Download
1 / 47
470 likes | 611 Views
UNIVERSITA’ DEGLI STUDI DI PAVIA FACOLTA’ DI ECONOMIA CORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO PERIODO: II SEMESTRE DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI.
E N D
UNIVERSITA’ DEGLI STUDI DI PAVIAFACOLTA’ DI ECONOMIACORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO PERIODO: II SEMESTRE DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI Enterprise risk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative
ENTERPRISE RISK MANAGEMENT E GESTIONE STRATEGICA DEI RISCHI FRAMEWORK, MODELLI QUANTITATIVI, SISTEMI DI SUPPORTO E SCELTE ORGANIZZATIVE - 1[21a] • Sistema di controllo interno • ERM: definizione • Obiettivi aziendali • Componenti dell’ERM • Legami tra obiettivi e componenti • Efficacia e limiti del modello • Ruoli e responsabilità • Tecniche applicative OBIETTIVI DELLA SESSIONE
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT SISTEMA DI CONTROLLO INTERNO: EVOLUZIONE VERSOL’ENTERPRISE RISK MANAGEMENT (ERM)
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno Sistema di controllo interno: evoluzione verso l’ERM Un buon sistema di controllo, rappresentato dalle linee d'azione e dalle procedure adottate dalla direzione aziendale, garantisce la copertura dai rischi principali a cui l’impresa è esposta, ed assicura l’assenza di errori materiali in bilancio. Il CoSO Report (1992) introduce la definizione del Sistema di Controllo Interno, individuandone i 3 obiettivi (attendibilità, economicità, conformità alle normative) e le 5 componenti (ambiente di controllo, sistema informativo, attività di controllo, valutazione dei rischi, monitoraggio) L’attore del controllo non è più un soggetto distinto e distante da chi esercita mansioni operative Viene dato spazio all’internal auditor, il cui ruolo è valutare l’adeguatezza del SCI progettato dai manager operativi.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno Sistema di controllo interno: evoluzione verso l’ERM (segue) Intendendo il controllo inteso quale leva a disposizione del management per mitigare l’esposizione ai rischi, allo stesso non è più affidato il solo compito di raggiungere risultati, ma anche di individuare i rischi che compromettono il raggiungimento dei risultati e di porre in essere le contromisure in grado di diminuire gli effetti negativi correlati all’esposizione ai rischi o di trasferirli ad altri. Viene enfatizzata quale skill manageriale l’attitudine a prevenire i rischi piuttosto che la capacità di curare le conseguenze della loro manifestazione. I manager devono dimostrarsi capaci di gestire convenientemente situazioni in continuo divenire (accountability dei manager). Si parla di “gestire i rischi”, ovvero di diffondere un sistema di corporate governance basato sulla cultura della prevenzione dei fenomeni, accompagnata dall’utilizzo di strumenti in grado di ridurre la probabilità di accadimento degli eventi rischiosi e di circoscriverne l’impatto negativo (ciò è particolarmente utile nei contesti dinamici) Aumenta l’attenzione verso rischi non economici (sociali, ambientali, etici) a beneficio delle diverse categorie di stakeholder con cui l’azienda si relaziona.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno • Sistema di controllo interno: evoluzione verso l’ERM (segue) • In sostanza con l’implementazione del modello ERM ci si prefigge l’obiettivo di • avere all’interno della società: • uno strumento di valutazione sistematica dei rischi; • il rafforzamento della cultura dei rischi. • Il raggiungimento di tali obiettivi passa attraverso una sostanziale rivisitazione ed upgrade del concetto stesso di Sistema di Controllo Interno.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno • Sistema di controllo interno: evoluzione verso l’ERM (segue) • L’approccio al rischio era tradizionalmente caratterizzato da: • focus sull’identificazione e la valutazione dei rischi • percezione dei rischi come eventi estranei al business e alle • strategie • mappatura e monitoraggio di tutti i rischi potenziali • implementazione di controlli per ridurre tutti i rischi • mancanza di tecniche di misurazione (soggettività nella valutazione) • attitudine di tipo reattivo
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno • Sistema di controllo interno: evoluzione verso l’ERM (segue) • Nelle slide seguenti viene analizzato il modello ERM, come evoluzione del modello di controllo interno presentato precedentemente. • In particolare, un moderno approccio al rischio è caratterizzato dai seguenti aspetti: • il risk management è un processo di tipo strategico; • i rischi sono classificati per tipologie e raggruppati in un portafoglio dei rischi (risk profile) specifici dell’impresa; • l’attenzione è riposta sui rischi più critici; • il portafoglio dei rischi è ottimizzato;
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Sistema di controllo interno • Sistema di controllo interno: evoluzione verso l’ERM (segue) • Nelle slide seguenti viene analizzato il modello ERM, come evoluzione del modello di controllo interno presentato precedentemente. • In particolare, un moderno approccio al rischio è caratterizzato dai seguenti aspetti: • esistenza di una strategia di rischio (risk appetite e risk response); • i rischi sono misurati e monitorati; • le responsabilità di gestione dei rischi sono definite a tutti i livelli aziendali; • l’attitudine dell’impresa nei confronti degli eventi incerti è di tipo proattivo, tesa cioè a prevenire piuttosto che a gestire.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – ERM: definizione Definizione di EnterpriseRisk Management (ERM) Tutte le aziende devono affrontare eventi incerti. L’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente accrescere o ridurre il valore dell’azienda. Il management ha il compito di creare valore per gli stakeholders dell’impresa affrontando efficacemente le incertezze e i conseguenti rischi e opportunità. Questo può essere consentito dall’Enterprise Risk Management (ERM), che viene definito come segue:
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT ERM: DEFINIZIONE
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – ERM: definizione Definizione di EnterpriseRisk Management (ERM) La gestione del rischio aziendale è un processo, posto in essere dal Consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – ERM: definizione Definizione di EnterpriseRisk Management (ERM) Questa definizione estensiva, racchiude i concetti chiave, fondamentali per capire come le aziende devono gestire il rischio; fornisce i criteri base da applicare in tutte le organizzazioni, quale che sia la loro natura. Si focalizza direttamente sul raggiungimento degli obiettivi di una specifica organizzazione e fornisce i criteri per valutare l’efficacia dell’ERM stesso.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT OBIETTIVI AZIENDALI
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Obiettivi aziendali • Obiettivi aziendali • Il management definisce la strategia aziendale e fissa gli obiettivi specifici; li assegna a vari livelli della struttura organizzativa. • L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle seguenti categorie: • strategici: sono di natura generale e definiti ai livelli più elevati della struttura organizzativa, allineati e a supporto della missione aziendale; • operativi: riguardano l’impiego efficace ed efficiente delle risorse aziendali; • di reporting:riguardano l’affidabilità delle informazioni fornite dal reporting; • di conformità: riguardano l’osservanza delle leggi e dei regolamenti in vigore.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Obiettivi aziendali Obiettivi aziendali Gli obiettivi riguardanti l’affidabilità del reporting e la conformità a leggi e regolamenti sono sotto il diretto controllo dell’azienda, quindi, l’ERM è in grado di fornire una ragionevole sicurezza per il conseguimento di tali obiettivi. Il conseguimento degli obiettivi strategici e operativi è soggetto a eventi esterni che non sempre rientrano nella sfera di controllo dell’azienda; di conseguenza, la gestione del rischio può solo fornire una ragionevole sicurezza che il management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si stanno realizzando detti obiettivi.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT COMPONENTI DELL’ERM
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Introduzione
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Ambiente interno Ambiente interno L’ambiente interno è largamente influenzato dal consiglio di amministrazione. L’esperienza e la levatura morale degli amministratori, la loro indipendenza dal management, il loro livello di impegno e di supervisione e l’adeguatezza dei loro interventi costituiscono elementi di rilievo dell’ambiente interno. Altri elementi riguardano la loro determinazione nel sollevare e affrontare con il management questioni controverse e delicate riguardanti la strategia, la pianificazione e la performance, e l’interazione tra l’auditcommittee e gli internal auditor e i revisori esterni. La strategia e gli obiettivi di un’azienda e i metodi utilizzati per realizzarli sono basati sulle preferenze, sui giudizi di valore e sullo stile direzionale. L’integrità e i valori etici del management, che si traducono in un codice di condotta, influenzano queste priorità e questi giudizi di valore. Dato che la buona reputazione di un’azienda è preziosa, il codice di condotta deve andare al di là del semplice rispetto della legge.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Definizione degli obiettivi Definizione degli obiettivi (segue) Il rischio è la possibilità che un evento accada e pregiudichi il conseguimento degli obiettivi. Gli obiettivi devono essere fissati dalla direzione prima dell’identificazione degli eventi, in funzione dell’ambiente interno che determina la cultura del rischio (i modi in cui i rischi attesi e inattesi sono concretamente affrontati da chi opera nell’impresa, a loro volta funzione dei valori condivisi) e il rischio accettabile, cioè quel “quantum” di rischio (meglio se quantificato) che l’impresa o ente è disposta ad accettare per la creazione di valore per i propri stakeholders. La creazione di valore si esplicita attraverso l’indicazione della propria missione (o visione, il fine ultimo e generale che un’organizzazione aspira a realizzare), che a sua volta viene perseguita mediante la fissazione di coerenti obiettivi strategici, pochi e di natura generale, di solito stabili nel tempo poiché devono essere correlati al rischio accettabile e alla sua tolleranza (margine di oscillazione proporzionato e accettabile).
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Definizione degli obiettivi Definizione degli obiettivi (segue) Per il conseguimento degli obiettivi strategici la direzione seleziona un’opportuna strategia, cioè un piano qualitativo e generale eventualmente in parte variabile nel tempo, e i coerenti obiettivi operativi (impiego efficace ed efficiente delle risorse dell’impresa nel suo complesso), di reporting (frequenza e affidabilità delle informazioni) e di conformità (o compliance, osservanza delle leggi e dei regolamenti in vigore). Dagli obiettivi operativi discendono gli obiettivi correlati, cioè quei sotto-obiettivi fissati per ogni funzione e area di responsabilità il cui raggiungimento è essenziale per la creazione e preservazione del valore complessivo dell’azienda. E’ fondamentale che siano espressi e in modo quantitativo (mediante valori o KPI, Key Performance Indicator) e controllati continuamente anche qualitativamente (mediante l’evidenziazione degli FCS, i Fattori Critici del Successo). La scelta di tutti gli obiettivi, specie operativi e correlati, è comunque iterativamente connessa alle successive fasi del processo di ERM.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Identificazione degli eventi • Identificazione degli eventi • Gli eventi sono fatti o accadimenti originati da fonti interne (personale, altre risorse, processi, ICT, infrastrutture, ecc.) o esterne all’impresa (economia, politica, ambiente, tecnologia, concorrenza, ecc.) che incidono nell’implementazione della strategia o sul conseguimento degli obiettivi. • Possono avere un impatto (risultato quantitativo e/o effetto qualitativo) positivo o negativo, oppure entrambi. • Gli eventi con impatto negativo rappresentano rischi, quelli con impatto negativo costituisco opportunità. • Con riferimento agli eventi potenziali, la direzione deve: • identificare quelli che potrebbero incidere sull’attività aziendale; • determinare se rappresentano rischi oppure opportunità; • analizzare come i fattori interni ed esterni possono combinarsi e interagire con gli eventi;
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Identificazione degli eventi • Identificazione degli eventi (segue) • valutarne le tipologie di impatto (inclusi correlati e multipli); • per i rischi > analizzare i fattori che richiedono una valutazione e una risposta; • per le opportunità > analizzare gli elementi che potrebbero richiedere un riesame delle strategie definite in precedenza o dei processi in atto di definizione degli obiettivi. • E utile, sin da questa fase, formalizzare queste attività della direzione in una “MAPPA dei RISCHI”, che si presti ad una rilevazione il più possibile quantitativa dei valori economici e dei KPI – pochi ma essenziali – che sono oggetto delle successive fasi del processo di ERM.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Valutazione del rischio • Valutazione del rischio • La valutazione del rischio è la misurazione dell’incidenza di un evento potenziale sul conseguimento degli obiettivi, svolta a tutti i livelli di responsabilità dell’azienda, mediante una approfondita analisi dell’impresa dall’interno e dall’esterno. • La misurazione più utile, talvolta non facile, è quella che mira a stimare il capitale necessario per coprire l’esposizione finanziaria generata dall’impatto economico dell’evento. • La direzione deve misurare, col contributo dei singoli responsabili, questa incidenza in termini di: • probabilità > la possibilità che un evento accada, di solito espressa in %; • impatto > l’effetto dell’accadimento, talvolta difficile da quantificare; • rischio inerente > quello assunto quando non si attiva alcun intervento di risposta al rischio; • rischio residuo > quello che rimane dopo aver attivato una risposta al rischio.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Valutazione del rischio • Valutazione del rischio (segue) • Questa attività di misurazione possono essere effettuate in vari modi, attraverso l’applicazione di metodologie e di tecniche diverse e in parte complementari, da scegliere di caso in caso. • Si possono impiegare tecniche quantitative quali: • benchmarking > analisi e valutazione di competitor mediante bilanci, note integrative, studi di settore, analisi di associazioni di categoria, stampa specializzata; • modelli probabilistici > value at risk, earning at risk, cash flow at risk [ma poco usate per PMI]; • modelli non probabilistici > basati su ipotesi soggettive di impatto senza quantificarne la probabilità, quali analisi di scenario, analisi di sensitività, stress test. • Si possono anche impiegare tecniche qualitative, tra le quali si segnalano le interviste e i workshop, tanto più utili laddove effettuate con interlocutori ben selezionati: esperti esterni e indipendenti (per le interviste) panel molto coerenti con gli effettivi target e non influenzati (workshop).
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Risposta al rischio Risposta al rischio La direzione, valutati probabilità e impatto, seleziona le possibili azioni di risposta in rapporto alla loro capacità di ricondurre ciascun rischio emerso entro i livelli di tolleranza del rischio accettabile. Per selezionare la risposta al rischio più idonea caso per caso è necessario quantificare l’esposizione al rischio, secondo la matrice probabilità/impatto di cui alla slide successiva. Le tipologie di risposta al rischio sono 4: accettare il rischio = monitorarlo, senza intraprendere azioni che incidano su probabilità/impatto; evitarlo = eliminare l’attività che lo determina; ridurlo = attivare azioni e controlli che incidano su probabilità/impatto; condividerlo con terzi = partnership e/o assicurazioni.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Risposta al rischio Risposta al rischio (segue) Alto IMPATTO Basso Alto PROBABILITA’
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Attività di controllo • Attività di controllo • Dopo aver selezionato le risposte al rischio, il management identifica le attività di controllo che aiutano ad assicurare che le risposte al rischio siano eseguite correttamente e nei tempi previsti. • Le attività di controllo costituiscono una parte importante del processo attraverso il quale le aziende si adoperano per conseguire i loro obiettivi. • Le attività di controllo si basano normalmente su due elementi: • le politiche che definiscono ciò che si deve fare; • le procedure che realizzano in pratica le politiche.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Informazione e comunicazione Informazione e comunicazione Tutte le aziende devono identificare e raccogliere una vasta gamma di informazioni relative ad eventi esterni ed interni e alle attività pertinenti alla gestione aziendale. Queste informazioni devono essere trasmesse al personale nei modi e nei tempi necessari per consentire agli stessi di adempiere le proprie responsabilità loro assegnate. È necessario che le informazioni siano diffuse a tutti i livelli della struttura organizzativa per identificare, valutare e rispondere ai rischi e, parimenti, per gestire l’azienda e realizzare i suoi obiettivi.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Monitoraggio Monitoraggio L’intero processo dell’ERM deve essere monitorato e modificato ove necessario. Il monitoraggio si concretizza in interventi continui integrati nella normale attività operativa aziendale o in valutazioni separate, oppure in una combinazione dei due metodi. Spesso le valutazioni prendono la forma di autovalutazioni, mediante la quale le persone responsabili di una particolare unità o funzione determinano l’efficacia dell’ERM nell’ambito della propria attività. Una delle migliori fonti d’informazione sulle carenze del processo di gestione del rischio aziendale è proprio lo stesso processo. L’attività di monitoraggio continuo di un’azienda, comprese le attività manageriali e la supervisione giornaliera del personale, consentono di ottenere informazioni direttamente da coloro che sono coinvolti nell’attività aziendale. I terzi, quali i clienti, i fornitori, i revisori esterni, le autorità di vigilanza e altri che intrattengono rapporti d’affari con l’azienda, spesso forniscono importanti informazioni sul funzionamento del processo di gestione del rischio aziendale.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT LEGAMI FRA OBIETTIVI E COMPONENTI
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Legami tra obiettivi e componenti Legami tra obiettivi e componenti Esiste un rapporto diretto tra obiettivi aziendali e componenti dell’ERM, schematizzabile in una matrice, sotto riportata, detta CoSOFramework. Le quattro categorie di obiettivi sono rappresentate nelle colonne verticali del cubo, le otto componenti nelle righe orizzontali e le unità operative dell’organizzazione sono rappresentate dalla terza dimensione della matrice. Tale modello risulta essere estremamente flessibile in quanto può essere applicato sia all’interno del processo di gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi, alle componenti, alle singole unità operative. La matrice evidenzia, inoltre, come il sistema di controllo interno sia parte integrante dell’ERM.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Legami tra obiettivi e componenti Evoluzione verso l’ERM Di seguito evidenziamo in forma grafica l’evoluzione dal sistema di controllo interno dall’approccio tradizionale all’approccio ERM.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT EFFICACIA E LIMITI DEL MODELLO
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Conclusioni • Benefici dell’ERM • L’analisi costi-benefici può essere articolata come segue: • identificazione e quantificazione dei costi associati al sistema di ERM • formazione • implementazione e manutenzione dei supporti informativi (hardware, software) • consulenza esterna (significativi nella fase di start-up del processo) • personale della funzione di Risk Management • identificazione dei benefici associati al sistema di gestione dei rischi • riduzione del costo dei controlli (per la focalizzazione sulle aree di rischio) • maggiore efficienza dei processi e riduzione delle perdite inattese (riduzione dei tempi di approvvigionamento, riduzione dei reclami per difetti dei prodotti, riduzione delle perdite su crediti …) • riduzione dei costi per premi assicurativi
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Conclusioni • Benefici dell’ERM (segue) • quantificazione dei benefici • non è sempre possibile apprezzare in termini monetari i benefici connessi ai sistemi di gestione dei rischi (es. sicurezza dei dipendenti, capacità di trattenere personale ad elevato potenziale, capacità di scongiurare danni di immagine o di reputazione); • spesso la consapevolezza di non avere investito in misura sufficiente si ha solo a posteriori, al verificarsi di eventi dannosi di impatto significativo, allorché non sono raggiunti gli obiettivi aziendali prefissati
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Conclusioni • Indicatori di efficacia dell’ERM • Alcuni indicatori di una efficace implementazione dei sistemi di risk management, generalmente apprezzabili a posteriori, sono i seguenti: • riduzione dei premi assicurativi • riduzione dei reclami e di altri costi • riduzione del turnover del personale • rispetto dei tempi di consegna • riduzione dei sinistri • miglioramento delle condizioni di approvvigionamento • miglioramento del “clima” interno • riduzione degli articoli di stampa negativi • aumento della % di raggiungimento degli obiettivi • maggiore facilità di accesso alle fonti di finanziamento • incremento del valore delle azioni • minore incidenza delle frodi • riduzione degli incidenti e degli eventi inattesi • feedback positivo dalle agenzie di rating
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Efficacia e limiti del modello Efficacia e limiti dell’ERM La valutazione dell’efficacia del processo di gestione del rischio aziendale è un giudizio soggettivo, fondato sulla presenza delle otto componenti e sul loro corretto funzionamento. Pertanto, le componenti costituiscono anche dei criteri di efficacia. Quando un processo di gestione del rischio aziendale è giudicato efficace per ciascuna delle quattro categorie di obiettivi, ciò significa che il CdA e il management hanno una ragionevole sicurezza di venire a conoscenza della misura in cui gli obiettivi strategici e operativi si stanno conseguendo, che i report sono affidabili e che le leggi e i regolamenti in vigore sono osservati. Sebbene l’ERM procuri importanti benefici esistono dei limiti dovuti a possibili errori di giudizio quando si prendono decisioni gestionali, all’impossibilità di proteggersi da tutti i rischi, anche perché il rapporto costi-benefici diverrebbe gravoso, a errori umani che possono procurare danni involontari, alla possibilità che i controlli siano aggirati da parte di due o più persone in collusione e al management che può eludere le decisioni sulla gestione dei rischi. Queste limitazioni non consentono al management e al CdA di ottenere una sicurezza assoluta sul conseguimento degli obiettivi aziendali.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT RUOLI E RESPONSABILITA’
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Ruoli e responsabilità Ruoli e responsabilità Ogni persona, che opera in un’organizzazione, ha una certa responsabilità nell’ERM. Il CEO ne ha la responsabilità ultima e ne assume la paternità, il management promuove la filosofia di gestione del rischio e l’osservanza del livello di rischio accettabile, e gestisce i rischi nella sua sfera di responsabilità in coerenza con i livelli di “tolleranza al rischio”. Generalmente, il risk officer, il direttore finanziario, l’internal auditor assolvono compiti chiave di supporto alla gestione del rischio, altre persone svolgono invece compiti puramente esecutivi nella gestione del rischio in conformità alle direttive e ai protocolli. Il CdA svolge un ruolo importante di supervisione del processo di gestione del rischio aziendale e contribuisce alla determinazione del livello di rischio accettabile.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Ruoli e responsabilità Ruoli e responsabilità Un certo numero di soggetti esterni, come i clienti, i fornitori, partner, revisori esterni e analisti finanziari spesso forniscono informazioni utili per il buon funzionamento del processo di gestione del rischio aziendale, ma essi non rispondono della sua efficacia, ne fanno parte del processo.
ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO - SARBOX ACT TECNICHE APPLICATIVE
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Tecniche applicative • Tecniche applicative • Uno dei primi problemi che il management deve fronteggiare per mettere in pratica gli elementi specifici del modello di gestione del rischio aziendale, riguarda l’approccio da adottare nella realizzazione del modello stesso in tutta l’azienda. • La dimensione dell’azienda, la complessità dell’attività, il settore economico di appartenenza, la cultura, lo stile manageriale e altri attributi influiscono sul modo in cui i principi e i concetti del modello sono implementati. • Esistono un’ampia varietà di approcci e scelte disponibili, tuttavia esistono criteri comuni a tutte le organizzazioni. In breve: • Creazione del gruppo di lavoro. Il primo passo fondamentale è di costituire un gruppo di lavoro a livello centrale, che includa i rappresentati delle unità operative e delle funzioni di supporto chiave. Questo gruppo deve acquisire una conoscenza approfondita dei componenti del modello, dei concetti e dei principi dell’ERM.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Tecniche applicative • Tecniche applicative (segue) • Sponsorizzazione da parte del Top Management. L’executive leadership deve illustrare chiaramente, fin dall’inizio del progetto, i benefici dell’ERM e stabilire e comunicare il “business case” ai fini dei relativi investimenti in risorse. Il CEO deve supportare l’iniziativa e generalmente, almeno all’inizio, deve essere coinvolto visibilmente e svolgere un ruolo di guida per realizzare con successo il progetto. • Sviluppo del piano di implementazione. Viene elaborato un piano iniziale per prevedere le azioni da intraprendere, che indica le fasi chiave del progetto, include le scadenze del lavoro, gli obiettivi intermedi, le risorse da impiegare, la tempistica e le responsabilità. • Valutazione della situazione corrente. Consiste in una valutazione di come i componenti della gestione del rischio aziendale, i concetti e i principi sono applicati, in tutta l’azienda. Generalmente consiste nell’accertare se la filosofia della gestione del rischio si sia evoluta all’interno dell’organizzazione e nello stabilire se c’è una mutua comprensione del rischio accettabile dell’azienda.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Tecniche applicative • Tecniche applicative (segue) • La visione dell’ERM. Il gruppo di lavoro elabora la visione che indica i modi in cui sarà messo in atto l’ERM e come sarà integrato nell’organizzazione per conseguire i suoi obiettivi. • Sviluppo delle capacità. La valutazione della situazione corrente e la visione dell’ERM forniscono informazioni necessarie per determinare le capacità attuali nell’ambito delle persone, della tecnologia e dei processi già in essere e funzionanti, come pure le nuove capacità che bisogna sviluppare. • Piano di implementazione. Il piano iniziale è aggiornato e migliorato, aggiungendo approfondimenti e ampliamenti, includendo ulteriori valutazioni, progettazioni e sviluppi. Altre responsabilità sono definite e il sistema di project management perfezionato secondo le necessità.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Tecniche applicative • Tecniche applicative (segue) • Gestione del cambiamento. Sono sviluppati interventi, secondo le necessità, per implementare e sostenere la visione dell’ERM e le risorse necessarie, inclusi i piani di sviluppo, le sessioni di formazione, il rafforzamento dei meccanismi premianti e il monitoraggio di ciò che rimane del processo di implementazione. • Monitoraggio. Il management esaminerà di continuo e rafforzerà le risorse destinate alla gestione del rischio come parte del suo processo manageriale.
Enterpriserisk management e gestione strategica dei rischi framework, modelli quantitativi, sistemi di supporto e scelte organizzative – Conclusioni Parallelo tra ERM e modello tradizionale di sistema di controllo interno
