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite; c. Obiettivi di Reporting: inerenti all’attendibilità delle informazioni contenute nei vari reports predisposti dall’azienda, che devono essere accurate, complete e coerenti con i fini perseguiti. Fanno riferimento ai report elaborati sia ai fini interni sia esterni (ad esempio, le società quotate devono presentare, periodicamente, report e informazioni alle autorità di vigilanza presso i mercati borsistici); d. Obiettivi di conformità: L’ultima categoria, infine, fa riferimento al rispetto, da parte dell’azienda, delle leggi e dei regolamenti in vigore. Possono riguardare ad esempio, il mercato, i prezzi, le imposte, la previdenza sociale, ecc. Le leggi e i regolamenti, quindi, stabiliscono gli standard minimi di comportamento che l’azienda deve integrare nel momento in cui definisce i suoi obiettivi di conformità. Questa classificazione consente di approfondire differenti aspetti della gestione del rischio. Tale distinzione evidenzia la possibilità di correlazione e di 36 Efficacia: Grado di raggiungimento di un obiettivo prefissato. La misura dell'efficacia pone in relazione gli obiettivi prefissati con l'accuratezza e completezza dei risultati raggiunti. L’efficienza, invece, relaziona i risultati raggiunti con le risorse necessarie per il loro ottenimento. 32 sovrapposizione delle diverse categorie e di conseguenza, riguardando diverse esigenze dell’azienda, il fatto che le stesse possono essere di competenza diretta di più manager. Poiché gli obiettivi riguardanti l’affidabilità del reporting e la conformità alle leggi e ai regolamenti sono sotto il diretto controllo dell’azienda, l’Enterprise Risk Management è in grado di fornire una ragionevole sicurezza per il conseguimento di tale tipologia di obiettivi. Il conseguimento degli obiettivi strategici e operativi è influenzato da eventi esterni che non sempre rientrano nella sfera di controllo dell’impresa, ma che in ogni caso attraverso attività di pianificazione e vigilanza possono fornire una certa sicurezza di conseguenza, se il management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si stanno realizzando detti obiettivi. Il processo d’implementazione del modello può essere suddiviso in diverse fasi distinti tra loro. Si parte dalla creazione di un gruppo di lavoro nel quale parteciperanno i rappresentanti di tutte le unità operative coinvolte nel processo. Il top management provvederà a illustrare al gruppo i benefici dell’ERM, informerà le unità operative sulle attese in ambito dei rendimenti e predisporrà il piano di sviluppo con identificazione di obiettivi intermedi, tempistiche e risorse da adottare e infine le responsabilità attribuite. La fase successiva consisterà nel valutare e monitorare la situazione corrente riguardante l’applicazione dei componenti, dei concetti e dei principi della gestione del Risk Management. Tale valutazione fornirà le informazioni necessarie per individuare ed eventualmente incrementare le capacita operative di persone, processi tecnologie già esistenti o da sviluppare. Il piano d’implementazione dovrà essere aggiornato costantemente, e se necessario, aggiornato in base ai cambiamenti (monitoraggio). 2.4.2 I componenti dell’ERM Lo schema di “ERM” proposto dal COSO Report è costituito da otto elementi correlati tra loro che rappresentano le componenti del modello proposto:37 1. Ambiente interno: è il contesto organizzativo in cui si svolge il processo di gestione del rischio. La definizione di una politica del rischio può contribuire a formulare una risposta più finalizzata alle maggiori esigenze poste sul piano della consapevolezza del rischio nell’intera impresa. Nel contesto di una simile politica si procederà dunque a delineare le diverse tipologie di rischio e a 37 “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 33 precisare come e sino a quali limiti i singoli rischi dovranno essere evitati, ridotti, trasferiti ad altri o sopportati direttamente. L’ambiente rappresenta le fondamenta di organizzazione” 38 ogni organizzazione,“l’essenza stessa di qualsiasi ed è determinato dalle qualità personali, dai valori etici, dalle competenze delle persone che operano all’interno dell’organizzazione. Tutti questi aspetti influenzano la consapevolezza e la sensibilità al tema del personale, il modo cioè, in cui il rischio viene gestito e valutato dagli individui nell’azienda. L’ambiente interno è quindi il risultato dell’attività del management riguardante il riconoscimento o meno di alcuni rischi, la definizione del risk appetite, e la sua promozione all’interno dell’impresa. 2. Definizione degli obiettivi: in questa fase si individua la relazione tra mission aziendale e gli obiettivi aziendali che, come già indicato in precedenza, si distinguono tra obiettivi strategici, operativi, di reporting e di conformità. Le strategie e numerosi obiettivi correlati sono dinamici e soggetti a variazioni al cambiare delle condizioni interne ed esterne. In sede di definizione degli obiettivi, inoltre, si individuano i rischi connessi alle varie scelte strategiche, il cosiddetto rischio accettabile e conseguentemente il livello di tolleranza al rischio. In quest’ottica il processo di “ERM” permette al management di scegliere gli obiettivi migliori e coerenti con la missione definita e con il livello di rischio accettabile. 3. Identificazione degli eventi: è necessario identificare con precisione tutti quegli eventi aventi origine esterna/interna, che possono significativamente influenzare l’attività aziendale compromettendo il corretto raggiungimento degli obiettivi prefissati. Tra i fattori esterni segnaliamo: l’ambiente ossia eventi come calamità naturali, che possono procurare danni a fabbricati o impianti, le tecnologie come l’introduzione di nuovi sistemi informativi in grado di rendere più semplici non solo i processi produttivi ma anche l’acquisizione nonché comunicazione delle informazioni e infine il sociale, spesso sottovalutato, eppure i cambiamenti demografici, la qualità della vita, la struttura familiare, influenzano le richieste di prodotti o servizi da parte del consumatore finale. I fattori interni invece possono essere causati da scelte manageriali questi possono riguardare: la selezione del personale e l’attribuzione delle competenze, eventuali infortuni sul lavoro, gli investimenti infrastrutturali, tecnologici o procedurali ecc. Una volta individuati i principali fattori di 38 COSO, 2006, “La gestione del rischio aziendale, ERM –Enterprise Risk Management: modello di riferimento e alcune tecniche applicative”, il Sole 24 Ore. 34 rischio, il management e in grado di valutarne la significatività e quindi, focalizzare l’attenzione principalmente su quegli eventi che possono pregiudicare il conseguimento degli obiettivi. Avendo appreso inoltre che un evento ha la capacità di avere un effetto negativo (rischio) e/o positivo (opportunità) sul conseguimento degli stessi, risulta necessario distinguere gli uni dagli altri. Le opportunità devono, infatti, essere valutate nel processo di pianificazione strategica, mentre i rischi dovranno essere oggetto di un’accurata analisi. 4. Valutazione del rischio (risk assessment): i rischi identificati devono essere valutati, in modo che il management sia consapevole della loro effettiva significatività ed indirizzi le proprie risorse verso la risoluzione di quei rischi che presentano una priorità maggiore. A tal fine, i rischi devono essere valutati sia in termini di “rischio inerente” (rischio in assenza di qualsiasi intervento) sia di “rischio residuo”,39 attraverso la determinazione della probabilità di manifestazione dell’evento rischioso e del relativo impatto atteso ovvero degli esiti derivanti dal manifestarsi del rischio. Si possono distinguere due grandi categorie metodologie di valutazione del rischio, quella quantitativa, nei casi in cui la valutazione stessa si presti a essere quantificata, oppure qualitativa, se i dati per procedere con una valutazione quantitativa sono insufficienti o inaffidabili, oppure ancora, quando la stessa riguarda particolari rischi per cui l’analisi qualitativa risulta maggiormente efficiente e utile rispetto a quella quantitativa. 5. Risposta al rischio: una volta isolati i rischi più significativi, il management deve predisporre degli interventi finalizzati ad allineare il profilo di rischio reale a quello desiderato. Possibili risposte al rischio possono essere evitare, accettare, ridurre e compartecipare il rischio. Analizziamo separatamente le diverse alternative. Per evitare i rischi si può, per esempio, eliminare un prodotto, rinunciare a entrare in un nuovo mercato o vendere un ramo di attività; Si riduce il rischio attraverso delle azioni dirette a ridurre la probabilità o l’impatto del rischio, oppure entrambi; Si condividere il rischio. riducendo la probabilità e l’impatto del rischio attraverso il trasferimento o la compartecipazione di una parte del rischio, le tecniche comunemente adottate consistono nell’acquisto di una polizza assicurativa, o in attività di esternalizzazione o di outsourcing; Se si accetta il rischio, infine, non sono intraprese azioni per incidere sulla probabilità o sull’impatto del rischio. 39 “Rischio che residua dopo l’implementazione d’interventi per fronteggiarlo” COSO, 2006, “La gestione del rischio aziendale, ERM –Enterprise Risk Management: modello di riferimento e alcune tecniche applicative”, il Sole24 Ore. 35 Il processo di definizione della risposta al rischio viene fatto, principalmente, attraverso un analisi costi – benefici basata sulle stesse unita di misura utilizzate per definire gli obiettivi e il livello di tolleranza al rischio. 6. Attività di controllo: per aiutare il management nell’implementazione delle risposte al rischio scelte, le politiche definite dai vertici aziendali devono avere un riscontro operativo. E’ quindi necessario definire meccanismi operativi di controllo che si attuano in tutta l’organizzazione, a tutti i livelli gerarchici e funzionali della struttura organizzativa. Tali attività comprendono una serie di operazioni diverse, come autorizzazioni, consensi, verifiche, riconciliazioni, esame delle performance operative, protezione dei beni aziendali e separazione dei compiti. E’ difficile elencare quali sono le attività di controllo più comuni sapendo che i controlli riflettono l’ambiente e il settore in cui opera cosi come la dimensione e la complessità della sua organizzazione, oltre a tutto ogni impresa è gestita da persone diverse che attivano i controlli secondo valutazioni personali. 7. Informazioni e comunicazione: in questo contesto è necessario poter disporre in modo tempestivo delle informazioni rilevanti, in modo da identificare, valutare e rispondere al rischio velocemente e nel modo più adeguato. A tal fine le informazioni significative devono essere individuate, raccolte, elaborate e diffuse, a ogni livello della struttura gerarchica, nei modi e nei tempi richiesti affinché ciascun soggetto possa svolgere i propri compiti in maniera efficiente. Le comunicazioni devono circolare efficacemente all’interno di tutta la struttura organizzativa e nelle varie direzioni: verso il basso, verso l’alto e trasversalmente. 8. Monitoraggio: ultima fase del processo è il monitoraggio. Deve essere intercalata a tutti i livelli aziendali, per accertarne il corretto ed efficace funzionamento nel tempo e permettere l’attivazione di reazioni tempestive in caso di bisogno. La continuità e sistematicità del monitoraggio è richiesta dal crescente dinamismo che caratterizza ormai il contesto interno ed esterno in cui l’azienda opera e che quindi determina anche un continuo mutamento dei rischi in grado di pregiudicare gli obiettivi aziendali. Tra gli strumenti utilizzati principalmente, si distingue tra: diagrammi di flusso, questionari e check-list. La scelta è fatta in base all’obiettivo da perseguire, la facilita d’utilizzo da parte del personale e alla frequenza della valutazione stessa. A compimento di tali attività, tutte le carenze rilevate nell’ERM dovranno essere relazionate a coloro in grado di attuare le opportune misure correttive. 36 Gli elementi appena analizzati sono si strutturati all’interno dell’ERM ma non in una visione sequenziale bensì si tratta di un procedimento interattivo e multi direzionale in cui ogni componente può influire sull’altro, indipendentemente dalla sequenza del processo. Naturalmente ogni azienda implementerà il processo di “ERM” secondo le proprie modalità e conformemente ai propri bisogni e alle proprie caratteristiche (settore di appartenenza, dimensione, cultura e filosofia gestionale). 2.4.3 Legame tra obiettivi e componenti Ai fini dell’implementazione dell’Enterprise Risk Management è necessario che esso discenda lungo tutte le articolazioni dell’azienda (entità, divisioni, funzioni) in modo da soddisfare i differenti bisogni gestionali che le caratterizzano. L’efficacia di tale processo dipende, dunque, dalla qualità delle relazioni che intercorrono tra gli obiettivi che l’azienda si propone di conseguire, le componenti del sistema “ERM” (ovvero gli strumenti di riferimento necessari per la realizzazione degli obiettivi) e le varie articolazioni aziendali. La valutazione dell’efficacia di questo modello resta comunque un giudizio soggettivo, che si basa sulla presenza e sul corretto funzionamento delle otto componenti. Se l’“ERM” è giudicato efficace, significa che il consiglio di amministrazione e il management hanno la “ragionevole sicurezza” di conoscere il grado di realizzazione degli obiettivi strategici, di conoscere il grado di conseguimento degli obiettivi operativi, che i reports predisposti sono attendibili e che le leggi e i regolamenti in vigore sono rispettati. In definitiva tale processo può ritenersi efficace se le scelte effettuate determinano un abbassamento del rischio in linea con il livello accettabile e forniscono una “ragionevole sicurezza” sul conseguimento degli obiettivi. E’ possibile fornire una rappresentazione del sistema “ERM” nelle sue tre dimensioni interconnesse (obiettivi aziendali, componenti del sistema e articolazioni aziendali), come mostrato dalla figura : 37 Figura 1: Matrice ERM40 Nelle colonne verticali del cubo sono rappresentate le quattro categorie di obiettivi strategici, operativi, di reporting e di conformità, le otto componenti del sistema sono invece rappresentate nelle righe orizzontali, la terza dimensione infine, rappresenta l’azienda e le sue unità operative. In questo modello, come si può notare, non esistono relazioni univoche tra componenti del sistema, categorie di obiettivi aziendali e articolazioni dell’organizzazione, ciascuna componente influenza il conseguimento di tutte le tipologie di obiettivi e deve trovare corrispondenza nelle risorse a essa destinate dalle diverse unità organizzative; allo stesso modo, tutte le otto componenti sono applicabili a ciascuna categoria di obiettivi e ciascuna unità organizzativa può perseguire categorie diverse di obiettivi. L’Enterprise Risk Management, com’è possibile osservare dalla figura, è un processo flessibile che può essere applicato sia all’intero processo di gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi, ai componenti, alle singole unità operative. 40 Immagine scaricata dalla rete internet 38 2.5 I limiti dell’ERM L’Enterprise Risk management può fornire solo una ragionevole sicurezza sul conseguimento degli obiettivi aziendali. Pertanto, se da un lato consente di ottenere importanti benefici, dall’altro presenta anche dei limiti. Questi ultimi sono determinati da scelte errate, da disfunzioni o da semplici errori. Inoltre, i controlli possono essere vanificati dalla collusione di due o più persone e dalla capacità del management di aggirare il processo di gestione del rischio, comprese le decisioni di risposta al rischio e le attività di controllo. Questi limiti impediscono al consiglio di amministrazione e ai manager di avere l’assoluta certezza in relazione al raggiungimento degli obiettivi aziendali41. Nel considerare i limiti dell’Enterprise Risk Management si devono tener presente tre concetti: Il rischio riguarda un evento futuro e incerto: L’ERM, anche se adeguato, opera a livelli diversi rispetto alle varie categorie di obiettivi. Per quanto concerne gli obiettivi strategici e operativi, tale processo può solo aiutare il management e il Consiglio di Amministrazione a conoscere se l’azienda è indirizzata o meno verso i suddetti obiettivi, ma non può fornire nessuna sicurezza che gli stessi obiettivi saranno conseguiti; L’ERM non può fornire la sicurezza assoluta nei confronti di nessuna delle categorie di obiettivi; Precisiamo però che l’espressione “ragionevole sicurezza” non implica che l’“ERM” sarà frequentemente inefficace o inadeguato ma è opportuno considerare che un efficace processo di Enterprise Risk Management può rivelarsi, in certi casi, inidoneo al suo scopo. Limite dell’“ERM” sono anche le decisioni aziendali che vengono prese sulla base del giudizio umano e, quindi, delle considerazioni soggettive effettuate dal management. E’ opportuno considerare che anche se ben concepito, il processo di Enterprise Risk Management potrebbe fallire: il personale può interpretare male le istruzioni, compiere errori di giudizio o sbagliare per distrazione o per stanchezza. Ancora si può presentare il caso in cui il processo di gestione del rischio può diffondere nell’impresa un clima di ossessione per il controllo del rischio. L’Enterprise Risk Management, infatti, può indurre i manager a lavorare sotto 41 “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 39 tensione con l’idea fissa di effettuare continuamente controlli, determinando così un effetto indesiderato e conseguenze negative per l’azienda stessa. Precisato che le risorse a disposizione sono sempre limitate, le aziende devono tener conto del rapporto costi – benefici quando decidono di attivare le decisioni, comprese quelle concernenti la risposta al rischio e le attività di controllo. Quando si decide di attivare un particolare intervento o di introdurre un certo controllo, è necessario considerare il rischio d’insuccesso e l’effetto potenziale sull’impresa, anche in termini di costi. Per esempio, può non essere economicamente corretto per una società realizzare un sofisticato controllo del magazzino per monitorare i livelli delle materie prime se il costo delle materie è piuttosto basso. Se da un lato attivare controlli eccessivi può risultare dispendioso e controproducente, dall’altro controlli troppo superficiali elevano il rischio: in un ambiente altamente competitivo si richiede, quindi, un giusto equilibrio. Il processo di Enterprise Risk Management dipende, senza dubbio, dalle persone che lo pongono in essere: esso è tanto efficace quanto lo sono i responsabili che lo realizzano. Anche nelle aziende ben gestite e controllate, un manager può essere in grado di aggirare l’“ERM”42. Le azioni per aggirare il processo di gestione dei rischi non sono documentate e sono effettuate con l’intento di occultare le azioni stesse. Tali limitazioni elencate, non consentono al consiglio di amministrazione e al management di ottenere una sicurezza assoluta sul conseguimento di obiettivi aziendali, ma grazie all’effetto totale delle risposte al rischio si e in grado di ridurre le possibilità che l’azienda possa mancare i propri obiettivi. 42 Con l’espressione “aggirare l’“ERM”” si intende qualsiasi violazione delle politiche o procedure stabilite posta in essere da un decision maker per, ad esempio, occultare il mancato rispetto degli obblighi di legge oppure aumentare i ricavi iscritti in bilancio per coprire un imprevisto calo della quota di mercato. Fonte: COSO, 2006, “La gestione del rischio aziendale, ERM: modello di riferimento e alcune tecniche applicative”, il Sole 24 Ore. 40 2.6 Approfondimento: La stima dei rischi L’identificazione dei rischi rivela i rischi esistenti e ne descrive le caratteristiche rilevanti, mentre la valutazione serve a misurarne l’entità. Questa informazione risulta essenziale per supportare il management ad adottare decisioni adeguate relativamente alla gestione dei rischi identificati. L’importanza di questa seconda fase è anche spiegata dalla necessità di porre i rischi in ordine di priorità al fine di dirigere sforzi e risorse su quelli che risultano più pericolosi. Essendo però questi di natura eterogenea, dovranno essere espressi in una comune unità di misura al fine di essere adeguatamente valutati e misurati. La misurazione dei rischi identificati può essere svolta attraverso tre tipologie di tecniche: Qualitative: esse impiegano parole o scale descrittive per rappresentare probabilità e impatto di ciascun rischio individuato; queste tecniche hanno un carattere generale e nella maggior parte dei casi vengono utilizzate come base di partenza per uno studio più dettagliato; Semiquantitative: attribuiscono dei numeri alle categorie individuate attraverso l’analisi qualitativa. Questi numeri non rappresentano però una vera e propria quantificazione della probabilità e dell’impatto dei rischi, ma piuttosto servono a ordinare le diverse tipologie di rischi che sono state individuate; Quantitative: queste tecniche permettono di determinare la distribuzione di probabilità associata ai possibili impatti di un certo evento rischioso. In generale la scelta fra le possibili tecniche proposte presuppone una preventiva analisi di convenienza economica attraverso la quale si confrontano i costi che l’azienda dovrà sostenere per realizzarla con i benefici derivanti da una migliore conoscenza dei fenomeni esaminati. Le tecniche qualitative e semiquantitative sono più semplici e meno costose da realizzare rispetto a quelle quantitative. Nella valutazione della tecnica da utilizzare si deve tener conto anche del tipo d’informazione a disposizione (effettiva conoscenza delle persone coinvolte o di esperti, ricerche di mercato, informazioni storiche) e della tipologia di rischio che si vuole misurare. Se l’informazione a disposizione sugli eventi rischiosi è scarsa, è consigliabile utilizzare tecniche qualitative o semiquantitative viste la presenza di maggiore incertezza che renderebbe meno significative le più onerose tecniche quantitative. Con riferimento alla tipologia di rischio da stimare, l’adozione di tecniche 41 quantitative è impiegata soprattutto per la misurazione dei rischi finanziari, poiché l’incertezza dipende in questi casi da variabili facilmente esaminabili nei mercati finanziari. Per la valutazione dei rischi operativi e strategici, al contrario, l’impiego di tecniche qualitative o semiquantitative viene generalmente preferito vista la maggiore incertezza legata ai continui cambiamenti dell’ambiente che rendono difficilmente utilizzabili le informazioni storiche a disposizione. A prescindere dalla tecnica utilizzata la valutazione dei rischi consiste nella stima di due parametri fondamentali che definiscono il rischio: la probabilità di manifestazione dell’evento incerto; l’impatto sulla capacità dell’organizzazione di conseguire gli obiettivi prefissati. Il management inoltre, nello svolgimento di questa fase, deve considerare sia il “rischio inerente”, che il “rischio residuo”. Il rischio inerente è il rischio che un’azienda assume nel caso in cui il management non abbia realizzato alcun intervento per modificare probabilità e impatto, cioè il rischio che prescinde dal tipo di controllo istituito in azienda. Il rischio residuo è invece quello che resta dopo che il management ha avviato una risposta al rischio. Il rischio viene quindi valutato prima di tutto come rischio inerente e, dopo l’implementazione della risposta al rischio, come rischio residuo. 2.6.1 Stima qualitativa: matrice probabilità-impatto Le metodologie attualmente più diffuse si fondano sull’identificazione soggettiva diretta della probabilità di manifestazione e dell’impatto dell’evento rischioso. Questo soprattutto perché le aziende, nella maggior parte dei casi, non dispongono di un’ampia gamma di dati storici relativi ai rischi di business che permettano di stimare i due parametri dell’evento rischioso utilizzando tecniche statistiche. La tecnica qualitativa più diffusa che permette di giungere a un ordinamento dei rischi individuati è la “matrice probabilità-impatto”. In questo caso la valutazione viene eseguita considerando unitamente i due parametri che definiscono il rischio, probabilità di manifestazione e impatto atteso, i quali vengono stimati tramite valutazioni soggettive L’impiego di questa tecnica richiede prima di tutto la definizione di una scala qualitativa che rappresenti le probabilità di manifestazione dell’evento incerto e di una scala qualitativa che rappresenti gli impatti attesi, ovvero le conseguenze economiche dell’evento. Ciascun attributo utilizzato per la definizione delle due scale qualitative dovrà poi essere associato a una breve descrizione, in modo tale da facilitare e dare maggiore uniformità al processo di valutazione. Ciò permette di creare specifiche categorie di probabilità e 42 d’impatto (sia descrittive, sia numeriche) in base al quale saranno classificati i rischi individuati. Ponendo in relazione probabilità e impatto dell’evento rischioso, il management potrà inserire ciascuno di essi nella matrice probabilità-impatto ottenendo in tal modo una mappatura dei rischi gravanti sull’organizzazione come mostrato in figura: Figura 2: Matrice probabilità-impatto semplificata. Fonte propria.43 Generalmente i rischi caratterizzati da una bassa probabilità di manifestazione e un impatto non significativo, posti in basso a sinistra nella matrice, saranno accettati e monitorati dall’azienda, la quale, al contrario, dovrà concentrare tutte le sue risorse sui rischi che presentano un’elevata probabilità di accadimento associata a un impatto significativo. Tutti i rischi che si collocano tra questi due estremi dovranno invece essere oggetto di un’attenta e adeguata analisi. L’inserimento dei rischi all’interno della matrice si basa generalmente sul giudizio soggettivo delle persone ritenute in possesso delle adeguate competenze per poterlo esprimere. Il Risk Management, a 43 Immagine ispirata dalla presentazione “Implementare Il Framework Coso ERM”, Angelo Micocci, Università di Macerata. 43 tal fine, potrà adottare interviste e workshop44 , approccio che viene impiegato anche per l’identificazione dei rischi. Nel caso in cui in azienda si sia già ampiamente diffusa una cultura di Risk Management, si potrà giungere anche alla compilazione diretta della matrice da parte dei responsabili da cui deriva il rischio identificato. E’ necessario che lo schema di base utilizzato per la stima sia definito una sola volta e utilizzato poi per ogni stima qualitativa, onde evitare fraintendimenti e ambiguità nel linguaggio. Va ricordato che in questa fase oggetto della valutazione è il rischio “inerente”, ovvero quel livello di rischio che prescinde da qualsiasi tipo d’intervento attuato per ridurre probabilità o impatto dell’evento rischioso. Il rischio “residuo” verrà valutato solo dopo che l’azienda ha attivato una risposta al rischio. In base alla logica enterprise, il management deve analizzare efficacemente gli eventi incerti e i conseguenti rischi e opportunità che emergono, le quali devono essere opportunamente valutate e sfruttate anticipatamente, incrementando così la capacità dell’azienda di creare nuovo valore. Per la valutazione delle opportunità, oltre che dei rischi, basta modificare la scala qualitativa degli impatti, che in questo caso andrà a rappresentare non solo l’intensità dell’impatto ma anche il suo segno (ad esempio: negativo, nullo, positivo). 2.6.2 Stima semiquantitativa Le tecniche semiquantitative assegnano alle classi individuate tramite le valutazioni qualitative dei numeri (o pesi) a ogni livello di probabilità e impatto individuato, permettendo così all’azienda di valutare sinteticamente i rischi tramite un punteggio, detto risk score (o esposizione).45 Il punteggio concernente l’esposizione di ciascun rischio identificato si calcola quindi moltiplicando il peso associato a ogni livello di probabilità di accadimento (score di probabilità) con quello associato al corrispondente impatto atteso. I pesi assegnati alle classi e i punteggi che si riferiscono all’esposizione non rappresentano tuttavia una vera e propria quantificazione di probabilità, impatto e rischio, ma piuttosto permettono all’azienda di ordinare e confrontare più rischi. L’aspetto chiave di questa tecnica è 44 Workshop: sono incontri, cui partecipano i rappresentanti delle diverse aree funzionali, con lo scopo di agevolare l’identificazione degli eventi. In questa sede, tali incontri, sono tanto più utili, quanto maggiore risulta essere l’ampiezza delle informazioni fornite; 45 FLOREANI A., 2005, “Introduzione al risk management”,Libreria Rizzoli 44 rappresentato dalla scelta dei pesi associati a ogni classe di probabilità e impatto individuata. Possono, infatti, essere assegnati dei punteggi lineari, cioè proporzionali all’effettiva probabilità di accadimento e all’impatto atteso, oppure punteggi più che proporzionali o ancora punteggi che crescono con tasso decrescente. Dopo aver svolto questa misurazione relativamente ad ogni rischio identificato, tutti i rischi così stimati vengono inseriti nella matrice probabilitàimpatto, che permette all’azienda di avere una visione congiunta degli stessi e una rappresentazione complessiva dell’esposizione al rischio del processo o dell’unità organizzativa oggetto di valutazione. Tale mappa dei rischi permette all’azienda di creare un ordinamento degli stessi in base al livello di esposizione (elevata/media/bassa). Le attenzioni maggiori saranno date a quei rischi che presentano un elevato livello di esposizione, come specificato nel precedente paragrafo. Il management deve quindi pianificare e realizzare degli adeguati interventi finalizzati a ridurre la probabilità di manifestazione di tali eventi rischiosi, in modo tale da ricondurla a un livello ritenuto accettabile dall’azienda. La stima semiquantitativa si presta a essere utilizzata nella stima e nella valutazione dei rischi puri, mentre l’adattamento ai rischi speculativi risulta essere complesso. In sintesi l’utilizzo di tecniche qualitative o semiquantitative di stima sembra essere giustificato solo per fare uno screening dei rischi puri, cioè per individuare quei rischi che devono essere analizzati e approfonditi tramite un’analisi quantitativa e quei rischi che possono essere trascurati o gestiti senza ricorrere a una più complessa analisi. 2.6.3 Stima quantitativa L’obiettivo delle tecniche quantitative è quello di determinare la distribuzione della/e variabile aleatoria rappresentativa dei rischi oggetto d’indagine. Esistono tipicamente due rappresentazioni: la distribuzione dei risultati possibili e la distribuzione delle perdite possibili. La distribuzione dei risultati possibili indica l’impatto del rischio sulla variabile obiettivo aziendale (patrimonio d’impresa, valore economico o risultato economico) assumendo la neutralità degli altri rischi aziendali. Questa rappresentazione è particolarmente utile per i rischi speculativi. La distribuzione delle perdite possibili indica la variazione negativa che il rischio può determinare sulla variabile obiettivo aziendale. Essa è particolarmente indicata per i rischi puri o per quei rischi speculativi in cui esiste uno scenario migliore possibile. 45 Per il processo di stima quantitativa esistono molti modelli scientifici che possono essere impiegati. E’ possibile, tuttavia, individuare alcune tappe fondamentali comuni a tutti i modelli46: costruzione del modello; determinazione delle caratteristiche delle variabili aleatorie e non aleatorie; determinazione della distribuzione dei risultati e degli indicatori di sintesi; validazione e verifica del modello; L’importanza e la complessità di ciascuno degli step menzionati è variabile in funzione dello specifico problema che si deve risolvere. Nel caso dei rischi aziendali la formulazione del modello è agevolata dalla natura monetaria delle variabili aleatorie coinvolte. La determinazione e la stima delle caratteristiche delle variabili aleatorie e di parametri del modello comportano l’utilizzo di adeguate metodologie statistiche. Essa può avvenire principalmente tramite ipotesi e teorie su cui si fonda il modello, su serie storiche oppure su valutazioni soggettive di esperti. La distribuzione della variabile aleatoria obiettivo, invece, è generalmente determinata attraverso la simulazione: si tratta di una particolare modalità decisionale basata sulla costruzione di sistemi d’ipotesi e sullo svolgimento di esperimenti. Le tecniche più conosciute sono: la risoluzione analitica; simulazione Monte Carlo; Nella risoluzione analitica la distribuzione della variabile aleatoria obiettivo viene individuata direttamente dal modello, in forza delle proprietà delle variabili aleatorie che lo costituiscono. Questo metodo è utilizzabile solo per modelli estremamente semplificati, quando le variabili aleatorie hanno una distribuzione normale. Quando non è possibile una risoluzione analitica, si può ricorrere a metodi simulati o numerici. Fra questi, la tecnica di simulazione Monte Carlo è la più diffusa. Tale metodo consiste nell’estrazione di valori da variabili casuali, che corrispondono alla distribuzione attesa dei fattori di rischio al fine di ottenere scenari alternativi. Una volta definite le relazioni alla base del modello, gli esperimenti di simulazione possono avvenire anche tramite lo svolgimento di determinate analisi, come l’analisi di sensitività e di scenario. Il primo tipo di analisi misura l’impatto generato dalla modifica di alcuni fattori di rischio sul sistema di valori, in modo da poter determinare il grado di sensitività della 46 FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli. 46 performance associato al manifestarsi di alcuni fattori di rischio. In questo caso si fa generalmente riferimento a rischi interni, mentre l’analisi di scenario prende in considerazione fattori d’incertezza esterni, sui quali l’azienda ha un potere di controllo limitato o nullo. All’interno del gruppo generico delle tecniche quantitative, occorre poi distinguere probabilistiche e di benchmarking. tra tecniche probabilistiche, non Le tecniche probabilistiche ipotizzano una certa distribuzione dei comportamenti degli eventi e si distinguono, a loro volta, in: A. Value at Risk: individua la variabilità di un valore che si prevede non ecceda un certo livello di confidenza in un determinato periodo di tempo. Un’applicazione di questo concetto e rintracciabile nel settore degli intermediari finanziari, in cui, il Market Value at Risk rappresenta la perdita massima di uno strumento finanziario o di un portafoglio che si può prevedere dato un determinato orizzonte temporale e uno specifico livello di confidenza; B. Cash Flow Risk: simile a quello precedente, riguarda le variazioni del cash flow di un’organizzazione o di un’unita operativa utile per le aziende i cui risultati sono influenzati dalla variabilità del cash flow, non direttamente connessa ai prezzi di mercato; C. Earning At Risk: stima la variabilità degli utili che figurano in bilancio; D. Loss distribution: tecnica statistica basata su un’ipotetica distribuzione delle perdite, utilizzata, al fine di calcolare, dato un certo livello di confidenza, le perdite massime possibili, risultanti dall’analisi della gestione del rischio; E. Back testing: strumento utilizzato frequentemente dagli istituti di credito, che permette il confronto delle misurazioni di rischio in un’azienda e i dati a consuntivo. La rilevazione viene eseguita periodicamente, con lo scopo di verificare la bontà del modello utilizzato per rappresentare le perdite. Le tecniche non probabilistiche invece, quantificano l’impatto di un potenziale evento su un’ipotesi di distribuzione, ma senza determinare le probabilità d’accadimento, che, eventualmente, separatamente. In questo caso distinguiamo tra: deve essere calcolate F. Sensitivity Analysis: studia l’impatto di variazioni di valore all’interno dell’azienda, al variare di uno o più parametri che lo determinano; viene spesso utilizzata a integrazione delle tecniche probabilistiche; G. Scenario Analysis: valuta l’effetto di più eventi su un obiettivo; 47 H. Stress Testing: valuta l’impatto di eventi che danno luogo a effetti gravi. Infine, le tecniche di benchmarking, sono utilizzate per valutare un rischio specifico in termini di probabilità e impatto e di conseguenza migliorare la risposta al rischio per entrambi gli aspetti. Le stesse possono essere, interne, concorrenziali o settoriali e Best in class. Nel primo caso si tratta di confrontare i dati dei diversi settori interni; nel secondo caso tale confronto viene fatto tra aziende direttamente concorrenti o con caratteristiche simili, mentre con il ”best in class” si rapportano misure e dati simili appartenenti a società di settori o con caratteristiche diverse. L’ultimo passo per tutte le modalità elencate è sempre la validazione e verifica del modello. Implica la formulazione di un giudizio sulla capacità del modello di rappresentare adeguatamente il fenomeno, in caso di giudizio positivo i risultati ottenuti potranno essere impiegati per lo svolgimento delle fasi successive del processo Risk Management che nel caso specifico sarà quello di valutazione dei rischi (fase quattro dell’ERM). 48 Capitolo 3 L’Enterprise Risk Management in Italia e il caso del gruppo Telecom 3.1 Sviluppo dell’ERM nelle imprese italiane Nell’attuale contesto, caratterizzato da un clima di generale incertezza a causa della congiuntura economica che ha interessato l’economia globale, è cruciale domandarsi se le imprese, in particolare quelle di grandi dimensioni e quotate, dispongono di un’adeguata cultura e di idonei strumenti di gestione dei rischi. Lo sviluppo di processi decisionali ‘informati’, la responsabilizzazione sul governo dei rischi a tutti i livelli aziendali, la salvaguardia della reputazione sul mercato, il contesto legislativo e regolatorio, rappresentano alcune delle principali motivazioni che hanno spinto, o che spingeranno, le imprese italiane a investire sempre più in sistemi di risk management. Tuttavia la situazione Italiana odierna comprova che la concezione di Risk Management non è ancora ampiamente condivisa dai management aziendali, specialmente nelle medio – piccole imprese47. Non è agevole, pertanto, trovare, nella realtà che ci circonda un’impresa disposta a implementare un processo di Enterprise Risk Management, poiché tale attività richiede sacrifici in termini organizzativi ed economici con l’utilizzo di risorse adeguate e finanziamenti appropriati. di Le società quotate finora hanno fatto ricorso, o faranno ricorso, a programmi risk management principalmente per accrescere, a tutti i livelli dell’organizzazione, la consapevolezza e la responsabilizzazione nel fronteggiare i rischi. Gli obblighi normativi, contrariamente alla percezione diffusa, sembrerebbero avere scarsa influenza sulla decisione di avviare processi di risk management, i vertice aziendali ritengono opportuno piuttosto intraprendere 47 Con circa 4 milioni di imprese, l'Italia fornisce il 20% delle imprese europee e mostra una densità di 65.3 imprese ogni 1000 abitanti, elevata rispetto alla media europea di 39.9 e solo inferiore a quelle di Repubblica Ceca, Portogallo e Grecia. Ragionando in termini di imprese «micro, piccole, medie e grandi», si nota come il numero delle «micro» sia superiore alla media europea (i.e.: 94.6% vs 91.8%); per tutte le altre classi, il numero é inferiore alla media. Mentre in Europa l'occupazione dipende, 32.9% del totale, dalle «grandi» imprese, in Italia dipende delle imprese «micro», che garantiscono, da sole, il 46.6% dell'occupazione. Fonte: RagionPolitica.it dati aggiornati a Ottobre 2010 49 percorsi verso l’implementazione di processi strutturati di risk management in ragione dei benefici attesi quali la difesa della reputazione aziendale, la creazione di valore o la riduzione di perdite, piuttosto che per esigenze di mera compliance48. Un’indagine realizzata dalla KPMG49 mostra quali sono le principali motivazioni che hanno condotto le aziende a introdurre processi di ERM, il risultato è sintetizzato nel seguente istogramma: Figura 3: Principali elementi che porta le società a introdurre un processo di ERM. L’indagine è stata svolta su un campione di settanta rappresentanti del mondo aziendale direttamente interessati nel processo ERM con la possibilità di poter effettuare risposte multiple fino a un massimo di tre. I risultati comprovano quanto affermato precedentemente presentando come elemento meno citato quello di soddisfare requisiti normativi, mentre, circa la metà degli intervistati sostiene 48 ‘Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate italiane?’ KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di Direzione Aziendale dell’Università Bocconi, 2010. 49 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”). L’indagine ha coinvolto la generalità delle aziende italiane quotate appartenenti a tutti i settori di business, raccolto il punto di vista di 70 rappresentanti del mondo aziendale, a vario titolo responsabili o interessati dai processi di risk management. 50 che il processo debba essere introdotto per aumentare la responsabilità nella gestione dei rischi in tutti gli ambiti aziendali. Per quanto riguarda la progettazione e la realizzazione dei processi di ERM le società quotate Italiane considerano cruciali le componenti riguardanti l’identificazione dei rischi, la definizione di un assetto di governance e l’introduzione di un sistema di reporting. Tali componenti rappresentano le fasi iniziali del percorso che porta all’implementazione del modello integrato di ERM, completato con lo sviluppo di tecniche di misurazione dei rischi e l’ottimizzazione dei sistemi di controllo interno, queste ultime due componenti sono ritenute ancora poco esplorate e diffuse nella realtà italiana. Dal quadro generale, infatti, emerge che complessivamente la maggioranza dei rispondenti ha avviato progetti in tale direzione anche se molte società si trovano ancora nelle fasi preliminari dell’implementazione di un vero e proprio processo di ERM dimostrando che molto rimane ancora da fare in termini di progettazione ed adozione di un modello integrato di risk management. Il modello di gestione del rischio più diffuso nel contesto italiano (68%) prevede la centralizzazione delle politiche di risk management e il decentramento, a livello di business unit/divisioni, della gestione operativa coerentemente con gli indirizzi strategici. Solo in pochissimi casi (5%), le politiche di risk management sono definite, attuate e gestite autonomamente dalle business unit aziendali senza il coinvolgimento dei vertici aziendali. Nonostante il modello ERM non sia sfruttato a pieno dalle aziende Italiane più del 90% delle società rispondenti ha eseguito almeno una volta il proprio risk assessment identificando i principali rischi che preoccupano il management e che minacciano gli obiettivi aziendali. I risultati sono esposti nel seguente istogramma50. 50 Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate italiane?’ KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di Direzione Aziendale dell’Università Bocconi, 2010. 51 Figura 4: Principali rischi che minacciano il raggiungimento degli obiettivi delle società. Osservando il portafoglio dei rischi, così come delineato dai rispondenti, emerge che i rischi di mercato, di credito e reputazionale rappresentano le principali preoccupazioni del management italiano, forse anche influenzato dall’attuale congiuntura economica. Poco interesse, in termini d’impatto sul raggiungimento degli obiettivi strategici, viene attribuita ai rischi legati al terrorismo, ai cambiamenti climatici, alla criminalità e sicurezza e alle calamità naturali. Dall’analisi emerge altresì che i rischi percepiti come maggiormente critici sono quelli più efficacemente gestiti, con un maggior utilizzo di tecniche di tipo qualitativo, seppur di poco, su quelle di tipo quantitativo. Per quanto riguarda la validità dell’impiego del processo all’interno dell’azienda i manager interpellati sottolineano la sua funzione cruciale per orientare i processi decisionali e di pianificazione strategica. In particolare cresce la consapevolezza che il risk management è un fattore chiave per stabilizzare i percorsi di crescita sostenibile delle aziende. I risultati finali dello studio confermano che la gestione dei rischi è sì un tema di riconosciuta importanza che vede il percorso intrapreso dalle società verso modelli avanzati di risk management, ma che ancora compie i suoi primi passi. I benefici dell’ERM sono reali e in alcuni casi misurabili, questo è quanto emerge dalle risposte del vertice delle società italiane. La creazione di valore e la protezione della reputazione sono individuati quali principali benefici e 52 rappresentano, in effetti, anche le maggiori motivazioni alla base dell’implementazione del processo ERM. Tra i principali ostacoli all’introduzione e allo sviluppo del processo, emerge su tutti la mancanza di tempo e risorse. La fase finale del progetto di questa tesi sarà quello di cercare di presentare e analizzare al meglio l’esperienza di un’importante azienda italiana, compito non facile visto che a dispetto della crescente pressione normativa verso una più ampia ed efficace divulgazione al mercato in tema di risk management, il vertice delle società italiane sembra poco propenso a diffondere informazioni di tipo quantitativo o a rendere noto l’assetto organizzativo definito per il presidio dei rischi. Tra le aziende presenti sul territorio nazionale, è stato ritenuto opportuno riportare il caso del Gruppo Telecom Italia. Questa scelta è dovuta al fatto che in Telecom, l’attività di Risk Management è stata ampiamente sviluppata seguendo fedelmente alcuni concetti e metodologie presenti in letteratura. Il Gruppo Telecom Italia ha utilizzato l’“ERM” come attività fondamentale per una sana e duratura crescita dell’azienda. 3.2 Profilo dell’impresa e principali dati economici Il Gruppo Telecom Italia è una realtà industriale italiana con oltre cento anni di esperienza nel mondo delle telecomunicazioni. E’ un gruppo che offre telecomunicazioni a 360°: servizi di telefonia fissa e mobile, accesso a internet, contenuti multimediali, televisione e news, office and systems solution. Telecom Italia è leader nazionale della telefonia fissa e mobile, primo operatore internet con 9,1 milioni di accessi broadband in Italia di cui 1,9 i clienti wholesale e, grazie a TI Media, opera nella televisione e nel mondo dell’informazione. “Vicinanza al cliente e innovazione tecnologica” sono le parole chiave del Gruppo con un’organizzazione snella e centrata sulla qualità del servizio, offerte semplici, attenzione ai momenti di contatto con la clientela e costante attività di ricerca nei laboratori TILab. La leadership domestica di Telecom Italia è accompagnata da una significativa presenza internazionale centrata sul grande mercato sudamericano, con Tim Brasil e Telecom Argentina, che rappresentano oggi il 34% dei ricavi del Gruppo. Tradizione ed esperienza sono messe al servizio dell’innovazione dell’offerta per i clienti, che oggi sono 31,3 milioni sul mobile in Italia e 55,5 milioni in Brasile, mentre sono 15 milioni su linea fissa in Italia di cui 7,2 milioni sulla banda 53 larga. Una realtà creata dalla disponibilità della banda larga, attraverso l'Adsl diffusa da Telecom Italia sul 97% del territorio nazionale a fine 2010 con l'impegno di portarla al 99% entro il 2012. Sviluppando le nuove tecnologie basate sulla banda larga fissa e mobile, modalità tariffarie semplici e un approccio commerciale flessibile, Telecom Italia, Alice e TIM hanno contribuito alla sempre più ampia diffusione nel Paese di un nuovo modo di fare comunicazione, permettendo alle tecnologie e ai prodotti di integrarsi per rendere i servizi facilmente utilizzabili in ogni circostanza (da casa, in movimento, dall’ufficio) e al tempo stesso sempre più ricchi nelle funzionalità e nei contenuti. La sua attività in questi settori è sostenuta da marchi che evocano tradizione ed esperienza, innovazione e qualità: Telecom Italia, TIM, La7, APCOM, MTV Italia, Olivetti. Qualità e innovazione offerta sia nel settore televisivo (nei canali tradizionali o digitali e nelle piattaforme multimediali con QOOB Tv) che nell’informazione. Olivetti, infine, è sinonimo di alta tecnologia e design raffinato. Oggi presente in 83 mercati esteri è leader mondiale nella fornitura di periferiche di sportello bancarie ed è anche l’unica azienda europea insieme ad altre cinque al mondo proprietaria della tecnologia inkjet 51. La costante attività di ricerca ha il proprio centro nei Telecom Italia Lab, i laboratori di ricerca del Gruppo, ricchi di esperienza e know how nelle tecnologie più avanzate, che si sviluppano i principali obiettivi di innovazione nell’offerta di servizi e prodotti e diffusione delle tecnologie avanzate. L’avvento della società digitale, secondo la visione del Gruppo Telecom avrà profonde ripercussioni sull’economia, sui comportamenti e sugli usi di persone e aziende. La disponibilità estesa della Banda Larga quale fattore abilitante per la crescita e l’innovazione, la riduzione dei costi di accesso all’ecosistema digitale ed i nuovi luoghi di comunicazione, che trovano nella rete la propria ragione di esistere, rappresentano gli elementi che consentiranno questa profonda evoluzione. Per questo la vision e la mission dell’impresa deve continuamente modificarsi e adattarsi alle esigente della clientela : “Essere un Service Provider evoluto in grado di fornire servizi di comunicazione associati a capacità di elaborazione di informazioni e contenuti digitali, in modo compatibile con l’ambiente e con la comunità”52 questa è l’ultima mission rivelata dal gruppo, dove viene anche svelato il fattore di successo che in questo contesto sarà la capacità di mettere a disposizione dei clienti: Banda Larga, Intelligenza di Rete e Piattaforme Applicative; “ […]provando a rispondere alle esigenze dei clienti assicurando esperienze d’uso distintive ed efficaci, mirando all’eccellenza nella connettività per 51 Il getto d’inchiostro è una tecnologia di stampa che consiste nel proiettare minuscole goccioline d’inchiostro sul supporto da stampare senza toccare la superficie nella fase di stampa. 52 www.telecomitalia.com ultimo aggiornamento 9-06-2011 54 fruibilità e qualità, e creando piattaforme di servizio e ambienti comunicativi compatibili che consentano di cogliere tutte le opportunità offerte dalle nuove tecnologie”.53 Il Gruppo Telecom inoltre affonda le proprie radici su un sistema di valori che costituisce il punto di riferimento comportamentale per tutte le persone che lavorano nel Gruppo, ha anche identificato un modello manageriale che rappresenta la sintesi dei comportamenti cui i manager del Gruppo dovranno ispirarsi nel perseguimento degli obiettivi di business, sono54: Centralità del cliente; Creazione del valore; Valorizzazione delle persone; Governo del cambiamento; Networking e integrazione; I principi di comportamento con i clienti e gli impegni assunti dalle principali società del Gruppo in materia di qualità del servizio seguono la Carta dei Servizi55, “[…]siamo convinti che l’etica nella conduzione degli affari sia anche una condizione importante per il successo dell’impresa. Tutte le nostre attività vengono svolte nel rispetto dei principi del Codice Etico che rappresenta appunto la nostra carta dei valori”.56 La continua evoluzione dei mercati, tecnologie e soddisfazione della clientela, come abbiamo appreso dagli studi aziendali, richiedono un modello di impresa flessibile e in continua evoluzione. Il Gruppo Telecom non è da meno, confermato da un cambiamento del modello organizzativo avvenuto nel gennaio 2009 pensato per favorire la convergenza tra tecnologie (fissa e mobile) e offerta da un lato, ed esigenze della clientela dall’altro. La riorganizzazione si è basata su una nuova segmentazione e individuazione dei target in base a tre tipologie: i privati (consumatori individuali e famiglie), la clientela business e le grandi aziende. Quest’operazione ha avuto il duplice obiettivo di fornire un servizio migliore ai clienti e di rendere la rete distributiva più efficiente e capace di generare profitti. Per orientare al cliente e alla sua soddisfazione tutti i processi aziendali, la Direzione Domestic Market Operations è stata strutturata in tre macro aree57: 53 54 55 www.telecomitalia.com ultimo aggiornamento 9-06-2011 www.telecomitalia.com aggiornamento 2-06-2010 La Carta dei Servizi è un codice comportamentale che viene rivisto e allineato continuamente ai nuovi requisiti di trasparenza, chiarezza e tempestività richiesti dall'Autorità per le Garanzie nelle Comunicazioni (AGCOM). 56 57 www.telecomitalia.com aggiornamento 2-06-2010 www.telecomitalia.com aggiornamento 2-06-2010 55 I. Consumer Market: responsabile della clientela privati, focalizzata sull’aumento dell'uso dei servizi innovativi di rete da parte di individui e famiglie, sulla difesa delle quote di mercato nei servizi tradizionali e innovativi, nel fisso e nel mobile; II. Business Market : responsabile della clientela business (professionisti, artigiani e negozianti e piccole e medie imprese) impegnata a promuovere l’uso delle tecnologie ICT puntando a difendere ed aumentare le quote di mercato nei servizi tradizionali e innovativi; III. Top Clients & Networked IT Services: incaricata di accrescere il valore della base clienti Top, Large Account ed Enterprise affiancando le grandi aziende dell’industria e dei servizi, le banche e la pubblica amministrazione nella trasformazione dei processi di business; Le tre strutture elencate aderiscono meglio alle diverse esigenze dei target, sia nella definizione del profilo delle offerte che nella capacità di relazione e cura dei clienti. Oltre a queste macro strutture, il nuovo modello organizzativo prevede in Italia Open Access, la struttura che fornisce servizi di accesso alla Direzione Commerciale retail di Telecom Italia e a operatori alternativi attraverso la funzione aziendale National Wholesale Services, le due attività sono state separate e gestite autonomamente dalle altre funzioni commerciali del Gruppo Telecom Italia. L’organigramma aziendale aggiornato a gennaio 2009 è: Figura 5: Organigramma aziendale Telecom Italia al 30 dicembre 2011 56 Per avere una visione più completa della realtà aziendale analizzata è opportuno riportare gli indicatori economici maggiormente rilevanti del Gruppo Telecom Italia aggiornati al primo trimestre del 2011. Gli investimenti industriali effettuati sono pari a 2.037 milioni di euro (4.583 milioni di euro nel 2010), mentre i ricavi registrati sono pari a 14.543 milioni di euro ( 27.571 milioni di euro nel 2010), il personale occupato in azienda è pari a 84.335, di cui 57.853 in Italia. La positiva performance commerciale è peraltro enfatizzata dal miglioramento della redditività di Gruppo: l’EBITDA58 consolidato reported si incrementa di 700mln di euro (8.475mln di euro nel 2010), su tale risultato ha inciso positivamente l’ingresso nel perimetro di consolidamento della Business Unit Argentina, mentre L’EBITDA ha registrato un incremento del 16.6% (+456mln di euro). L’EBITDA margin reported consolidato invece si riduce di 1,2 punti percentuali assestandosi nei primi nove mesi del 2011 al 41.6%. La generazione di cassa del Gruppo si conferma solida, grazie anche all’impegno di miglioramento dell’efficienza soprattutto sul mercato domestico. L’operating cash flow59 è pari a 4.524mln di euro nei primi nove mesi del 2011, questi risultati hanno consentito di proseguire il percorso di riduzione dell’indebitamento netto rettificato che risulta in riduzione di 1.520mln di euro rispetto al precedente anno. Il margine di liquidità si è ulteriormente rafforzato raggiungendo un livello di disponibilità netta pari a circa euro 5,3 miliardi (escludendo la liquidità del Brasile pari a euro 0,5 miliardi) cui si aggiungono circa euro 6,5 miliardi di disponibilità su linee di credito di lungo termine non revocabili, Nel presente contesto di incertezza dei mercati finanziari, Telecom Italia si conferma con un elevato livello di solidità finanziaria, avendo a propria disposizione la possibilità di far fronte alle scadenze di rimborso del debito dei prossimi 18-24 mesi.60 58 EBITDA: aggregato del bilancio riclassificato; più precisamente è l'utile ante interessi, imposte sul reddito, componenti straordinari, svalutazioni delle immobilizzazioni e ammortamenti. Rappresenta, nella sostanza, il margine operativo lordo prodotto dalla gestione. 59 Cash flow operazionale: è una delle componenti specifiche del cash flow e rappresenta il flusso monetario derivante dalle sole operazioni di esercizio, con esclusione quindi dei flussi monetari derivanti da attività d’investimento e di finanziamento, e da quelli relativi a distribuzione di utili e rimborsi di capitale. Fonte Glossario Economico a cura del professore Paolo Bastia 60 Tutti i risultati riportati sono stati presi dal resoconto intermedio della gestione del mese di settembre 2011e dal sito TelecomItalia.com. 57 3.3 Le strategie del Gruppo Telecom Italia Il Gruppo Telecom Italia agisce nella convinzione che le attività di business debbano essere svolte tenendo in considerazione le aspettative degli stakeholder, in linea con i principi stabiliti dagli standard internazionali di trasparenza. Per questo motivo da tredici anni Telecom Italia pubblica il Bilancio di sostenibilità in cui analizza la proprie performance nei confronti dei portatori di interesse con i quali interagisce quotidianamente, definisce le proprie strategie e i programmi si sostenibilità. Proprio nella definizione di questi ultimi due punti il Gruppo s’ispira alle linee guida emanate dai principali organismi mondiali di indirizzo e standardizzazione sulla Corporate Responsibility. Sulla base di quanto detto il Gruppo ha inteso perseguire una strategia di crescita focalizzata sul mercato nazionale e sullo sviluppo all’estero dei servizi mobile basati in primo piano sulla soddisfazione della clientela. Tale strategia ha come obiettivi: Garantire una risposta immediata e competente alle esigenze della clientela uniformando i propri comportamenti a correttezza negoziale, trasparenza nei rapporti e impegni contrattuali, cortesia e collaborazione; Una maggiore attenzione al cliente anche attraverso maggiori investimenti nel Customer Care e nella qualità del servizio; La difesa della posizione di leadership sul mercato domestico fisso e mobile, spinta sulla crescente penetrazione della larga banda, convergenza fisso - mobile, trasparenza e flessibilità nell’offerta ai clienti e continua innovazione e sviluppo di servizi a valore aggiunto; Allargamento della presenza a settori adiacenti, in particolare sviluppo di offerte di contenuti sulle piattaforme innovative (IPTV, Mobile TV) ed estensione e rafforzamento dell’offerta ICT per i clienti business; Sviluppo dell’impronta presenza in Sud America Germania e Francia. 58 internazionale, confermando l’attuale e consolidando i progetti europei in 3.4 Risk Management nel Gruppo Telecom Italia L’esperienza di Telecom Italia nella gestione del rischio dura da oltre dieci anni. In quest’arco temporale la gestione del rischio è stata affrontata in diverse forme mutando continuamente nel tentativo di dare vita ad un processo di gestione dei rischi sempre più affine al processo di gestione integrata del rischio ERM. Ripercorriamo alcuni punti fondamentali che introducono l’attuale processo di gestione del rischio. Nel 2002, il Gruppo ha voluto sviluppare una metodologia importante per il miglioramento dei sistemi di corporate governance dell’azienda, un lavoro di progettazione e sviluppo che ha richiesto la mobilitazione dei manager in tutte le unità operative, in attività di formazione, di analisi dei processi, di individuazione e valutazione dei rischi e di verifica delle salvaguardie esistenti e di quelle da predisporre. Nell’ambito del sistema di governance aziendale, il Gruppo Telecom Italia ha istituito nel 2006 il Comitato Risk Management con la responsabilità di gestire i rischi e di garantire la continuità operativa del business. Ha, inoltre, istituito la funzione Group Risk Officer con il compito di realizzare il processo di Enterprise Risk Management, diffondendone metodologie e strumenti e coordinando il processo di risk assessment. Al suo interno si colloca il CRSA (Control & Risk Self Assessment), che rappresentava lo strumento di governance del rischio aziendale, attraverso il quale veniva realizzata l’identificazione, la valutazione e la gestione dei rischi operativi. Il CRSA si basava sull’autovalutazione del rischio da parte del management che, con l’ausilio di misure e parametri quali - quantitativi, sviluppava la rilevazione del sistema dei controlli già esistenti e le eventuali proposte di miglioramento. Il ciclo di rilevazione e gestione dei rischi attraverso il CRSA veniva svolto con cadenza annuale supportato da un sistema informativo web - based che integrava i sistemi CRSA e APM (Action Plan Monitoring) e consentiva la gestione e il monitoraggio automatico delle scadenze dei piani di azione definiti in sede di CRSA, in analogia a quanto già effettuato per gli action plan derivanti da interventi di audit.61 Il Ciclo CRSA 2006, a dimostrazione, ha portato all’individuazione di 218 azioni a fronte dei portafogli rischi consolidati a livello di Funzione Centrale/Operations/Business Unit (180 rischi individuati) e 14 azioni relative al portafoglio rischi di Gruppo (6 rischi individuati)62. 61 Fornisce informazioni sulla risk governance assicurando il Board e il Senior Management che i rischi sono stati compresi e gestiti in modo appropriato e svolge un’attività di consulenza fornendo suggerimenti per il miglioramento della governance, del risk management e della struttura di controllo. 62 Risultati riportati dal resoconto intermedio della gestione del mese di settembre 2006 dal sito telecomItalia.com 59 Il ciclo CRSA, vista l’ampiezza del progetto, innestandosi sulla scelta di ampia partecipazione del management, ha richiesto un rilevante sforzo organizzativo per il Gruppo nel suo complesso, e per il project office in particolare63. A dispetto dei buoni risultati ottenuti nei precedenti anni il Gruppo Telecom ha tuttavia avviato nel 2009 una forte revisione del sistema di Risk Management precedente. Si è adottato un nuovo processo integrato in grado di assicurare un approccio globale alla gestione del rischio e al tempo stesso una maggiore flessibilità ispirato proprio all’Enterprise Risk Management, attraverso il processo viene così realizzata l’identificazione, la valutazione e la gestione dei rischi. 3.4.1 Il Comitato di Gruppo Risk Management Il Comitato di Risk Management istituito nel 2006, con la responsabilità di gestire i rischi e di garantire la continuità operativa degli affari aziendali, ha mantenuto la sua forma originale per soli tre anni ed è stato travolto anch’esso della recente revisione di tutto il sistema di Risk Management. Il 9 Aprile ’09 è stata definita una nuova definizione organizzativa presieduta e coordinata dal responsabile della funzione “Administration, Finance and Control” ed è così composto: Dai responsabili delle direzioni “Domestic Market Operations”, “Tecnology & Operations” e “International Business”; Dai responsabili delle funzioni “General Counsel & Corporate and Legal Affairs”, “Administration, Finance and Control” , “Human Resources and Organization”, “Purchasing” e “Security” ; Dal Responsabile della funzione “Administration, Finance and Control”; “Risk Management” di Il responsabile della funzione Risk Management svolge anche la funzione di supporto al coordinamento del comitato. Come si può notare nella scelta degli operatori coinvolti nel comitato, che costruiscono parte delle svariate unità presenti nell’azienda, è stata ritratta la terza dimensione del COSO Report riguardante i livelli organizzativi, a significare che il processo è posto in essere da persone che si trovano ad ogni livello organizzativo 63 Al progetto furono dedicate in sede di prima implementazione oltre 8000 ore/uomo, impegnando oltre 500 quadri direttivi. Fonte www.telecomitalia.com 60 verticale e trasversale all’organizzazione, dal consiglio di amministrazione al management a tutti coloro che operativamente contribuiscono allo svolgimento di attività quotidiane. Le persone inserite nel processo devono recepire come le proprie responsabilità ed attività influenzano il raggiungimento degli obiettivi aziendali in relazione alla strategia definita dai vertici. Il comitato in questione ha lo scopo di garantire il governo del processo di gestione dei rischi di Gruppo coordinando il piano di azioni preventive finalizzate ad assicurare la continuità operativa del business e monitorando l’efficacia delle contromisure adottate. Si riunisce con cadenza trimestrale o in relazione a specifiche esigenze. 3.4.2 Il nuovo processo ERM di Telecom Italia L’implementazione del nuovo sistema di Risk Management risponde a esigenze di corporate governance che si intrecciano con esigenze gestionali. Iniziativa necessaria per aderire ai migliori standard internazionali in tema di controllo interno e di corporate governance ed è diventato uno strumento di gestione del Gruppo che rafforza la “cultura del controllo” e promuove una valutazione sistematica dei rischi, integrata nei sistemi di management. Il nuovo approccio ERM, approvato dal comitato di risk management si basa sulla valutazione del profilo di rischio da parte del management, sia in relazione ai processi aziendali, sia in relazione agli obiettivi strategici. Tale approccio prevede la mappatura dei rischi e il focus su quelli ritenuti più significativi, la definizione di un master plan delle azioni di mitigazione e un’azione di trattamento dei rischi mediante la costituzione di gruppi di lavoro interfunzionali definiti dal comitato. Nel dettaglio il processo ERM di Telecom Italia prevede quattro fasi principali: I. II. III. IV. Analisi Valutazione Trattamento e verifica Reporting La fase di analisi è la prima fase, si basa a sua volta in due sotto fasi che sono: a) Analisi preliminare che prevede: La mappatura dei processi aziendali e l’individuazione dei sotto processi associati; 61 L’abbinamento delle funzioni aziendali ai sotto-processi64; La rilevazione dal Piano Industriale degli obiettivi strategici; La rilevazione degli incentivi di breve termine (MBO) e degli obiettivi di governance trasversali. b) L’identificazione dei rischi: è una fase che segue una logica di tipo topdown, sono intervistati i primi riporti dell’Amministratore Delegato e del Presidente nonché alcuni secondi riporti, cosiddetti Risk Owner 65, che identificano i rischi nell’ambito di un modello specifico del settore delle telecomunicazioni. Le fonti di rischio identificate possono essere sia esterne sia interne (quest’ultime ripartite in strategiche, operative, finanziarie). I rischi individuati sono collegati ai processi e agli obiettivi aziendali statuiti; Dopo la prima fase, che analizza e identifica univocamente i rischi si passa alla seconda fase, la valutazione dei rischi che il Gruppo ha deciso di suddividere a sua volta in tre sottofasi: a) La valutazione dei rischi, che si basa su una metodologia che prende in considerazione sia criteri quantitativi sia qualitativi. In particolare sono identificati: Impatto: da minimo 1 (trascurabile) a massimo 5 (catastrofico), che misura le conseguenze del suo accadimento sull’obiettivo/processo. La valutazione effettuata dal risk owner, sebbene rappresenti un dato qualitativo, è frutto dell’associazione del giudizio con scale di valori quantificate in termini economico finanziari (EBITDA netto Capex, Customer Satisfaction Index, Market Share, ecc.); Probabilità: da minimo 1 (improbabile) a massimo 5 (molto probabile), che misura il grado di incertezza dell’accadimento. Sulla base delle valutazioni effettuate sono individuati i rischi più rilevanti per la corretta gestione dei processi aziendali e per il raggiungimento dei relativi obiettivi; 64 La mappatura dei processi/funzioni viene aggiornata trimestralmente dalla funzione Human Resources and Organization e trasmessa alla funzione Risk Management. 65 Sono responsabili della gestione dei rischi e, pertanto, nell’ambito della metodologia ERM, individuano, valutano e pongono in essere le azioni correttive per la mitigazione dei rischi stessi assicurando altresì il loro monitoraggio. 62 b) Identificazione dei risk owner: i rischi individuati sono assegnati alla funzione owner del sotto-processo oggetto di analisi. Tale funzione è responsabile sia della valutazione delle misure di mitigazione in essere sia della definizione degli action plan relativamente ai rischi per i quali, in fase di gap analysis, non è stata riscontrata un’adeguata mitigazione; c) Approvazione action plan66: il Comitato Risk Management, supportato dalla funzione Risk Management, supervisiona le protezioni indicate dalle funzioni owner e approva gli action plan proposti. L’implementazione delle misure di prevenzione o di riduzione del rischio è oggetto di valutazioni di opportunità e di un’attenta analisi costi/benefici; Redatta la valutazione impatto-probabilità e le azioni di protezione o riduzione sui rischi analizzati si passa alla fase tre che riguarda il Trattamento e la Verifica delle azioni descritte in precedenza, è una fase molto delicata del processo perché deve giudicare il lavoro svolto nelle due precedenti fasi. Comprende, ancora, l’insieme delle attività finalizzate a selezionare e attuare gli interventi ritenuti conformi all’obiettivo di ridurre i rischi entro il limite accettabile (tolerance), verificandone l’efficacia rispetto ai risultati attesi. E’ formata da due sottofasi: a) Applicazione Intervento ovvero implementazione delle misure d’intervento ritenute idonee a riportare il livello di rischio entro i b) limiti ritenuti accettabili dall’azienda; Verifica Risultati per misurare l’effetto degli interventi in termini di riduzione dei rischi e apportando eventuali misure correttive; Questa fase, vista la mole e la complessità, prevede la costituzione di gruppi di lavoro67 interfunzionali per il monitoraggio degli action plan approvati dal Comitato Risk Management. L’attività di monitoring sugli stati di avanzamento e/o 66 E’ un documento costituito dalla descrizione delle azioni di mitigazione del rischio che gli owner intendono porre in essere in un arco di tempo definito, al fine di portare il Rating (rischiosità) al livello ritenuto adeguato. Si indicheranno pertanto i) il livello di Rating a cui si vuole giungere con le azioni indicate, ii) i pesi di ciascuna singola azione, iii) i tempi in cui si intende realizzarla, iv) il costo di implementazione, v) la presenza di eventuali progetti di investimento per la singola azione. L’implementazione del piano di azioni dovrà essere monitorata periodicamente. 67 E’ il team di esperti del processo su cui il rischio impatta e che viene incaricato dal risk owner di definire le azioni da intraprendere ai fini della mitigazione del rischio stesso e del suo monitoraggio. All’interno del GdL viene individuato un Team Leader che ha l’incarico di coordinare i lavori, riportare al risk owner circa i risultati ottenuti e interfacciare la funzione aziendale incaricata di gestire il processo ERM. 63 completamento degli action plan, unitamente ai Key Risk Indicator (KRI) 68, fornisce un flusso informativo di dati destinati al Comitato che supporterà la definizione del ciclo successivo di Risk Management. L’ultima fase, non per questo di minore importanza, è quella di Reporting ovvero si implementa un flusso d’informazioni sulla struttura del profilo di rischio e la sua evoluzione secondo uno schema flessibile, definito e messo a disposizione di tutti gli stakeholder in base alle loro esigenze. L’informazione data dovrà avere le seguenti caratteristiche: Chiarezza: il modello di rappresentazione dei risultati deve essere il più trasparente/credibile possibile e la reportistica e le comunicazioni devono essere essenziali nei contenuti, ma altresì accurate e comprensibili; Completezza: i report devono essere completi e in grado di “catturare” tutte le tipologie di rischio alle quali risulta esposta l’azienda; Consistenza: le informazioni relative alla misurazione del rischio si basano sull’utilizzo di criteri standard e devono essere applicate, dove possibile, nello stesso modo per tutte le differenti realtà aziendali. La consistenza delle informazioni viene assicurata tramite la standardizzazione dei report; Tempestività: la frequenza dei flussi d’informazione deve essere determinata in modo da riflettere tempestivamente i mutamenti nell’esposizione al rischio sottostante e lasciare sufficiente tempo al Top Management per decidere le azioni di intervento; User-focused: i report devono contenere le sole informazioni focalizzate su quegli aspetti di rischio che sono rilevanti per il soggetto destinatario oltre che il livello di aggregazione e di dettaglio più appropriato, come il CEO69, Collegio Sindacale, Agenzie di Rating ecc. In definitiva il supporto del Vertice è indispensabile al fine di fornire il giusto focus sugli obiettivi, le risorse da dedicare, e l’attenzione da porre per il successo del processo ERM. Il compito del Vertice non è quindi quello di gestire le attività ERM, bensì supportare in maniera chiara e con il giusto livello di “pubblicità” le 68 Il Key Risk Indicator (KRI) di un rischio TOP è un indicatore sintetico in grado di far comprendere immediatamente la situazione relativamente a quel rischio in quel momento. Vuole essere un efficace strumento di comunicazione dello stato di criticità del rischio nella continuità. Il destinatario ultimo di tale comunicazione è il Vertice Aziendale e pertanto deve avere le caratteristiche di immediatezza, semplicità di lettura e facilità di costruzione per poter essere spiegato agevolmente anche “ai non addetti ai lavori”. 69 Cura l’identificazione, il monitoraggio e le modalità di gestione dei rischi aziendali, che sottopone all’esame del Consiglio di Amministrazione. 64 iniziative derivanti dall’implementazione del processo (es.: mappatura, action plan, ecc.) oltre a fornire le necessarie risorse per la sua realizzazione. È altresì compito del Vertice definire le linee guida del processo con il livello di propensione al rischio dell’azienda (Appetite) nonché il livello di “pervasività” delle analisi e delle azioni di mitigazione. Il processo ERM all’interno del Gruppo, concludendo, è aggiornato su base annuale o con maggiore frequenza, a discrezione del Comitato di Gruppo di Risk Management e la responsabilità di aggiornamento e supporto è in capo alla funzione Risk Management. Successivamente ad una prima applicazione e verifica del nuovo processo di Risk Management adottato, dopo solo tre mesi, il gruppo di lavoro è riuscito a definire il corporate risk profile (profilo di rischio) della Società a esclusione di Tim Brasil che comporta il completamento della fase di analisi e di parte di quella di valutazione (valutazione rischi e assegnazione) mentre le altre fasi sono state svolte negli scorsi anni con buoni risultati facendo volgere particolare attenzione su un gruppo di rischi risultati molto rilevanti, prima di allora poco considerati, che sono stati definiti Top Risk che sono ancora in fase di costante monitoraggio, trattamento e verifica. 3.5 Prospettive di sviluppo dell’“ERM” nel Gruppo Telecom La gestione dei rischi è ormai un argomento consolidato all’interno del Gruppo Telecom dopo tutti questi anni di esperienza, ma in ogni caso è in continua evoluzione. C’è l’esigenza dunque di dare continuità all’esperienza di Enterprise Risk Management, per un periodico aggiornamento del portafoglio rischi e delle soluzioni adottate. Infatti, solo un monitoraggio continuo del sistema obiettivi risorse - rischi consente una tempestiva identificazione di situazioni a rischio e l’attivazione di efficaci risposte. Al fine di dare continuità all’esperienza dell’attività di gestione del rischio e assicurarne la completa trasformazione da esercizio a pratica manageriale, è necessario mantenere pressione sul processo stesso ed offrire la giusta informativa in tutto il complesso aziendale. Per questo sono state avviate alcune linee d’intervento quali : La nomina di un referente del processo di ERM per ciascuna unità del Gruppo, responsabile nei confronti del vertice della corretta ed efficace applicazione della metodologia; 65 La definizione di norme e procedure di controllo dei rischi che definiscono a livello di Gruppo prassi e punti di controllo finalizzati al governo dei rischi; L’istruzione di un ruolo di supporto metodologico permanente che dia continuità all’iniziativa e stimoli il miglioramento delle soluzioni metodologiche sviluppate nelle prime sperimentazioni; Lo sviluppo di un’applicazione informatica a supporto della gestione dei rischi; Le linee sviluppate all’interno del Gruppo, costituiscono il repository70 dei rischi identificati e valutati dal management. Inoltre, essendo distribuita all’interno del Gruppo, supporta la gestione dei piani d’azione identificati all’interno a livello sia di manager responsabili della loro implementazione, sia di responsabili di business unit/funzione, sia di preposto all’attuazione. Al fine di assicurare nel tempo la rilevanza dei contenuti informativi del repository di rischi e piani d’azione, sono previsti periodici aggiornamenti in occasione dell’elaborazione e revisione dei piani di business. Le prospettive future per il Gruppo sono quelle del mantenimento e dello sviluppo della metodologia e quelle d’integrazione dello stesso con il sistema di pianificazione e controllo. 70 Un repository (che sarebbe preferibile italianizzare con il termine deposito o repositorio) è un ambiente di un sistema informativo (di tipo Enterprise Resource Planning), in cui vengono gestiti i dati, attraverso tabelle relazionali;. 66 Capitolo 4 Applicazione pratica del modello LDA 4.1 Premessa Dopo aver descritto minuziosamente il processo ERM, gli attori coinvolti, i vantaggi e gli svantaggi dell’attuazione, gli aspetti qualitativi del processo, terminiamo la tesi con l’esposizione di un modello applicativo pratico adoperato direttamente su dati aziendali. Per motivi di privacy non possiamo rivelare il nome dell’azienda e il suo campo di attività. Gli obiettivi strategici di quest’attività, tra i più comuni nel mondo dell’imprenditoria, si suddividono nelle tre dimensioni che rendono l’agire imprenditoriale, sono: La responsabilità economica, generare profitto; La responsabilità sociale, garantire servizi di qualità, opportunità di crescita e rispetto dei diritti umani; La responsabilità ambientale, ovverosia salvaguardare le risorse naturali e governarne gli impatti; Tutto ciò viene perseguito monitorando ed effettuando i rendiconti delle politiche e risultati attraverso la realizzazione e la diffusione del Bilancio di Sostenibilità. L’azienda inoltre è eretta su valori quali la sicurezza e la centralità del cliente. Il Risk Management aziendale da alcuni anni ha inserito nei propri processi L’ERM per la gestione integrata del rischio, ha già realizzato la fase di Risk self Assessment e ha poggiato le fondamenta su cui costruire un modello quantitativo per la valutazione, il monitoraggio e la gestione del rischio e per cogliere le opportunità a esso connesse. 67 Figura 6: Concepibile modello di ERM secondo l’opinione dell’azienda osservata La figura sopra riportata rappresenta un concepibile modello di ERM. Le parti in giallo sono quelle già implementate dall’azienda, quelle in arancione sono le fasi che potrebbero essere attivate a questo livello di evoluzione. I passi successivi potrebbero riguardare, in modo indipendente l’una dall’altra, le due fasi di: Loss Data Management Misurazione del rischio Con riferimento alla fase di Loss Data Management, da un punto di vista teorico, tale attività dovrebbe basarsi sulla raccolta di dinamiche empiriche passate, relative all’incidenza dei vari fattori di rischio nel tempo. La raccolta in oggetto potrebbe essere arricchita da eventuali riferimenti a database esterni. Per quanto attiene la fase di Misurazione del rischio, una possibile finalità consiste, per i fattori di rischio che meglio si prestano a una modellizzazione probabilistica, nel costruire un modello attuariale LDA di valutazione del rischio. La presentazione del caso convoglierà in particolare sulla misurazione del rischio, partendo dalla predisposizione di un modello attuariale di modellizzazione del rischio, proseguendo con un prototipo di ERM fino a indirizzarsi nell’implementazione di un modello di Loss Distribution Approach su dati reali. 68 4.2 Predisposizione del modello attuariale Il metodo presentato come il più adatto per la modellizzazione del Rischio Operativo in ambito aziendale è il Loss Distribution Approach, tecnica abituale e ampiamente utilizzata in ambito attuariale. L’implementazione pratica di tale approccio richiede la conoscenza delle distribuzioni di ammontare e frequenza delle perdite e una loro opportuna correlazione per la stima della distribuzione aggregata delle perdite. Nell’azienda in esame la predisposizione del modello inizia da un’articolata procedura di mappatura dei fattori-eventi di rischio aziendali. La mappatura in questione avviene tramite la ripartizione aziendale in un certo numero di aree e l’individuazione di un certo numero di Risk Owner. Le nove “Aree” individuate attualmente sono le seguenti, suddivise in due categorie. A. Funzioni di Corporate: Pianificazione e Finanza Risorse umane e Organizzazione Sviluppo e Tecnologia Legale B. Aree di business: le aree comprese in questa suddivisione sono cinque, tipiche dell’attività aziendale che non possono essere specificate per non rivelare il campo di attività dell’azienda. I Risk Owner individuati sono circa 50 mentre i fattori / eventi di rischio mappati sono circa 380. La mappatura dei fattori di rischio è stata ottenuta tramite la risposta a questionari da parte dei risk Owner, questionari strutturati dal Risk Management nella fase di preassessment (prevalutazione), finalizzati fondamentalmente a individuare i seguenti elementi: Stima della probabilità di manifestazione del fattore di rischio; Stima dell'impatto potenziale del fattore di rischio; Classificazione tipologia dell’eventuale controllo; Obiettivi del Risk Management; Valutazione efficacia dei controlli adottati, che si estende nella valutazione delle possibili ripercussioni del danno in termini di danni a valori patrimoniali, danni economici/reddituali/ finanziari, danni alle persone, inefficienza/inefficacia del processo e altri danni non compresi nelle valutazioni precedenti. 69 In termini d’impatto potenziale i Risk Owner devono ricondurre le loro valutazioni alla seguente casistica: IMPATTO DESCRIZIONE Impatto finanziario sull’organizzazione stimabile superiore al 5% del Estremo fatturato. Impatto che può compromettere il raggiungimento di uno o più obiettivi strategici aziendali. Perdita di fiducia da parte degli stakeholder. Impatto finanziario sull’organizzazione stimabile tra il 3% e il 5% del Alto fatturato. Impatto rilevante sulla strategia o sulle attività operative. Notevole preoccupazione degli stakeholder. Impatto finanziario sull’organizzazione stimabile tra il 2% e il 3% del Medio fatturato. L’impatto può richiedere interventi decisi relativamente all’organizzazione delle attività operative. Sono possibili eventi legati all’impatto come risposta degli stakeholder. Impatto finanziario sull’organizzazione stimabile tra il 1% e il 2% del Moderato fatturato. L’entità dell’impatto può chiedere correttivi alle strategie e Basso fatturato. L’entità dell’impatto ha limitate conseguenze sulla strategia e organizzazione delle attività operative. L’evento può coinvolgere l’attenzione degli stakeholder. Impatto finanziario sull’organizzazione stimabile tra il 0.5% e il 1% del sulle attività operative aziendali. Modesta preoccupazione degli stakeholder. Impatto finanziario sull’organizzazione stimabile a livelli inferiori dello Trascurabile 0.5% del fatturato. L’entità dell’impatto ha conseguenze trascurabili sulla strategia e sulle attività operative. Non si prevede interessamento degli stakeholder. In termini di probabilità del verificarsi, i Risk Owner devono invece ricondurre le loro valutazioni sulla seguente casistica: Matrice Probabilità Stima Molto Probabile Probabile Indicatori Descrizione Evento con probabilità L’evento in un anno di p ≥70% verificarsi più volte nel medio periodo, si Evento con probabilità L’evento ha probabilità di verificarsi più in un anno di volte nel medio periodo, si è già 40 ≤ p ≤70% verificato. 70 ha elevata probabilità di è già verificato più volte. Evento con probabilità Moderato L’evento ha scarsa probabilità di in un anno di verificarsi più volte nel medio periodo, 10%≤ p ≤40% ma effettiva probabilità di verificarsi almeno una volta. L’evento si è già verificato. Evento con probabilità ha bassa probabilità di in un anno di verificarsi, si presenta occasionalmente 1% ≤ p ≤10% nel medio periodo. L’evento non si è Evento con probabilità L’evento è molto improbabile ma non in un anno di p ≤1% impossibile. L’evento non si è mai Improbabile Raro L’evento ancora verificato. verificato. La presenza di un numero così elevato di Risk Owner per molti fattori di rischio conduce inevitabilmente all’aggregazione dei vari questionari compilati con riferimento al singolo fattore di rischio in base a medie più o meno ponderate. Il giudizio medio relativo a ciascun fattore di rischio conduce a sintetizzare lo stesso in termini di: Rischio Potenziale Valore controllo Livello controllo Rischio Residuo Tutte le quattro coordinate del rischio sono espresse secondo una scala ordinale in forma numerica o di giudizio. In particolare il rischio potenziale viene quantificato ricorrendo ad una matrice di probabilità ed impatto dei rischi di seguito rappresentata: Figura 7: Matrice probabilità impatto utilizzata nei questionari aziendali 71 Nella valutazione dei rischi è stato richiesto ai Risk Owner di indicare separatamente la probabilità che l’evento incerto si verifichi e il relativo impatto (le scale valori sono indicate dalle frecce). Come si può notare della matrice le caselle assumono una colorazione sempre più rossa all’aumentare della probabilità-impatto del rischio. Il top del rischio si trova con la combinazione molto probabile- estremo. Sulla base dei questionari esposti e delle quantificazioni prima descritte il Risk Management dell’azienda riesce, in base a giudizi qualitativi, a mettere in evidenza le aree più critiche in termini di rischio potenziale e rischio residuo nonché ad evidenziare i principali fattori di rischio rilevati. Aree e fattori di rischio possono essere rappresentati graficamente come nel seguente esempio: Figura 8: Grafico di un possibile scenario Aree di rischio-Impatti. In questo esempio di sintetizzazione dei risultati viene utilizzato un grafico a radar. Nei cinque angoli sono indicate le aree di rischio mentre i pentagoni misurano l’impatto del tipo di rischio sull’area, essi partono da un minimo indicato da zero a un massimo di dieci. L’area creata in azzurro indica il rischio potenziale, vediamo come esso principalmente impatta la gestione delle risorse umane e lo sviluppo organizzativo (con valore 8) mentre impatta meno sulla sicurezza (con valore inferiore a sei). Per quanto riguarda il rischio residuo invece, area gialla, notiamo un impatto minore su tutte le cinque aree. I perimetri blu e rosso rappresentano rispettivamente l’impatto potenziale e l’impatto residuo medi dell’area RUO (Risorse Umane e Organizzative). 72 4.3 Prototipo di ERM I primi passi propedeutici alla costruzione di un prototipo di ERM quantitativo hanno riguardato l’analisi di due Aree tra loro particolarmente eterogenee, noi esporremo minuziosamente soltanto la costruzione su un’area per motivi di privacy che sarà comunque sufficiente per capire l’argomento. L’area selezionata è quella delle Risorse Umane e Organizzative (RUO). Per tali Aree sono stati raccolti i singoli questionari dei Risk Owner coinvolti nel processo e sono state convertite in probabilità e impatti puntuali le varie classi di cui alla matrice delle probabilità e alla matrice degli impatti. Si sono statuite le seguenti matrici: Matrice Probabilità Cod Stima Indicatori Descrizione Prob. 1 Raro Evento con L’evento è molto improbabile ma probabilità in un non impossibile. L’evento non si è 0.5% mai verificato. anno di p ≤1% 2 Improbabile Evento con L’evento ha bassa probabilità di probabilità in un verificarsi, anno di Moderato L’evento non si è ancora verificato. Evento con L’evento ha scarsa probabilità di probabilità in un verificarsi più volte nel medio anno di periodo, ma effettiva probabilità di verificarsi 10%≤ p ≤40% 4 Probabile presenta occasionalmente nel medio periodo. 1% ≤ p ≤10% 3 si 5.5% almeno una 25% volta. L’evento si è già verificato. Evento con L’evento ha probabilità di verificarsi probabilità in un più volte nel medio periodo, si è già anno di 55% verificato. 40 ≤ p ≤70% 5 Molto probabile Evento con L’evento ha elevata probabilità di probabilità in un verificarsi più volte nel medio 85% periodo, si è già verificato più volte. anno di p ≥70% Sia la matrice delle probabilità che quella dell’impatto, come si può osservare hanno il corpo principale della matrice usata per il questionario proposto ai Risk Owner con l’aggiunta del codice d’identificazione della probabilità-impatto e il suo relativo valore, ricavato dai risultati dei questionari e inserito dagli analisti aziendali. Ci si è riferiti al valore centrale della classe per le classi chiuse (cod. 273 3-4) mentre per le classi aperte (cod. 1-5) si è inserito un valore ritenuto ragionevole ai fini del calcolo. Matrice Impatto Cod Impatto Descrizione Impatto atteso 1 Trascurabile Impatto finanziario sull’organizzazione stimabile a livelli inferiori dello 0.5% del fatturato. L’entità dell’impatto ha conseguenze trascurabili 0.25% sulla strategia e sulle attività operative. Non si prevede interessamento degli stakeholder. 2 Basso Impatto finanziario sull’organizzazione stimabile tra il 0.5% e il 1% del fatturato. L’entità dell’impatto ha 0.75% limitate conseguenze sulla strategia e sulle attività operative aziendali. Modesta preoccupazione degli stakeholder. 3 Moderato Impatto finanziario sull’organizzazione stimabile tra il 1% e il 2% del fatturato. L’entità dell’impatto può 1.50% chiedere correttivi alle strategie e organizzazione 4 Medio delle attività operative. L’evento può coinvolgere l’attenzione degli stakeholder. Impatto finanziario sull’organizzazione stimabile tra il 2% e il 3% del fatturato. L’impatto può richiedere 2.50% interventi decisi relativamente all’organizzazione delle attività operative. Sono possibili eventi legati all’impatto come risposta degli stakeholder. 5 Alto Impatto finanziario sull’organizzazione stimabile tra il 3% e il 5% del fatturato. Impatto rilevante sulla strategia o sulle attività operative. 4% Notevole preoccupazione degli stakeholder. 6 Estremo Impatto finanziario sull’organizzazione stimabile superiore al 5% del fatturato. Impatto che può 10% compromettere il raggiungimento di uno o più obiettivi strategici aziendali. Perdita di fiducia da parte degli stakeholder. L’analisi statistica delle due Aree ha evidenziato le seguenti categorie di rischi, noi riportiamo solo la categoria RUO: 74 Risorse umane 1 Aspetti legali e normativi 2 Aspetti etici e clima 3 Contesto sociale 4 Gestione informazione 5 Organizzazione e Processi 6 Sicurezza del lavoro 7 Valutazione delle competenze e ruoli Sulla base delle probabilità medie e degli impatti medi per classe è stato possibile calcolare l’impatto aggregato atteso complessivo per le categorie presenti nell’area RUO. La riduzione del rischio potenziale derivante dalla presenza di un controllo gestionale del rischio, invece, è stata desunta per ciascun fattore di rischio ed è stato riportato nelle successive schede di sintesi, per la seconda area sono riportati solamente i risultati totali: Categoria di rischio TOT Impatto probabile Impatto probabile al netto Gestione informazione 3.3% 1.0% Organizzazione e 2.0% 1.5% Aspetti legali e normativi 1.4% 1.2% Aspetti etici e clima 1.3% 1.1% Contesto sociale 1.0% 0.6% Valutazione delle 0.6% 0.6% Sicurezza del lavoro 0.5% 0.5% Totale Area RUO 10.1% 6.5% Totale Area Due 41.3% 27.3% Totale COMPLESSIVO 51.4% 33.8% Processi competenze e ruoli (% fatturato) 75 di riduzioni (% fatturato) Le conclusioni del prototipo di ERM sulla gestione dei rischi operativi, lo si ricorda, sono quantificati in media e non in altre logiche più raffinate, suggeriscono alcune conclusioni ma anche alcune domande. Complessivamente, le due aree analizzate generano perdite attese pari al 51,4% del fatturato (33,8% al netto dei controlli) di cui 41,4% (27,3%) a carico dell’area due, il 10,1% (6,5%) a carico di RUO. Le tre categorie di rischio critiche sono: Aspetti legali e normativi con il 15,8% (10,7%); Controlli di Processo dell’area due con il 15,1% (11,8%); Organizzazione e Processi con il 4,0% (2,8%); Complessivamente le tre categorie critiche di rischio sopracitate spiegano, in media, il 35% del rischio potenziale su un totale del 51,4% ed il 25,3% del rischio residuo su un totale di 33,8%. Palesemente saranno queste le categorie che avranno maggiore attenzione nei processi di mitigazione del rischio, mentre categorie come “Sicurezza del lavoro” e “Valutazione delle competenze e ruoli” oltre ad avere un impatto lieve sulle perdite non sono neppure sensibili a una riduzione potenziale derivante dalla presenza di un controllo gestionale del rischio, saranno sicuramente rischi che verranno solamente monitorati. Per quanto concerne il questionario, esso esplora in modo ottimale gli aspetti più rilevanti dei fattori di rischio: impatto, probabilità e mitigazione (controlli). Occorre tuttavia comprendere se i Risk Owner rispondano sempre in modo giudizioso: E’ ragionevole pensare che il livello atteso di perdita apportato dai fattori di rischio delle due aree siano pari a oltre il 50% del fatturato annuo (al lordo del controlli)? Ci sono eventuali errori nella percezione degli impatti, della probabilità o di entrambi? Ci sono posizioni “prudenti” o “aggressive” prese volontariamente o inconsciamente dai Risk Owner? Alla luce di quanto anticipato sembrerebbe utile integrare l’informazione disponibile con altri elementi in grado di creare dei segnali di “allerta” in caso di quantificazioni chiaramente improprie di probabilità e/o impatto atteso, al fine di verificare in corso d’opera attendibilità e congruenza dei dati rilevati e dell’informazione fornita. I segnali in oggetto potrebbero, fin dove possibile, essere desunti dall’esperienza storica adeguatamente ricostruita sula base di bilanci, documenti interni, esperienza e memoria dei vari Risk Owner. Un ulteriore 76 elemento che si potrebbe introdurre è la presenza di altre domande nei questionari utili a meglio comprendere i fenomeni, per esempio domande inerenti il giudizio di quello che succederebbe se avvenissero eventi molto dannosi (worst case scenario e stress test). 4.4 LDA: Modello quantitativo con dati concreti La Misurazione del rischio, come abbiamo visto all’inizio del capitolo, era il secondo obiettivo da attivare all’interno dell’azienda per far evolvere il modello di ERM già presente nella società. Suddetta fase consiste, nel costruire un modello attuariale LDA71 di valutazione del rischio. Il modello di valutazione del rischio dovrebbe essere realizzato al fine di consentire l’apprezzamento del contributo marginale al rischio di: Ogni singolo fattore / evento di rischio; Ogni categoria di rischio; Quanto precede consentirebbe l’individuazione delle aree critiche di rischio nonché delle leve più efficienti per ottimizzare la gestione del rischio aziendale e cogliere le opportunità connesse. Questo dunque richiede: La calibrazione e la stima dei parametri delle distribuzioni di probabilità delle frequenze di accadimento degli eventi di rischio (frequency); La calibrazione e la stima dei parametri delle distribuzioni di impatto degli eventi di rischio (severity); La modellizzazione delle dipendenze (correlazioni) tra i diversi eventi / categorie di rischio e l’individuazione degli strumenti probabilistici più adatti per il loro apprezzamento; La convoluzione delle variabili stocastiche individuate e il conseguente calcolo degli indicatori di rischio più adatti alla rappresentazione dei fenomeni monitorati; 71 Le informazioni sul LDA sono tratte Franchot A., Moudoulaud O., Roncalli T. 2003. “Loss Distribution Approach in Practice”. 77 Formalmente, sia Ni la variabile aleatoria “numero annuo delle perdite” registrate per il verificarsi dell’evento rischioso i, la cui funzione di probabilità è p. La distribuzione di frequenza delle perdite sarà data dalla seguente espressione: 𝑛 𝑃 𝑛 = 𝑝(𝑘) 𝑘=0 Sia Yik la variabile aleatoria “ammontare della perdita” associata al k-esimo verificarsi dell’evento rischioso i. Indichiamo con F la distribuzione di probabilità dell’ammontare delle perdite. Nell’ambito del Loss Distribution Approach la perdita totale annua Yi , per ogni tipologia di rischio i , può essere ottenuta come somma del numero aleatorio Ni di singole perdite di importo aleatorio Yik avvenute in un anno: 𝑁𝑖 𝑌𝑖 = 𝑌𝑖𝑘 𝑘=0 La funzione di distribuzione di probabilità Gi (y) della perdita totale Yi sarà la seguente distribuzione congiunta: 𝐺𝑖 𝑦 = Pr Yi ≤ y = ∞ P Ni = k ∗ 𝐹 𝑘∗ 𝑦𝑖 k=1 𝑦>0 𝑃 𝑁𝑖 = 0 𝑦 = 0 dove F(yi) e la probabilità che l’ammontare aggregato della k-esima perdita sia yi mentre Fk* è la k-esima convoluzione di F con se stessa. Le ipotesi del modello sono le seguenti: le singole perdite Yik sono variabili aleatorie indipendenti e identicamente distribuite; la distribuzione della frequenza e indipendente da quella dell’ammontare; La funzione Gi (y) può essere calcolata attraverso un’approssimazione numerica. Tra i metodi di approssimazione faremo riferimento alla Simulazione Monte Carlo che consente di stimare la distribuzione aggregata delle perdite tramite simulazione di un numero elevato di possibili perdite attraverso estrazioni casuali dalle distribuzioni scelte per rappresentare la frequenza e l’importo delle perdite. Per quanto concerne la modellizzazione della frequenza delle perdite operative tra le più adatte è stata scelta la distribuzioni di Poisson, distribuzione 78 discreta di variabili aleatorie che può assumere un numero discreto di valori ad ognuno dei quali viene assegnata una specifica probabilità di realizzazione. In particolare la distribuzione della frequenza degli eventi dannosi, in quanto relativa ad un numero limitato di occorrenze in ogni periodo, è sicuramente discreta. Mentre a riguardo delle tipologie di distribuzione adeguate per la modellizzazione di ammontare delle perdite derivanti da eventi dannosi, le più adatte sono le distribuzioni continue che, al contrario, descrivono variabili aleatorie che possono assumere tutti i valori in un intervallo. Si fa riferimento in questo caso applicativo alla distribuzione Lognormale, scelta tradizionale per rappresentare tale fenomeno. Infine occorrerà determinare una misura di rischio che ci permetta di individuare un adeguato ammontare di capitale da accantonare a copertura del rischio risultante dall’applicazione, per far questo utilizzeremo il Value at Risk. Per poter procedere con l’implementazione e l’interpretazione del modello dobbiamo soffermarci su alcune puntualizzazioni. 4.4.1 Specificazione distribuzioni e metodi utilizzati In questo paragrafo descriveremo più adeguatamente le due distribuzioni utilizzate per modellizzare frequenza e ammontare delle perdite e i metodi per il calcolo del rischio operativo. A. Distribuzione Lognormale72: Sono varie le distribuzioni di probabilità che possono essere utilizzate per la modellizzazione dell’ammontare delle perdite originate a seguito del verificarsi di eventi dannosi rientranti nella categoria dei rischi operativi. Poiché l’ammontare delle perdite presenta limite inferiore pari a zero appare opportuno non considerare distribuzioni simmetriche quali la distribuzione Normale, mentre risulta utile la distribuzione Lognormale, scelta condivisa dagli analisti e dunque utilizzata nel caso. Per variabili aleatorie continue con 0 ≤ x ≤ ∞ la funzione di densità di probabilità di una distribuzione lognormale sarà data da: 72 Fonte wikipedia.it 79 𝑓 𝑥 = 1 𝑥𝜍 2𝜋 𝑒𝑥𝑝 − 𝑙𝑜𝑔 𝑥 − 𝜇 2𝜍 2 2 2 dove 𝜇 e 𝜍 sono i parametri. La media di tale distribuzione è pari a 𝑒 𝜇 +𝜍2 mentre la 2 2 varianza è pari a 𝑒 2𝜇 ∗ 𝑒 𝜍 ( 𝑒 𝜍 − 1). Riportiamo per completezza un esempio grafico della funzione di densità della Lognormale con 𝜇 = 1.5 (media) e 𝜍 = 0.8 (deviazione standard). Figura 9: Funzione di densità distribuzione Lognormale B. Distribuzione di Poisson73: La frequenza delle perdite rappresenta sicuramente una variabile aleatoria discreta in quanto riferita al numero degli eventi di perdita che si possono verificare, con una certa possibilità p, in un determinato orizzonte temporale. La scelta è caduta sulla distribuzione di Poisson che ha una funzione di densità di probabilità data da: 𝑓 𝑥 = 𝜆𝑥 exp(−𝜆) 𝑥! dove il parametro 𝜆 può essere interpretato come un numero medio di occorrenze, può essere anche stimato con vari metodi. Il grafico seguente rappresenta una distribuzione di Poisson con 𝜆 = 12. 73 Fonte wikipedia.it 80 Figura 10: Grafico della distribuzione di Pisson C. Simulazione Monte Carlo74: L’approccio più semplice per la stima della distribuzione aggregata delle perdite è la simulazione Monte Carlo che sostanzialmente consiste nella simulazione di un numero elevato di possibili perdite attraverso estrazioni casuali dalle distribuzioni scelte per rappresentare la frequenza e la gravità delle perdite. Schematicamente il metodo si sviluppa attraverso le seguenti fasi: Scelta delle distribuzioni di probabilità per la frequenza e ammontare delle perdite, nella nostra situazione sono già state scelte rispettivamente la Poisson e la Lognormale; Simulazione del numero n delle perdite dalla distribuzione della frequenza; Simulazione di n perdite dalla distribuzione dell’ammontare: L1, L2, ..., Ln ; Somma delle n perdite simulate per ottenere la perdita aggregata annua Y= L1+ L2 + ....+ Ln ; Ripetizione della procedura un gran numero di volte per ottenere la distribuzione aggregata delle perdite empirica; Calcolo dei vari parametri quali media, varianza e VAR; 74 Bolisani E., Galvan R. “La simulazione Monte Carlo: appunti integrativi”. 81 Tale procedura permette di ottenere uno scenario di perdita per ciascun evento osservato. Graficamente la simulazione Monte Carlo si può sintetizzare nel seguente modo: Nell’ambito del LDA è possibile stimare le perdite operative future con diversi gradi di libertà sulla distribuzione totale ottenuta. L’applicazione della misura di rischio utilizzata nel nostro caso di studio, il VAR, alla distribuzione aggregata delle perdite cosi ottenuta permette di quantificare il rischio con un certo livello di confidenza, e, di conseguenza il capitale che è necessario detenere a sua copertura. D. VAR: Il Value at Risk è stato utilizzato per la prima volta per scopo regolamentare dal Comitato di Basilea nel 1996 ed è attualmente lo standard di riferimento per la misurazione del rischio di mercato nel settore bancario. Il metodo, attraverso l’utilizzo di tecniche statistiche standard, permette di determinare la massima perdita potenziale di un certo portafoglio finanziario per un livello di confidenza e orizzonte temporale prefissati. In particolare il livello di confidenza rappresenta la fiducia che riponiamo nel fatto che non potremmo incorrere in una perdita superiore al valore del VAR. Dal punto di vista operativo, per altro, il VAR può essere interpretato come l’ammontare di capitale che l’istituzione deve detenere per fronteggiare queste perdite potenziali. 82 Dal punto di vista formale il VAR è un quantile della distribuzione “guadagni e perdite” presentata su un certo orizzonte temporale. Indicata con 𝑓 𝑥, 𝜆 la funzione di densità delle variazioni attese del valore del fenomeno, il VAR si ottiene risolvendo la seguente espressione: +∞ 𝑓 𝑥, 𝜆 𝑑𝑥 = 𝛼 −𝑉𝐴𝑅 dove con 𝜆 si indica il parametro di tale distribuzione, mentre 𝛼 è il livello di probabilità scelto. Nel calcolo del VAR possiamo individuare le seguenti fasi di costruzione: Individuazione del modello distributivo; Stima dei relativi parametri; Applicazione del metodo di calcolo E’ chiaro che il maggior problema nel calcolo del VAR è l’individuazione di una distribuzione di probabilità adatta alla rappresentazione del rischio considerato. Noi sappiamo però che per il rischio operativo, ai fini di una sua adeguata rappresentazione dal punto di vista probabilistico è necessario ricorrere a distribuzioni a coda “spessa”. Esistono tre metodi standard per il calcolo del VAR, nel nostro caso fortunatamente è già stato scelto il metodo Monte Carlo che si basa sulla simulazione stocastica dei rendimenti, il processo è stato mostrato in precedenza. Il VAR, in qualunque maniera è calcolato, è interpretabile come perdita massima che si può subire in assenza di eventi estremi. Il modello LDA in questione cala l’analisi del rischio proprio nella logica del VAR che rappresenta la best practice per le moderne metodologie di ERM e che consente di ricondurre il rischio a due coordinate: una perdita monetaria e il grado di probabilità che essa si verifichi. 83 4.5 Loss Distribution Approach In questo contesto si illustra la concreta applicazione del modello LDA con le informazioni già anticipate nelle pagine precedenti. L’applicazione è realizzata con riferimento ad alcuni processi afferenti all’area risorse umane e organizzazione dell’azienda in precedenza citata. Lo scopo dell’applicazione è di quantificare la rischiosità potenziale del processo in base al modello attuariale di LDA (Loss Distribution Approach). A tale proposito si seguono tre step: I. II. III. Individuazione delle possibili cause di Rischio Operativo; Introduzione al modello di LDA; Indicazione degli indicatori di rischio finali; Il primo degli step indica le attività svolte per l’individuazione di un elenco definitivo delle criticità da cui possono scaturire perdite operative. Mel nostro studio le casistiche sono da ricondurre sostanzialmente a cinque eventi tipo, con attribuzione di criticità anche a sottocategorie di secondo e terzo livello. Riportiamo le tabelle: Rischio Rischio 1 Livello 1 Execution Delivery and Process Management Business Disruption and System Failures Livello 2 Monitoring and Reporting Livello 3 Failed mandatory reporting obligation Systems Software Rischio 3 Execution Delivery and Process Management Accounting error / entity attribution error Rischio 4 Execution Delivery and Process Management Rischio 5 Internal Fraud Transaction Capture, Execution & Maintenance Transaction Capture, Execution & Maintenance Theft and Fraud Rischio 2 Data entry, maintenance or loading error Misappropriation of assets Infine, l’analisi è stata portata a termine utilizzando il database esterno che contiene la descrizione e l’ammontare dell’impatto di 11.024 eventi rischiosi. Di questi ultimi considerata la classificazione dei rischi operativi ne sono stati considerati solo 852 di seguito riportati in rapporto al singolo rischio. 84 Numero di criticità osservate Rischio Failed mandatory reporting obligation Descrizione Numero Comunicazioni obbligatorie 264 Software Software 37 Accounting error Errori contabili o di attribuzione 57 Data entry Manutenzione e caricamento dati 460 Misappropriation of assets Appropriazione indebita 34 Totale 852 ritardate o fallite Il secondo step consiste nell’introduzione del modello LDA, considerando la descrizione fatta nei paragrafi precedenti riportiamo in questa sede solo i risultati. Per semplificare si è deciso di rinominare la criticità individuate, come rischio 1, rischio 2 etc.. Sulla base degli elementi ricavati dalla fonte esterna di dati a nostra disposizione, è stato possibile stimare i parametri delle distribuzioni utilizzando, come abbiamo appreso, la Poisson per la frequenza e la Lognormale per l’impatto economico. Il processo di stima è stato realizzato oltre che dati aziendali, da un database molto più ampio considerando le analoghe tipologie di rischio. I parametri sono stimati utilizzando tecniche di massima verosimiglianza. Lognormale rischio 1 rischio 2 rischio 3 rischio 4 rischio 5 -12,38030 -10,24330 -10,82060 -10,78880 -11,89080 Poisson 2,43608 1,68420 1,78220 1,83350 2,16750 3,83877 0,95060 5,02630 5,04300 42,95650 In un secondo momento, in base a dette distribuzioni, sono state effettuate attraverso il metodo Monte Carlo diecimila simulazioni i cui risultati sono le distribuzioni aggregate delle perdite. Nonostante il processo sia stato descritto in precedenza, è opportuno riepilogarlo brevemente per adattarlo al caso in esame: I. II. III. Generazione di una determinazione di n della variabile aleatoria “numero delle perdite” (Poisson); Simulazione delle n perdite dalla distribuzione dell’ammontare (Lognormale); Somma delle n perdite simulate per ottenere la perdita aggregata annua; 85 IV. Ripetizione dei precedenti passi un numero sostenuto di volte per pervenire alla distribuzione aggregata delle perdite, diecimila nel nostro caso. Ottenute le distribuzioni aggregate il passo successivo sarà quello di definire le perdite, con un certo livello di confidenza, attraverso il VAR. Fissata la probabilità α il VAR a livello α, definito come l’importo VARα , rappresenta la massima perdita che può essere superata solo con probabilità 1- α, entro l’orizzonte temporale stabilito: 𝑉𝑎𝑅𝛼 𝑥 = 𝑖𝑛𝑓 𝑥 ∈ ℝ | Pr 𝑋 > 𝑥 ≤ 1 − 𝛼 ossia il quantile di ordine alpha della distribuzione delle perdite sarà dato da: 𝑉𝑎𝑅𝛼 𝑥 = 𝐹 −1 (𝛼) dove “F” indica la funzione di distribuzione cumulata delle perdite X. Al fine di calcolare il tutto necessitiamo di un foglio elettronico di calcolo. Le perdite infine sono state “normalizzate” e divise quindi per il “total asset”, sono indicate nella tabella seguente: Livello di confidenza R Descrizione 95% 99% 99,5% 99,9% 1 Comunicazioni obbligatorie 0,0000331 0,0001264 0,0002179 0,0007593 2 Software 0,0000684 0,0002269 0,0003390 0,0008671 3 Errori contabili o di 0,0000327 0,0000779 0,0001030 0,0002083 4 Manutenzione e 0,0000369 0,0000903 0,0001266 0,0002483 5 Appropriazione indebita 0,0001986 0,0004177 0,0005668 0,0010008 ritardate o fallite attribuzione caricamento dati Nel dettaglio la tabella riporta il valore del VAR per unita di capitale per ogni singolo rischio e per quattro diversi livelli di confidenza. Attraverso ulteriori analisi effettuate dagli analisti interni, inoltre, è stato possibile procedere alla quantificazione del contributo al rischio totale di ciascuno dei cinque rischi analizzati. Rendendo operativi i risultati ottenuti, è stato effettuato lo studio sul processo paghe dell’azienda . A tale proposito, nella tabella successiva si evidenzia il peso percentuale di ciascuno rischio considerando un monte retribuzioni di 335 milioni di euro. 86 Livello di confidenza R Descrizione 95% 99% 99,5% 99,9% 1 Comunicazioni obbligatorie 9% 13% 16% 25% 2 Software 19% 24% 25% 28% 3 Errori contabili o di 9% 8% 8% 7% 4 Manutenzione e 10% 10% 9% 8% 5 Appropriazione indebita 54% 44% 42% 32% ritardate o fallite attribuzione caricamento dati Si può affermare che attuazioni di strategie di mitigazione alle varie fattispecie di rischio riscontrate sono in grado, in base all’analisi aziendale, di ridurre sensibilmente il VAR in ognuno degli scenari ipotizzati. Questa affermazione è stata concretizzata grazie alla realizzazione un’analisi di sensitività effettuata sul processo delle paghe, eliminando di volta in volta un fattore di rischio per evidenziare i risultati del VAR in ogni circostanza75. L’esposizione di tale analisi avverrà nelle tabelle seguenti76: Rischio eliminato: Comunicazioni obbligatorie ritardate o fallite Indipendenza 75 Debole Forte Perfetta Dipendenza dipendenza dipendenza 95% 89 100 105 113 99% 176 203 224 274 99.5% 233 263 315 381 99.9% 355 466 525 774 L’analisi di sensitività è stata svolta per quattro scenari di correlazione differenti così definiti: Indipendenza 𝜌 = 0 , debole dipendenza 𝜌 = 30% , forte dipendenza 𝜌 = 60% e perfetta dipendenza 𝜌 = 100% che equivale alla somma dei singoli VAR. 76 Importi delle successive tabelle espressi in migliaia di euro. 87 Rischio eliminato: Software Indipendenza Debole Forte Perfetta Dipendenza dipendenza dipendenza 95% 79 89 93 100 99% 134 154 170 208 99.5% 208 235 281 340 99.9% 341 448 504 743 Rischio eliminato: Errore contabile o di attribuzione Indipendenza Debole Forte Perfetta Dipendenza dipendenza dipendenza 95% 89 100 105 113 99% 187 214 237 289 99.5% 255 288 345 417 99.9% 440 578 651 960 Rischio eliminato: Manutenzione e caricamento dati Indipendenza Debole Forte Perfetta Dipendenza dipendenza dipendenza 95% 88 99 104 111 99% 182 210 232 283 99.5% 252 285 341 412 99.9% 435 572 644 950 Rischio eliminato: Appropriazione indebita Indipendenza Debole Forte Perfetta Dipendenza dipendenza dipendenza 95% 45 50 53 57 99% 114 130 144 176 99.5% 161 182 217 263 99.9% 322 423 476 702 88 Queste tabelle mostrano le potenziali perdite che il gruppo può subire a seguito di problemi operativi del processo esaminato. Gli importi scaturiscono da una stima effettuata tarando su dati esogeni i parametri delle variabili casuali che rappresentano severity e frequency delle perdite e misurando le loss operative sul processo gestito dalla area RUO. Le stime sono replicate per diversi livelli di correlazione tra i rischi analizzati, varia dall’ipotesi di perfetta indipendenza a quella di perfetta dipendenza. Per rendere la giusta importanza agli esiti raggiunti riportiamo i risultati aggregati dei quattro scenari e ne analizziamo gli scenari estremi: Indipendenza Debole Forte Perfetta Dipendenza dipendenza dipendenza Media 42 42 42 42 95% 98 110 115 124 99% 203 233 258 314 99.5% 277 313 375 453 99.9% 473 622 701 1032 Analizziamo gli scenari estremi, i numeri evidenziano che: In corrispondenza di un livello di confidenza del 99% la perdita operativa oscilla tra 203 e 314 migliaia di Euro; In corrispondenza di un livello di confidenza del 99.5% la perdita operativa oscilla tra 277 e 453 migliaia di Euro; In corrispondenza di un livello di confidenza del 99.9%, livello di confidenza utilizzato per il calcolo del VAR in ambito bancario) la perdita operativa oscilla tra 437 e 1032 migliaia di Euro; In conclusione, quanto precede dimostra che esiste una probabilità non marginale di subire perdite molto elevate a seguito del manifestarsi di rischi operativi che insistono naturalmente sui processi di RUO. Si può notare come con un aumento del livello di confidenza dello 0.9% (da 99% a 99.9%) la perdita massima potenziale aumenta di oltre 3 volte tanto (da 314 a 1032). La perdita potenziale in questione è crescente al crescere della quantità monetaria che viene gestita nei processi esaminati. 89 90 Considerazioni conclusive Le iniziative di Risk Management intraprese nelle imprese hanno spesso una durata breve, a volte stagionale, nate in modo occasionale da esigenze di quotazione in borsa valori o da segnalazioni fatte dai revisori esterni o dagli auditor interni, meditato per richiamare l’attenzione del management su temi che, in un dato momento, sono alla valutazione del vertice e degli stakeholder. Il tutto è confermato dall’indagine svolta dalla KPGM che attesta che il 24% delle aziende che hanno intrapreso processi di ERM effettua la mappatura dei rischi solo quando ritenuto necessario, mentre il 25% del campione effettua la mappatura dei rischi con periodicità trimestrale e un altro 42%, sistematicamente, su base annuale. Non appena la tensione si allenta, perché risposte incoraggianti sono date dal vertice o perché l’attenzione del management viene attratta da nuove urgenze, queste iniziative, prive di solide radici organizzative, si spengono, senza aver prodotto sostanziali mutamenti nei sistemi di gestione. Nell’esperienza del Gruppo Telecom Italia, il processo di Enterprise Risk Management nasce a seguito della volontà del vertice aziendale di fare dell’ERM uno strumento utilizzato dal management per la gestione sistematica dei rischi all’interno del Gruppo. La scelta di fondo operata dal vertice di posizionare l’ERM fra gli strumenti di governance, indica la quantità e qualità della partecipazione del management al processo come principale obiettivo assegnato all’iniziativa nella sua implementazione. I momenti di incontro-confronto dei decisions maker hanno assolto, nelle fasi iniziali del progetto, funzioni di allineamento degli obiettivi individuali agli obiettivi del Gruppo e di business unit. E’ stata proprio l’elevata partecipazione dei manager a realizzare un’enfatizzazione degli aspetti sostanziali del progetto. Emerge con chiarezza dall’esperienza esaminata come si sia rinunciato all’adozione di sofisticate metodologie d’identificazione dei rischi a favore di un approccio pragmatico, facilmente trasferibile al management e pienamente da questo accettato, anche per la scelta di centrarlo sull’identificazione dei fattori che possono compromettere il conseguimento degli obiettivi aziendali. Elevata partecipazione del management e centralità degli obiettivi aziendali sono i due tratti che, più di altri, testimoniano l’allineamento dell’approccio seguito dal Gruppo Telecom Italia rispetto ai punti di riferimento dati dal COSO Report77 e accolti dai regolamenti di corporate governance in tema di controllo interno. Avendo creato le condizioni per una mutua comprensione, tutte le parti interessate 77 COSO, 2006, “La gestione del rischio aziendale, ERM – Enterprise Risk Management: modello di riferimento e alcune tecniche applicative”, il Sole 24 Ore. 91 potranno esprimersi con lo stesso linguaggio e comunicare in modo più efficace. La scelta di promuovere un attivo coinvolgimento del management ha determinato alcune conseguenze di grande rilievo. In primo luogo, al fine di promuovere una partecipazione attiva e convinta dei decisions maker all’interno dell’iniziativa, i vertici aziendali hanno manifestato di volere fortemente la stessa, facendone un progetto strategico di gruppo, collocato all’interno di un più vasto sistema d’interventi sulla corporate governance. In secondo luogo, la partecipazione persuasa ha necessitato di tempi prolungati, essendovi la necessità di migliorare continuamente il supporto organizzativo, i manager infatti devono poter ricevere supporto metodologico adeguato a esprimere il loro potenziale conoscitivo e il loro patrimonio di conoscenze deve poter trovare punti di accumulazione e strumenti di diffusione all’interno del gruppo. In terzo luogo, la partecipazione attiva del management all’interno di un Gruppo così articolato e dalle dimensioni di Telecom Italia deve essere perfettamente governato al fine di evitare che le spinte adattive provenienti dalle singole unità di business possano compromettere l’unitarietà del progetto di gruppo. Il quadro che si presenta è dunque quello di un progetto di estrema complessità. In conclusione, l’esperienza del Gruppo Telecom Italia testimonia come il Risk Management, per poter essere strumento di miglioramento della gestione, non possa e non debba risolversi in un unico esercizio, non debba rivolgersi limitatamente ad un unico ufficio di corporate, al riparo della realtà quotidiana vissuta dal management. Esso deve diventare uno strumento a supporto del management, utile al conseguimento degli obiettivi aziendali. In generale, alla luce di quanto illustrato, è opportuno considerare che un processo di Enterprise Risk Management se da un lato consente di ottenere importanti benefici, dall’altro presenta anche dei limiti. Questi ultimi sono determinati da scelte errate e da disfunzioni causate da precedenti scelte o da semplici errori. Tali limiti impediscono al vertice aziendale e al management di avere l’assoluta certezza in merito al raggiungimento degli obiettivi aziendali. E’ opportuno, quindi, imputare all’Enterprise Risk Management la giusta attenzione, se da una parte può essere un valido processo utile a conseguire gli obiettivi aziendali e soddisfare i diversi stakeholder interessati al successo dell’impresa, dall’altro, può disorientare gli stessi manager se nei risultati ottenuti non ci si avvede di aver commesso degli errori. Per rendere l’ERM un processo efficace ed efficiente è opportuno coinvolgere tutti gli attori dell’organizzazione al fine di orientare l’intera gestione a processi produttivi di qualità. All’interno di un’impresa, tuttavia, non è semplice far condividere a tutto il personale un’idea comune, anche se vincente. L’azienda, per superare questo limite, dovrebbe fare ricorso, oltre alle metodiche citate, alla 92 formazione del personale al fine di “educare” tutti gli attori dell’impresa a condividere il processo di gestione del rischio. Successivi miglioramenti frutto delle esperienze accumulate, potranno completare il percorso intrapreso verso la ricerca di strumenti sempre migliori capaci di incrementare la capacità di analisi delle imprese in contesti sempre più “rischiosi” in modo da rendere il processo ERM uno strumento fondamentale per il raggiungimento degli obiettivi aziendali, utile a garantire il successo dell’impresa. Sebbene in Italia la gestione del rischio non sia una pratica molto diffusa, ci sono tutte le premesse perché lo diventi o debba diventarlo. Nel nuovo paradigma della “società del rischio” ci sono, infatti, alcuni elementi strutturali che rendono il risk management una vera e propria priorità: con la globalizzazione dei mercati e la competitività sempre più stringente, le imprese si confrontano quotidianamente con la complessità, l’incertezza e la volatilità dei risultati; la comunità finanziaria e tutti gli stakeholder mettono sempre di più sotto pressione le aziende. Si aspettano che le imprese siano in grado di prevedere, analizzare e gestire i rischi, anche e soprattutto quelli cosiddetti emergenti, che hanno impatti potenzialmente devastanti sulla posizione e la reputazione delle imprese; la fiducia è destinata a diventare una delle merci più preziose e rare nel rapporto tra l’impresa e il mercato. In questa prospettiva è essenziale l’introduzione di processi e sistemi idonei a prevenire nuove patologie aziendali o collassi dei sistemi di controllo; Come mostrano chiaramente i risultati, un processo direzionale di risk management permette alle aziende di creare valore preservando o migliorando la propria reputazione sul mercato. Si tratta di contribuire a creare una nuova cultura organizzativa, proiettata verso processi di crescita sostenibile. Una delle sfide più importanti riguarda non solo e non tanto l’effettiva implementazione di un sistema efficace di Enterprise Risk Management ma anche la disponibilità di modelli di misurazione del valore creato. E’ dunque necessario che le aziende realizzino sistemi d’identificazione, assessment, gestione e monitoraggio dei rischi (sebbene con modalità e livelli di sofisticazione diversi) che si estendano a tutte le aree ed i processi aziendali dove risiedono potenzialmente i rischi stessi. 93 Bibliografia Adrian J. Slywotzky e John Drzik di Mercer , Aprile 2005 Harvard Business Review. Amit, R. and C.Zort 2001. “Value creation in e-business”, Strategic Management Journal. Ammann M., Berlin, 2001 “Credit Risk Valuation. Methods, Models, and Applications”. Amministrazione e Finanza Oro Sett-Ott 2007. ERM “Casistiche aziendali di rischi operativi”. Beretta. S, Milano 2004. “Valutazione dei rischi e Controllo Interno” Università Bocconi Editore. Bertini U., 1968, “Introduzione allo studio dei rischi in economia aziendale”, Giuffrè Editore S.p.A., Milano. Bolisani E., Galvan R. “La simulazione Monte Carlo: appunti integrativi”. Brogan J.C., D’arcy S.P. Maggio 2001. “Journal of Risk Management of Corea”. Committee of Sponsoring Organizations of the Treadway Commission (COSO) 1992. “Internal Control – Integrated Framework”. Committee of Sponsoring Organizations of the Treadway Commission(COSO) Aprile 2006. “La gestione del rischio aziendale” . Committee of Sponsoring Organization (CoSO) 2004 , “Enterprise Risk Management – Integrated Framework” . Crowe R.M., Horn R.C., vol. 34, 1967 “The meaning of risk, in «Journal of Risk and Insurance»”. D’Avino D., De Rosa M., Ferrara F., La Pietra M.P., Letterese L., Scarpa S., Germano M.R., “I concetti di rischio”. Floreani, Parma, 2005 “Introduzione al Risk Management” , Etas. Forestieri G., 1996, “Risk management:strumenti e politiche per la gestione dei rischi puri dell’impresa”, E.G.E.A. S.p.A., Milano. Fortunato. S, M .Livatino, P. Mantovano, N. Pecchiari; “L’Enterprise Risk Management”. Franchot A., Moudoulaud O., Roncalli T. 2003. “Loss Distribution Approach in Practice”. 94 Galiani, Polimeni, Proietti, 2003 “Credit derivates e cartolarizzazione. Metodologie e analisi dei rischi” , Il sole 24ore. Giorgino M., Travaglini F., Febbraio 2008, “Il risk management nelle imprese italiane”, Il Sole 24 Ore. Girino E. Milano, 2001 “I contratti derivati”, Giuffrè. Glossario Economico a cura del professore Paolo Bastia. Knight F. H. Firenze 1921, “Rischio, incertezza e profitto” La Nuova Italia. KPMG. Novembre 2001”Enterprise Risk Management. An emerging model for building shareholder value”. KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di Direzione Aziendale dell’Università Bocconi, 2010. “Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate italiane?”. Pignolo P., Milano 2002, “La gestione e la ritenzione del rischio d’impresa”, Franco Angeli Editore. Sinibaldi A., 2007, “Risk Management”, Hoepli Editore. Standards Australia/Standards New Zealand, 1999. Vaughan, 1997 (manca il titolo). Siti internet airmic.com compliancysoftware.com coso.org edisoncasa.it enel.com/enelenergia finanzaonline.com fortaris.com isacaroma.it Kubica.eu Kpmg.com/it liberatoscioli.it Mediaset.it proxyma.it 95 puntosicuro.it ragionpolitica.it sostenibilita.fiatgroup.com studiofonzar.com tagetik.it telecomitalia.com unicreditbanca.it unicreditgroup.eu wikipedia.it 96