ENTERPRISE RISK
MANAGEMENT
L’Enterprise
Risk Management (ERM) è “un processo attuato dagli Amministratori
e dal Management di ciascuna struttura aziendale nell’ambito della
definizione delle strategie e riguarda tutta l’organizzazione, al fine di
identificare gli eventi potenziali che possono influenzare l’organizzazione,
e gestire i rischi entro il livello di rischio ritenuto accettabile, al fine di
fornire una ragionevole certezza del raggiungimento degli obiettivi. “ (*)
·
è un processo;
·
attuato dagli Amministratori, dal Management
e dal resto del personale;
·
è applicato nella definizione delle strategie e riguarda
tutta l’azienda;
·
è disegnato al fine di gestire i rischi nell’ambito di
un livello di rischio accettabile;
·
fornisce la ragionevole certezza del raggiungimento degli obiettivi.
(*) Definizione ufficiale Enterprise-wide
Risk Management emanato dal CoSO settembre 2004 (Committee of Sponsoring
Organisations of the Treadway Commissions)
Cerchiamo di descrivere il framework maggiormente riconosciuto e
proposto nel citato documento CoSo ERM.
L’obiettivo è di definire gli elementi di un sistema di Enterprise Risk
Management che costituiscono la struttura del Modello per ciascuna azienda.
Infatti, trattandosi di un cambiamento culturale nella gestione del rischio
aziendale, ma soprattutto, di un sistema a disposizione del management per la
corretta gestione del rischio a beneficio della creazione del valore, qualsiasi
framework di Erm deve essere creato e plasmato ad immagine e somiglianza
dell’organizzazione.
I fondamenti evidenziano che l’ERM è un processo attuato dal
Board e dal Management atto a identificare
gli eventi che possono interessare l’azienda, valutare i rischi e definirne il livello di accettabilità, in modo tale da consentire di impostare strategie, organizzazione ed
operatività dell’azienda, aventi lo scopo di fornire una ragionevole
certezza che i processi/presidi, così definiti, siano efficacemente finalizzati
al raggiungimento degli obiettivi aziendali prefissati.
CoSO ERM
- settembre 2004
ELEMENTI C.o.S.O. ERM
L’ambiente
interno dell’organizzazione è fondamentale per tutti gli altri componenti
dell’Enterprise Risk Management, in quanto costituisce l’elemento
che fornisce la necessaria disciplina e struttura del processo di ERM. Infatti,
l’ambiente interno influenza la definizione delle strategie e degli
obiettivi aziendali, la strutturazione delle attività di business,
l’identificazione, la valutazione e la gestione dei rischi. Inoltre, esso
influenza sia la progettazione ed il funzionamento delle attività di controllo
e di monitoraggio delle attività, sia i sistemi di informazione e comunicazione.
L’ambiente
interno è composto da molteplici fattori, inclusi i valori etici, la competenza
e lo sviluppo del personale, le modalità di operare del management e come
quest’ultimo potrà assegnare i poteri e responsabilità.
La conoscenza degli obiettivi
aziendali è indispensabile per individuare gli eventi che possono
ostacolarne il raggiungimento. Ciò comporta che gli obiettivi aziendali
generano obiettivi “derivati” specifici dei singoli
processi/funzioni aziendali che sono normalmente riflessi nelle disposizioni
organizzative. Gli obiettivi del processo/funzione aziendale vengono
usati come guida per l’identificazione e valutazione dei rischi.
L’Enterprise Risk
Management si accerta che il management adotti un processo definito sia per la
determinazione degli obiettivi che per l’allineamento degli obiettivi con
la mission/vision dell’organizzazione coerentemente con il risk appetite.
Gli obiettivi possono essere osservati nell’ambito delle
seguenti quattro categorie [1]:
1
strategici – concernente gli obiettivi di alto
livello, allineati e mirati al raggiungimento della mission;
2
operativi – concernente l’efficacia e l’efficienza
della gestione dell’organizzazione, comprese le prestazioni e gli
obiettivi di profitto. Essi variano sulla base delle scelte del management,
circa la struttura e la performance;
3
reporting – concernente l’efficacia del reporting
dell’organizzazione. Includono il reporting interno ed esterno e possono
essere incluse informazioni finanziarie e non finanziarie;
4
conformità – concernente la conformità alle leggi ed
ai regolamenti applicabili.
Questa categorizzazione degli obiettivi, permette al Consiglio di
Amministrazione e al Top Management, di focalizzarsi sui diversi aspetti
dell’Enterprise Risk Management.
[1] Categorie dell”Enterprise
Risk Management – Integrated Framework CoSO”
E’ la corretta identificazione di rischi ed opportunità. Il management deve considerare, come elemento per
l’identificazione di un evento, fattori esterni ed interni che possono
interessarlo. I fattori esterni,
sono quelli economici, ambientali, politici, sociali e tecnologici. I fattori interni, invece, riflettono le scelte
del management e includono fattispecie come infrastrutture, personale, processi
operativi e tecnologia.
Le metodologie di identificazione degli eventi devono comprendere una combinazione
di metodologie e strumenti di supporto e devono osservare sia il passato che il
futuro.
Il processo
di valutazione dei rischi permette di considerare come eventi potenziali
possano interessare il raggiungimento degli obiettivi di business. Esso avviene
attraverso la combinazione di due fattori: la probabilità e l’impatto.
La
probabilità considera la possibilità che un dato evento si verifichi, mentre,
l’impatto considera l’effetto che potrebbe verificarsi
La
metodologia di valutazione dei rischi è applicata prioritariamente per il rischio
inerente, cioè il potenziale rischio in assenza di tutte le azioni che il
management potrebbe intraprendere per alterare la probabilità o l’impatto
del rischio. Una volta che le risposte al rischio sono state sviluppate, il
management, successivamente, utilizza tecniche di valutazione dei rischi per
determinare il rischio residuale, cioè il rischio rimanente dopo le azioni
poste in essere per alterare la probabilità e l’impatto.
Le stime del
rischio secondo la probabilità e l’impatto, possono essere determinate
utilizzando dati derivanti dallo studio di eventi accaduti nel passato; ciò può
fornire una base più obiettiva rispetto alle valutazioni interamente
soggettive. Infatti, dati storici che si basano sull’esperienza tipica
aziendale, possono riflettere un’interpretazione meno soggettiva e
fornire un risultato migliore rispetto ai dati che provengono da fonti esterne.
Tuttavia, nei
casi in cui i dati storici contenuti nei database aziendali, costituiscano
l’input primario, i dati esterni devono essere utili come elementi di
controllo e per migliorare l’analisi.
Le best practices prevedono approcci di misurazione del rischio
misti attraverso una combinazione di tecniche qualitative e quantitative:
- qualitative. Questi approcci cercano di
individuare i molteplici fattori che potrebbero rappresentare un rischio
aziendale (importanza per il business degli asset, requisiti normativi,
immagine ed altro);
- quantitative.
Questi approcci privilegiano indicatori di tipo economico, ad esempio i valori
a bilancio dei beni analizzati, dati dimensionali sulle aree e processi.
Il management
deve utilizzare tecniche di valutazione
qualitativa quando:
• la tipologia di rischio non si presta
a valutazioni quantitative;
• i dati richiesti per le valutazioni
quantitative non sono disponibili;
• la verifica o l’analisi dei
dati non è efficace in termini di costi.
Le tecniche quantitative, generalmente, sono più
precise e sono utilizzate in attività più complesse e sofisticate per integrare
le tecniche qualitative.
Poiché i
rischi sono valutati nel contesto della strategia e degli obiettivi, il
management deve porre l’attenzione sulla valutazione dei rischi di
breve-medio periodo. Comunque, alcuni elementi che riguardano obiettivi e
strategie, si estendono al lungo termine. Di conseguenza, il management, deve
essere cosciente dei tempi più lunghi e non ignorare rischi ulteriori che non
dovessero essere stati considerati.
Le opzioni di
risposta al rischio devono considerare:
• gli effetti della probabilità e
dell’impatto impatto sugli eventi, rispetto alle tolleranze del rischio,
dei singoli rischi e a livello globale.
• il costo-beneficio dei progetti e
delle implementazioni delle opzioni di risposta al rischio.
Un efficace
sistema di Enterprise Risk Management richiede che il management selezioni
delle risposte al rischio che garantiscano la probabilità e l’impatto del
rischio entro i limiti di tolleranza accettata.
Le risposte
al rischio si distinguono in:
• MITIGAZIONE - azioni volte a ridurre la
probabilità o l’impatto del rischio o entrambe le cose. Possono essere
realizzate attraverso l’implementazione di adeguati controlli (verifiche
periodiche, metodologie, procedure, ecc.)
• TRASFERIMENTO
- azioni per ridurre la probabilità o l’impatto del rischio attraverso il
trasferimento totale o altrimenti cedendone una parte, ad esempio il
trasferimento assicurativo.
• ACCETTAZIONE
- non si producono azioni. Possono riguardare un’accettazione completa
oppure un’accettazione con riserva, ad esempio con la contabilizzazione
di perdite potenziali.
• ELIMINAZIONE
- azioni volte a non intraprendere o ad uscire dall’attività che genera
aumento del rischio.
Attraverso
l’Enterprise Risk Management, per ogni rischio significativo, si scelgono
le giuste risposte potenziali, dalle precedenti categorie di risposta, e il
management valuta il rischio su base residuale. Selezionata la specifica
risposta al rischio, è poi chiamato a prendere visione dell’intero
portafoglio rischi, per determinare se il profilo di rischio di tutta
l’azienda sia proporzionato al relativo risk appetite generale.
6) Attività di Controllo
Una volta
identificate le risposte al rischio, il management individua le attività di
controllo necessarie a garantire che le risposte al rischio siano attuate
tempestivamente e in modo appropriato.
Le attività
di controllo sono costituite dalle prassi e dalle procedure che aiutano ad
accertare che la risposta al rischio sia correttamente eseguita. Esse avvengono
in ogni settore, a tutti i livelli e in ogni funzione aziendale e sono già
parte del processo attraverso il quale l’impresa si sforza di realizzare
il relativo obiettivo di business.
Nel
selezionare le attività di controllo necessarie, il management deve tener conto
delle loro correlazioni nell’ambito dei processi. In alcuni casi, la
stessa attività di controllo può svolgersi su
molteplici ambiti di rischio. In altri casi, diverse attività di
controllo possono essere necessarie su uno specifico rischio. In altri ancora
il management potrebbe ritenere che le attività di controllo esistenti risultino già sufficienti a
garantire che le nuove risposte al rischio siano attuate efficacemente.
7) Informazione e Comunicazione
Informazioni
provenienti da fonti interne ed esterne devono essere identificate,
formalizzate, e comunicate, secondo forme e modalità che evitino al personale
di non prendere le proprie responsabilità.
In altre
parole, le informazioni più importanti devono essere identificate, registrate e
comunicate nei modi e nei tempi necessari per rendere il personale cosciente e
responsabile dei propri compiti.
Le
informazioni sono allineate ad una o più categorie di obiettivi e provengono da molte fonti, sia interne che
esterne, sia in forme quantitativa che qualitativa; esse permettono
all’Enterprise Risk Management di poter dare risposte in tempo reale al
cambiare delle condizioni. Di ausilio a tale compito sono le infrastrutture dei
sistemi informativi che generano,
catalogano, analizzano e riportano informazioni rilevanti.
8) Monitoraggio
l’Enterprise
Risk Management deve essere monitorato attraverso un processo che valuta sia il
funzionamento di tutti i suoi componenti, sia la qualità della loro performance
nel tempo. Il monitoraggio può essere fatto in due modi: attraverso attività
continue o con valutazioni settoriali. Il monitoraggio continuo o settoriale,
assicura che l’Enterprise Risk Management sia applicato a tutti i livelli
e presente – trasversale all’ attraverso l’organizzazione.
VIA BROLO, 30 – 00133 ROMA – ITALY
Copyright © 2000-2006
P i e r l u i g i L i b e r a t
o s c i o l i