Enterprise Risk Management Aspetti Teorici e

Sommario
Introduzione ....................................................................................................................................... 5
Capitolo 1
Introduzione al rischio e la sua gestione in ambito aziendale
1.1
Contesto di riferimento ...................................................................................................... 8
1.2
Nozione di rischio e rischio d’impresa .................................................................... 12
1.3
Principali tipologie di rischio presenti in azienda .............................................. 14
1.3.1 I Rischi finanziari .................................................................................................... 15
1.3.2 Il Rischio operativo ................................................................................................. 18
1.3.3 Il Rischio strategico ................................................................................................. 20
1.4
Gestione del rischio e cultura aziendale ................................................................. 21
Capitolo 2
Enterprise Risk Management, nozioni e sviluppo ................................................................... 23
2.1
Il concetto di Risk Management .................................................................................. 24
2.2
Il processo di Risk Management.................................................................................. 25
2.3
“ERM” come innovazione manageriale..................................................................... 26
2.4
Profilo organizzativo del Risk Management all’interno dell’azienda .......... 30
2.4.1 Gli obiettivi dell’ERM .............................................................................................. 32
2.4.2 I componenti dell’ERM ........................................................................................... 33
2.4.3 Legame tra obiettivi e componenti .................................................................... 37
2.5
I limiti dell’ERM ................................................................................................................. 39
1
2.6
Approfondimento: La stima dei rischi ........................................................................ 41
2.6.1 Stima qualitativa: matrice probabilità-impatto ............................................ 42
2.6.2 Stima semiquantitativa ........................................................................................... 44
2.6.3 Stima quantitativa ..................................................................................................... 45
Capitolo 3
L’Enterprise Risk Management in Italia e il caso del gruppo Telecom
3.1
Sviluppo dell’ERM nelle imprese Italiane .................................................................. 49
3.2
Profilo dell’impresa e principali dati economici .................................................... 53
3.3
Le strategie del Gruppo Telecom Italia ...................................................................... .58
3.4
Risk Management nel Gruppo Telecom Italia ......................................................... 59
3.4.1 Il Comitato di Gruppo Risk Management ........................................................ 60
3.4.2 Il nuovo processo ERM di Telecom Italia ......................................................... 61
3.5
Prospettive di sviluppo dell’“ERM” nel Gruppo Telecom .................................. 65
Capitolo 4
Applicazione pratica del modello LDA
4.1
Premessa ............................................................................................................................... 67
4.2
Predisposizione del modello attuariale .................................................................... 69
4.3
Prototipo di ERM ............................................................................................................... 73
4.4
Modello di misurazione del rischio........................................................................... 77
2
4.4.1
4.5
Specificazione distribuzioni e metodi utilizzati........................................ 79
Loss Distribution Approach ....................................................................................... 84
Considerazioni conclusive .............................................................................. 91
Bibliografia ......................................................................................................... 94
3
4
Introduzione
«I rischi sono eventi futuri incerti che possono influenzare negativamente il
raggiungimento degli obiettivi strategici, operativi, finanziari e di compliance»1
La capacità di assumersi e gestire i rischi è da sempre l’essenza fondamentale
dell’attività imprenditoriale e una componente irrinunciabile del management
d’impresa. Fino a pochi anni fa la gestione di tali rischi si è concentrata, tanto nella
prassi quanto nella letteratura manageriale, su poche aree specialistiche funzionali o
settoriali, quali la gestione dei rischi finanziari e la copertura dei rischi assicurabili.
Ai giorni nostri il mondo dell’imprenditoria è chiamato a dedicare una maggiore
attenzione verso le tematiche della gestione del rischio per continuare a competere in
un contesto economico e finanziario sempre più globale, turbolento e complesso. Il
rischio, la complessità e l’incertezza sono ormai fattori che inevitabilmente
caratterizzano l’ambiente in cui ogni azienda opera. La crescente competitività, i
cambiamenti normativi e i nuovi modelli organizzativi adottati, gli impatti esercitati
dalle evoluzioni tecnologiche sulle dinamiche competitive dei business, i collassi
finanziari che recentemente hanno travolto alcune grandi imprese quotate, la
crescente instabilità dei contesti economico-politico-sociale, hanno aumentato il
livello di instabilità, incertezza e il numero di variabili che incidono sul
raggiungimento degli obiettivi aziendali, evidenziando l’esigenza di migliorare i
sistemi di controllo interni delle medesime imprese al fine di anticipare e gestire il
cambiamento, e, dunque, di rafforzare e accrescere la propria capacità di creare valore
per gli stakeholder.
Si ha dunque un’inversione di tendenza rispetto al passato, le aziende stanno
comprendendo sempre più che il rischio non è unicamente un onere da sopportare,
bensì, se ben gestito, può diventare un fattore critico di successo e dare un vantaggio
competitivo in grado di garantire la protezione dell’attività aziendale e il suo sviluppo.
Da qui deriva l’attuale riconoscimento al Risk Management come un processo
teso ad affiancare e integrare gli altri processi presenti in azienda, per governare in
modo continuativo e formalizzato mediante soluzioni organizzative riconosciute e
condivise dall’intera organizzazione. La nuova sfida per il management sarà quella di
determinare correttamente la soglia di incertezza-rischio accettabile per la propria
impresa adottando le proprie scelte in maniera consapevole e razionale, potendo
1
Standards Australia/Standards New Zealand, 1999, T93
5
disporre di un vero e proprio “portafoglio rischi” rappresentativo del profilo di rischio
dell’organizzazione.
L’odierna
all’individuazione
attenzione
di
prestata
adeguati
da
modelli
un
di
numero
risk
crescente
management
d’imprese
deriva
dalla
consapevolezza degli organi di governo aziendale che obiettivi quali lo sviluppo di
equilibri economici di lungo periodo, la creazione di valore e l’incremento del
patrimonio imprenditoriale possano essere perseguiti solo attraverso una politica
coerente e consapevole di gestione e controllo di tutti i rischi a cui è sottoposta
l’impresa nel suo operare. La capacità d’identificazione, valutazione e controllo dei
potenziali eventi di rischio rappresenta, infatti, un importante punto di forza dei
processi di gestione, fattore determinante per il successo nel lungo termine2.
Un buon modello di risk management permette la comprensione dei potenziali
aspetti positivi e negativi di tutti i fattori che possono influenzare l’organizzazione,
incrementando la probabilità di successo della strategia riducendo l’incertezza sul
raggiungimento degli obiettivi generali dell’azienda.
Nonostante ciò, il Risk Management in Italia è una realtà ancora poco conosciuta
e soprattutto, poco praticata per diversi motivi. Innanzitutto, non si può non tenere
conto della struttura del nostro sistema economico, che vede il prevalere di unità
aziendali di dimensioni medio piccole, poco inclini a sviluppare ampie strutture
amministrative. Inoltre, è da sottolineare la carenza culturale, relativa sia alla tendenza
dei manager italiani a sottovalutare o ad ignorare i rischi di evento dannoso, sia
all’incapacità di sviluppare quell’atteggiamento orientato alla sicurezza che trova più
frequentemente riscontro in altri paesi.
In relazione alle considerazioni sopra esposte, il lavoro prevede un’analisi del
processo e dello sviluppo della funzione di Risk Management, riportando anche un
esempio di un impresa estratta dalla realtà italiana, il Gruppo Telecom Italia, e un
modello applicativo applicato direttamente su un processo aziendale. La scelta
dell’ERM come tema della tesi, deriva dalla necessita di annoverare lo svolgimento del
processo di valutazione del rischio all’interno delle imprese e evidenziando come la
gestione dello stesso sia parte fondamentale della vita aziendale, non solo a livello
organizzativo e direzionale ma anche a livello operativo.
In particolare il presente elaborato si sviluppa in quattro capitoli. Nel primo, ci si
propone di fornire un quadro concettuale del rischio e dei principali rischi che sono
presenti in ambito aziendale. Di conseguenza, sono illustrate le varie tipologie e
classificazioni dei rischi al fine di avere una chiara panoramica di tutti quegli eventi
che possono compromettere il normale svolgimento dell’attività aziendale.
2
S. Fortunato, M.Livatino, P. Mantovano, N. Pecchiari; “L’Enterprise Risk Management” , pag.58.
6
Il secondo capitolo, nasce con l’intento di definire il concetto di gestione del
rischio, ovvero mira ad illustrare il processo di Risk Management, definendo i concetti
essenziali di tale processo per dare modo, quindi, di comprendere cosa si intende per
“gestione del rischio”. Si descrive una sintetica evoluzione storica del Risk Management
per arrivare a definire il concetto di Enterprise Risk Management come innovazione
manageriale. Si espone inoltre dettagliatamente il processo ERM, gli attori coinvolti
all'interno dell'azienda, gli obiettivi del processo, le componenti e i suoi limiti. Si pone,
inoltre, attenzione sulle motivazioni che spingono le imprese ad adottare un processo
di gestione dei rischi. Il capitolo termina con un approfondimento sul processo di
stima dei rischi.
Il terzo capitolo analizza l’introduzione dell'ERM nelle imprese italiane con
alcuni dati statistici. Si prosegue con la descrizione dell'esperienza del gruppo
Telecom, vengono illustrati il profilo dell’impresa e i principali dati economici del
Gruppo per avere una chiara panoramica della realtà aziendale oggetto di studio. Si
descrivono, altresì, le attività di Risk Management svolte dall’impresa facendo
attenzione alla composizione della struttura organizzativa in relazione al processo di
gestione del rischio . Si termina illustrando le prospettive future di sviluppo del
processo di gestione del rischio all’interno dell’azienda oggetto d’indagine.
Il quarto e ultimo capitolo, è quello in cui si presenta l’applicazione degli
strumenti qualitativi e quantitativi presentati nei primi tre capitoli. Si indirizzerà in
particolare sulla misurazione del rischio, partendo dalla predisposizione di un modello
attuariale di modellizzazione del rischio, proseguendo con un prototipo di ERM fino a
volgere nell’implementazione di un modello di Loss Distribution Approach su dati
reali.
Questa tesi vorrebbe essere un supporto utile per ampliare la conoscenza sulla
gestione integrata del rischio e del processo di Enterprise Risk Management,
fondamento per tutte le imprese che desiderano avvicinarsi al tema per migliorare il
loro processo strategico, sfruttando con prontezza le opportunità che derivano
dall’elevata incertezza che caratterizza l’attuale contesto competitivo.
7
Capitolo 1
Introduzione al rischio e la sua gestione in ambito aziendale
1.1 Contesto di riferimento
Da sempre le capacità d’identificazione, valutazione e gestione dei rischi sono
alla base del successo aziendale. Il rischio caratterizza ogni business aziendale e il
governo del rischio dovrebbe, pertanto, essere per definizione un tratto distintivo
dell’azione imprenditoriale e una componente irrinunciabile del management.
L’interesse per il tema del risk management gradualmente accresciutosi nell’ultimo
decennio, è letteralmente esploso negli anni più recenti, alimentato in primo luogo dal
verificarsi di collassi finanziari che hanno travolto alcune grandi imprese quotate,
interessando i destini di migliaia inconsapevoli investitori.
Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai
più profonde di quelle desumibili dall’esame dei vari scandali, questi sono da
considerarsi, infatti, casi limite in cui si è mescolato il mal intento dei vertici aziendali
con decisioni di management non all’altezza, assunte in un passato più o meno
lontano e con l’inadeguatezza dei sistemi di controllo interno3.
Se si prova a spingere lo sguardo al di là delle più immediate evidenze, si ha
modo di vedere come l’importanza di gestire i rischi aziendali affondi le sue radici in
motivazioni profonde e consistenti:
•
nella crescente instabilità dei contesti economico-politico-sociali in cui le
imprese operano;
•
nei nuovi modelli organizzativi adottati dalle imprese;
•
negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche
competitive dei business;
•
•
nell’evoluzione della normativa;
nell’accresciuta sensibilità e attenzione da parte degli stakeholder circa il
raggiungimento degli obiettivi stabiliti dal vertice aziendale;
La gestione del rischio in ambito aziendale muta al variare della tipologia
d’impresa. All’interno di sistemi aziendali relativamente semplici governati in logica
accentrata, con una presenza diretta dell’imprenditore attivo in prima persona sui
3
S.Beretta – Valutazione dei rischi e Controllo Interno – Università Bocconi Editore – Milano, 2004
8
diversi fronti del processo decisionale, troviamo assetti organizzativi spinti verso una
gestione del rischio scarsamente formalizzata ma naturalmente integrata, perché
accentrata in un’unica figura.
Le imprese di dimensioni maggiori, invece, sono tipicamente realtà complesse,
altamente articolate al loro interno e governate in logica decentrata. Sono dunque
realtà entro le quali l’attenzione di ciascun manager è concentrata su limitati segmenti
di attività, dall’osservazione della quale è possibile cogliere solo visioni frammentate
del sistema di rischi cui l’azienda è esposta. L’elevata articolazione dell’assetto
organizzativo diventa spesso responsabile di gestioni locali del rischio fra loro poco
coordinate e, conseguentemente, poco efficaci nel tentativo di gestire i rischi in ottica
integrata.
Alla complessità organizzativa sopracitata si aggiunge l’evoluzione del contesto
economico, politico e sociale: l’apertura della Comunità Europea ai Paesi dell’Europa
dell’Est, l’emergere nei mercati internazionali di nuove economie, l’invecchiamento
della popolazione nei Paesi industrializzati, l’evoluzione delle tecnologie di calcolo e
di interconnessione, sono solo alcuni tra gli elementi che hanno avuto, è
continueranno ad avere nei successivi anni, effetti veementi sul modo di fare impresa.
Oltre a questi fattori di natura generale se ne aggiungono di più specifici relativi
sia ai business aziendali sia al Paese nel quale l’azienda opera. I mutamenti nei diversi
contesti normativi (ad esempio del lavoro, della tutela dell’ambiente, della protezione
dei consumatori, ecc.), l’avvento di nuove tecnologie di produzione e di
comunicazione, l’ingresso nel sistema competitivo di nuovi attori, i frequenti
cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e
forme distributive sono tutti fattori che inevitabilmente limitano l’autonomia di
governo del management, impattando sugli obiettivi e sulle strategie d’impresa e
determinando una continua evoluzione dei modelli di business. Da ultimo,
l’accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a
una sempre più attiva rivendicazione da parte di questi del soddisfacimento delle
proprie attese, imponendo al management di conseguire con continuità risultati
sempre più ambiziosi.
Tutti gli elementi sopraelencati sono, in sintesi, la causa di nuovi rischi e di un
aumento dell’impatto e della frequenza di accadimento di quelli già esistenti,
evidenziando così il riconoscimento al tema del risk management e alla sua recente
espansione.
Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento
degli obiettivi fissati in sede di pianificazione delle strategie aziendali possono, tuttavia,
divenire fonti di opportunità per coloro i quali, meglio di altri, sappiano anticiparli e
governarli. La capacità di identificare, misurare e gestire i rischi diventa, pertanto, un
differenziale competitivo che l’azienda può sfruttare per cogliere opportunità di
9
business compatibili con il profilo di rischio prescelto. In tal senso, il processo di
gestione del rischio diventa, oltre che strumento per prevenire e gestire l’impatto di
eventi dannosi sull’impresa, una leva per creare valore.
In conclusione si cerca di passare dalla precedente visione dei rischi a
“compartimenti”, con l’effetto di utilizzare una gestione i rischi in maniera
frammentata, identificando gli stessi singolarmente e al di fuori di un contesto
complessivo, verso la più evoluta raffigurazione di gestione del rischio dettata dall’
Enterprise Risk Management “come un processo finalizzato alla gestione integrata dei
rischi di gruppo […] tale strumento risponde all’esigenza di valutare in modo
sistematico il profilo di rischio associato alle attività di business, per consentire la
pianificazione e la gestione delle performance aziendali in un’ottica integrata
redditività-rischio.4
1.2 Nozione di rischio e rischio di impresa
In letteratura e nel linguaggio corrente non vi è unanimità sul significato da
attribuire al termine «rischio»5. Ciascun soggetto interessato a definire tale concetto è
influenzato dallo specifico problema che intende risolvere e di conseguenza utilizza la
nozione che meglio si adatta ad esso.
Analizzeremo alcune definizioni di rischio che meglio si sposano con gli
argomenti che affronteremo in seguito, partendo da alcune enunciazioni letterarie.
Knight, lo studioso che per primo si è concentrato sul rischio d’impresa come
oggetto di studio, afferma che “quello in cui viviamo è un mondo di mutamenti ed un
mondo di incertezza. Noi viviamo solo perché conosciamo qualche cosa del futuro;
mentre i problemi della vita o almeno della condotta derivano dal fatto che noi ne
conosciamo troppo poco. Questo è altrettanto vero negli affari come nelle altre sfere di
attività. L’essenza della situazione sta nell’azione derivante dall’opinione, più o meno
fondata e valida, che non vi è né ignoranza assoluta, né completa e perfetta
informazione ma conoscenza parziale”6. Secondo la definizione di Arthur Andersen, in
relazione alla politica di trattamento dei rischi: “la gestione dei rischi costituisce
l’elemento caratterizzante la gestione d’impresa, di qualsiasi impresa, saper gestire
4
5
Definizione tratta dal sito edisoncasa.it
Nonostante sia di uso comune in una pluralità di contesti, il concetto di «rischio» non sempre è inteso in maniera
univoca, né in ambito operativo, né in quello accademico; in particolare si è notato, con un cero imbarazzo, come vi
sia un disaccordo tra gli studiosi di risk management e quelli di assicurazione sul vero significato da attribuire alla
parola «rischio». Crowe R.M., Horn R.C., The meaning of risk, in «Journal of Risk and Insurance», vol. 34, 1967
6
Knight F. H., 1921, “Rischio, incertezza e profitto”, La Nuova Italia, Firenze
10
adeguatamente tutti i rischi cui un’attività imprenditoriale è esposta, rappresenta
l’elemento essenziale del successo”.
Tali citazioni manifestano come molti autori abbiano riservato alla gestione del
rischio un posto centrale nelle loro ricerche riconoscendolo come elemento chiave per
lo sviluppo al quale deve essere tributata la giusta attenzione, mostrano come il rischio
sia presente in ogni attività, influenzando l’andamento di un’impresa determinando,
quindi, incertezza. Le molteplici nozioni di rischio introdotte in letteratura possono, in
generale, confluire nei seguenti approcci 7:
1. Approccio tradizionale-assicurativo, il rischio è inteso come insieme delle
possibili minacce, la visione solo negativa di tale approccio deriva dal fatto che
fino a pochi decenni fa veniva prestata attenzione solo ai rischi puri. Questi
ultimi si caratterizzano per la presenza di solo due scenari possibili, il primo
dettato dal fatto che non si verifichi alcun effetto economico per l’azienda
abbinato a un’alta probabilità di accadimento, il secondo che si verifichi un
evento contrassegnato da un danno elevato con bassa probabilità di
concretizzazione. Seguendo tale approccio si può incorrere in un errore molto
frequente ossia sottostimare gli effetti di eventi a bassissima probabilità ma con
danni ingenti.
2. L'approccio statistico – finanziario considera i rischi come “aleatorietà
stocastica” ovvero per rischio può intendersi l’eventualità che si manifesti una
deviazione sfavorevole da un risultato atteso. Esso trae la sua origine dallo
sviluppo delle scienze statistiche e può essere adottato da tutte le tipologie di
rischio, anche se può risultare meno consona se applicata ai rischi puri, di
fatto, un soggetto avvertirebbe un certo disagio ogni anno a scoprirsi fortunato
perché la propria impresa non è stata ancora distrutta da un terremoto 8.
3. Approccio manageriale, il rischio è visto come possibile scostamento rispetto
agli obiettivi precedentemente fissati. In questo filone rientra la seguente
definizione: “i rischi sono eventi futuri e incerti che possono influenzare il
raggiungimento
9
degli
obiettivi
strategici,
operativi
e
finanziari
di
un’istituzione” . L’approccio manageriale è molto simile a quello statistico –
finanziario. Infatti entrambi considerano minacce ed opportunità. Tuttavia se
nel precedente filone sono rilevati gli scostamenti rispetto al valore atteso, in
quello esaminato gli scostamenti rispetto agli obiettivi da predeterminati.
L’approccio manageriale è generalmente più flessibile rispetto agli altri due.
7
8
9
Floreani, Introduzione al Risk Management, Etas, Parma, 2005, p. 5.
D’Avino D., De Rosa M., Ferrara F., La Pietra M.P., Letterese L., Scarpa S., Germano M.R.,
I concetti di rischio, op.cit., p. 10.
Floreani, Introduzione al Risk Management, op. cit., p. 7.
11
Infatti esso si adatta sia alla gestione dei rischi puri con l’obiettivo di “non
subire alcun danno”, sia alla gestione dei rischi finanziari, in questo caso
l’obiettivo potrà coincidere con le aspettative.
Abbandonando le definizioni letterarie possiamo approfondire quella che è
l’esplicitazione di rischio secondo un’impostazione principalmente aziendale, che
presenta il rischio composto in parte da elementi oggettivi e in parte da elementi
soggettivi. Gli elementi soggettivi dipendono principalmente dalle ipotesi formulate
dal management sugli effetti derivanti da decisioni, comportamenti, mutamenti
ambientali futuri. Tali ipotesi traggono origine dal grado di conoscenza ed esperienza
dell’individuo che la formula: quanto maggiore è la possibilità di errore nell’ipotesi,
tanto più grande sarà la presenza nel rischio di elementi soggettivi. Ne consegue che il
rischio si può caratterizzare da un lato per una componente soggettiva strettamente
correlata alla capacità ed alla conoscenza dell’individuo che formula la previsione,
dall’altro per una dimensione oggettiva, in relazione cioè all’aleatorietà degli eventi
che l’azienda è costretta a subire ed alle modalità attraverso le quali questi eventi si
manifestano. Pertanto il rischio è strettamente connesso al processo di formulazione
delle ipotesi e ai processi di valutazione relativi a eventi incerti. Da quanto affermato si
può, quindi, concludere che “mentre nel rischio l’elemento conoscenza è presente
associato all’esperienza, quest’ultima è assente nell’incertezza”10. È proprio per questo
che il rischio viene considerato un fenomeno oggettivo e soggettivo.
L’incertezza, invece, costituisce un fatto prettamente soggettivo poiché si è
impossibilitati a ricorrere all’esperienza per risolvere i problemi.
Sulla base di tali affermazioni si parla di rischio in relazione alle operazioni
aziendali e di incertezza in riferimento a decisioni aziendali11. Le prime sono relative a
scelte nelle quali è possibile tener conto sia della frequenza con la quale certi eventi si
sono prodotti in passato, sia del loro grado di probabilità futuro; le seconde
riguardano, invece, decisioni prese in ordine di eventi futuri che rimangono del tutto
sconosciuti.
Pertanto il concetto di rischio in ambito aziendale si caratterizza per due
fondamentali elementi:
•
il primo è relativo all’esistenza di fatti eventuali dei quali non è possibile
stabilire esattamente le probabili manifestazioni future ed i possibili effetti
sull’azienda;
10
Le nozioni di rischio, cui si è accennato, sono intimamente legate al concetto d’incertezza. In realtà i due termini,
sebbene assimilabili sotto diversi profili, hanno significati differenti. “il rischio (o variabilità stocastica) attiene
all’aleatorietà intrinseca degli eventi, mentre l’incertezza riguarda la mancanza di conoscenza” Floreani,
Introduzione al Risk Management, op. cit., p.29
11
BERTINI U., 1968, “Introduzione allo studio dei rischi in economia aziendale”, Giuffrè Editore S.p.A., Milano.
12
•
il secondo elemento fa riferimento all’analisi sia dei processi di valutazione,
previsione e stima degli andamenti futuri dell’azienda, sia dei rischi che
vengono originati dai processi di valutazione individuali.
Di conseguenza, il rischio aziendale viene definito come il risultato di un
processo di analisi e di valutazione, trae origine dall’esistenza dell’incertezza e si
manifesta nello scostamento potenziale esistente tra quanto previsto da un soggetto
all’interno di un’organizzazione e quanto empiricamente osservato. Inoltre
l’eventualità che non si verifichi una determinata ipotesi, si abbiano conseguenze
sfavorevoli per il soggetto che le ha formulate può essere intesa come un sinonimo di
rischio. In pratica “si ha il rischio ogni qualvolta, di un certo evento, può essere
razionalmente formulata un’ipotesi di danno”.12 L’azienda quando assume decisioni
relativamente alla propria dimensione, organizzazione, attività, definisce e, quindi,
indirettamente sceglie il proprio grado di rischio.
Fatta questa premessa, la definizione di rischio che s’intende utilizzare per
questo lavoro, ritenendola più coerente con gli obiettivi di sviluppo della tesi,
considera il rischio come la distribuzione dei possibili scostamenti dai risultati attesi
per effetto di eventi d’incerta manifestazione, interni o esterni al sistema aziendale.
Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle
variabili critiche del business model13 all’influsso dei fattori di rischio. L’influsso dei
fattori di rischio può avere connotazione sia positiva sia negativa, configurandosi il
rischio come generatore sia di possibili perdite, sia di opportunità di creazione di
valore. Il rischio in taluni casi può essere anche modellizzato come combinazione di
probabilità di accadimento e impatto (esposizione). La definizione di rischio qui
accolta implica che il rischio sia strettamente correlato alle caratteristiche del business
model e, quindi, alla combinazione di variabili di sistema che determinano sia
l’esposizione al rischio, sia le potenzialità di creazione di valore dell’impresa14. Tali
variabili possono essere sostanzialmente ricondotte a tre categorie:

Variabili organizzative/commerciali: Definiscono le caratteristiche dei
soggetti che partecipano alla gestione delle transazioni di business:
management, risorse aziendali interne, clienti, fornitori e altri soggetti
partecipanti. Si pensi, ad esempio, alle implicazioni sulla rischiosità di un
business indotte dalla solvibilità dei clienti (rischio di credito) o di certi
fornitori (rischio di conformità dei prodotti).
12
13
BERTINI U., 1968, “Introduzione allo studio dei rischi in economia aziendale”, Giuffrè Editore S.p.A., Milano.
Un modello di business descrive la logica di come un'organizzazione crea, diffonde e cattura valore
(economico,sociale o altre forme di valore). Il processo di costruzione del modello di business è parte della strategia
di business. Fonte Wikipedia.org.
14
Amit, R. and C.Zort (2001). 'Value creation in e-business, Strategic Management Journal, 22 (6. 7), pp. 493 e ss.
13

Variabili infrastrutturali/tecnologiche: Definiscono le caratteristiche delle
infrastrutture e dei meccanismi organizzativi e tecnologici che supportano lo
svolgimento degli scambi. Rientrano, in tal caso, i rischi connessi all’impiego
di valute diverse (rischio di cambio) e i rischi indotti dall’adozione di
soluzioni informatiche a presidio degli scambi (rischio di continuità del
business).

Variabili di governance: Definiscono la struttura di governo dell’impresa
stabilendone i meccanismi decisionali e di controllo. I rischi sono legati
all’inadeguatezza del vertice aziendale ad assumere decisioni critiche per lo
sviluppo del business (rischio di inadeguatezza del processo decisionale).
Con le convenzioni introdotte, un’azienda è esposta al rischio quando il
potenziale mutamento di una delle variabili del modello di business o del contesto
in cui opera l’impresa potrebbero comportare, entro un orizzonte temporale
definito, uno scostamento negativo o positivo dalle performance attese.
L'ultima, autorevole definizione di rischio che voglio esporre è quella fornita
dal COSO (Committee of Sponsoring Organization) nell'Enterprise Risk
Management – Integrated Framework, secondo il quale “il rischio è la possibilità
che un evento si verifichi e influisca in senso negativo sul conseguimento degli
obiettivi”. Eventi con un impatto positivo possono compensare impatti negativi o
possono costituire opportunità. Quest'ultima può essere definita come “la
possibilità che un evento si verifichi e influisca in senso positivo sul conseguimento
degli obiettivi”.15
1.3 Principali tipologie di rischio presenti in azienda
La capacità di gestire il rischio assume un valore strategico per le aziende. Gli
azionisti e il management delle società leader sono sempre più consapevoli
dell'importanza che riveste la gestione dei rischi aziendali nella creazione di valore
per i propri stakeholder. Riproponendo una definizione di Enterprise Risk
Management “[...] è un processo finalizzato alla gestione integrata dei rischi di
gruppo”16 osserviamo come la funzione principale svolta dall’ERM centrale è
quella di far confluire in un unico punto di raccolta tutti i rischi aziendali,
nonostante questi siano gestiti, misurati e controllati da Risk Manager periferici e
15
16
CoSO (Committee of Sponsoring Organization), Enterprise Risk Management – Integrated Framework 2004
Edison.it
14
gestirli integralmente. Nel precedente paragrafo ci siamo occupati delle principali
definizioni di rischio, in questo invece ci occupiamo di elencare e descrivere i
principali rischi, di valutare le probabilità che essi si verifichino e il loro impatto
potenziale, che si manifestano nelle aziende e facenti parte di un generico modello
di Enterprise Risk Management.17
Nel modello di Enterprise Risk Management, devono essere inclusi,
necessariamente, non solo i rischi di natura finanziaria, ma anche quelli strategici,
operativi, legali e normativi, d’immagine, di gestione delle informazioni, quelli per
la sicurezza dei sistemi informatici utilizzati e, infine, i cosiddetti rischi emergenti,
che potrebbero impattare l’impresa, esempio il rischio di nuovi concorrenti sul
mercato.
1.3.1 I Rischi finanziari
La gestione di rischi finanziari presenti in azienda deriva da posizioni
commerciali e finanziarie non coperte, esposte a variazioni di mercato dei tassi di
cambio, dei tassi di interesse, delle varie attività presenti in portafoglio, e del merito
di credito delle controparti.18
Come si può desumere dalla definizione il rischio finanziario può a sua volta
essere distinto tra rischio di credito e rischio di mercato. Il Financial Risk
Management è l’attività di gestione, presente all’interno dell’ERM, che si occupa
della gestione di suddetti rischi cercando di minimizzarne il potenziale impatto sui
margini generati.
I.
Rischio di Credito: Storicamente sono le aziende di credito le
imprese meglio attrezzate per la gestione di tale rischio, in quanto è di
gran lunga il rischio principale da gestire e il fulcro del loro business.
Quello di credito è uno dei rischi di mercato più analizzati e di
difficile quantificazione. Usualmente il problema è stato affrontato
mediante l'applicazione di metodi attuariali basati su dati storici.
Tuttavia la rapida crescita nei mercati finanziari delle attività e dei
titoli derivati nonché l'elevato livello di sofisticazione di alcuni
strumenti finanziari, hanno evidenziato l'inadeguatezza dei metodi
tradizionali nel valutare in modo equo i rischi conseguenti.
Cerchiamo innanzitutto di definire il concetto “rischio di credito”. In
17
18
Brogan J.C., D’arcy S.P. Maggio 2001. “Journal of Risk Management of Corea”
ERM “Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007
15
prima istanza, il rischio di credito può essere definito come
l'eventualità che una delle parti di un contratto non onori gli obblighi
di natura finanziaria assunti, causando una perdita per la controparte
creditrice19. Tale definizione contempla solamente il caso estremo in
cui il debitore si rende insolvente. Ma una perdita di valore della
posizione creditoria può derivare anche da un deterioramento delle
condizioni economico finanziarie del debitore da cui dipende la
capacità di far fronte agli impegni finanziari, pur non divenendo
insolvente. In un'accezione meno semplificata, per rischio di credito si
intende allora la possibilità che da una variazione inattesa del merito
creditizio di un debitore derivi una variazione inattesa del valore del
credito. I rating forniti, ad esempio, dalle note agenzie Standard &
Poor's e Moody's rappresentano una stima del merito creditizio delle
imprese e dei Paesi. Per quanto riguarda gli strumenti per la gestione
e mitigazione del rischio di credito sono presenti nei mercati i
contratti derivati20 o le operazioni di cartolarizzazione21, che, pur
avendo ottime caratteristiche sono di difficile impiego per le imprese
industriali e commerciali poiché pensati più per le esigenze di
gestione di crediti finanziari.
Il rischio di credito inoltre può essere gestito tramite un buon sistema
di controllo interno adottato dall’azienda per poter assicurare la
salvaguardia del patrimonio aziendale, di cui i crediti sono parte
integrante. Devono essere definite delle politiche aziendali in merito
alla concessione e gestione dei crediti aggiungendo un’adeguata
organizzazione, procedure e strumenti in linea con le esigenze
aziendali22.
II.
Rischio di mercato: può essere definito come il rischio di variazioni
negative del fair value di attività o passività derivante da variazioni
19
20
Ammann M., Credit Risk Valuation. Methods, Models, and Applications. Springer- Verlag , Berlin 2001
Derivati “contratti atipici di natura finanziaria consistenti nella negoziazione a termine di un’entità economica e
nella relativa valorizzazione autonoma del differenziale emergente dal raffronto fra il prezzo dell’entità al
momento della stipulazione e il suo valore alla scadenza pattuita per l’esecuzione” per apprendimenti sui derivati
leggere: GIRINO E., I contratti derivati, Giuffrè. Milano, 2001.
21
“La cartolarizzazione (securitisation) è una tecnica di finanziamento che consente di smobilizzare poste attive
illiquide convertendole in attività negoziabili attraverso la creazione di un titolo cedibile sul mercato” . Per
approfondimenti Galiani, Polimeni, Proietti, Credit derivates e cartolarizzazione. Metodologie e analisi dei rischi , Il
sole 24ore (2003).
22
Per un approfondimento sulla tematica delle gestione del rischio di credito leggere “Casistiche aziendali di rischi
operativi” Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann nota 16.
16
nei parametri di mercato23. Lo stesso a sua volta può essere distinto in
rischio di cambio, rischio di prezzo e rischio di tasso di interesse.
Il rischio di cambio trova origine nella diversa combinazione delle
operazioni generate dai processi operativi dell’impresa. La maggior
parte delle decisioni inerenti alle operazioni in valuta estera, che sono
la principale fonte del rischio di cambio, vengono prese di fatto
dall’area operativa e determinano le modalità con cui tale rischio
influenzerà in futuro l’azienda. Si riferisce alla presenza di una
probabilità, più o meno elevata, che le variazioni dei tassi di cambio
producano effetti sull’economicità della gestione diversi da quelli
attesi, gli effetti che si suole ricondurre al concetto sono
evidentemente quelli di segno negativo, che possono danneggiare
l’impresa. L’ampia definizione data indica che il rischio a carico
dell’impresa dipende dalla variabilità attesa dei cambi stessi e dal
grado di dipendenza dei risultati economici dalla dinamica dei cambi.
Il rischio di prezzo invece, si manifesta quando, a parità di tutte le
altre condizioni, il valore di mercato degli strumenti in portafoglio e
sensibile all’andamento dei mercati azionari, ad esempio il prezzo di
una certa commodity (es. petrolio) genera un effetto negativo sul
conto economico per un aumento di prezzo tra il momento in cui si è
definito un listino e il momento di effettivo esborso finanziario.
Il rischio di tasso di interesse, invece, si manifesta quando a parità di
tutte le altre condizioni il valore di mercato dell’investimento è
sensibile a variazioni dei tassi d’interesse. Una variazione degli ultimi
produce un mutamento del valore delle attività o del costo delle
passività detenute, un aumento dei tassi di mercato comporta una
riduzione del valore di mercato di un titolo e viceversa. Tale
variazione inciderà dunque sui margini economici in funzione della
struttura (es. temporale) delle attività e passività sottostanti. Tale
rischio è tanto maggiore quanto più lontana è la scadenza del titolo, è
tipico delle obbligazioni e dei contratti derivati sui tassi di interesse.
Ad esempio per una società che offre credito e stipula un mutuo a
tasso fisso e si presenta un aumento dei tassi, si avrà un mancato
guadagno perché la stessa società potrebbe riscattare il mutuo e
concederne uno nuovo a un tasso maggiore.
23
“Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007 pag 69.
17
Le strategie per gestione dei rischi di mercato sono molteplici e molto
complesse24 è comunque opportuno che le aziende si dotino di una
capacità analitica e previsionale che permetta di comprendere i vari
scenari di mercato e di formulare previsioni, o comunque valutare in
modo consapevole le previsioni fornite loro da banche o analisti
esterni. La razio che accomuna suddette strategie è quella di
proteggere l’azienda da perdite impreviste, mantenere la stabilità dei
ricavi e la certezza dei cash flows, beneficiare ove possibile di
movimenti favorevoli dei tassi di mercato nei limiti di rischio
prestabili e contribuire a generare valore per gli azionisti.
1.3.2 Il rischio operativo
L’attenzione verso il rischio operativo da parte di studiosi e operatori è
piuttosto recente, essa risale di fatto a metà degli anni ‘90, fino ad allora lasciata in
ombra, se non per specifiche tipologie di rischio come frodi ed errori nel
trattamento delle operazioni, nonostante la piena consapevolezza della sua
esistenza. Inizialmente si considerava il rischio operativo come una categoria
residuale, facendovi confluire tutti i rischi che non potevano essere considerati
come rischi di mercato o rischi di credito. Dagli anni novanta ai giorni nostri le
principali istituzioni finanziarie hanno intrapreso un percorso per giungere a una
definizione positiva di questa categoria di rischio. Tra queste istituzioni figura il
Comitato di Basilea25 che fornisce la seguente definizione “Il rischio operativo, è il
rischio di subire perdite derivanti dall'inadeguatezza o dalla disfunzione di
procedure, risorse umane e sistemi, oppure da eventi esogeni” . Tale definizione
comprende il rischio legale ma esclude i rischi strategici e di reputazione, include
le perdite monetarie direttamente riconducibili al manifestarsi di eventi esterni o di
eventi verificatisi nel corso dello svolgimento di attività interne. La suddetta
24
25
Per approfondimenti vedere, Amministrazione e Finanza Oro Sett-Ott 2007 pag 84 e ss. e Ammann (nota 16)
Il comitato di Basilea per la vigilanza bancaria, e un'organizzazione internazionale istituita dai governatori delle
Banche centrali dei dieci paesi più industrializzati (G10) alla fine del 1974, che opera sotto il patrocinio della
Banca per i Regolamenti internazionali (Bank for International Settlements: BIS). Il suo scopo era quello di
promuovere la cooperazione fra le banche centrali ed altre agenzie equivalenti allo scopo di perseguire la stabilita
monetaria e finanziaria. […].il comitato coordina la ripartizione delle responsabilità di vigilanza fra le autorità
nazionali,
per
attuare
la
supervisione
delle
attività
http://it.wikipedia.org/wiki/Comitato_di_Basilea.
18
bancarie
a
livello
mondiale.
Tratto
da:
definizione, può essere ampliata descrivendo il rischio operativo come l'insieme di
tutte le anomalie che, inficiando l'output aziendale possono determinare una
perdita economica, un maggior costo nello svolgimento delle attività o un minor
ricavo comprende un’enorme varietà di situazioni.
Dalla definizione emerge inoltre che il Comitato di Basilea riconduce, agli
eventi generatori di perdita, quattro principali categorie di fattori causali:
 Risorse umane: si fa riferimento a tutti i problemi d’incompetenza o
negligenza del personale, in particolare dunque, a errori, frodi,
collusione, non osservanza di regole interne o di settore e violazioni
della sicurezza informatica. Possono costituire delle cause di perdite
operative, anche la perdita di risorse umane rilevanti e i rischi connessi
ai rapporti con clienti, azionisti e aziende partner.
 Tecnologia:
comprendono
tutti
i
problemi,
causati
non
intenzionalmente, relativi ai sistemi informativi. In particolare,
incompatibilità dei sistemi con le necessità dell’azienda, errori di
programmazione informatica, interruzioni nella struttura di rete ed
eventuali crisi dei sistemi di telecomunicazione e d’informazione in
genere.
 Processi interni: rientrano nella categoria i processi produttivi e di
gestione. I problemi che si possono manifestare sono nelle procedure
esistenti o assenza di determinate procedure, errori d’esecuzione,
registrazione, regolamento, documentazione, carenze nel sistema dei
controlli interni, insufficiente formalizzazione delle procedure interne,
inadeguata definizione e attribuzione di ruoli e responsabilità.
 Fattori esterni: comprende avvenimenti che derivano da persone o
entità esterne all’attività, quali: attività fraudolente commesse da
soggetti esterni come furti, atti di vandalismo o terrorismo; eventi
politici e militari come sanzioni internazionali, guerre; cambiamenti
nel contesto legislativo e fiscale; eventi naturali dannosi incendi,
terremoti, inondazioni.
Questi fattori causali, manifestandosi singolarmente o tramite una loro
espressione congiunta, danno luogo agli eventi che generano le perdite operative. I
loro effetti sono generalmente di natura limitata sul piano temporale e materiale e
possono essere fronteggiati nell’ambito della normale gestione d’impresa. Inoltre,
molti rischi operativi sono assicurabili. Gli strumenti utilizzati per contenere il
rischio operativo sono in prevalenza il controllo di gestione e il controllo interno: il
primo si preoccupa di valutare continuamente i risultati ottenuti ed analizzare gli
scostamenti rispetto agli obiettivi di risultato formulati nel budget; il secondo si
19
occupa di valutare il rispetto delle procedure aziendali e di prevenire
comportamenti fraudolenti o sconsiderati che possano provocare danni al
patrimonio aziendale.
1.3.3 Il rischio Strategico
Il rischio strategico e connesso strettamente con il settore di appartenenza
dell'impresa, cioè con la combinazione prodotto- mercato- tecnologia con cui
opera la stessa. Deriva da inattesi cambiamenti nel contesto competitivo o dal
mancato riconoscimento delle tendenze in atto nel settore di appartenenza, oppure
in errate conclusioni riguardo queste tendenze 26. Tra i principali rischi vi sono
quelli legati alla competitività, alla soddisfazione del cliente, alla regolamentazione
ad eventuali ostacoli politici, nonché tutti quei rischi legati al ciclo di vita delle
imprese, quali processi produttivi o innovazioni tecnologiche.
Hanno origine nei livelli più alti del sistema organizzativo aziendale e
includono vari tipi di cause, ad esempio: errori di previsione della domanda di
mercato, errate supposizioni in merito alla strategia di business, rischi derivanti dal
lancio di nuovi prodotti o servizi, errori nella scelta del mix di attività, perdita del
controllo sulla proprietà intellettuale d’idee innovative, investimenti sbagliati,
errori nelle operazioni di acquisizione e fusione con altre aziende, e diverse altre
cause.
Tra le aree di criticità del rischio strategico vi è quella riguardante la
mancanza di una sua precisa definizione in termini di fattori di rischio da
analizzare. La letteratura in merito, permette l’individuazione delle numerose
cause alle quali possono essere ricondotte le perdite o gli utili derivanti da questa
tipologia di rischio. Gli autori Adrian J. Slywotzky e John Drzik di Mercer in un
articolo della Harvard Business Review dell'aprile 2005 distinguono sette classi di
rischio strategico:
1) Settore;
2) Tecnologia;
3) Brand;
4) Concorrente;
5) Cliente;
26
Crf www.unicreditgroup.eu: il rischio strategico.
20
6) Progetto;
7) Stagnazione;
Il fattore chiave per affrontare e gestire il rischio strategico sarà quello di
individuare la pratica di successo per il conseguimento, il mantenimento e
l’accrescimento nel tempo dei vantaggi competitivi aziendali. Per quanto riguarda
il grado di orientamento strategico dell’impresa
è essenziale quindi una
pianificazione della gestione adeguata alla missione aziendale, il perseguimento di
vantaggi competitivi sostenibili ed attuabili attraverso assetti strutturali,
organizzativi e finanziari adeguati. Per quanto riguarda l’assetto organizzativo
l’impresa dovrà valutare attentamente le capacità professionali del management, la
coerenza fra la strategia prefissata e la struttura organizzativa utilizzata per
raggiungerla, la snellezza procedurale e i possibili conflitti interni. Infine i due
sottolineano come anche alcuni rischi finanziari e operativi possano, in qualche
modo, avere una certa rilevanza strategica.
I rischi strategici non sempre condurranno a delle perdite specifiche e, nel
caso in cui esse avvengano, possono impiegare anche molti anni per divenire
apparenti, più spesso il loro impatto finanziario è rappresentato, invece, da un
costo-opportunità. Tali caratteristiche rendono questa categoria di rischi molto
difficile da misurare. In genere le tecniche e gli strumenti per la gestione dei rischi
strategici sono soggettivi e variano molto da business a business.
1.4 Gestione del rischio e cultura aziendale
Oggi le aziende si presentano sempre più come organizzazioni caratterizzate
da una struttura complessa e articolata. Nella realtà che ci circonda, è possibile
riscontrare ancora attività gestite e controllate da un solo soggetto imprenditore
che svolge tutte le funzioni relative all’area organizzativa, finanziaria e
commerciale. Si tratta in questo caso di piccole imprese con un assetto
organizzativo piuttosto semplice. Le aziende di media e grande dimensione, invece,
non possono essere controllate da un solo soggetto ma è opportuno suddividere
l’attività aziendale in vari settori o aree (commerciali, produttivi, finanziari, ecc) e
delegare poteri direttivi e di controllo a vari responsabili in modo da rendere più
flessibile la gestione e attenuare la probabilità di arresti o disfunzionamenti
all’interno dell’impresa che possono, di conseguenza, generare rischi.
21
Per questo e a causa del cambiamento e la proliferazione dei rischi, è
necessario che ogni responsabile dei diversi settori aziendali, per quanto di sua
competenza, identifichi i rischi reali per la propria organizzazione, ne stimi le
probabilità di accadimento, li valuti rispetto alla tolleranza della organizzazione
stessa e, quando possibile, li compari, tramite analisi comparative, con quelli dei
loro mercati e settori di riferimento27. Gli approcci per una corretta gestione dei
rischi possono differire enormemente da azienda ad azienda e anche tra i diversi
settori della stessa azienda. C'è comunque concordanza sul fatto che l'approccio
debba nascere dal vertice e che trovi fondamento e supporto nella strategia
aziendale e il modello che ne deriva sia coerente con la struttura dell’impresa e ne
rispetti i livelli di delega, di autonomia e di responsabilità. I rischi pertanto possono
essere gestiti, a seconda della loro importanza e impatto, a livello di vertice
strategico o essere trasferiti alle strutture più operative. Per una corretta
identificazione e analisi dei rischi è necessario disporre di una serie di metodologie
e strumenti specifici. Ogni area aziendale deve essere coinvolta nelle fasi di analisi
e di definizione delle misure da adottare in quanto l'applicazione delle metodologie
e degli strumenti di analisi-gestione dei rischi richiedono competenze e
professionalità specifiche di ogni settore. E’ in questa realtà aziendale che si
afferma il processo di gestione integrata dei rischi Enterprise Risk Management.
27
Giorgino M., TravagliniI F., febbraio 2008, “Il risk management nelle imprese italiane”, Il Sole 24 Ore.
22
Capitolo 2
Enterprise Risk Management, nozioni e sviluppo
La moderna teoria del Risk Management è riconducibile alla scuola
americana, che inizia a fornire i propri contributi nella seconda metà degli anni
’50. Il mondo aziendale americano ha sempre rappresentato una guida
nell’evoluzione della materia grazie all’anticipata sperimentazione di determinati
fenomeni tecnologici, economici, sociali che hanno reso particolarmente evidente
il vantaggio per le società di adottare adeguate tecniche di gestione dei rischi. In
una prima fase, la gestione del rischio in azienda coincide con l’attività di ricerca
di idonee coperture assicurative, la scuola americana considera, invece, il Risk
Management come un insieme di soluzioni finalizzate a gestire i rischi in modo
diverso dalla tradizionale sottoscrizione del contratto di assicurazione. Gli studi di
Risk Management appartengono quindi inizialmente a un filone assicurativo:
nascono, infatti, dalla ricerca sull’economia delle imprese assicurative e sono
orientati alla gestione dei “rischi puri” tipicamente assicurabili tramite coperture
danni. Negli anni ’70 si verifica un rinnovamento degli studi e la nascita di un
nuovo filone di ricerca che mette in relazione il Risk Management con la più
generale teoria dell’impresa. Comincia quindi a svilupparsi la convinzione che
l’assicurazione contro i rischi non debba necessariamente essere la norma, e che,
in certe circostanze, l’assunzione di rischi possa essere una soluzione conveniente.
Si intende cioè verificare se l’introduzione del Risk Management nell’impresa,
come funzione manageriale, può o meno massimizzare il valore della stessa
impresa e in quale modo ciò accada.
Si compie in tal modo il percorso che porta dall’“insurance management”
che vede l’assicurazione come soluzione normale , al “Risk Management”, che
affronta esplicitamente la gestione dei rischi non assicurabili la cui gestione
richiede l'uso di strumenti diversi dal contratto di assicurazione. Negli anni recenti
emerge la tendenza ad una visione globale del Risk Management, basata sulla
considerazione che esso debba occuparsi di "tutti i rischi dell'azienda", politici,
finanziari, di mercato28.
28
Pignolo P., 2002, “La gestione e la ritenzione del rischio d’impresa”, Franco Angeli – Editore, Milano
23
2.1
Il concetto di risk management
Essere imprenditori significa assumere dei rischi. Quel che è importante è
non assumere rischi di entità tale da mettere in crisi l'azienda, capire il rischio,
valutare se lo si può affrontare con le risorse umane e finanziarie a disposizione, se
lo si può gestire tanto da minimizzare i costi per dominarlo e ridurre le perdite nel
caso in cui il danno accada. Per raggiungere questi obiettivi occorre il supporto di
un processo, il Risk Management, che porta a seguire un percorso ben definito, a
fare delle riflessioni obbligate. Risk Management significa letteralmente “Gestione
del Rischio” dove per rischio si intende la probabilità di accadimento di tutti quegli
eventi che possono comportare perdite o danni per l’azienda e per le persone
coinvolte (es. danni alle strutture, danni alle persone fisiche, danni economici o di
immagine).
Il Risk Management può essere definito come il sistema, fondato su una
metodologia logica e sistematica che consente di identificare, analizzare, valutare,
comunicare, eliminare e monitorare i rischi associati a qualsiasi attività o processo
in modo da rendere l’organizzazione capace di minimizzare le perdite e
massimizzare le opportunità29.
Il primo passo basilare per il Risk Management è conoscere in modo
preventivo i rischi, quali sono gli eventi potenzialmente dannosi, con quale
frequenza si possono manifestare e quale impatto possono avere. Senza la
conoscenza del rischio non c’è possibilità di preparare o di adottare azioni
correttive, preventive o migliorative. Questa fase di valutazione del rischio deve
essere necessariamente un processo continuo finalizzato al miglioramento.
Considerando che, nel tempo, i fattori esterni o interni di rischio possono cambiare,
deve comprendere altresì una previsione dei costi di gestione del rischio, in termini
di risorse economiche, di capacità e di mezzi. I costi di gestione del rischio non
devono chiaramente superare i costi di eventuali danni causati dal concretizzarsi
del rischio stesso.
Da questa prima definizione si evince che lo strumento principale per
attuare un buon modello di ERM fa riferimento al concetto di “gestione integrata”.
In altre parole, quando si parla di ERM, ci si riferisce a un framework di gestione,
che, individuando tutti i rischi li gestisca tenendo in considerazione l’effetto
complessivo sul modello organizzativo e operativo, in maniera tale da fornire una
ragionevole certezza che, sebbene taluni obiettivi e rischi possano risentire di
29
Giorgino M., TravagliniI F., febbraio 2008, “Il risk management nelle imprese italiane”, Il Sole 24 Ore
24
agenti esterni, tutti i livelli aziendali si muovano nella stessa direzione per il
raggiungimento degli stessi obiettivi30.
Gestendo il rischio in maniera efficace, le organizzazioni possono non solo
minimizzare il rischio nel momento in cui un evento negativo accade, ma essere
anche in grado di sfruttare in maniera attiva le opportunità che potrebbero
presentarsi nel raggiungimento dei propri obiettivi. Molte organizzazioni nel
mondo utilizzano, al fine di fronteggiare il rischio, specifici strumenti e processi di
gestione del rischio, strumenti e processi che finiscono per essere integrati
operosamente con la gestione del proprio business.
2.2
“ERM” come innovazione manageriale
L’innovazione rappresenta da sempre il principale fattore di sviluppo delle
singole imprese e del sistema produttivo in genere. L’innovazione non si limita,
però, alla sfera della tecnologia e della creazione di nuovi prodotti o processi,
accanto all’innovazione tecnologica vi è quella manageriale che si concretizza
nella creazione di nuove tecniche di gestione delle risorse, di organizzazione del
lavoro, di programmazione delle operazioni, di assunzione delle decisioni.
L’innovazione manageriale può essere finalizzata a risparmi di costi, a incrementi
del fatturato o più in generale al miglioramento della “qualità” della gestione
aziendale.
L’Enterprise Risk Management costituisce un esempio di innovazione
manageriale relativa alle problematiche della gestione dei rischi dell’azienda. E’
“un’attività strategica di supporto al processo direzionale d’impresa volta a creare
valore aziendale a favore dei portatori di capitali di rischio attraverso un processo
integrato di identificazione, stima, valutazione, trattamento e controllo di tutti i
rischi d’impresa”31. Quest’approccio prende in considerazione, in un’ottica di
conoscenza e valutazione dei rischi, tutti gli aspetti di gestione aziendale.
Attraverso l’Enterprise Risk Management si attua un processo integrato di
organizzazione, pianificazione, gestione e controllo di tutte le attività collegate alla
identificazione, alla valutazione e gestione dei rischi ai quali l’azienda è esposta.
Quando difatti, si parla di “ERM”, ci si riferisce a un framework di gestione che,
individuando tutti i rischi, li gestisca tenendo in considerazione l’effetto
complessivo sul modello organizzativo e operativo. Ogni impresa di successo
30
31
“Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007
FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli.
25
affronta rischi, l’“ERM” tratta sia le opportunità che i rischi e per questo motivo è
vitale per il successo. Dato che ogni scelta del management ha un impatto sul
profilo di rischio aziendale, l’”ERM” assiste il management stesso con lo scopo di
comprendere i rischi aziendali e gestirli, permettendo di sviluppare le competenze
interne necessarie per adottare le scelte migliori32.
2.3
Il processo di Risk Management
Il Risk Management è “il processo attraverso il quale le organizzazioni
affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli
riguardanti le singole attività o l’insieme delle stesse”.33 Secondo questo approccio
il processo di Risk Management è costituito da quattro fondamentali fasi 34:
1. Definizione degli obiettivi dell’impresa e di Risk Management: Gli
obiettivi strategici dell’impresa e il contesto di mercato in cui essa si
muove sono estremamente rilevanti, in quanto contribuiscono a
determinare l’atteggiamento dell’organizzazione di fronte alle diverse
tipologie di rischio, le risorse da dedicare all’attività di Risk Management
e le decisioni sulla più idonea modalità di trattamento degli stessi. Ogni
organizzazione può avere obiettivi propri da cui discendono particolari
obiettivi operativi, risorse e criteri valutativi.
Secondo l’“ERM” l’obiettivo dell’impresa è quello di massimizzare il
valore aziendale creato dalla gestione a favore dei portatori di capitale di
rischio. L’Enterprise Risk Management consente di circoscrivere l’analisi
ai soli rischi aziendali, cioè gli effetti economici, finanziari e patrimoniali
che i rischi possono determinare nell’impresa. In particolare:

Obiettivo principale dell’attività di Risk Management è di contribuire
a creare valore aziendale a favore degli stakeholder;

Le risorse assegnate all’attività e la conseguente strutturazione del
processo sono tali da massimizzare la differenza tra il valore creato
dal processo di Risk Management e i costi del processo;

Il criterio è quello del massimo valore aziendale creato dalle diverse
alternative decisionali.
32
COSO, 2006, “La gestione del rischio aziendale, ERM –Enterprise Risk Management: modello di riferimento e
alcune tecniche applicative”, il Sole 24 Ore.
33
34
Airmic.com (Association of Insurance Risk Manager).
FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli.
26
Inoltre, per evitare che i diversi interventi di gestione del rischio risultino
frammentati e incoerenti, è necessario stabilire con chiarezza le finalità
da attribuire al processo;
2. Risk assessment: una volta definiti gli obiettivi, stabilite le risorse e i
criteri di valutazione il processo di Risk Management si avvia attraverso
questa fase, durante la quale si identificano, valutano e stimano i rischi
che gravano sull’organizzazione. La realizzazione del risk assessment
presuppone che l’azienda abbia definito il proprio livello di risk appetite
(livello massimo di rischio accettabile), superato il quale i rischi
identificati diventano rilevanti e devono essere opportunamente gestiti.
La valutazione dei rischi identificati permetterà quindi di creare un
ordinamento degli stessi secondo la loro significatività. Si suddivide in
quattro fasi:
I.
L’identificazione dei rischi: consiste nell’individuare le fonti di
aleatorietà, cioè quegli eventi rischiosi che possono determinare
effetti inattesi sugli obiettivi dell’impresa. In certi contesti
l’identificazione dei rischi è la fase più importante e delicata del
processo di Risk Management. Ciò accade quando la mancata o non
corretta identificazione di singoli rischi può pregiudicare il successo
di determinati progetti o mettere in pericolo l’equilibrio economico e
patrimoniale delle aziende. All’identificazione dei rischi segue la
descrizione. Essa consiste nel descrivere le principali caratteristiche
dei singoli rischi identificati secondo una modalità standardizzata. La
descrizione dei rischi è finalizzata da un lato ad agevolare le
successive fasi di stima, integrazione e valutazione, dall’altro a
disporre in ogni momento di un’informativa sintetica e aggiornata
dei rischi.
II.
La stima dei rischi: rappresenta la fase centrale del risk assessment.
Attraverso opportune tecniche di stima si definiscono probabilità e
conseguenze del rischio. Le tecniche utilizzate a tal fine possono
essere di tipo quantitativo, semiquantitativo o qualitativo.
III.
L’integrazione dei rischi: consiste nell’aggregazione di tutti i rischi
individuati e stimati, e nella stima dell’impatto che ciascuno di questi
27
ha sulla rischiosità complessiva dell’impresa. La fase di integrazione
è essenziale e nel contempo estremamente complessa.
IV.
La valutazione dei rischi: la fase di valutazione del rischio conclude il
risk assessment. Tale fase è strettamente legata agli obiettivi
dell’azienda e al processo di Risk Management.
La fase di risk assessment origina un report sintetico (risk reporting)
volto a descrivere il rischio e la sua manifestazione originaria, permette
così, a chi ne ha la responsabilità di prendere le adeguate decisioni.
La fase si termina con il giudizio sul rischio che sarà ritenuto adeguato o
meno rispetto agli obiettivi aziendali. Nel primo caso non sarà necessario
alcun trattamento e al massimo si prevedrà un monitoraggio della sua
evoluzione nel tempo, nel secondo caso si deciderà un intervento
passando alla fase successiva (risk treatment). Tutte le alternative
gestionali che saranno individuate andranno però valutate e di
conseguenza potrà rendersi necessaria una nuova fase di risk assessment;
3. Risk treatment (trattamento dei rischi): consiste nel selezionare e
implementare idonee misure atte a modificare il profilo di rischio, in
linea con gli obiettivi di Risk Management e i connessi criteri valutativi:
si tratta, in pratica, di prendere delle decisioni aziendali che hanno
un’influenza sui rischi esaminati. Dopo aver deciso e implementato le
più idonee misure di gestione del rischio è necessario effettuare una
nuova stima del rischio che residua in seguito alle azioni realizzate;
4. Monitoring (controllo): una volta realizzati, gli interventi di gestione
devono essere opportunamente monitorati permettendo all’azienda di
verificare anche il livello di conseguimento degli obiettivi. Attraverso
questa attività potranno essere identificati eventuali fattori che
impediscono l’efficacia degli interventi realizzati. I continui mutamenti
del sistema dei rischi ai quali l’azienda è esposta impongono anche che
venga effettuato un regolare controllo al fine di mantenere aggiornato
l’archivio dei rischi significativi e verificare l’efficacia del processo di
gestione in atto. Il controllo può essere strutturato su più livelli e consiste
nello svolgimento delle seguenti attività:
I.
Controllo dell’esposizione al rischio e dell’andamento dei rischi assunti :
questa attività di controllo può essere considerata una vera e propria
modalità di gestione del rischio (controllo di gestione);
28
II.
Reiterazione parziale o totale del processo di Risk Management in caso
di necessità: il processo si presenta dinamico e deve essere ripetuto
periodicamente e in ogni caso qualunque volta che si modificano le
condizioni di ambiente come, per esempio, in caso di modifica di un
III.
rischio o dell’introduzione di nuove modalità di gestione;
Determinazione dell’efficacia del processo di Risk Management ed
eventuali revisioni dello stesso : questa attività è molto ardua in quanto
è complesso valutare i benefici del Risk Management. Un processo di
Risk Management si presenta efficace quando tutto funziona in modo
“ordinario”, in altre parole, quando non si manifestano degli scenari che
non erano stati previsti o quando in presenza di manifestazioni negative
del rischio le misure di riduzione e contenimento del danno operano
correttamente. Se è chiaro che delle anomalie possono essere addebitate
a malfunzionamenti del processo di Risk Management, l’assenza di
anomalie non permette di comprendere facilmente se il processo è
adeguato o se si è trattato solo di una circostanza favorevole.
Infine, oltre ai controlli sopra delineati, il Risk Management, come tutte
le altre attività aziendali, deve essere sottoposte al processo di internal
auditing35, vale a dire deve essere verificato che le persone chiamate a
definire e realizzare obiettivi, politiche, processi e procedure di Risk
Management agiscano correttamente.
35
Il processo d’internal auditing (IA) […..]sono attività professionali di consulenza verso una organizzazione per la
verifica delle procedure, svolta principalmente da personale interno.
29
2.4
Profilo organizzativo del Risk Management all’interno
dell’azienda
L’azienda che intende implementare un processo di Risk Management deve
prima di tutto stabilire ruoli e responsabilità delle diverse funzioni che partecipano
al processo. E’ importante distinguere i soggetti direttamente coinvolti da quelli che
non fanno parte del processo, ma che, attraverso la propria attività, possono
influenzare positivamente lo stesso.
Le principali aree coinvolte direttamente nel processo sono:

Consiglio di Amministrazione: esso definisce prima di tutto le strategie di base
per lo sviluppo e la realizzazione di un efficace processo di gestione del
rischio. Formula gli obiettivi generali che l’organizzazione dovrà perseguire
relativamente all’assunzione dei rischi e verifica l’efficacia del processo e il
rispetto degli stessi obiettivi generali. Il consiglio di amministrazione svolge
un ruolo di supervisore e di guida, verificando il grado di efficacia con cui il
management realizza il processo di gestione del rischio, ottenendo
informazioni sui rischi più rilevanti e sull’adeguatezza delle risposte del
management e comparando il profilo di rischio effettivo dell’azienda con
quello tollerato. A tal fine il consiglio di amministrazione deve avere a
diposizione tutti gli strumenti necessari per poter adempiere adeguatamente
ai propri compiti e, in particolar modo, deve essere padrone di efficaci ed
efficienti canali informativi e di comunicazione.

Management: il management è direttamente responsabile del processo di
gestione del rischio, con diverse responsabilità in base al livello manageriale.
Al top management (di solito il CEO, in altre parole l’amministratore delegato)
spetta la responsabilità ultima dell’effettiva e adeguata implementazione del
processo di Risk Management. Esso deve controllare che tutte le fasi siano
correttamente realizzate, attraverso riunioni periodiche con i manager
responsabili delle maggiori aree funzionali (senior manager). Tramite questi
continui contatti, il CEO viene quindi a conoscenza dell’attività svolta nelle
diverse aree e dell’approccio impiegato per la gestione del rischio e può
anch’esso svolgere un ruolo di guida e direzione in favore dei sopraccitati
manager. Essi sono quindi responsabili della gestione dei rischi che gravano
sull’area di loro competenza e, attribuiscono a loro volta responsabilità ai
manager che operano in specifici processi o funzioni.
30

Risk Manager: figura centrale che fornisce supporto e assistenza ai manager
di linea per implementare un efficace processo di gestione del rischio
relativamente alle aree di loro competenza. Essi devono assumersi la
responsabilità principale della gestione del rischio nelle aree di loro
competenza e devono rendere conto del loro operato. Il risk manager
provvede anche al coordinamento delle diverse aree. Tale attività risulta
necessaria nel caso in cui diverse funzioni si trovino a dover gestire gli stessi
rischi, ed è anche rilevante per misurare il contributo della singola area al
livello di rischiosità complessivo dell’azienda. Se esiste, il risk manager è
abitualmente nominato dal CEO e può essere responsabile anche della
periodica revisione del processo sulla base degli indirizzi strategici definiti dal
consiglio di amministrazione. Inoltre prepara dei report sull’andamento del
processo di Risk Management da presentare al consiglio di amministrazione o
al top management. Nella fase iniziale d’implementazione del processo, il
ruolo principale del risk manager è invece quello di contribuire alla
diffusione di una cultura di gestione del rischio.

Internal auditing: attraverso il risk control la funzione di internal auditing si
occupa anche dei rischi aziendali. Nello svolgimento della sua attività,
l’internal auditor accerta che l’azienda non si assuma un ammontare di rischi
superiore a un livello prestabilito (risk appetite) e che abbia a disposizione
risorse adeguate per la sua gestione. Il soggetto controllante verifica che
l’atteggiamento dell’azienda sia adeguato alle procedure, ai regolamenti o alle
norme relative all’assunzione dei rischi. I “controllori”, inoltre, devono
rendere conto del loro operato esclusivamente al consiglio di amministrazione
e al top management. Ciò li rende indipendenti e neutrali nella loro
valutazione, facendo di questa funzione un valido strumento per valutare e
migliorare il processo di Risk Management.
31
2.4.1
Gli obiettivi dell’ERM
Nell’ambito della mission aziendale, il management definisce gli obiettivi
strategici, fissa gli obiettivi specifici, coerenti con la strategia, e gli assegna ai vari
livelli della struttura organizzativa. Il COSO sostiene che l’ERM è finalizzato al
conseguimento degli obiettivi rientranti nelle seguenti categorie:
a.
Obiettivi strategici: rientrano gli obiettivi di carattere generale definiti ai
livelli più alti della struttura organizzativa cosi da essere allineati alla
missione aziendale. In sede di definizione degli obiettivi strategici, il
management compie un’analisi delle varie alternative possibili e ne individua
i rischi connessi e le relative implicazioni;
b.
Obiettivi Operativi: riguardano invece la capacità dell’azienda di utilizzare le
risorse a disposizione per il conseguimento degli obiettivi in maniera efficace
ed efficiente36. Insieme agli obiettivi di reporting e di conformità,
costituiscono i cosiddetti obiettivi correlati e consentono di individuare i
fattori critici di successo e gli elementi chiave necessari per conseguire gli
obiettivi strategici. Nello specifico, gli obiettivi operativi, concernono
l’impiego delle risorse in modo efficace ed efficiente e analizzano i livelli di
performance, di redditività e di protezione delle risorse da eventuali perdite;
c.
Obiettivi di Reporting: inerenti all’attendibilità delle informazioni contenute
nei vari reports predisposti dall’azienda, che devono essere accurate,
complete e coerenti con i fini perseguiti. Fanno riferimento ai report
elaborati sia ai fini interni sia esterni (ad esempio, le società quotate devono
presentare, periodicamente, report e informazioni alle autorità di vigilanza
presso i mercati borsistici);
d.
Obiettivi di conformità: L’ultima categoria, infine, fa riferimento al rispetto,
da parte dell’azienda, delle leggi e dei regolamenti in vigore. Possono
riguardare ad esempio, il mercato, i prezzi, le imposte, la previdenza sociale,
ecc. Le leggi e i regolamenti, quindi, stabiliscono gli standard minimi di
comportamento che l’azienda deve integrare nel momento in cui definisce i
suoi obiettivi di conformità.
Questa classificazione consente di approfondire differenti aspetti della
gestione del rischio. Tale distinzione evidenzia la possibilità di correlazione e di
36
Efficacia: Grado di raggiungimento di un obiettivo prefissato. La misura dell'efficacia pone in relazione gli
obiettivi prefissati con l'accuratezza e completezza dei risultati raggiunti. L’efficienza, invece, relaziona i risultati
raggiunti con le risorse necessarie per il loro ottenimento.
32
sovrapposizione delle diverse categorie e di conseguenza, riguardando diverse
esigenze dell’azienda, il fatto che le stesse possono essere di competenza diretta di
più manager. Poiché gli obiettivi riguardanti l’affidabilità del reporting e la
conformità alle leggi e ai regolamenti sono sotto il diretto controllo dell’azienda,
l’Enterprise Risk Management è in grado di fornire una ragionevole sicurezza per
il conseguimento di tale tipologia di obiettivi. Il conseguimento degli obiettivi
strategici e operativi è influenzato da eventi esterni che non sempre rientrano nella
sfera di controllo dell’impresa, ma che in ogni caso attraverso attività di
pianificazione e vigilanza possono fornire una certa sicurezza di conseguenza, se il
management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano
tempestivamente informati della misura in cui si stanno realizzando detti obiettivi.
Il processo d’implementazione del modello può essere suddiviso in diverse
fasi distinti tra loro. Si parte dalla creazione di un gruppo di lavoro nel quale
parteciperanno i rappresentanti di tutte le unità operative coinvolte nel processo. Il
top management provvederà a illustrare al gruppo i benefici dell’ERM, informerà
le unità operative sulle attese in ambito dei rendimenti e predisporrà il piano di
sviluppo con identificazione di obiettivi intermedi, tempistiche e risorse da
adottare e infine le responsabilità attribuite. La fase successiva consisterà nel
valutare e monitorare la situazione corrente riguardante l’applicazione dei
componenti, dei concetti e dei principi della gestione del Risk Management. Tale
valutazione fornirà le informazioni necessarie per individuare ed eventualmente
incrementare le capacita operative di persone, processi tecnologie già esistenti o da
sviluppare. Il piano d’implementazione dovrà essere aggiornato costantemente, e se
necessario, aggiornato in base ai cambiamenti (monitoraggio).
2.4.2
I componenti dell’ERM
Lo schema di “ERM” proposto dal COSO Report è costituito da otto elementi
correlati tra loro che rappresentano le componenti del modello proposto:37
1. Ambiente interno: è il contesto organizzativo in cui si svolge il processo di
gestione del rischio. La definizione di una politica del rischio può contribuire a
formulare una risposta più finalizzata alle maggiori esigenze poste sul piano
della consapevolezza del rischio nell’intera impresa. Nel contesto di una simile
politica si procederà dunque a delineare le diverse tipologie di rischio e a
37
“Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007
33
precisare come e sino a quali limiti i singoli rischi dovranno essere evitati,
ridotti, trasferiti ad altri o sopportati direttamente. L’ambiente rappresenta le
fondamenta
di
organizzazione”
38
ogni
organizzazione,“l’essenza
stessa
di
qualsiasi
ed è determinato dalle qualità personali, dai valori etici,
dalle competenze delle persone che operano all’interno dell’organizzazione.
Tutti questi aspetti influenzano la consapevolezza e la sensibilità al tema del
personale, il modo cioè, in cui il rischio viene gestito e valutato dagli individui
nell’azienda. L’ambiente interno è quindi il risultato dell’attività del
management riguardante il riconoscimento o meno di alcuni rischi, la
definizione del risk appetite, e la sua promozione all’interno dell’impresa.
2. Definizione degli obiettivi: in questa fase si individua la relazione tra mission
aziendale e gli obiettivi aziendali che, come già indicato in precedenza, si
distinguono tra obiettivi strategici, operativi, di reporting e di conformità. Le
strategie e numerosi obiettivi correlati sono dinamici e soggetti a variazioni al
cambiare delle condizioni interne ed esterne. In sede di definizione degli
obiettivi, inoltre, si individuano i rischi connessi alle varie scelte strategiche, il
cosiddetto rischio accettabile e conseguentemente il livello di tolleranza al
rischio.
In quest’ottica il processo di “ERM” permette al management di
scegliere gli obiettivi migliori e coerenti con la missione definita e con il livello
di rischio accettabile.
3. Identificazione degli eventi: è necessario identificare con precisione tutti quegli
eventi aventi origine esterna/interna, che possono significativamente
influenzare l’attività aziendale compromettendo il corretto raggiungimento
degli obiettivi prefissati. Tra i fattori esterni segnaliamo: l’ambiente ossia eventi
come calamità naturali, che possono procurare danni a fabbricati o impianti,
le tecnologie come l’introduzione di nuovi sistemi informativi in grado di
rendere più semplici non solo i processi produttivi ma anche l’acquisizione
nonché comunicazione delle informazioni e infine il sociale, spesso
sottovalutato, eppure i cambiamenti demografici, la qualità della vita, la
struttura familiare, influenzano le richieste di prodotti o servizi da parte del
consumatore finale.
I fattori interni invece possono essere causati da scelte manageriali questi
possono riguardare: la selezione del personale e l’attribuzione delle
competenze, eventuali infortuni sul lavoro, gli investimenti infrastrutturali,
tecnologici o procedurali ecc. Una volta individuati i principali fattori di
38
COSO, 2006, “La gestione del rischio aziendale, ERM –Enterprise Risk Management: modello di riferimento e
alcune tecniche applicative”, il Sole 24 Ore.
34
rischio, il management e in grado di valutarne la significatività e quindi,
focalizzare l’attenzione principalmente su quegli eventi che possono
pregiudicare il conseguimento degli obiettivi. Avendo appreso inoltre che un
evento ha la capacità di avere un effetto negativo (rischio) e/o positivo
(opportunità) sul conseguimento degli stessi, risulta necessario distinguere gli
uni dagli altri. Le opportunità devono, infatti, essere valutate nel processo di
pianificazione strategica, mentre i rischi dovranno essere oggetto di
un’accurata analisi.
4. Valutazione del rischio (risk assessment): i rischi identificati devono essere
valutati, in modo che il management sia consapevole della loro effettiva
significatività ed indirizzi le proprie risorse verso la risoluzione di quei rischi
che presentano una priorità maggiore. A tal fine, i rischi devono essere valutati
sia in termini di “rischio inerente” (rischio in assenza di qualsiasi intervento)
sia di “rischio residuo”,39 attraverso la determinazione della probabilità di
manifestazione dell’evento rischioso e del relativo impatto atteso ovvero degli
esiti derivanti dal manifestarsi del rischio. Si possono distinguere due grandi
categorie metodologie di valutazione del rischio, quella quantitativa, nei casi in
cui la valutazione stessa si presti a essere quantificata, oppure qualitativa, se i
dati per procedere con una valutazione quantitativa sono insufficienti o
inaffidabili, oppure ancora, quando la stessa riguarda particolari rischi per cui
l’analisi qualitativa risulta maggiormente efficiente e utile rispetto a quella
quantitativa.
5. Risposta al rischio: una volta isolati i rischi più significativi, il management
deve predisporre degli interventi finalizzati ad allineare il profilo di rischio
reale a quello desiderato. Possibili risposte al rischio possono essere evitare,
accettare, ridurre e compartecipare il rischio. Analizziamo separatamente le
diverse alternative. Per evitare i rischi si può, per esempio, eliminare un
prodotto, rinunciare a entrare in un nuovo mercato o vendere un ramo di
attività; Si riduce il rischio attraverso delle azioni dirette a ridurre la
probabilità o l’impatto del rischio, oppure entrambi; Si condividere il rischio.
riducendo la probabilità e l’impatto del rischio attraverso il trasferimento o la
compartecipazione di una parte del rischio, le tecniche comunemente adottate
consistono nell’acquisto di una polizza assicurativa, o in attività di
esternalizzazione o di outsourcing; Se si accetta il rischio, infine, non sono
intraprese azioni per incidere sulla probabilità o sull’impatto del rischio.
39
“Rischio che residua dopo l’implementazione d’interventi per fronteggiarlo” COSO, 2006, “La gestione del rischio
aziendale, ERM –Enterprise Risk Management: modello di riferimento e alcune tecniche applicative”, il Sole24 Ore.
35
Il processo di definizione della risposta al rischio viene fatto, principalmente,
attraverso un analisi costi – benefici basata sulle stesse unita di misura
utilizzate per definire gli obiettivi e il livello di tolleranza al rischio.
6. Attività di controllo: per aiutare il management nell’implementazione delle
risposte al rischio scelte, le politiche definite dai vertici aziendali devono avere
un riscontro operativo. E’ quindi necessario definire meccanismi operativi di
controllo che si attuano in tutta l’organizzazione, a tutti i livelli gerarchici e
funzionali della struttura organizzativa. Tali attività comprendono una serie di
operazioni diverse, come autorizzazioni, consensi, verifiche, riconciliazioni,
esame delle performance operative, protezione dei beni aziendali e separazione
dei compiti. E’ difficile elencare quali sono le attività di controllo più comuni
sapendo che i controlli riflettono l’ambiente e il settore in cui opera cosi come
la dimensione e la complessità della sua organizzazione, oltre a tutto ogni
impresa è
gestita da persone diverse che attivano i controlli secondo
valutazioni personali.
7. Informazioni e comunicazione: in questo contesto è necessario poter disporre
in modo tempestivo delle informazioni rilevanti, in modo da identificare,
valutare e rispondere al rischio velocemente e nel modo più adeguato. A tal
fine le informazioni significative devono essere individuate, raccolte, elaborate
e diffuse, a ogni livello della struttura gerarchica, nei modi e nei tempi richiesti
affinché ciascun soggetto possa svolgere i propri compiti in maniera efficiente.
Le comunicazioni devono circolare efficacemente all’interno di tutta la
struttura organizzativa e nelle varie direzioni: verso il basso, verso l’alto e
trasversalmente.
8. Monitoraggio: ultima fase del processo è il monitoraggio. Deve essere
intercalata a tutti i livelli aziendali, per accertarne il corretto ed efficace
funzionamento nel tempo e permettere l’attivazione di reazioni tempestive in
caso di bisogno. La continuità e sistematicità del monitoraggio è richiesta dal
crescente dinamismo che caratterizza ormai il contesto interno ed esterno in
cui l’azienda opera e che quindi determina anche un continuo mutamento dei
rischi in grado di pregiudicare gli obiettivi aziendali. Tra gli strumenti
utilizzati principalmente, si distingue tra: diagrammi di flusso, questionari e
check-list. La scelta è fatta in base all’obiettivo da perseguire, la facilita
d’utilizzo da parte del personale e alla frequenza della valutazione stessa. A
compimento di tali attività, tutte le carenze rilevate nell’ERM dovranno essere
relazionate a coloro in grado di attuare le opportune misure correttive.
36
Gli elementi appena analizzati sono si strutturati all’interno dell’ERM ma non
in una visione sequenziale bensì si tratta di un procedimento interattivo e multi
direzionale in cui ogni componente può influire sull’altro, indipendentemente
dalla sequenza del processo. Naturalmente ogni azienda implementerà il processo
di “ERM” secondo le proprie modalità e conformemente ai propri bisogni e alle
proprie caratteristiche (settore di appartenenza, dimensione, cultura e filosofia
gestionale).
2.4.3
Legame tra obiettivi e componenti
Ai fini dell’implementazione dell’Enterprise Risk Management è necessario
che esso discenda lungo tutte le articolazioni dell’azienda (entità, divisioni,
funzioni) in modo da soddisfare i differenti bisogni gestionali che le caratterizzano.
L’efficacia di tale processo dipende, dunque, dalla qualità delle relazioni che
intercorrono tra gli obiettivi che l’azienda si propone di conseguire, le componenti
del sistema “ERM” (ovvero gli strumenti di riferimento necessari per la
realizzazione degli obiettivi) e le varie articolazioni aziendali.
La valutazione dell’efficacia di questo modello resta comunque un giudizio
soggettivo, che si basa sulla presenza e sul corretto funzionamento delle otto
componenti. Se l’“ERM” è giudicato efficace, significa che il consiglio di
amministrazione e il management hanno la “ragionevole sicurezza” di conoscere il
grado di realizzazione degli obiettivi strategici, di conoscere il grado di
conseguimento degli obiettivi operativi, che i reports predisposti sono attendibili e
che le leggi e i regolamenti in vigore sono rispettati.
In definitiva tale processo può ritenersi efficace se le scelte effettuate
determinano un abbassamento del rischio in linea con il livello accettabile e
forniscono una “ragionevole sicurezza” sul conseguimento degli obiettivi. E’
possibile fornire una rappresentazione del sistema “ERM” nelle sue tre dimensioni
interconnesse (obiettivi aziendali, componenti del sistema e articolazioni
aziendali), come mostrato dalla figura :
37
Figura 1: Matrice ERM40
Nelle colonne verticali del cubo sono rappresentate le quattro categorie di
obiettivi strategici, operativi, di reporting e di conformità, le otto componenti del
sistema sono invece rappresentate nelle righe orizzontali, la terza dimensione
infine, rappresenta l’azienda e le sue unità operative. In questo modello, come si
può notare, non esistono relazioni univoche tra componenti del sistema, categorie
di obiettivi aziendali e articolazioni dell’organizzazione, ciascuna componente
influenza il conseguimento di tutte le tipologie di obiettivi e deve trovare
corrispondenza nelle risorse a essa destinate dalle diverse unità organizzative; allo
stesso modo, tutte le otto componenti sono applicabili a ciascuna categoria di
obiettivi e ciascuna unità organizzativa può perseguire categorie diverse di
obiettivi.
L’Enterprise Risk Management, com’è possibile osservare dalla figura, è un
processo flessibile che può essere applicato sia all’intero processo di gestione del
rischio aziendale, sia distintamente alle singole categorie di obiettivi, ai
componenti, alle singole unità operative.
40
Immagine scaricata dalla rete internet
38
2.5
I limiti dell’ERM
L’Enterprise Risk management può fornire solo una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali. Pertanto, se da un lato consente di ottenere
importanti benefici, dall’altro presenta anche dei limiti. Questi ultimi sono
determinati da scelte errate, da disfunzioni o da semplici errori. Inoltre, i controlli
possono essere vanificati dalla collusione di due o più persone e dalla capacità del
management di aggirare il processo di gestione del rischio, comprese le decisioni di
risposta al rischio e le attività di controllo. Questi limiti impediscono al consiglio di
amministrazione e ai manager di avere l’assoluta certezza in relazione al
raggiungimento degli obiettivi aziendali41. Nel considerare i limiti dell’Enterprise
Risk Management si devono tener presente tre concetti:

Il rischio riguarda un evento futuro e incerto:

L’ERM, anche se adeguato, opera a livelli diversi rispetto alle varie
categorie di obiettivi. Per quanto concerne gli obiettivi strategici e
operativi, tale processo può solo aiutare il management e il Consiglio di
Amministrazione a conoscere se l’azienda è indirizzata o meno verso i
suddetti obiettivi, ma non può fornire nessuna sicurezza che gli stessi
obiettivi saranno conseguiti;

L’ERM non può fornire la sicurezza assoluta nei confronti di nessuna delle
categorie di obiettivi;
Precisiamo però che l’espressione “ragionevole sicurezza” non implica che
l’“ERM” sarà frequentemente inefficace o inadeguato ma è opportuno considerare
che un efficace processo di Enterprise Risk Management può rivelarsi, in certi casi,
inidoneo al suo scopo.
Limite dell’“ERM” sono anche le decisioni aziendali che vengono prese sulla
base del giudizio umano e, quindi, delle considerazioni soggettive effettuate dal
management. E’ opportuno considerare che anche se ben concepito, il processo di
Enterprise Risk Management potrebbe fallire: il personale può interpretare male le
istruzioni, compiere errori di giudizio o sbagliare per distrazione o per stanchezza.
Ancora si può presentare il caso in cui il processo di gestione del rischio può
diffondere nell’impresa un clima di ossessione per il controllo del rischio.
L’Enterprise Risk Management, infatti, può indurre i manager a lavorare sotto
41
“Casistiche aziendali di rischi operativi” Amministrazione e Finanza Oro Sett-Ott 2007
39
tensione con l’idea fissa di effettuare continuamente controlli, determinando così
un effetto indesiderato e conseguenze negative per l’azienda stessa.
Precisato che le risorse a disposizione sono sempre limitate, le aziende
devono tener conto del rapporto costi – benefici quando decidono di attivare le
decisioni, comprese quelle concernenti la risposta al rischio e le attività di
controllo. Quando si decide di attivare un particolare intervento o di introdurre un
certo controllo, è necessario considerare il rischio d’insuccesso e l’effetto
potenziale sull’impresa, anche in termini di costi. Per esempio, può non essere
economicamente corretto per una società realizzare un sofisticato controllo del
magazzino per monitorare i livelli delle materie prime se il costo delle materie è
piuttosto basso. Se da un lato attivare controlli eccessivi può risultare dispendioso e
controproducente, dall’altro controlli troppo superficiali elevano il rischio: in un
ambiente altamente competitivo si richiede, quindi, un giusto equilibrio.
Il processo di Enterprise Risk Management dipende, senza dubbio, dalle
persone che lo pongono in essere: esso è tanto efficace quanto lo sono i
responsabili che lo realizzano. Anche nelle aziende ben gestite e controllate, un
manager può essere in grado di aggirare l’“ERM”42. Le azioni per aggirare il
processo di gestione dei rischi non sono documentate e sono effettuate con
l’intento di occultare le azioni stesse.
Tali limitazioni elencate, non consentono al consiglio di amministrazione e al
management di ottenere una sicurezza assoluta sul conseguimento di obiettivi
aziendali, ma grazie all’effetto totale delle risposte al rischio si e in grado di ridurre
le possibilità che l’azienda possa mancare i propri obiettivi.
42
Con l’espressione “aggirare l’“ERM”” si intende qualsiasi violazione delle politiche o procedure stabilite posta in
essere da un decision maker per, ad esempio, occultare il mancato rispetto degli obblighi di legge oppure
aumentare i ricavi iscritti in bilancio per coprire un imprevisto calo della quota di mercato. Fonte: COSO, 2006, “La
gestione del rischio aziendale, ERM: modello di riferimento e alcune tecniche applicative”, il Sole 24 Ore.
40
2.6
Approfondimento: La stima dei rischi
L’identificazione dei rischi rivela i rischi esistenti e ne descrive le
caratteristiche rilevanti, mentre la valutazione serve a misurarne l’entità. Questa
informazione risulta essenziale per supportare il management ad adottare
decisioni adeguate relativamente alla gestione dei rischi identificati. L’importanza
di questa seconda fase è anche spiegata dalla necessità di porre i rischi in ordine di
priorità al fine di dirigere sforzi e risorse su quelli che risultano più pericolosi.
Essendo però questi di natura eterogenea, dovranno essere espressi in una comune
unità di misura al fine di essere adeguatamente valutati e misurati.
La misurazione dei rischi identificati può essere svolta attraverso tre tipologie
di tecniche:

Qualitative: esse impiegano parole o scale descrittive per rappresentare
probabilità e impatto di ciascun rischio individuato; queste tecniche hanno
un carattere generale e nella maggior parte dei casi vengono utilizzate come
base di partenza per uno studio più dettagliato;

Semiquantitative: attribuiscono dei numeri alle categorie individuate
attraverso l’analisi qualitativa. Questi numeri non rappresentano però una
vera e propria quantificazione della probabilità e dell’impatto dei rischi, ma
piuttosto servono a ordinare le diverse tipologie di rischi che sono state
individuate;

Quantitative: queste tecniche permettono di determinare la distribuzione di
probabilità associata ai possibili impatti di un certo evento rischioso. In
generale la scelta fra le possibili tecniche proposte presuppone una
preventiva analisi di convenienza economica attraverso la quale si
confrontano i costi che l’azienda dovrà sostenere per realizzarla con i
benefici derivanti da una migliore conoscenza dei fenomeni esaminati.
Le tecniche qualitative e semiquantitative sono più semplici e meno costose
da realizzare rispetto a quelle quantitative. Nella valutazione della tecnica da
utilizzare si deve tener conto anche del tipo d’informazione a disposizione
(effettiva conoscenza delle persone coinvolte o di esperti, ricerche di mercato,
informazioni storiche) e della tipologia di rischio che si vuole misurare. Se
l’informazione a disposizione sugli eventi rischiosi è scarsa, è consigliabile
utilizzare tecniche qualitative o semiquantitative viste la presenza di maggiore
incertezza che renderebbe meno significative le più onerose tecniche quantitative.
Con riferimento alla tipologia di rischio da stimare, l’adozione di tecniche
41
quantitative è impiegata soprattutto per la misurazione dei rischi finanziari, poiché
l’incertezza dipende in questi casi da variabili facilmente esaminabili nei mercati
finanziari. Per la valutazione dei rischi operativi e strategici, al contrario, l’impiego
di tecniche qualitative o semiquantitative viene generalmente preferito vista la
maggiore incertezza legata ai continui cambiamenti dell’ambiente che rendono
difficilmente utilizzabili le informazioni storiche a disposizione.
A prescindere dalla tecnica utilizzata la valutazione dei rischi consiste nella
stima di due parametri fondamentali che definiscono il rischio: la probabilità di
manifestazione dell’evento incerto; l’impatto sulla capacità dell’organizzazione di
conseguire gli obiettivi prefissati. Il management inoltre, nello svolgimento di
questa fase, deve considerare sia il “rischio inerente”, che il “rischio residuo”. Il
rischio inerente è il rischio che un’azienda assume nel caso in cui il management
non abbia realizzato alcun intervento per modificare probabilità e impatto, cioè il
rischio che prescinde dal tipo di controllo istituito in azienda. Il rischio residuo è
invece quello che resta dopo che il management ha avviato una risposta al rischio.
Il rischio viene quindi valutato prima di tutto come rischio inerente e, dopo
l’implementazione della risposta al rischio, come rischio residuo.
2.6.1
Stima qualitativa: matrice probabilità-impatto
Le metodologie attualmente più diffuse si fondano sull’identificazione
soggettiva diretta della probabilità di manifestazione e dell’impatto dell’evento
rischioso. Questo soprattutto perché le aziende, nella maggior parte dei casi, non
dispongono di un’ampia gamma di dati storici relativi ai rischi di business che
permettano di stimare i due parametri dell’evento rischioso utilizzando tecniche
statistiche. La tecnica qualitativa più diffusa che permette di giungere a un
ordinamento dei rischi individuati è la “matrice probabilità-impatto”. In questo
caso la valutazione viene eseguita considerando unitamente i due parametri che
definiscono il rischio, probabilità di manifestazione e impatto atteso, i quali
vengono stimati tramite valutazioni soggettive L’impiego di questa tecnica richiede
prima di tutto la definizione di una scala qualitativa che rappresenti le probabilità
di manifestazione dell’evento incerto e di una scala qualitativa che rappresenti gli
impatti attesi, ovvero le conseguenze economiche dell’evento. Ciascun attributo
utilizzato per la definizione delle due scale qualitative dovrà poi essere associato a
una breve descrizione, in modo tale da facilitare e dare maggiore uniformità al
processo di valutazione. Ciò permette di creare specifiche categorie di probabilità e
42
d’impatto (sia descrittive, sia numeriche) in base al quale saranno classificati i
rischi individuati. Ponendo in relazione probabilità e impatto dell’evento rischioso,
il management potrà inserire ciascuno di essi nella matrice probabilità-impatto
ottenendo in tal modo una mappatura dei rischi gravanti sull’organizzazione come
mostrato in figura:
Figura 2: Matrice probabilità-impatto semplificata. Fonte propria.43
Generalmente i rischi caratterizzati da una bassa probabilità di
manifestazione e un impatto non significativo, posti in basso a sinistra nella
matrice, saranno accettati e monitorati dall’azienda, la quale, al contrario, dovrà
concentrare tutte le sue risorse sui rischi che presentano un’elevata probabilità di
accadimento associata a un impatto significativo.
Tutti i rischi che si collocano tra questi due estremi dovranno invece essere
oggetto di un’attenta e adeguata analisi. L’inserimento dei rischi all’interno della
matrice si basa generalmente sul giudizio soggettivo delle persone ritenute in
possesso delle adeguate competenze per poterlo esprimere. Il Risk Management, a
43
Immagine ispirata dalla presentazione “Implementare Il Framework Coso ERM”, Angelo Micocci, Università di
Macerata.
43
tal fine, potrà adottare interviste e workshop44 , approccio che viene impiegato
anche per l’identificazione dei rischi. Nel caso in cui in azienda si sia già
ampiamente diffusa una cultura di Risk Management, si potrà giungere anche alla
compilazione diretta della matrice da parte dei responsabili da cui deriva il rischio
identificato. E’ necessario che lo schema di base utilizzato per la stima sia definito
una sola volta e utilizzato poi per ogni stima qualitativa, onde evitare
fraintendimenti e ambiguità nel linguaggio. Va ricordato che in questa fase oggetto
della valutazione è il rischio “inerente”, ovvero quel livello di rischio che prescinde
da qualsiasi tipo d’intervento attuato per ridurre probabilità o impatto dell’evento
rischioso.
Il rischio “residuo” verrà valutato solo dopo che l’azienda ha attivato una
risposta al rischio. In base alla logica enterprise, il management deve analizzare
efficacemente gli eventi incerti e i conseguenti rischi e opportunità che emergono,
le quali devono essere opportunamente valutate e sfruttate anticipatamente,
incrementando così la capacità dell’azienda di creare nuovo valore. Per la
valutazione delle opportunità, oltre che dei rischi, basta modificare la scala
qualitativa degli impatti, che in questo caso andrà a rappresentare non solo
l’intensità dell’impatto ma anche il suo segno (ad esempio: negativo, nullo,
positivo).
2.6.2
Stima semiquantitativa
Le tecniche semiquantitative assegnano alle classi individuate tramite le
valutazioni qualitative dei numeri (o pesi) a ogni livello di probabilità e impatto
individuato, permettendo così all’azienda di valutare sinteticamente i rischi tramite
un punteggio, detto risk score (o esposizione).45 Il punteggio concernente
l’esposizione di ciascun rischio identificato si calcola quindi moltiplicando il peso
associato a ogni livello di probabilità di accadimento (score di probabilità) con
quello associato al corrispondente impatto atteso. I pesi assegnati alle classi e i
punteggi che si riferiscono all’esposizione non rappresentano tuttavia una vera e
propria quantificazione di probabilità, impatto e rischio, ma piuttosto permettono
all’azienda di ordinare e confrontare più rischi. L’aspetto chiave di questa tecnica è
44
Workshop: sono incontri, cui partecipano i rappresentanti delle diverse aree funzionali, con lo scopo di agevolare
l’identificazione degli eventi. In questa sede, tali incontri, sono tanto più utili, quanto maggiore risulta essere
l’ampiezza delle informazioni fornite;
45
FLOREANI A., 2005, “Introduzione al risk management”,Libreria Rizzoli
44
rappresentato dalla scelta dei pesi associati a ogni classe di probabilità e impatto
individuata. Possono, infatti, essere assegnati dei punteggi lineari, cioè
proporzionali all’effettiva probabilità di accadimento e all’impatto atteso, oppure
punteggi più che proporzionali o ancora punteggi che crescono con tasso
decrescente. Dopo aver svolto questa misurazione relativamente ad ogni rischio
identificato, tutti i rischi così stimati vengono inseriti nella matrice probabilitàimpatto, che permette all’azienda di avere una visione congiunta degli stessi e una
rappresentazione complessiva dell’esposizione al rischio del processo o dell’unità
organizzativa oggetto di valutazione.
Tale mappa dei rischi permette all’azienda di creare un ordinamento degli
stessi in base al livello di esposizione (elevata/media/bassa). Le attenzioni maggiori
saranno date a quei rischi che presentano un elevato livello di esposizione, come
specificato nel precedente paragrafo. Il management deve quindi pianificare e
realizzare degli adeguati interventi finalizzati a ridurre la probabilità di
manifestazione di tali eventi rischiosi, in modo tale da ricondurla a un livello
ritenuto accettabile dall’azienda. La stima semiquantitativa si presta a essere
utilizzata nella stima e nella valutazione dei rischi puri, mentre l’adattamento ai
rischi speculativi risulta essere complesso. In sintesi l’utilizzo di tecniche
qualitative o semiquantitative di stima sembra essere giustificato solo per fare uno
screening dei rischi puri, cioè per individuare quei rischi che devono essere
analizzati e approfonditi tramite un’analisi quantitativa e quei rischi che possono
essere trascurati o gestiti senza ricorrere a una più complessa analisi.
2.6.3
Stima quantitativa
L’obiettivo delle tecniche quantitative è quello di determinare la
distribuzione della/e variabile aleatoria rappresentativa dei rischi oggetto
d’indagine. Esistono tipicamente due rappresentazioni: la distribuzione dei risultati
possibili e la distribuzione delle perdite possibili.
La distribuzione dei risultati possibili indica l’impatto del rischio sulla
variabile obiettivo aziendale (patrimonio d’impresa, valore economico o risultato
economico) assumendo la neutralità degli altri rischi aziendali. Questa
rappresentazione è particolarmente utile per i rischi speculativi. La distribuzione
delle perdite possibili indica la variazione negativa che il rischio può determinare
sulla variabile obiettivo aziendale. Essa è particolarmente indicata per i rischi puri
o per quei rischi speculativi in cui esiste uno scenario migliore possibile.
45
Per il processo di stima quantitativa esistono molti modelli scientifici che
possono essere impiegati. E’ possibile, tuttavia, individuare alcune tappe
fondamentali comuni a tutti i modelli46:
costruzione del modello;




determinazione delle caratteristiche delle variabili aleatorie e non aleatorie;
determinazione della distribuzione dei risultati e degli indicatori di sintesi;
validazione e verifica del modello;
L’importanza e la complessità di ciascuno degli step menzionati è variabile in
funzione dello specifico problema che si deve risolvere. Nel caso dei rischi
aziendali la formulazione del modello è agevolata dalla natura monetaria delle
variabili aleatorie coinvolte. La determinazione e la stima delle caratteristiche delle
variabili aleatorie e di parametri del modello comportano l’utilizzo di adeguate
metodologie statistiche. Essa può avvenire principalmente tramite ipotesi e teorie
su cui si fonda il modello, su serie storiche oppure su valutazioni soggettive di
esperti.
La distribuzione della variabile aleatoria obiettivo, invece, è generalmente
determinata attraverso la simulazione: si tratta di una particolare modalità
decisionale basata sulla costruzione di sistemi d’ipotesi e sullo svolgimento di
esperimenti. Le tecniche più conosciute sono:


la risoluzione analitica;
simulazione Monte Carlo;
Nella risoluzione analitica la distribuzione della variabile aleatoria obiettivo
viene individuata direttamente dal modello, in forza delle proprietà delle variabili
aleatorie che lo costituiscono. Questo metodo è utilizzabile solo per modelli
estremamente semplificati, quando le variabili aleatorie hanno una distribuzione
normale. Quando non è possibile una risoluzione analitica, si può ricorrere a
metodi simulati o numerici. Fra questi, la tecnica di simulazione Monte Carlo è la
più diffusa. Tale metodo consiste nell’estrazione di valori da variabili casuali, che
corrispondono alla distribuzione attesa dei fattori di rischio al fine di ottenere
scenari alternativi. Una volta definite le relazioni alla base del modello, gli
esperimenti di simulazione possono avvenire anche tramite lo svolgimento di
determinate analisi, come l’analisi di sensitività e di scenario. Il primo tipo di
analisi misura l’impatto generato dalla modifica di alcuni fattori di rischio sul
sistema di valori, in modo da poter determinare il grado di sensitività della
46
FLOREANI A., 2005, “Introduzione al risk management”, Libreria Rizzoli.
46
performance associato al manifestarsi di alcuni fattori di rischio. In questo caso si
fa generalmente riferimento a rischi interni, mentre l’analisi di scenario prende in
considerazione fattori d’incertezza esterni, sui quali l’azienda ha un potere di
controllo limitato o nullo. All’interno del gruppo generico delle tecniche
quantitative,
occorre
poi
distinguere
probabilistiche e di benchmarking.
tra
tecniche
probabilistiche,
non
Le tecniche probabilistiche ipotizzano una certa distribuzione dei
comportamenti degli eventi e si distinguono, a loro volta, in:
A. Value at Risk: individua la variabilità di un valore che si prevede non
ecceda un certo livello di confidenza in un determinato periodo di tempo.
Un’applicazione di questo concetto e rintracciabile nel settore degli
intermediari finanziari, in cui, il Market Value at Risk rappresenta la
perdita massima di uno strumento finanziario o di un portafoglio che si
può prevedere dato un determinato orizzonte temporale e uno specifico
livello di confidenza;
B. Cash Flow Risk: simile a quello precedente, riguarda le variazioni del cash
flow di un’organizzazione o di un’unita operativa utile per le aziende i cui
risultati sono influenzati dalla variabilità del cash flow, non direttamente
connessa ai prezzi di mercato;
C. Earning At Risk: stima la variabilità degli utili che figurano in bilancio;
D. Loss distribution: tecnica statistica basata su un’ipotetica distribuzione delle
perdite, utilizzata, al fine di calcolare, dato un certo livello di confidenza, le
perdite massime possibili, risultanti dall’analisi della gestione del rischio;
E. Back testing: strumento utilizzato frequentemente dagli istituti di credito,
che permette il confronto delle misurazioni di rischio in un’azienda e i dati
a consuntivo. La rilevazione viene eseguita periodicamente, con lo scopo di
verificare la bontà del modello utilizzato per rappresentare le perdite.
Le tecniche non probabilistiche invece, quantificano l’impatto di un
potenziale evento su un’ipotesi di distribuzione, ma senza determinare le
probabilità
d’accadimento,
che,
eventualmente,
separatamente. In questo caso distinguiamo tra:
deve
essere
calcolate
F. Sensitivity Analysis: studia l’impatto di variazioni di valore all’interno
dell’azienda, al variare di uno o più parametri che lo determinano; viene
spesso utilizzata a integrazione delle tecniche probabilistiche;
G. Scenario Analysis: valuta l’effetto di più eventi su un obiettivo;
47
H. Stress Testing: valuta l’impatto di eventi che danno luogo a effetti gravi.
Infine, le tecniche di benchmarking, sono utilizzate per valutare un rischio
specifico in termini di probabilità e impatto e di conseguenza migliorare la risposta
al rischio per entrambi gli aspetti. Le stesse possono essere, interne, concorrenziali
o settoriali e Best in class. Nel primo caso si tratta di confrontare i dati dei diversi
settori interni; nel secondo caso tale confronto viene fatto tra aziende direttamente
concorrenti o con caratteristiche simili, mentre con il ”best in class” si rapportano
misure e dati simili appartenenti a società di settori o con caratteristiche diverse.
L’ultimo passo per tutte le modalità elencate è sempre la validazione e
verifica del modello. Implica la formulazione di un giudizio sulla capacità del
modello di rappresentare adeguatamente il fenomeno, in caso di giudizio positivo i
risultati ottenuti potranno essere impiegati per lo svolgimento delle fasi successive
del processo Risk Management che nel caso specifico sarà quello di valutazione dei
rischi (fase quattro dell’ERM).
48
Capitolo 3
L’Enterprise Risk Management in Italia e il caso del gruppo
Telecom
3.1
Sviluppo dell’ERM nelle imprese italiane
Nell’attuale contesto, caratterizzato da un clima di generale incertezza a
causa della congiuntura economica che ha interessato l’economia globale, è
cruciale domandarsi se le imprese, in particolare quelle di grandi dimensioni e
quotate, dispongono di un’adeguata cultura e di idonei strumenti di gestione dei
rischi. Lo sviluppo di processi decisionali ‘informati’, la responsabilizzazione sul
governo dei rischi a tutti i livelli aziendali, la salvaguardia della reputazione sul
mercato, il contesto legislativo e regolatorio, rappresentano alcune delle principali
motivazioni che hanno spinto, o che spingeranno, le imprese italiane a investire
sempre più in sistemi di risk management. Tuttavia la situazione Italiana odierna
comprova che la concezione di Risk Management non è ancora ampiamente
condivisa dai management aziendali, specialmente nelle medio – piccole imprese47.
Non è agevole, pertanto, trovare, nella realtà che ci circonda un’impresa disposta a
implementare un processo di Enterprise Risk Management, poiché tale attività
richiede sacrifici in termini organizzativi ed economici con l’utilizzo di risorse
adeguate e finanziamenti appropriati.
di
Le società quotate finora hanno fatto ricorso, o faranno ricorso, a programmi
risk
management
principalmente
per
accrescere,
a
tutti
i
livelli
dell’organizzazione, la consapevolezza e la responsabilizzazione nel fronteggiare i
rischi.
Gli
obblighi
normativi,
contrariamente
alla
percezione
diffusa,
sembrerebbero avere scarsa influenza sulla decisione di avviare processi di risk
management, i vertice aziendali ritengono opportuno piuttosto intraprendere
47
Con circa 4 milioni di imprese, l'Italia fornisce il 20% delle imprese europee e mostra una densità di 65.3
imprese ogni 1000 abitanti, elevata rispetto alla media europea di 39.9 e solo inferiore a quelle di Repubblica Ceca,
Portogallo e Grecia. Ragionando in termini di imprese «micro, piccole, medie e grandi», si nota come il numero delle
«micro» sia superiore alla media europea (i.e.: 94.6% vs 91.8%); per tutte le altre classi, il numero é inferiore alla
media. Mentre in Europa l'occupazione dipende, 32.9% del totale, dalle «grandi» imprese, in Italia dipende delle
imprese «micro», che garantiscono, da sole, il 46.6% dell'occupazione. Fonte: RagionPolitica.it dati aggiornati a
Ottobre 2010
49
percorsi verso l’implementazione di processi strutturati di risk management in
ragione dei benefici attesi quali la difesa della reputazione aziendale, la creazione
di valore o la riduzione di perdite, piuttosto che per esigenze di mera compliance48.
Un’indagine realizzata dalla KPMG49 mostra quali sono le principali motivazioni
che hanno condotto le aziende a introdurre processi di ERM, il risultato è
sintetizzato nel seguente istogramma:
Figura 3: Principali elementi che porta le società a introdurre un processo di ERM.
L’indagine è stata svolta su un campione di settanta rappresentanti del
mondo aziendale direttamente interessati nel processo ERM con la possibilità di
poter effettuare risposte multiple fino a un massimo di tre. I risultati comprovano
quanto affermato precedentemente presentando come elemento meno citato quello
di soddisfare requisiti normativi, mentre, circa la metà degli intervistati sostiene
48
‘Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate
italiane?’ KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di Direzione Aziendale
dell’Università Bocconi, 2010.
49
KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità
indipendenti affiliate a KPMG International Cooperative (“KPMG International”). L’indagine ha coinvolto la
generalità delle aziende italiane quotate appartenenti a tutti i settori di business, raccolto il punto di vista di 70
rappresentanti del mondo aziendale, a vario titolo responsabili o interessati dai processi di risk management.
50
che il processo debba essere introdotto per aumentare la responsabilità nella
gestione dei rischi in tutti gli ambiti aziendali.
Per quanto riguarda la progettazione e la realizzazione dei processi di ERM le
società quotate Italiane considerano cruciali le componenti riguardanti
l’identificazione dei rischi, la definizione di un assetto di governance e
l’introduzione di un sistema di reporting. Tali componenti rappresentano le fasi
iniziali del percorso che porta all’implementazione del modello integrato di ERM,
completato con lo sviluppo di tecniche di misurazione dei rischi e l’ottimizzazione
dei sistemi di controllo interno, queste ultime due componenti sono ritenute
ancora poco esplorate e diffuse nella realtà italiana.
Dal quadro generale, infatti, emerge che complessivamente la maggioranza
dei rispondenti ha avviato progetti in tale direzione anche se molte società si
trovano ancora nelle fasi preliminari dell’implementazione di un vero e proprio
processo di ERM dimostrando che molto rimane ancora da fare in termini di
progettazione ed adozione di un modello integrato di risk management. Il modello
di gestione del rischio più diffuso nel contesto italiano (68%) prevede la
centralizzazione delle politiche di risk management e il decentramento, a livello di
business unit/divisioni, della gestione operativa coerentemente con gli indirizzi
strategici. Solo in pochissimi casi (5%), le politiche di risk management sono
definite, attuate e gestite autonomamente dalle business unit aziendali senza il
coinvolgimento dei vertici aziendali.
Nonostante il modello ERM non sia sfruttato a pieno dalle aziende Italiane
più del 90% delle società rispondenti ha eseguito almeno una volta il proprio risk
assessment identificando i principali rischi che preoccupano il management e che
minacciano gli obiettivi aziendali. I risultati sono esposti nel seguente
istogramma50.
50
Corporate Governance, Enterprise Risk Management e disclosure al mercato: a che punto sono le società quotate
italiane?’ KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di Direzione Aziendale
dell’Università Bocconi, 2010.
51
Figura 4: Principali rischi che minacciano il raggiungimento degli obiettivi delle società.
Osservando il portafoglio dei rischi, così come delineato dai rispondenti,
emerge che i rischi di mercato, di credito e reputazionale rappresentano le
principali preoccupazioni del management italiano, forse anche influenzato
dall’attuale congiuntura economica. Poco interesse, in termini d’impatto sul
raggiungimento degli obiettivi strategici, viene attribuita ai rischi legati al
terrorismo, ai cambiamenti climatici, alla criminalità e sicurezza e alle calamità
naturali. Dall’analisi emerge altresì che i rischi percepiti come maggiormente
critici sono quelli più efficacemente gestiti, con un maggior utilizzo di tecniche di
tipo qualitativo, seppur di poco, su quelle di tipo quantitativo.
Per quanto riguarda la validità dell’impiego del processo all’interno
dell’azienda i manager interpellati sottolineano la sua funzione cruciale per
orientare i processi decisionali e di pianificazione strategica. In particolare cresce
la consapevolezza che il risk management è un fattore chiave per stabilizzare i
percorsi di crescita sostenibile delle aziende.
I risultati finali dello studio confermano che la gestione dei rischi è sì un
tema di riconosciuta importanza che vede il percorso intrapreso dalle società verso
modelli avanzati di risk management, ma che ancora compie i suoi primi passi. I
benefici dell’ERM sono reali e in alcuni casi misurabili, questo è quanto emerge
dalle risposte del vertice delle società italiane. La creazione di valore e la
protezione della reputazione sono individuati quali principali benefici e
52
rappresentano,
in
effetti,
anche
le
maggiori
motivazioni
alla
base
dell’implementazione del processo ERM. Tra i principali ostacoli all’introduzione e
allo sviluppo del processo, emerge su tutti la mancanza di tempo e risorse.
La fase finale del progetto di questa tesi sarà quello di cercare di presentare e
analizzare al meglio l’esperienza di un’importante azienda italiana, compito non
facile visto che a dispetto della crescente pressione normativa verso una più ampia
ed efficace divulgazione al mercato in tema di risk management, il vertice delle
società italiane sembra poco propenso a diffondere informazioni di tipo
quantitativo o a rendere noto l’assetto organizzativo definito per il presidio dei
rischi.
Tra le aziende presenti sul territorio nazionale, è stato ritenuto opportuno
riportare il caso del Gruppo Telecom Italia. Questa scelta è dovuta al fatto che in
Telecom, l’attività di Risk Management è stata ampiamente sviluppata seguendo
fedelmente alcuni concetti e metodologie presenti in letteratura. Il Gruppo Telecom
Italia ha utilizzato l’“ERM” come attività fondamentale per una sana e duratura
crescita dell’azienda.
3.2
Profilo dell’impresa e principali dati economici
Il Gruppo Telecom Italia è una realtà industriale italiana con oltre cento anni
di esperienza nel mondo delle telecomunicazioni. E’ un gruppo che offre
telecomunicazioni a 360°: servizi di telefonia fissa e mobile, accesso a internet,
contenuti multimediali, televisione e news, office and systems solution. Telecom
Italia è leader nazionale della telefonia fissa e mobile, primo operatore internet con
9,1 milioni di accessi broadband in Italia di cui 1,9 i clienti wholesale e, grazie a TI
Media, opera nella televisione e nel mondo dell’informazione.
“Vicinanza al cliente e innovazione tecnologica” sono le parole chiave del
Gruppo con un’organizzazione snella e centrata sulla qualità del servizio, offerte
semplici, attenzione ai momenti di contatto con la clientela e costante attività di
ricerca nei laboratori TILab. La leadership domestica di Telecom Italia è
accompagnata da una significativa presenza internazionale centrata sul grande
mercato sudamericano, con Tim Brasil e Telecom Argentina, che rappresentano
oggi il 34% dei ricavi del Gruppo.
Tradizione ed esperienza sono messe al servizio dell’innovazione dell’offerta
per i clienti, che oggi sono 31,3 milioni sul mobile in Italia e 55,5 milioni in
Brasile, mentre sono 15 milioni su linea fissa in Italia di cui 7,2 milioni sulla banda
53
larga. Una realtà creata dalla disponibilità della banda larga, attraverso l'Adsl
diffusa da Telecom Italia sul 97% del territorio nazionale a fine 2010 con
l'impegno di portarla al 99% entro il 2012.
Sviluppando le nuove tecnologie basate sulla banda larga fissa e mobile,
modalità tariffarie semplici e un approccio commerciale flessibile, Telecom Italia,
Alice e TIM hanno contribuito alla sempre più ampia diffusione nel Paese di un
nuovo modo di fare comunicazione, permettendo alle tecnologie e ai prodotti di
integrarsi per rendere i servizi facilmente utilizzabili in ogni circostanza (da casa,
in movimento, dall’ufficio) e al tempo stesso sempre più ricchi nelle funzionalità e
nei contenuti. La sua attività in questi settori è sostenuta da marchi che evocano
tradizione ed esperienza, innovazione e qualità: Telecom Italia, TIM, La7, APCOM,
MTV Italia, Olivetti. Qualità e innovazione offerta sia nel settore televisivo (nei
canali tradizionali o digitali e nelle piattaforme multimediali con QOOB Tv) che
nell’informazione. Olivetti, infine, è sinonimo di alta tecnologia e design raffinato.
Oggi presente in 83 mercati esteri è leader mondiale nella fornitura di periferiche
di sportello bancarie ed è anche l’unica azienda europea insieme ad altre cinque al
mondo proprietaria della tecnologia inkjet 51.
La costante attività di ricerca ha il proprio centro nei Telecom Italia Lab, i
laboratori di ricerca del Gruppo, ricchi di esperienza e know how nelle tecnologie
più avanzate, che si sviluppano i principali obiettivi di innovazione nell’offerta di
servizi e prodotti e diffusione delle tecnologie avanzate.
L’avvento della società digitale, secondo la visione del Gruppo Telecom avrà
profonde ripercussioni sull’economia, sui comportamenti e sugli usi di persone e
aziende. La disponibilità estesa della Banda Larga quale fattore abilitante per la
crescita e l’innovazione, la riduzione dei costi di accesso all’ecosistema digitale ed i
nuovi luoghi di comunicazione, che trovano nella rete la propria ragione di
esistere, rappresentano gli elementi che consentiranno questa profonda
evoluzione. Per questo la vision e la mission dell’impresa deve continuamente
modificarsi e adattarsi alle esigente della clientela : “Essere un Service Provider
evoluto in grado di fornire servizi di comunicazione associati a capacità di
elaborazione di informazioni e contenuti digitali, in modo compatibile con
l’ambiente e con la comunità”52 questa è l’ultima mission rivelata dal gruppo, dove
viene anche svelato il fattore di successo che in questo contesto sarà la capacità di
mettere a disposizione dei clienti: Banda Larga, Intelligenza di Rete e Piattaforme
Applicative; “ […]provando a rispondere alle esigenze dei clienti assicurando
esperienze d’uso distintive ed efficaci, mirando all’eccellenza nella connettività per
51
Il getto d’inchiostro è una tecnologia di stampa che consiste nel proiettare minuscole goccioline d’inchiostro sul
supporto da stampare senza toccare la superficie nella fase di stampa.
52
www.telecomitalia.com ultimo aggiornamento 9-06-2011
54
fruibilità e qualità, e creando piattaforme di servizio e ambienti comunicativi
compatibili che consentano di cogliere tutte le opportunità offerte dalle nuove
tecnologie”.53
Il Gruppo Telecom inoltre affonda le proprie radici su un sistema di valori
che costituisce il punto di riferimento comportamentale per tutte le persone che
lavorano nel Gruppo, ha anche identificato un modello manageriale che
rappresenta la sintesi dei comportamenti cui i manager del Gruppo dovranno
ispirarsi nel perseguimento degli obiettivi di business, sono54:





Centralità del cliente;
Creazione del valore;
Valorizzazione delle persone;
Governo del cambiamento;
Networking e integrazione;
I principi di comportamento con i clienti e gli impegni assunti dalle
principali società del Gruppo in materia di qualità del servizio seguono la Carta dei
Servizi55, “[…]siamo convinti che l’etica nella conduzione degli affari sia anche
una condizione importante per il successo dell’impresa. Tutte le nostre attività
vengono svolte nel rispetto dei principi del Codice Etico che rappresenta appunto
la nostra carta dei valori”.56
La continua evoluzione dei mercati, tecnologie e soddisfazione della clientela,
come abbiamo appreso dagli studi aziendali, richiedono un modello di impresa
flessibile e in continua evoluzione. Il Gruppo Telecom non è da meno, confermato
da un cambiamento del modello organizzativo avvenuto nel gennaio 2009 pensato
per favorire la convergenza tra tecnologie (fissa e mobile) e offerta da un lato, ed
esigenze della clientela dall’altro. La riorganizzazione si è basata su una nuova
segmentazione e individuazione dei target in base a tre tipologie: i privati
(consumatori individuali e famiglie), la clientela business e le grandi aziende.
Quest’operazione ha avuto il duplice obiettivo di fornire un servizio migliore ai
clienti e di rendere la rete distributiva più efficiente e capace di generare profitti.
Per orientare al cliente e alla sua soddisfazione tutti i processi aziendali, la
Direzione Domestic Market Operations è stata strutturata in tre macro aree57:
53
54
55
www.telecomitalia.com ultimo aggiornamento 9-06-2011
www.telecomitalia.com aggiornamento 2-06-2010
La Carta dei Servizi è un codice comportamentale che viene rivisto e allineato continuamente ai nuovi requisiti di
trasparenza, chiarezza e tempestività richiesti dall'Autorità per le Garanzie nelle Comunicazioni (AGCOM).
56
57
www.telecomitalia.com aggiornamento 2-06-2010
www.telecomitalia.com aggiornamento 2-06-2010
55
I.
Consumer Market: responsabile della clientela privati, focalizzata
sull’aumento dell'uso dei servizi innovativi di rete da parte di
individui e famiglie, sulla difesa delle quote di mercato nei servizi
tradizionali e innovativi, nel fisso e nel mobile;
II.
Business Market : responsabile della clientela business (professionisti,
artigiani e negozianti e piccole e medie imprese) impegnata a
promuovere l’uso delle tecnologie ICT puntando a difendere ed
aumentare le quote di mercato nei servizi tradizionali e innovativi;
III.
Top Clients & Networked IT Services: incaricata di accrescere il valore
della base clienti Top, Large Account ed Enterprise affiancando le
grandi aziende dell’industria e dei servizi, le banche e la pubblica
amministrazione nella trasformazione dei processi di business;
Le tre strutture elencate aderiscono meglio alle diverse esigenze dei target, sia
nella definizione del profilo delle offerte che nella capacità di relazione e cura dei
clienti. Oltre a queste macro strutture, il nuovo modello organizzativo prevede in
Italia Open Access, la struttura che fornisce servizi di accesso alla Direzione
Commerciale retail di Telecom Italia e a operatori alternativi attraverso la funzione
aziendale National Wholesale Services, le due attività sono state separate e gestite
autonomamente dalle altre funzioni commerciali del Gruppo Telecom Italia.
L’organigramma aziendale aggiornato a gennaio 2009 è:
Figura 5: Organigramma aziendale Telecom Italia al 30 dicembre 2011
56
Per avere una visione più completa della realtà aziendale analizzata è
opportuno riportare gli indicatori economici maggiormente rilevanti del Gruppo
Telecom Italia aggiornati al primo trimestre del 2011.
Gli investimenti industriali effettuati sono pari a 2.037 milioni di euro (4.583
milioni di euro nel 2010), mentre i ricavi registrati sono pari a 14.543 milioni di
euro ( 27.571 milioni di euro nel 2010), il personale occupato in azienda è pari a
84.335, di cui 57.853 in Italia. La positiva performance commerciale è peraltro
enfatizzata dal miglioramento della redditività di Gruppo: l’EBITDA58 consolidato
reported si incrementa di 700mln di euro (8.475mln di euro nel 2010), su tale
risultato ha inciso positivamente l’ingresso nel perimetro di consolidamento della
Business Unit Argentina, mentre L’EBITDA ha registrato un incremento del 16.6%
(+456mln di euro). L’EBITDA margin reported consolidato invece si riduce di 1,2
punti percentuali assestandosi nei primi nove mesi del 2011 al 41.6%. La
generazione di cassa del Gruppo si conferma solida, grazie anche all’impegno di
miglioramento dell’efficienza soprattutto sul mercato domestico. L’operating cash
flow59 è pari a 4.524mln di euro nei primi nove mesi del 2011, questi risultati
hanno consentito di proseguire il percorso di riduzione dell’indebitamento netto
rettificato che risulta in riduzione di 1.520mln di euro rispetto al precedente anno.
Il margine di liquidità si è ulteriormente rafforzato raggiungendo un livello di
disponibilità netta pari a circa euro 5,3 miliardi (escludendo la liquidità del Brasile
pari a euro 0,5 miliardi) cui si aggiungono circa euro 6,5 miliardi di disponibilità
su linee di credito di lungo termine non revocabili, Nel presente contesto di
incertezza dei mercati finanziari, Telecom Italia si conferma con un elevato livello
di solidità finanziaria, avendo a propria disposizione la possibilità di far fronte alle
scadenze di rimborso del debito dei prossimi 18-24 mesi.60
58
EBITDA: aggregato del bilancio riclassificato; più precisamente è l'utile ante interessi, imposte sul reddito,
componenti straordinari, svalutazioni delle immobilizzazioni e ammortamenti. Rappresenta, nella sostanza, il
margine operativo lordo prodotto dalla gestione.
59
Cash flow operazionale: è una delle componenti specifiche del cash flow e rappresenta il flusso monetario
derivante dalle sole operazioni di esercizio, con esclusione quindi dei flussi monetari derivanti da attività
d’investimento e di finanziamento, e da quelli relativi a distribuzione di utili e rimborsi di capitale. Fonte Glossario
Economico a cura del professore Paolo Bastia
60
Tutti i risultati riportati sono stati presi dal resoconto intermedio della gestione del mese di settembre 2011e dal
sito TelecomItalia.com.
57
3.3
Le strategie del Gruppo Telecom Italia
Il Gruppo Telecom Italia agisce nella convinzione che le attività di business
debbano essere svolte tenendo in considerazione le aspettative degli stakeholder, in
linea con i principi stabiliti dagli standard internazionali di trasparenza. Per questo
motivo da tredici anni Telecom Italia pubblica il Bilancio di sostenibilità in cui
analizza la proprie performance nei confronti dei portatori di interesse con i quali
interagisce quotidianamente, definisce le proprie strategie e i programmi si
sostenibilità. Proprio nella definizione di questi ultimi due punti il Gruppo s’ispira
alle linee guida emanate dai principali organismi mondiali di indirizzo e
standardizzazione sulla Corporate Responsibility. Sulla base di quanto detto il
Gruppo ha inteso perseguire una strategia di crescita focalizzata sul mercato
nazionale e sullo sviluppo all’estero dei servizi mobile basati in primo piano sulla
soddisfazione della clientela. Tale strategia ha come obiettivi:
 Garantire una risposta immediata e competente alle esigenze della
clientela uniformando i propri comportamenti a correttezza
negoziale, trasparenza nei rapporti e impegni contrattuali, cortesia e
collaborazione;
 Una maggiore attenzione al cliente anche attraverso maggiori
investimenti nel Customer Care e nella qualità del servizio;
 La difesa della posizione di leadership sul mercato domestico fisso e
mobile, spinta sulla crescente penetrazione della larga banda,
convergenza fisso - mobile, trasparenza e flessibilità nell’offerta ai
clienti e continua innovazione e sviluppo di servizi a valore aggiunto;
 Allargamento della presenza a settori adiacenti, in particolare
sviluppo di offerte di contenuti sulle piattaforme innovative (IPTV,
Mobile TV) ed estensione e rafforzamento dell’offerta ICT per i clienti
business;
 Sviluppo
dell’impronta
presenza in Sud America
Germania e Francia.
58
internazionale,
confermando
l’attuale
e consolidando i progetti europei in
3.4
Risk Management nel Gruppo Telecom Italia
L’esperienza di Telecom Italia nella gestione del rischio dura da oltre dieci
anni. In quest’arco temporale la gestione del rischio è stata affrontata in diverse
forme mutando continuamente nel tentativo di dare vita ad un processo di gestione
dei rischi sempre più affine al processo di gestione integrata del rischio ERM.
Ripercorriamo alcuni punti fondamentali che introducono l’attuale processo di
gestione del rischio.
Nel 2002, il Gruppo ha voluto sviluppare una metodologia importante per il
miglioramento dei sistemi di corporate governance dell’azienda, un lavoro di
progettazione e sviluppo che ha richiesto la mobilitazione dei manager in tutte le
unità operative, in attività di formazione, di analisi dei processi, di individuazione e
valutazione dei rischi e di verifica delle salvaguardie esistenti e di quelle da
predisporre. Nell’ambito del sistema di governance aziendale, il Gruppo Telecom
Italia ha istituito nel 2006 il Comitato Risk Management con la responsabilità di
gestire i rischi e di garantire la continuità operativa del business. Ha, inoltre,
istituito la funzione Group Risk Officer con il compito di realizzare il processo di
Enterprise Risk Management, diffondendone metodologie e strumenti e
coordinando il processo di risk assessment. Al suo interno si colloca il CRSA
(Control & Risk Self Assessment), che rappresentava lo strumento di governance
del rischio aziendale, attraverso il quale veniva realizzata l’identificazione, la
valutazione e la gestione dei rischi operativi. Il CRSA si basava sull’autovalutazione
del rischio da parte del management che, con l’ausilio di misure e parametri quali
- quantitativi, sviluppava la rilevazione del sistema dei controlli già esistenti e le
eventuali proposte di miglioramento. Il ciclo di rilevazione e gestione dei rischi
attraverso il CRSA veniva svolto con cadenza annuale supportato da un sistema
informativo web - based che integrava i sistemi CRSA e APM (Action Plan
Monitoring) e consentiva la gestione e il monitoraggio automatico delle scadenze
dei piani di azione definiti in sede di CRSA, in analogia a quanto già effettuato per
gli action plan derivanti da interventi di audit.61 Il Ciclo CRSA 2006, a
dimostrazione, ha portato all’individuazione di 218 azioni a fronte dei portafogli
rischi consolidati a livello di Funzione Centrale/Operations/Business Unit (180
rischi individuati) e 14 azioni relative al portafoglio rischi di Gruppo (6 rischi
individuati)62.
61
Fornisce informazioni sulla risk governance assicurando il Board e il Senior Management che i rischi sono stati
compresi e gestiti in modo appropriato e svolge un’attività di consulenza fornendo suggerimenti per il
miglioramento della governance, del risk management e della struttura di controllo.
62
Risultati riportati dal resoconto intermedio della gestione del mese di settembre 2006 dal sito telecomItalia.com
59
Il ciclo CRSA, vista l’ampiezza del progetto, innestandosi sulla scelta di ampia
partecipazione del management, ha richiesto un rilevante sforzo organizzativo per
il Gruppo nel suo complesso, e per il project office in particolare63. A dispetto dei
buoni risultati ottenuti nei precedenti anni il Gruppo Telecom ha tuttavia avviato
nel 2009 una forte revisione del sistema di Risk Management precedente.
Si è adottato un nuovo processo integrato in grado di assicurare un
approccio globale alla gestione del rischio e al tempo stesso una maggiore
flessibilità ispirato proprio all’Enterprise Risk Management, attraverso il processo
viene così realizzata l’identificazione, la valutazione e la gestione dei rischi.
3.4.1 Il Comitato di Gruppo Risk Management
Il Comitato di Risk Management istituito nel 2006, con la responsabilità di
gestire i rischi e di garantire la continuità operativa degli affari aziendali, ha
mantenuto la sua forma originale per soli tre anni ed è stato travolto anch’esso
della recente revisione di tutto il sistema di Risk Management. Il 9 Aprile ’09 è
stata definita una nuova definizione organizzativa presieduta e coordinata dal
responsabile della funzione “Administration, Finance and Control” ed è così
composto:
 Dai responsabili delle direzioni “Domestic Market Operations”,
“Tecnology & Operations” e “International Business”;
 Dai responsabili delle funzioni “General Counsel & Corporate and
Legal Affairs”, “Administration, Finance and Control” , “Human
Resources and Organization”, “Purchasing” e “Security” ;
 Dal
Responsabile
della
funzione
“Administration, Finance and Control”;
“Risk
Management”
di
Il responsabile della funzione Risk Management svolge anche la funzione di
supporto al coordinamento del comitato.
Come si può notare nella scelta degli operatori coinvolti nel comitato, che
costruiscono parte delle svariate unità presenti nell’azienda, è stata ritratta la terza
dimensione del COSO Report riguardante i livelli organizzativi, a significare che il
processo è posto in essere da persone che si trovano ad ogni livello organizzativo
63
Al progetto furono dedicate in sede di prima implementazione oltre 8000 ore/uomo, impegnando oltre 500
quadri direttivi. Fonte www.telecomitalia.com
60
verticale e trasversale all’organizzazione, dal consiglio di amministrazione al
management a tutti coloro che operativamente contribuiscono allo svolgimento di
attività quotidiane. Le persone inserite nel processo devono recepire come le
proprie responsabilità ed attività influenzano il raggiungimento degli obiettivi
aziendali in relazione alla strategia definita dai vertici.
Il comitato in questione ha lo scopo di garantire il governo del processo di
gestione dei rischi di Gruppo coordinando il piano di azioni preventive finalizzate
ad assicurare la continuità operativa del business e monitorando l’efficacia delle
contromisure adottate. Si riunisce con cadenza trimestrale o in relazione a
specifiche esigenze.
3.4.2 Il nuovo processo ERM di Telecom Italia
L’implementazione del nuovo sistema di Risk Management risponde a
esigenze di corporate governance che si intrecciano con esigenze gestionali.
Iniziativa necessaria per aderire ai migliori standard internazionali in tema di
controllo interno e di corporate governance ed è diventato uno strumento di
gestione del Gruppo che rafforza la “cultura del controllo” e promuove una
valutazione sistematica dei rischi, integrata nei sistemi di management.
Il nuovo approccio ERM, approvato dal comitato di risk management si basa
sulla valutazione del profilo di rischio da parte del management, sia in relazione ai
processi aziendali, sia in relazione agli obiettivi strategici. Tale approccio prevede
la mappatura dei rischi e il focus su quelli ritenuti più significativi, la definizione
di un master plan delle azioni di mitigazione e un’azione di trattamento dei rischi
mediante la costituzione di gruppi di lavoro interfunzionali definiti dal comitato.
Nel dettaglio il processo ERM di Telecom Italia prevede quattro fasi principali:
I.
II.
III.
IV.
Analisi
Valutazione
Trattamento e verifica
Reporting
La fase di analisi è la prima fase, si basa a sua volta in due sotto fasi che sono:
a) Analisi preliminare che prevede:
 La mappatura dei processi aziendali e l’individuazione dei sotto
processi associati;
61
 L’abbinamento delle funzioni aziendali ai sotto-processi64;
 La rilevazione dal Piano Industriale degli obiettivi strategici;
 La rilevazione degli incentivi di breve termine (MBO) e degli obiettivi
di governance trasversali.
b) L’identificazione dei rischi: è una fase che segue una logica di tipo topdown, sono intervistati i primi riporti dell’Amministratore Delegato e
del Presidente nonché alcuni secondi riporti, cosiddetti Risk Owner 65,
che identificano i rischi nell’ambito di un modello specifico del settore
delle telecomunicazioni.
Le fonti di rischio identificate possono essere sia esterne sia interne
(quest’ultime ripartite in strategiche, operative, finanziarie). I rischi
individuati sono collegati ai processi e agli obiettivi aziendali statuiti;
Dopo la prima fase, che analizza e identifica univocamente i rischi si passa
alla seconda fase, la valutazione dei rischi che il Gruppo ha deciso di suddividere a
sua volta in tre sottofasi:
a) La valutazione dei rischi, che si basa su una metodologia che prende in
considerazione sia criteri quantitativi sia qualitativi. In particolare sono
identificati:
 Impatto: da minimo 1 (trascurabile) a massimo 5 (catastrofico), che
misura le conseguenze del suo accadimento sull’obiettivo/processo.
La valutazione effettuata dal risk owner, sebbene rappresenti un dato
qualitativo, è frutto dell’associazione del giudizio con scale di valori
quantificate in termini economico finanziari (EBITDA netto Capex,
Customer Satisfaction Index, Market Share, ecc.);
 Probabilità: da minimo 1 (improbabile) a massimo 5 (molto
probabile), che misura il grado di incertezza dell’accadimento. Sulla
base delle valutazioni effettuate sono individuati i rischi più rilevanti
per la corretta gestione dei processi aziendali e per il raggiungimento
dei relativi obiettivi;
64
La mappatura dei processi/funzioni viene aggiornata trimestralmente dalla funzione Human Resources and
Organization e trasmessa alla funzione Risk Management.
65
Sono responsabili della gestione dei rischi e, pertanto, nell’ambito della metodologia ERM, individuano, valutano
e pongono in essere le azioni correttive per la mitigazione dei rischi stessi assicurando altresì il loro monitoraggio.
62
b) Identificazione dei risk owner: i rischi individuati sono assegnati alla
funzione owner del sotto-processo oggetto di analisi. Tale funzione è
responsabile sia della valutazione delle misure di mitigazione in essere
sia della definizione degli action plan relativamente ai rischi per i
quali, in fase di gap analysis, non è stata riscontrata un’adeguata
mitigazione;
c) Approvazione action plan66: il Comitato Risk Management, supportato
dalla funzione Risk Management, supervisiona le protezioni indicate
dalle
funzioni
owner
e
approva
gli
action
plan
proposti.
L’implementazione delle misure di prevenzione o di riduzione del
rischio è oggetto di valutazioni di opportunità e di un’attenta analisi
costi/benefici;
Redatta la valutazione impatto-probabilità e le azioni di protezione o
riduzione sui rischi analizzati si passa alla fase tre che riguarda il Trattamento e la
Verifica delle azioni descritte in precedenza, è una fase molto delicata del processo
perché deve giudicare il lavoro svolto nelle due precedenti fasi. Comprende,
ancora, l’insieme delle attività finalizzate a selezionare e attuare gli interventi
ritenuti conformi all’obiettivo di ridurre i rischi entro il limite accettabile
(tolerance), verificandone l’efficacia rispetto ai risultati attesi. E’ formata da due
sottofasi:
a) Applicazione Intervento ovvero implementazione delle misure
d’intervento ritenute idonee a riportare il livello di rischio entro i
b)
limiti ritenuti accettabili dall’azienda;
Verifica Risultati per misurare l’effetto degli interventi in termini di
riduzione dei rischi e apportando eventuali misure correttive;
Questa fase, vista la mole e la complessità, prevede la costituzione di gruppi
di lavoro67 interfunzionali per il monitoraggio degli action plan approvati dal
Comitato Risk Management. L’attività di monitoring sugli stati di avanzamento e/o
66
E’ un documento costituito dalla descrizione delle azioni di mitigazione del rischio che gli owner intendono
porre in essere in un arco di tempo definito, al fine di portare il Rating (rischiosità) al livello ritenuto adeguato. Si
indicheranno pertanto i) il livello di Rating a cui si vuole giungere con le azioni indicate, ii) i pesi di ciascuna
singola azione, iii) i tempi in cui si intende realizzarla, iv) il costo di implementazione, v) la presenza di eventuali
progetti di investimento per la singola azione. L’implementazione del piano di azioni dovrà essere monitorata
periodicamente.
67
E’ il team di esperti del processo su cui il rischio impatta e che viene incaricato dal risk owner di definire le
azioni da intraprendere ai fini della mitigazione del rischio stesso e del suo monitoraggio. All’interno del GdL viene
individuato un Team Leader che ha l’incarico di coordinare i lavori, riportare al risk owner circa i risultati ottenuti
e interfacciare la funzione aziendale incaricata di gestire il processo ERM.
63
completamento degli action plan, unitamente ai Key Risk Indicator (KRI) 68, fornisce
un flusso informativo di dati destinati al Comitato che supporterà la definizione del
ciclo successivo di Risk Management.
L’ultima fase, non per questo di minore importanza, è quella di Reporting
ovvero si implementa un flusso d’informazioni sulla struttura del profilo di rischio
e la sua evoluzione secondo uno schema flessibile, definito e messo a disposizione
di tutti gli stakeholder in base alle loro esigenze. L’informazione data dovrà avere
le seguenti caratteristiche:
 Chiarezza: il modello di rappresentazione dei risultati deve essere il più
trasparente/credibile possibile e la reportistica e le comunicazioni devono
essere essenziali nei contenuti, ma altresì accurate e comprensibili;
 Completezza: i report devono essere completi e in grado di “catturare” tutte
le tipologie di rischio alle quali risulta esposta l’azienda;
 Consistenza: le informazioni relative alla misurazione del rischio si basano
sull’utilizzo di criteri standard e devono essere applicate, dove possibile,
nello stesso modo per tutte le differenti realtà aziendali. La consistenza delle
informazioni viene assicurata tramite la standardizzazione dei report;
 Tempestività: la frequenza dei flussi d’informazione deve essere determinata
in modo da riflettere tempestivamente i mutamenti nell’esposizione al
rischio sottostante e lasciare sufficiente tempo al Top Management per
decidere le azioni di intervento;
 User-focused: i report devono contenere le sole informazioni focalizzate su
quegli aspetti di rischio che sono rilevanti per il soggetto destinatario oltre
che il livello di aggregazione e di dettaglio più appropriato, come il CEO69,
Collegio Sindacale, Agenzie di Rating ecc.
In definitiva il supporto del Vertice è indispensabile al fine di fornire il giusto
focus sugli obiettivi, le risorse da dedicare, e l’attenzione da porre per il successo
del processo ERM. Il compito del Vertice non è quindi quello di gestire le attività
ERM, bensì supportare in maniera chiara e con il giusto livello di “pubblicità” le
68
Il Key Risk Indicator (KRI) di un rischio TOP è un indicatore sintetico in grado di far comprendere
immediatamente la situazione relativamente a quel rischio in quel momento. Vuole essere un efficace strumento di
comunicazione dello stato di criticità del rischio nella continuità. Il destinatario ultimo di tale comunicazione è il
Vertice Aziendale e pertanto deve avere le caratteristiche di immediatezza, semplicità di lettura e facilità di
costruzione per poter essere spiegato agevolmente anche “ai non addetti ai lavori”.
69
Cura l’identificazione, il monitoraggio e le modalità di gestione dei rischi aziendali, che sottopone all’esame del
Consiglio di Amministrazione.
64
iniziative derivanti dall’implementazione del processo (es.: mappatura, action plan,
ecc.) oltre a fornire le necessarie risorse per la sua realizzazione. È altresì compito
del Vertice definire le linee guida del processo con il livello di propensione al
rischio dell’azienda (Appetite) nonché il livello di “pervasività” delle analisi e delle
azioni di mitigazione.
Il processo ERM all’interno del Gruppo, concludendo, è aggiornato su base
annuale o con maggiore frequenza, a discrezione del Comitato di Gruppo di Risk
Management e la responsabilità di aggiornamento e supporto è in capo alla
funzione Risk Management.
Successivamente ad una prima applicazione e verifica del nuovo processo di
Risk Management adottato, dopo solo tre mesi, il gruppo di lavoro è riuscito a
definire il corporate risk profile (profilo di rischio) della Società a esclusione di
Tim Brasil che comporta il completamento della fase di analisi e di parte di quella
di valutazione (valutazione rischi e assegnazione) mentre le altre fasi sono state
svolte negli scorsi anni con buoni risultati facendo volgere particolare attenzione
su un gruppo di rischi risultati molto rilevanti, prima di allora poco considerati,
che sono stati definiti Top Risk che sono ancora in fase di costante monitoraggio,
trattamento e verifica.
3.5
Prospettive di sviluppo dell’“ERM” nel Gruppo Telecom
La gestione dei rischi è ormai un argomento consolidato all’interno del
Gruppo Telecom dopo tutti questi anni di esperienza, ma in ogni caso è in continua
evoluzione. C’è l’esigenza dunque di dare continuità all’esperienza di Enterprise
Risk Management, per un periodico aggiornamento del portafoglio rischi e delle
soluzioni adottate. Infatti, solo un monitoraggio continuo del sistema obiettivi risorse - rischi consente una tempestiva identificazione di situazioni a rischio e
l’attivazione di efficaci risposte. Al fine di dare continuità all’esperienza
dell’attività di gestione del rischio e assicurarne la completa trasformazione da
esercizio a pratica manageriale, è necessario mantenere pressione sul processo
stesso ed offrire la giusta informativa in tutto il complesso aziendale. Per questo
sono state avviate alcune linee d’intervento quali :
 La nomina di un referente del processo di ERM per ciascuna unità del
Gruppo, responsabile nei confronti del vertice della corretta ed efficace
applicazione della metodologia;
65
 La definizione di norme e procedure di controllo dei rischi che definiscono a
livello di Gruppo prassi e punti di controllo finalizzati al governo dei rischi;
 L’istruzione di un ruolo di supporto metodologico permanente che dia
continuità all’iniziativa e stimoli il miglioramento delle soluzioni
metodologiche sviluppate nelle prime sperimentazioni;
 Lo sviluppo di un’applicazione informatica a supporto della gestione dei
rischi;
Le linee sviluppate all’interno del Gruppo, costituiscono il repository70 dei
rischi identificati e valutati dal management. Inoltre, essendo distribuita all’interno
del Gruppo, supporta la gestione dei piani d’azione identificati all’interno a livello
sia di manager responsabili della loro implementazione, sia di responsabili di
business unit/funzione, sia di preposto all’attuazione. Al fine di assicurare nel
tempo la rilevanza dei contenuti informativi del repository di rischi e piani
d’azione, sono previsti periodici aggiornamenti in occasione dell’elaborazione e
revisione dei piani di business. Le prospettive future per il Gruppo sono quelle del
mantenimento e dello sviluppo della metodologia e quelle d’integrazione dello
stesso con il sistema di pianificazione e controllo.
70
Un repository (che sarebbe preferibile italianizzare con il termine deposito o repositorio) è un ambiente di un
sistema informativo (di tipo Enterprise Resource Planning), in cui vengono gestiti i dati, attraverso tabelle
relazionali;.
66
Capitolo 4
Applicazione pratica del modello LDA
4.1
Premessa
Dopo aver descritto minuziosamente il processo ERM, gli attori coinvolti, i
vantaggi e gli svantaggi dell’attuazione, gli aspetti qualitativi del processo,
terminiamo la tesi con l’esposizione di un modello applicativo pratico adoperato
direttamente su dati aziendali. Per motivi di privacy non possiamo rivelare il nome
dell’azienda e il suo campo di attività.
Gli obiettivi strategici di quest’attività, tra i più comuni nel mondo
dell’imprenditoria, si suddividono nelle tre dimensioni che rendono l’agire
imprenditoriale, sono:
 La responsabilità economica, generare profitto;
 La responsabilità sociale, garantire servizi di qualità, opportunità di
crescita e rispetto dei diritti umani;
 La responsabilità ambientale, ovverosia salvaguardare le risorse naturali
e governarne gli impatti;
Tutto ciò viene perseguito monitorando ed effettuando i rendiconti delle
politiche e risultati attraverso la realizzazione e la diffusione del Bilancio di
Sostenibilità. L’azienda inoltre è eretta su valori quali la sicurezza e la centralità del
cliente. Il Risk Management aziendale da alcuni anni ha inserito nei propri
processi L’ERM per la gestione integrata del rischio, ha già realizzato la fase di Risk
self Assessment e ha poggiato le fondamenta su cui costruire un modello
quantitativo per la valutazione, il monitoraggio e la gestione del rischio e per
cogliere le opportunità a esso connesse.
67
Figura 6: Concepibile modello di ERM secondo l’opinione dell’azienda osservata
La figura sopra riportata rappresenta un concepibile modello di ERM. Le
parti in giallo sono quelle già implementate dall’azienda, quelle in arancione sono
le fasi che potrebbero essere attivate a questo livello di evoluzione. I passi
successivi potrebbero riguardare, in modo indipendente l’una dall’altra, le due fasi
di:
 Loss Data Management
 Misurazione del rischio
Con riferimento alla fase di Loss Data Management, da un punto di vista teorico,
tale attività dovrebbe basarsi sulla raccolta di dinamiche empiriche passate,
relative all’incidenza dei vari fattori di rischio nel tempo. La raccolta in oggetto
potrebbe essere arricchita da eventuali riferimenti a database esterni. Per quanto
attiene la fase di Misurazione del rischio, una possibile finalità consiste, per i
fattori di rischio che meglio si prestano a una modellizzazione probabilistica, nel
costruire un modello attuariale LDA di valutazione del rischio. La presentazione
del caso convoglierà in particolare sulla misurazione del rischio, partendo dalla
predisposizione di un modello attuariale di modellizzazione del rischio,
proseguendo con un prototipo di ERM fino a indirizzarsi nell’implementazione di
un modello di Loss Distribution Approach su dati reali.
68
4.2
Predisposizione del modello attuariale
Il metodo presentato come il più adatto per la modellizzazione del Rischio
Operativo in ambito aziendale è il Loss Distribution Approach, tecnica abituale e
ampiamente utilizzata in ambito attuariale. L’implementazione pratica di tale
approccio richiede la conoscenza delle distribuzioni di ammontare e frequenza
delle perdite e una loro opportuna correlazione per la stima della distribuzione
aggregata delle perdite.
Nell’azienda in esame la predisposizione del modello inizia da un’articolata
procedura di mappatura dei fattori-eventi di rischio aziendali. La mappatura in
questione avviene tramite la ripartizione aziendale in un certo numero di aree e
l’individuazione di un certo numero di Risk Owner. Le nove “Aree” individuate
attualmente sono le seguenti, suddivise in due categorie.
A. Funzioni di Corporate:




Pianificazione e Finanza
Risorse umane e Organizzazione
Sviluppo e Tecnologia
Legale
B. Aree di business: le aree comprese in questa suddivisione sono cinque,
tipiche dell’attività aziendale che non possono essere specificate per
non rivelare il campo di attività dell’azienda.
I Risk Owner individuati sono circa 50 mentre i fattori / eventi di rischio
mappati sono circa 380. La mappatura dei fattori di rischio è stata ottenuta tramite
la risposta a questionari da parte dei risk Owner, questionari strutturati dal Risk
Management
nella
fase
di
preassessment
(prevalutazione),
finalizzati
fondamentalmente a individuare i seguenti elementi:





Stima della probabilità di manifestazione del fattore di rischio;
Stima dell'impatto potenziale del fattore di rischio;
Classificazione tipologia dell’eventuale controllo;
Obiettivi del Risk Management;
Valutazione efficacia dei controlli adottati, che si estende nella
valutazione delle possibili ripercussioni del danno in termini di
danni
a
valori
patrimoniali,
danni
economici/reddituali/
finanziari, danni alle persone, inefficienza/inefficacia del
processo e altri danni non compresi nelle valutazioni precedenti.
69
In termini d’impatto potenziale i Risk Owner devono ricondurre le loro
valutazioni alla seguente casistica:
IMPATTO
DESCRIZIONE
Impatto finanziario sull’organizzazione stimabile superiore al 5% del
Estremo
fatturato. Impatto che può compromettere il raggiungimento di uno o
più obiettivi strategici aziendali. Perdita di fiducia da parte degli
stakeholder.
Impatto finanziario sull’organizzazione stimabile tra il 3% e il 5% del
Alto
fatturato. Impatto rilevante sulla strategia o sulle attività operative.
Notevole preoccupazione degli stakeholder.
Impatto finanziario sull’organizzazione stimabile tra il 2% e il 3% del
Medio
fatturato. L’impatto può richiedere interventi decisi relativamente
all’organizzazione delle attività operative. Sono possibili eventi legati
all’impatto come risposta degli stakeholder.
Impatto finanziario sull’organizzazione stimabile tra il 1% e il 2% del
Moderato
fatturato. L’entità dell’impatto può chiedere correttivi alle strategie e
Basso
fatturato. L’entità dell’impatto ha limitate conseguenze sulla strategia e
organizzazione delle attività operative. L’evento può coinvolgere
l’attenzione degli stakeholder.
Impatto finanziario sull’organizzazione stimabile tra il 0.5% e il 1% del
sulle attività operative aziendali. Modesta preoccupazione degli
stakeholder.
Impatto finanziario sull’organizzazione stimabile a livelli inferiori dello
Trascurabile
0.5% del fatturato. L’entità dell’impatto ha conseguenze trascurabili
sulla strategia e sulle attività operative. Non si prevede interessamento
degli stakeholder.
In termini di probabilità del verificarsi, i Risk Owner devono invece
ricondurre le loro valutazioni sulla seguente casistica:
Matrice Probabilità
Stima
Molto Probabile
Probabile
Indicatori
Descrizione
Evento con probabilità
L’evento
in un anno di p ≥70%
verificarsi più volte nel medio periodo, si
Evento con probabilità
L’evento ha probabilità di verificarsi più
in un anno di
volte nel medio periodo, si è già
40 ≤ p ≤70%
verificato.
70
ha
elevata
probabilità
di
è già verificato più volte.
Evento con probabilità
Moderato
L’evento
ha
scarsa
probabilità
di
in un anno di
verificarsi più volte nel medio periodo,
10%≤ p ≤40%
ma effettiva probabilità di verificarsi
almeno una volta. L’evento si è già
verificato.
Evento con probabilità
ha
bassa
probabilità
di
in un anno di
verificarsi, si presenta occasionalmente
1% ≤ p ≤10%
nel medio periodo. L’evento non si è
Evento con probabilità
L’evento è molto improbabile ma non
in un anno di p ≤1%
impossibile. L’evento non si è mai
Improbabile
Raro
L’evento
ancora verificato.
verificato.
La presenza di un numero così elevato di Risk Owner per molti fattori di
rischio conduce inevitabilmente all’aggregazione dei vari questionari compilati
con riferimento al singolo fattore di rischio in base a medie più o meno ponderate.
Il giudizio medio relativo a ciascun fattore di rischio conduce a sintetizzare lo
stesso in termini di:




Rischio Potenziale
Valore controllo
Livello controllo
Rischio Residuo
Tutte le quattro coordinate del rischio sono espresse secondo una scala
ordinale in forma numerica o di giudizio. In particolare il rischio potenziale viene
quantificato ricorrendo ad una matrice di probabilità ed impatto dei rischi di
seguito rappresentata:
Figura 7: Matrice probabilità impatto utilizzata nei questionari aziendali
71
Nella valutazione dei rischi è stato richiesto ai Risk Owner di indicare
separatamente la probabilità che l’evento incerto si verifichi e il relativo impatto
(le scale valori sono indicate dalle frecce). Come si può notare della matrice le
caselle assumono una colorazione sempre più rossa all’aumentare della
probabilità-impatto del rischio. Il top del rischio si trova con la combinazione
molto probabile- estremo.
Sulla base dei questionari esposti e delle quantificazioni prima descritte il
Risk Management dell’azienda riesce, in base a giudizi qualitativi, a mettere in
evidenza le aree più critiche in termini di rischio potenziale e rischio residuo
nonché ad evidenziare i principali fattori di rischio rilevati. Aree e fattori di rischio
possono essere rappresentati graficamente come nel seguente esempio:
Figura 8: Grafico di un possibile scenario Aree di rischio-Impatti.
In questo esempio di sintetizzazione dei risultati viene utilizzato un grafico a
radar. Nei cinque angoli sono indicate le aree di rischio mentre i pentagoni
misurano l’impatto del tipo di rischio sull’area, essi partono da un minimo indicato
da zero a un massimo di dieci. L’area creata in azzurro indica il rischio potenziale,
vediamo come esso principalmente impatta la gestione delle risorse umane e lo
sviluppo organizzativo (con valore 8) mentre impatta meno sulla sicurezza (con
valore inferiore a sei). Per quanto riguarda il rischio residuo invece, area gialla,
notiamo un impatto minore su tutte le cinque aree. I perimetri blu e rosso
rappresentano rispettivamente l’impatto potenziale e l’impatto residuo medi
dell’area RUO (Risorse Umane e Organizzative).
72
4.3
Prototipo di ERM
I primi passi propedeutici alla costruzione di un prototipo di ERM
quantitativo hanno riguardato l’analisi di due Aree tra loro particolarmente
eterogenee, noi esporremo minuziosamente soltanto la costruzione su un’area per
motivi di privacy che sarà comunque sufficiente per capire l’argomento. L’area
selezionata è quella delle Risorse Umane e Organizzative (RUO). Per tali Aree sono
stati raccolti i singoli questionari dei Risk Owner coinvolti nel processo e sono state
convertite in probabilità e impatti puntuali le varie classi di cui alla matrice delle
probabilità e alla matrice degli impatti. Si sono statuite le seguenti matrici:
Matrice Probabilità
Cod
Stima
Indicatori
Descrizione
Prob.
1
Raro
Evento con
L’evento è molto improbabile ma
probabilità in un
non impossibile. L’evento non si è
0.5%
mai verificato.
anno di p ≤1%
2
Improbabile
Evento con
L’evento ha bassa probabilità di
probabilità in un
verificarsi,
anno di
Moderato
L’evento non si è ancora verificato.
Evento con
L’evento ha scarsa probabilità di
probabilità in un
verificarsi più volte nel medio
anno di
periodo, ma effettiva probabilità di
verificarsi
10%≤ p ≤40%
4
Probabile
presenta
occasionalmente nel medio periodo.
1% ≤ p ≤10%
3
si
5.5%
almeno
una
25%
volta.
L’evento si è già verificato.
Evento con
L’evento ha probabilità di verificarsi
probabilità in un
più volte nel medio periodo, si è già
anno di
55%
verificato.
40 ≤ p ≤70%
5
Molto
probabile
Evento con
L’evento ha elevata probabilità di
probabilità in un
verificarsi più volte nel medio
85%
periodo, si è già verificato più volte.
anno di p ≥70%
Sia la matrice delle probabilità che quella dell’impatto, come si può osservare
hanno il corpo principale della matrice usata per il questionario proposto ai Risk
Owner con l’aggiunta del codice d’identificazione della probabilità-impatto e il
suo relativo valore, ricavato dai risultati dei questionari e inserito dagli analisti
aziendali. Ci si è riferiti al valore centrale della classe per le classi chiuse (cod. 273
3-4) mentre per le classi aperte (cod. 1-5) si è inserito un valore ritenuto
ragionevole ai fini del calcolo.
Matrice Impatto
Cod
Impatto
Descrizione
Impatto
atteso
1
Trascurabile Impatto finanziario sull’organizzazione stimabile a
livelli inferiori dello 0.5% del fatturato. L’entità
dell’impatto
ha
conseguenze
trascurabili
0.25%
sulla
strategia e sulle attività operative. Non si prevede
interessamento degli stakeholder.
2
Basso
Impatto finanziario sull’organizzazione stimabile tra
il 0.5% e il 1% del fatturato. L’entità dell’impatto ha
0.75%
limitate conseguenze sulla strategia e sulle attività
operative aziendali. Modesta preoccupazione degli
stakeholder.
3
Moderato
Impatto finanziario sull’organizzazione stimabile tra
il 1% e il 2% del fatturato. L’entità dell’impatto può
1.50%
chiedere correttivi alle strategie e organizzazione
4
Medio
delle attività operative. L’evento può coinvolgere
l’attenzione degli stakeholder.
Impatto finanziario sull’organizzazione stimabile tra
il 2% e il 3% del fatturato. L’impatto può richiedere
2.50%
interventi decisi relativamente all’organizzazione
delle attività operative. Sono possibili eventi legati
all’impatto come risposta degli stakeholder.
5
Alto
Impatto finanziario sull’organizzazione stimabile tra
il 3% e il 5% del fatturato. Impatto rilevante sulla
strategia
o
sulle
attività
operative.
4%
Notevole
preoccupazione degli stakeholder.
6
Estremo
Impatto finanziario sull’organizzazione stimabile
superiore al 5% del fatturato. Impatto che può
10%
compromettere il raggiungimento di uno o più
obiettivi strategici aziendali. Perdita di fiducia da
parte degli stakeholder.
L’analisi statistica delle due Aree ha evidenziato le seguenti categorie di
rischi, noi riportiamo solo la categoria RUO:
74
Risorse umane
1
Aspetti legali e normativi
2
Aspetti etici e clima
3
Contesto sociale
4
Gestione informazione
5
Organizzazione e Processi
6
Sicurezza del lavoro
7
Valutazione delle competenze e ruoli
Sulla base delle probabilità medie e degli impatti medi per classe è stato
possibile calcolare l’impatto aggregato atteso complessivo per le categorie presenti
nell’area RUO. La riduzione del rischio potenziale derivante dalla presenza di un
controllo gestionale del rischio, invece, è stata desunta per ciascun fattore di
rischio ed è stato riportato nelle successive schede di sintesi, per la seconda area
sono riportati solamente i risultati totali:
Categoria di rischio
TOT Impatto probabile
Impatto probabile al netto
Gestione informazione
3.3%
1.0%
Organizzazione e
2.0%
1.5%
Aspetti legali e normativi
1.4%
1.2%
Aspetti etici e clima
1.3%
1.1%
Contesto sociale
1.0%
0.6%
Valutazione delle
0.6%
0.6%
Sicurezza del lavoro
0.5%
0.5%
Totale Area RUO
10.1%
6.5%
Totale Area Due
41.3%
27.3%
Totale COMPLESSIVO
51.4%
33.8%
Processi
competenze e ruoli
(% fatturato)
75
di riduzioni (% fatturato)
Le conclusioni del prototipo di ERM sulla gestione dei rischi operativi, lo si
ricorda, sono quantificati in media e non in altre logiche più raffinate,
suggeriscono alcune conclusioni ma anche alcune domande. Complessivamente, le
due aree analizzate generano perdite attese pari al 51,4% del fatturato (33,8% al
netto dei controlli) di cui 41,4% (27,3%) a carico dell’area due, il 10,1% (6,5%) a
carico di RUO. Le tre categorie di rischio critiche sono:
 Aspetti legali e normativi con il 15,8% (10,7%);
 Controlli di Processo dell’area due con il 15,1% (11,8%);
 Organizzazione e Processi con il 4,0% (2,8%);
Complessivamente le tre categorie critiche di rischio sopracitate spiegano, in
media, il 35% del rischio potenziale su un totale del 51,4% ed il 25,3% del rischio
residuo su un totale di 33,8%. Palesemente saranno queste le categorie che
avranno maggiore attenzione nei processi di mitigazione del rischio, mentre
categorie come “Sicurezza del lavoro” e “Valutazione delle competenze e ruoli”
oltre ad avere un impatto lieve sulle perdite non sono neppure sensibili a una
riduzione potenziale derivante dalla presenza di un controllo gestionale del
rischio, saranno sicuramente rischi che verranno solamente monitorati.
Per quanto concerne il questionario, esso esplora in modo ottimale gli aspetti
più rilevanti dei fattori di rischio: impatto, probabilità e mitigazione (controlli).
Occorre tuttavia comprendere se i Risk Owner rispondano sempre in modo
giudizioso:
 E’ ragionevole pensare che il livello atteso di perdita apportato dai fattori di
rischio delle due aree siano pari a oltre il 50% del fatturato annuo (al lordo
del controlli)?
 Ci sono eventuali errori nella percezione degli impatti, della probabilità o di
entrambi?
 Ci sono posizioni “prudenti” o “aggressive” prese volontariamente o
inconsciamente dai Risk Owner?
Alla luce di quanto anticipato sembrerebbe utile integrare l’informazione
disponibile con altri elementi in grado di creare dei segnali di “allerta” in caso di
quantificazioni chiaramente improprie di probabilità e/o impatto atteso, al fine di
verificare in corso d’opera attendibilità e congruenza dei dati rilevati e
dell’informazione fornita. I segnali in oggetto potrebbero, fin dove possibile, essere
desunti dall’esperienza storica adeguatamente ricostruita sula base di bilanci,
documenti interni, esperienza e memoria dei vari Risk Owner. Un ulteriore
76
elemento che si potrebbe introdurre è la presenza di altre domande nei questionari
utili a meglio comprendere i fenomeni, per esempio domande inerenti il giudizio
di quello che succederebbe se avvenissero eventi molto dannosi (worst case
scenario e stress test).
4.4
LDA: Modello quantitativo con dati concreti
La Misurazione del rischio, come abbiamo visto all’inizio del capitolo, era il
secondo obiettivo da attivare all’interno dell’azienda per far evolvere il modello di
ERM già presente nella società. Suddetta fase consiste, nel costruire un modello
attuariale LDA71 di valutazione del rischio. Il modello di valutazione del rischio
dovrebbe essere realizzato al fine di consentire l’apprezzamento del contributo
marginale al rischio di:
 Ogni singolo fattore / evento di rischio;
 Ogni categoria di rischio;
Quanto precede consentirebbe l’individuazione delle aree critiche di rischio
nonché delle leve più efficienti per ottimizzare la gestione del rischio aziendale e
cogliere le opportunità connesse. Questo dunque richiede:
 La calibrazione e la stima dei parametri delle distribuzioni di
probabilità delle frequenze di accadimento degli eventi di rischio
(frequency);
 La calibrazione e la stima dei parametri delle distribuzioni di
impatto degli eventi di rischio (severity);
 La modellizzazione delle dipendenze (correlazioni) tra i diversi
eventi / categorie di rischio e l’individuazione degli strumenti
probabilistici più adatti per il loro apprezzamento;
 La convoluzione delle variabili stocastiche individuate e il
conseguente calcolo degli indicatori di rischio più adatti alla
rappresentazione dei fenomeni monitorati;
71
Le informazioni sul LDA sono tratte Franchot A., Moudoulaud O., Roncalli T. 2003. “Loss Distribution
Approach in Practice”.
77
Formalmente, sia Ni la variabile aleatoria “numero annuo delle perdite”
registrate per il verificarsi dell’evento rischioso i, la cui funzione di probabilità è p.
La distribuzione di frequenza delle perdite sarà data dalla seguente
espressione:
𝑛
𝑃 𝑛 =
𝑝(𝑘)
𝑘=0
Sia Yik la variabile aleatoria “ammontare della perdita” associata al k-esimo
verificarsi dell’evento rischioso i. Indichiamo con F la distribuzione di probabilità
dell’ammontare delle perdite. Nell’ambito del Loss Distribution Approach la perdita
totale annua Yi , per ogni tipologia di rischio i , può essere ottenuta come somma del
numero aleatorio Ni di singole perdite di importo aleatorio Yik avvenute in un anno:
𝑁𝑖
𝑌𝑖 =
𝑌𝑖𝑘
𝑘=0
La funzione di distribuzione di probabilità Gi (y) della perdita totale Yi sarà la
seguente distribuzione congiunta:
𝐺𝑖 𝑦 = Pr Yi ≤ y =
∞
P Ni = k ∗ 𝐹 𝑘∗ 𝑦𝑖
k=1
𝑦>0
𝑃 𝑁𝑖 = 0 𝑦 = 0
dove F(yi) e la probabilità che l’ammontare aggregato della k-esima perdita
sia yi mentre Fk* è la k-esima convoluzione di F con se stessa. Le ipotesi del modello
sono le seguenti:
 le singole perdite Yik sono variabili aleatorie indipendenti e
identicamente distribuite;
 la distribuzione della frequenza e indipendente da quella
dell’ammontare;
La funzione Gi (y) può essere calcolata attraverso un’approssimazione
numerica. Tra i metodi di approssimazione faremo riferimento alla Simulazione
Monte Carlo che consente di stimare la distribuzione aggregata delle perdite
tramite simulazione di un numero elevato di possibili perdite attraverso estrazioni
casuali dalle distribuzioni scelte per rappresentare la frequenza e l’importo delle
perdite.
Per quanto concerne la modellizzazione della frequenza delle perdite
operative tra le più adatte è stata scelta la distribuzioni di Poisson, distribuzione
78
discreta di variabili aleatorie che può assumere un numero discreto di valori ad
ognuno dei quali viene assegnata una specifica probabilità di realizzazione. In
particolare la distribuzione della frequenza degli eventi dannosi, in quanto relativa
ad un numero limitato di occorrenze in ogni periodo, è sicuramente discreta.
Mentre a riguardo delle tipologie di distribuzione adeguate per la modellizzazione
di ammontare delle perdite derivanti da eventi dannosi, le più adatte sono le
distribuzioni continue che, al contrario, descrivono variabili aleatorie che possono
assumere tutti i valori in un intervallo. Si fa riferimento in questo caso applicativo
alla distribuzione Lognormale, scelta tradizionale per rappresentare tale fenomeno.
Infine occorrerà determinare una misura di rischio che ci permetta di individuare
un adeguato ammontare di capitale da accantonare a copertura del rischio
risultante dall’applicazione, per far questo utilizzeremo il Value at Risk.
Per poter procedere con l’implementazione e l’interpretazione del modello
dobbiamo soffermarci su alcune puntualizzazioni.
4.4.1 Specificazione distribuzioni e metodi utilizzati
In questo paragrafo descriveremo più adeguatamente le due distribuzioni
utilizzate per modellizzare frequenza e ammontare delle perdite e i metodi per il
calcolo del rischio operativo.
A. Distribuzione Lognormale72:
Sono varie le distribuzioni di probabilità che possono essere utilizzate per la
modellizzazione dell’ammontare delle perdite originate a seguito del verificarsi
di eventi dannosi rientranti nella categoria dei rischi operativi. Poiché l’ammontare
delle perdite presenta limite inferiore pari a zero appare opportuno non considerare
distribuzioni simmetriche quali la distribuzione Normale, mentre risulta utile la
distribuzione Lognormale, scelta condivisa dagli analisti e dunque utilizzata nel caso.
Per variabili aleatorie continue con 0 ≤ x ≤ ∞ la funzione di densità di probabilità di
una distribuzione lognormale sarà data da:
72
Fonte wikipedia.it
79
𝑓 𝑥 =
1
𝑥𝜍 2𝜋
𝑒𝑥𝑝
− 𝑙𝑜𝑔 𝑥 − 𝜇
2𝜍 2
2
2
dove 𝜇 e 𝜍 sono i parametri. La media di tale distribuzione è pari a 𝑒 𝜇 +𝜍2 mentre la
2
2
varianza è pari a 𝑒 2𝜇 ∗ 𝑒 𝜍 ( 𝑒 𝜍 − 1).
Riportiamo per completezza un esempio grafico della funzione di densità della
Lognormale con 𝜇 = 1.5 (media) e 𝜍 = 0.8 (deviazione standard).
Figura 9: Funzione di densità distribuzione Lognormale
B. Distribuzione di Poisson73:
La frequenza delle perdite rappresenta sicuramente una variabile aleatoria discreta in
quanto riferita al numero degli eventi di perdita che si possono verificare, con una
certa possibilità p, in un determinato orizzonte temporale. La scelta è caduta sulla
distribuzione di Poisson che ha una funzione di densità di probabilità data da:
𝑓 𝑥 = 𝜆𝑥
exp(−𝜆)
𝑥!
dove il parametro 𝜆 può essere interpretato come un numero medio di occorrenze,
può essere anche stimato con vari metodi. Il grafico seguente rappresenta una
distribuzione di Poisson con 𝜆 = 12.
73
Fonte wikipedia.it
80
Figura 10: Grafico della distribuzione di Pisson
C. Simulazione Monte Carlo74:
L’approccio più semplice per la stima della distribuzione aggregata delle perdite è la
simulazione Monte Carlo che sostanzialmente consiste nella simulazione di un
numero elevato di possibili perdite attraverso estrazioni casuali dalle distribuzioni
scelte per rappresentare la frequenza e la gravità delle perdite. Schematicamente il
metodo si sviluppa attraverso le seguenti fasi:
 Scelta delle distribuzioni di probabilità per la frequenza e ammontare delle
perdite, nella nostra situazione sono già state scelte rispettivamente la
Poisson e la Lognormale;
 Simulazione del numero n delle perdite dalla distribuzione della frequenza;
 Simulazione di n perdite dalla distribuzione dell’ammontare: L1, L2, ..., Ln ;
 Somma delle n perdite simulate per ottenere la perdita aggregata annua
Y= L1+ L2 + ....+ Ln ;
 Ripetizione della procedura un gran numero di volte per ottenere la
distribuzione aggregata delle perdite empirica;
 Calcolo dei vari parametri quali media, varianza e VAR;
74
Bolisani E., Galvan R. “La simulazione Monte Carlo: appunti integrativi”.
81
Tale procedura permette di ottenere uno scenario di perdita per ciascun evento
osservato. Graficamente la simulazione Monte Carlo si può sintetizzare nel seguente
modo:
Nell’ambito del LDA è possibile stimare le perdite operative future con diversi gradi di
libertà sulla distribuzione totale ottenuta. L’applicazione della misura di rischio
utilizzata nel nostro caso di studio, il VAR, alla distribuzione aggregata delle perdite
cosi ottenuta permette di quantificare il rischio con un certo livello di confidenza, e, di
conseguenza il capitale che è necessario detenere a sua copertura.
D. VAR:
Il Value at Risk è stato utilizzato per la prima volta per scopo regolamentare dal
Comitato di Basilea nel 1996 ed è attualmente lo standard di riferimento per la
misurazione del rischio di mercato nel settore bancario. Il metodo, attraverso l’utilizzo
di tecniche statistiche standard, permette di determinare la massima perdita potenziale
di un certo portafoglio finanziario per un livello di confidenza e orizzonte temporale
prefissati. In particolare il livello di confidenza rappresenta la fiducia che riponiamo
nel fatto che non potremmo incorrere in una perdita superiore al valore del VAR. Dal
punto di vista operativo, per altro, il VAR può essere interpretato come l’ammontare di
capitale che l’istituzione deve detenere per fronteggiare queste perdite potenziali.
82
Dal punto di vista formale il VAR è un quantile della distribuzione “guadagni e
perdite” presentata su un certo orizzonte temporale.
Indicata con 𝑓 𝑥, 𝜆 la funzione di densità delle variazioni attese del valore del
fenomeno, il VAR si ottiene risolvendo la seguente espressione:
+∞
𝑓 𝑥, 𝜆 𝑑𝑥 = 𝛼
−𝑉𝐴𝑅
dove con 𝜆 si indica il parametro di tale distribuzione, mentre 𝛼 è il livello di
probabilità scelto.
Nel calcolo del VAR possiamo individuare le seguenti fasi di costruzione:
 Individuazione del modello distributivo;
 Stima dei relativi parametri;
 Applicazione del metodo di calcolo
E’ chiaro che il maggior problema nel calcolo del VAR è l’individuazione di una
distribuzione di probabilità adatta alla rappresentazione del rischio considerato. Noi
sappiamo però che per il rischio operativo, ai fini di una sua adeguata
rappresentazione dal punto di vista probabilistico è necessario ricorrere a
distribuzioni a coda “spessa”. Esistono tre metodi standard per il calcolo del VAR, nel
nostro caso fortunatamente è già stato scelto il metodo Monte Carlo che si basa sulla
simulazione stocastica dei rendimenti, il processo è stato mostrato in precedenza. Il
VAR, in qualunque maniera è calcolato, è interpretabile come perdita massima che si
può subire in assenza di eventi estremi. Il modello LDA in questione cala l’analisi del
rischio proprio nella logica del VAR che rappresenta la best practice per le moderne
metodologie di ERM e che consente di ricondurre il rischio a due coordinate: una
perdita monetaria e il grado di probabilità che essa si verifichi.
83
4.5
Loss Distribution Approach
In questo contesto si illustra la concreta applicazione del modello LDA con le
informazioni già anticipate nelle pagine precedenti. L’applicazione è realizzata con
riferimento ad alcuni processi afferenti all’area risorse umane e organizzazione
dell’azienda in precedenza citata. Lo scopo dell’applicazione è di quantificare la
rischiosità potenziale del processo in base al modello attuariale di LDA (Loss
Distribution Approach). A tale proposito si seguono tre step:
I.
II.
III.
Individuazione delle possibili cause di Rischio Operativo;
Introduzione al modello di LDA;
Indicazione degli indicatori di rischio finali;
Il primo degli step indica le attività svolte per l’individuazione di un elenco definitivo
delle criticità da cui possono scaturire perdite operative. Mel nostro studio le casistiche
sono da ricondurre sostanzialmente a cinque eventi tipo, con attribuzione di criticità
anche a sottocategorie di secondo e terzo livello. Riportiamo le tabelle:
Rischio
Rischio 1
Livello 1
Execution Delivery
and Process
Management
Business Disruption
and System Failures
Livello 2
Monitoring and
Reporting
Livello 3
Failed mandatory
reporting obligation
Systems
Software
Rischio 3
Execution Delivery
and Process
Management
Accounting error /
entity attribution
error
Rischio 4
Execution Delivery
and Process
Management
Rischio 5
Internal Fraud
Transaction
Capture,
Execution &
Maintenance
Transaction
Capture,
Execution &
Maintenance
Theft and Fraud
Rischio 2
Data entry,
maintenance or
loading error
Misappropriation of
assets
Infine, l’analisi è stata portata a termine utilizzando il database esterno che contiene la
descrizione e l’ammontare dell’impatto di 11.024 eventi rischiosi. Di questi ultimi
considerata la classificazione dei rischi operativi ne sono stati considerati solo 852 di
seguito riportati in rapporto al singolo rischio.
84
Numero di criticità osservate
Rischio
Failed mandatory reporting
obligation
Descrizione
Numero
Comunicazioni obbligatorie
264
Software
Software
37
Accounting error
Errori contabili o di attribuzione
57
Data entry
Manutenzione e caricamento dati
460
Misappropriation of assets
Appropriazione indebita
34
Totale
852
ritardate o fallite
Il secondo step consiste nell’introduzione del modello LDA, considerando la
descrizione fatta nei paragrafi precedenti riportiamo in questa sede solo i risultati.
Per semplificare si è deciso di rinominare la criticità individuate, come rischio 1,
rischio 2 etc..
Sulla base degli elementi ricavati dalla fonte esterna di dati a nostra disposizione, è
stato possibile stimare i parametri delle distribuzioni utilizzando, come abbiamo
appreso, la Poisson per la frequenza e la Lognormale per l’impatto economico. Il
processo di stima è stato realizzato oltre che dati aziendali, da un database molto più
ampio considerando le analoghe tipologie di rischio. I parametri sono stimati
utilizzando tecniche di massima verosimiglianza.
Lognormale
rischio 1
rischio 2
rischio 3
rischio 4
rischio 5

-12,38030
-10,24330
-10,82060
-10,78880
-11,89080
Poisson

2,43608
1,68420
1,78220
1,83350
2,16750

3,83877
0,95060
5,02630
5,04300
42,95650
In un secondo momento, in base a dette distribuzioni, sono state effettuate attraverso il
metodo Monte Carlo diecimila simulazioni
i cui risultati sono le distribuzioni
aggregate delle perdite. Nonostante il processo sia stato descritto in precedenza, è
opportuno riepilogarlo brevemente per adattarlo al caso in esame:
I.
II.
III.
Generazione di una determinazione di n della variabile aleatoria “numero delle
perdite” (Poisson);
Simulazione delle n perdite dalla distribuzione dell’ammontare (Lognormale);
Somma delle n perdite simulate per ottenere la perdita aggregata annua;
85
IV.
Ripetizione dei precedenti passi un numero sostenuto di volte per pervenire
alla distribuzione aggregata delle perdite, diecimila nel nostro caso.
Ottenute le distribuzioni aggregate il passo successivo sarà quello di definire le
perdite, con un certo livello di confidenza, attraverso il VAR. Fissata la probabilità α il
VAR a livello α, definito come l’importo VARα , rappresenta la massima perdita che può
essere superata solo con probabilità 1- α, entro l’orizzonte temporale stabilito:
𝑉𝑎𝑅𝛼 𝑥 = 𝑖𝑛𝑓 𝑥 ∈ ℝ | Pr 𝑋 > 𝑥 ≤ 1 − 𝛼
ossia il quantile di ordine alpha della distribuzione delle perdite sarà dato da:
𝑉𝑎𝑅𝛼 𝑥 = 𝐹 −1 (𝛼)
dove “F” indica la funzione di distribuzione cumulata delle perdite X.
Al fine di calcolare il tutto necessitiamo di un foglio elettronico di calcolo. Le perdite
infine sono state “normalizzate” e divise quindi per il “total asset”, sono indicate nella
tabella seguente:
Livello di confidenza
R
Descrizione
95%
99%
99,5%
99,9%
1 Comunicazioni obbligatorie
0,0000331
0,0001264
0,0002179
0,0007593
2 Software
0,0000684
0,0002269
0,0003390
0,0008671
3 Errori contabili o di
0,0000327
0,0000779
0,0001030
0,0002083
4 Manutenzione e
0,0000369
0,0000903
0,0001266
0,0002483
5 Appropriazione indebita
0,0001986
0,0004177
0,0005668
0,0010008
ritardate o fallite
attribuzione
caricamento dati
Nel dettaglio la tabella riporta il valore del VAR per unita di capitale per ogni singolo
rischio e per quattro diversi livelli di confidenza.
Attraverso ulteriori analisi effettuate dagli analisti interni, inoltre, è stato possibile
procedere alla quantificazione del contributo al rischio totale di ciascuno dei cinque
rischi analizzati. Rendendo operativi i risultati ottenuti, è stato effettuato lo studio sul
processo paghe dell’azienda . A tale proposito, nella tabella successiva si evidenzia il
peso percentuale di ciascuno rischio considerando un monte retribuzioni di 335
milioni di euro.
86
Livello di confidenza
R Descrizione
95%
99%
99,5%
99,9%
1 Comunicazioni obbligatorie
9%
13%
16%
25%
2 Software
19%
24%
25%
28%
3 Errori contabili o di
9%
8%
8%
7%
4 Manutenzione e
10%
10%
9%
8%
5 Appropriazione indebita
54%
44%
42%
32%
ritardate o fallite
attribuzione
caricamento dati
Si può affermare che attuazioni di strategie di mitigazione alle varie fattispecie di
rischio riscontrate sono in grado, in base all’analisi aziendale, di ridurre sensibilmente
il VAR in ognuno degli scenari ipotizzati.
Questa affermazione è stata concretizzata grazie alla realizzazione un’analisi di
sensitività effettuata sul processo delle paghe, eliminando di volta in volta un fattore di
rischio per evidenziare i risultati del VAR in ogni circostanza75.
L’esposizione di tale analisi avverrà nelle tabelle seguenti76:
Rischio eliminato: Comunicazioni obbligatorie ritardate o fallite
Indipendenza
75
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
95%
89
100
105
113
99%
176
203
224
274
99.5%
233
263
315
381
99.9%
355
466
525
774
L’analisi di sensitività è stata svolta per quattro scenari di correlazione differenti così definiti: Indipendenza
𝜌 = 0 , debole dipendenza 𝜌 = 30% , forte dipendenza 𝜌 = 60% e perfetta dipendenza 𝜌 = 100% che
equivale alla somma dei singoli VAR.
76
Importi delle successive tabelle espressi in migliaia di euro.
87
Rischio eliminato: Software
Indipendenza
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
95%
79
89
93
100
99%
134
154
170
208
99.5%
208
235
281
340
99.9%
341
448
504
743
Rischio eliminato: Errore contabile o di attribuzione
Indipendenza
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
95%
89
100
105
113
99%
187
214
237
289
99.5%
255
288
345
417
99.9%
440
578
651
960
Rischio eliminato: Manutenzione e caricamento dati
Indipendenza
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
95%
88
99
104
111
99%
182
210
232
283
99.5%
252
285
341
412
99.9%
435
572
644
950
Rischio eliminato: Appropriazione indebita
Indipendenza
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
95%
45
50
53
57
99%
114
130
144
176
99.5%
161
182
217
263
99.9%
322
423
476
702
88
Queste tabelle mostrano le potenziali perdite che il gruppo può subire a seguito di
problemi operativi del processo esaminato. Gli importi scaturiscono da una stima
effettuata tarando su dati esogeni i parametri delle variabili casuali che rappresentano
severity e frequency delle perdite e misurando le loss operative sul processo gestito
dalla area RUO. Le stime sono replicate per diversi livelli di correlazione tra i rischi
analizzati, varia dall’ipotesi di perfetta indipendenza a quella di perfetta dipendenza.
Per rendere la giusta importanza agli esiti raggiunti riportiamo i risultati aggregati dei
quattro scenari e ne analizziamo gli scenari estremi:
Indipendenza
Debole
Forte
Perfetta
Dipendenza
dipendenza
dipendenza
Media
42
42
42
42
95%
98
110
115
124
99%
203
233
258
314
99.5%
277
313
375
453
99.9%
473
622
701
1032
Analizziamo gli scenari estremi, i numeri evidenziano che:
 In corrispondenza di un livello di confidenza del 99% la perdita operativa
oscilla tra 203 e 314 migliaia di Euro;
 In corrispondenza di un livello di confidenza del 99.5% la perdita operativa
oscilla tra 277 e 453 migliaia di Euro;
 In corrispondenza di un livello di confidenza del 99.9%, livello di confidenza
utilizzato per il calcolo del VAR in ambito bancario) la perdita operativa oscilla
tra 437 e 1032 migliaia di Euro;
In conclusione, quanto precede dimostra che esiste una probabilità non marginale di
subire perdite molto elevate a seguito del manifestarsi di rischi operativi che insistono
naturalmente sui processi di RUO. Si può notare come con un aumento del livello di
confidenza dello 0.9% (da 99% a 99.9%) la perdita massima potenziale aumenta di
oltre 3 volte tanto (da 314 a 1032). La perdita potenziale in questione è crescente al
crescere della quantità monetaria che viene gestita nei processi esaminati.
89
90
Considerazioni conclusive
Le iniziative di Risk Management intraprese nelle imprese hanno spesso una
durata breve, a volte stagionale, nate in modo occasionale da esigenze di
quotazione in borsa valori o da segnalazioni fatte dai revisori esterni o dagli
auditor interni, meditato per richiamare l’attenzione del management su temi che,
in un dato momento, sono alla valutazione del vertice e degli stakeholder. Il tutto è
confermato dall’indagine svolta dalla KPGM che attesta che il 24% delle aziende
che hanno intrapreso processi di ERM effettua la mappatura dei rischi solo quando
ritenuto necessario, mentre il 25% del campione effettua la mappatura dei rischi
con periodicità trimestrale e un altro 42%, sistematicamente, su base annuale. Non
appena la tensione si allenta, perché risposte incoraggianti sono date dal vertice o
perché l’attenzione del management viene attratta da nuove urgenze, queste
iniziative, prive di solide radici organizzative, si spengono, senza aver prodotto
sostanziali mutamenti nei sistemi di gestione.
Nell’esperienza del Gruppo Telecom Italia, il processo di Enterprise Risk
Management nasce a seguito della volontà del vertice aziendale di fare dell’ERM
uno strumento utilizzato dal management per la gestione sistematica dei rischi
all’interno del Gruppo. La scelta di fondo operata dal vertice di posizionare l’ERM
fra gli strumenti di governance, indica la quantità e qualità della partecipazione
del management al processo come principale obiettivo assegnato all’iniziativa nella
sua implementazione. I momenti di incontro-confronto dei decisions maker hanno
assolto, nelle fasi iniziali del progetto, funzioni di allineamento degli obiettivi
individuali agli obiettivi del Gruppo e di business unit. E’ stata proprio l’elevata
partecipazione dei manager a realizzare un’enfatizzazione degli aspetti sostanziali
del progetto.
Emerge con chiarezza dall’esperienza esaminata come si sia rinunciato
all’adozione di sofisticate metodologie d’identificazione dei rischi a favore di un
approccio pragmatico, facilmente trasferibile al management e pienamente da
questo accettato, anche per la scelta di centrarlo sull’identificazione dei fattori che
possono compromettere il conseguimento degli obiettivi aziendali. Elevata
partecipazione del management e centralità degli obiettivi aziendali sono i due
tratti che, più di altri, testimoniano l’allineamento dell’approccio seguito dal
Gruppo Telecom Italia rispetto ai punti di riferimento dati dal COSO Report77 e
accolti dai regolamenti di corporate governance in tema di controllo interno.
Avendo creato le condizioni per una mutua comprensione, tutte le parti interessate
77
COSO, 2006, “La gestione del rischio aziendale, ERM – Enterprise Risk Management: modello di riferimento e
alcune tecniche applicative”, il Sole 24 Ore.
91
potranno esprimersi con lo stesso linguaggio e comunicare in modo più efficace.
La scelta di promuovere un attivo coinvolgimento del management ha determinato
alcune conseguenze di grande rilievo. In primo luogo, al fine di promuovere una
partecipazione attiva e convinta dei decisions maker all’interno dell’iniziativa, i
vertici aziendali hanno manifestato di volere fortemente la stessa, facendone un
progetto strategico di gruppo, collocato all’interno di un più vasto sistema
d’interventi sulla corporate governance. In secondo luogo, la partecipazione
persuasa ha necessitato di tempi prolungati, essendovi la necessità di migliorare
continuamente il supporto organizzativo, i manager infatti devono poter ricevere
supporto metodologico adeguato a esprimere il loro potenziale conoscitivo e il loro
patrimonio di conoscenze deve poter trovare punti di accumulazione e strumenti
di diffusione all’interno del gruppo. In terzo luogo, la partecipazione attiva del
management all’interno di un Gruppo così articolato e dalle dimensioni di Telecom
Italia deve essere perfettamente governato al fine di evitare che le spinte adattive
provenienti dalle singole unità di business possano compromettere l’unitarietà del
progetto di gruppo. Il quadro che si presenta è dunque quello di un progetto di
estrema complessità.
In conclusione, l’esperienza del Gruppo Telecom Italia testimonia come il
Risk Management, per poter essere strumento di miglioramento della gestione, non
possa e non debba risolversi in un unico esercizio, non debba rivolgersi
limitatamente ad un unico ufficio di corporate, al riparo della realtà quotidiana
vissuta dal management. Esso deve diventare uno strumento a supporto del
management, utile al conseguimento degli obiettivi aziendali.
In generale, alla luce di quanto illustrato, è opportuno considerare che un
processo di Enterprise Risk Management se da un lato consente di ottenere
importanti benefici, dall’altro presenta anche dei limiti. Questi ultimi sono
determinati da scelte errate e da disfunzioni causate da precedenti scelte o da
semplici errori. Tali limiti impediscono al vertice aziendale e al management di
avere l’assoluta certezza in merito al raggiungimento degli obiettivi aziendali. E’
opportuno, quindi, imputare all’Enterprise Risk Management la giusta attenzione,
se da una parte può essere un valido processo utile a conseguire gli obiettivi
aziendali e soddisfare i diversi stakeholder interessati al successo dell’impresa,
dall’altro, può disorientare gli stessi manager se nei risultati ottenuti non ci si
avvede di aver commesso degli errori.
Per rendere l’ERM un processo efficace ed efficiente è opportuno coinvolgere
tutti gli attori dell’organizzazione al fine di orientare l’intera gestione a processi
produttivi di qualità. All’interno di un’impresa, tuttavia, non è semplice far
condividere a tutto il personale un’idea comune, anche se vincente. L’azienda, per
superare questo limite, dovrebbe fare ricorso, oltre alle metodiche citate, alla
92
formazione del personale al fine di “educare” tutti gli attori dell’impresa a
condividere il processo di gestione del rischio. Successivi miglioramenti frutto delle
esperienze accumulate, potranno completare il percorso intrapreso verso la ricerca
di strumenti sempre migliori capaci di incrementare la capacità di analisi delle
imprese in contesti sempre più “rischiosi” in modo da rendere il processo ERM uno
strumento fondamentale per il raggiungimento degli obiettivi aziendali, utile a
garantire il successo dell’impresa.
Sebbene in Italia la gestione del rischio non sia una pratica molto diffusa, ci
sono tutte le premesse perché lo diventi o debba diventarlo. Nel nuovo paradigma
della “società del rischio” ci sono, infatti, alcuni elementi strutturali che rendono il
risk management una vera e propria priorità:

con la globalizzazione dei mercati e la competitività sempre più
stringente, le imprese si confrontano quotidianamente con la
complessità, l’incertezza e la volatilità dei risultati;

la comunità finanziaria e tutti gli stakeholder mettono sempre di più
sotto pressione le aziende. Si aspettano che le imprese siano in grado
di prevedere, analizzare e gestire i rischi, anche e soprattutto quelli
cosiddetti emergenti, che hanno impatti potenzialmente devastanti
sulla posizione e la reputazione delle imprese;

la fiducia è destinata a diventare una delle merci più preziose e rare
nel rapporto tra l’impresa e il mercato. In questa prospettiva è
essenziale l’introduzione di processi e sistemi idonei a prevenire
nuove patologie aziendali o collassi dei sistemi di controllo;
Come mostrano chiaramente i risultati, un processo direzionale di risk
management permette alle aziende di creare valore preservando o migliorando la
propria reputazione sul mercato. Si tratta di contribuire a creare una nuova
cultura organizzativa, proiettata verso processi di crescita sostenibile. Una delle
sfide più importanti riguarda non solo e non tanto l’effettiva implementazione di
un sistema efficace di Enterprise Risk Management ma anche la disponibilità di
modelli di misurazione del valore creato. E’ dunque necessario che le aziende
realizzino sistemi d’identificazione, assessment, gestione e monitoraggio dei rischi
(sebbene con modalità e livelli di sofisticazione diversi) che si estendano a tutte le
aree ed i processi aziendali dove risiedono potenzialmente i rischi stessi.
93
Bibliografia

Adrian J. Slywotzky e John Drzik di Mercer , Aprile 2005 Harvard Business
Review.

Amit, R. and C.Zort 2001. “Value creation in e-business”, Strategic
Management Journal.

Ammann M., Berlin, 2001 “Credit Risk Valuation. Methods, Models, and
Applications”.

Amministrazione e Finanza Oro Sett-Ott 2007. ERM “Casistiche aziendali di
rischi operativi”.

Beretta. S, Milano 2004. “Valutazione dei rischi e Controllo Interno” Università
Bocconi Editore.

Bertini U., 1968, “Introduzione allo studio dei rischi in economia aziendale”,
Giuffrè Editore S.p.A., Milano.

Bolisani E., Galvan R. “La simulazione Monte Carlo: appunti integrativi”.

Brogan J.C., D’arcy S.P. Maggio 2001. “Journal of Risk Management of Corea”.

Committee of Sponsoring Organizations of the Treadway Commission (COSO)
1992. “Internal Control – Integrated Framework”.

Committee of Sponsoring Organizations of the Treadway Commission(COSO)
Aprile 2006. “La gestione del rischio aziendale” .

Committee of Sponsoring Organization (CoSO) 2004 , “Enterprise Risk
Management – Integrated Framework” .

Crowe R.M., Horn R.C., vol. 34, 1967 “The meaning of risk, in «Journal of Risk
and Insurance»”.

D’Avino D., De Rosa M., Ferrara F., La Pietra M.P., Letterese L., Scarpa S.,
Germano M.R., “I concetti di rischio”.

Floreani, Parma, 2005 “Introduzione al Risk Management” , Etas.

Forestieri G., 1996, “Risk management:strumenti e politiche per la gestione dei
rischi puri dell’impresa”, E.G.E.A. S.p.A., Milano.

Fortunato. S, M .Livatino, P. Mantovano, N. Pecchiari; “L’Enterprise Risk
Management”.

Franchot A., Moudoulaud O., Roncalli T. 2003. “Loss Distribution Approach in
Practice”.
94

Galiani, Polimeni, Proietti, 2003 “Credit derivates e cartolarizzazione.
Metodologie e analisi dei rischi” , Il sole 24ore.

Giorgino M., Travaglini F., Febbraio 2008, “Il risk management nelle imprese
italiane”, Il Sole 24 Ore.

Girino E. Milano, 2001 “I contratti derivati”, Giuffrè.

Glossario Economico a cura del professore Paolo Bastia.

Knight F. H. Firenze 1921, “Rischio, incertezza e profitto” La Nuova Italia.

KPMG. Novembre 2001”Enterprise Risk Management. An emerging model for
building shareholder value”.

KPMG, in collaborazione con l’Osservatorio di Revisione della Scuola di
Direzione Aziendale dell’Università Bocconi, 2010. “Corporate Governance,
Enterprise Risk Management e disclosure al mercato: a che punto sono le
società quotate italiane?”.

Pignolo P., Milano 2002, “La gestione e la ritenzione del rischio d’impresa”,
Franco Angeli Editore.

Sinibaldi A., 2007, “Risk Management”, Hoepli Editore.

Standards Australia/Standards New Zealand, 1999.

Vaughan, 1997 (manca il titolo).
Siti internet

airmic.com

compliancysoftware.com

coso.org

edisoncasa.it

enel.com/enelenergia

finanzaonline.com

fortaris.com

isacaroma.it

Kubica.eu

Kpmg.com/it

liberatoscioli.it

Mediaset.it

proxyma.it
95

puntosicuro.it

ragionpolitica.it

sostenibilita.fiatgroup.com

studiofonzar.com

tagetik.it

telecomitalia.com

unicreditbanca.it

unicreditgroup.eu

wikipedia.it
96