Enterprise Risk Management

Integrated framework (abstract)

La sopravvivenza di un’azienda è assicurata dalla sua capacità di creare valore per i suoi stakeholder. Questo enunciato costituisce la filosofia di fondo della “gestione del rischio aziendale”. Tutte le aziende devono affrontare eventi incerti e la sfida del management è di determinare il quantum di incertezza accettabile per creare valore. L’incertezza rappresenta sia un rischio che un'opportunità e può potenzialmente ridurre o accrescere il valore dell'azienda. L’ERM consente al management di affrontare efficacemente le incertezze e i conseguenti rischi e opportunità, accrescendo così le capacità dell’azienda di generare valore.

Il management massimizza il valore quando formula strategie e obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita e di redditività e rischi conseguenti, e quando impiega in modo efficiente e efficace le risorse nel perseguire gli obiettivi aziendali. L’ERM, il cui modello è illustrato nella prima parte del presente volume, ha le seguenti caratteristiche:

• L’allineamento della strategia al rischio accettabile

Il management stabilisce il livello di rischio accettabile per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano.

• Il miglioramento della risposta al rischio individuato

L’ERM fornisce una metodologia rigorosa per identificare e selezionare tra più risposte alternative al rischio quella più adeguata (evitare, ridurre, condividere, accettare il rischio).

• La riduzione degli imprevisti e delle perdite conseguenti

Le aziende, accrescendo la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducono la frequenza degli imprevisti come pure i costi e le perdite conseguenti.

• L’identificazione e la gestione dei rischi correlati e multipli

Ogni azienda deve affrontare una miriade di rischi che interessano diverse aree dell'organizzazione, e l’ERM facilita la formulazione di un’efficace risposta ai rischi con impatti correlati e risposte univoche a rischi multipli.

• L’identificazione delle opportunità

Analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere proattivamente le opportunità che emergono.

• Il miglioramento dell’impiego di capitale

L’acquisizione di informazioni affidabili sui rischi consente al management di valutare efficacemente il fabbisogno finanziario complessivo e di migliorare, così, l’allocazione del capitale.

Queste caratteristiche proprie dell’ERM aiutano il management a conseguire i propri obiettivi di performance e di redditività e di evitare perdite di risorse. Inoltre, contribuiscono ad assicurare l'efficacia del reporting e la conformità alle leggi e ai regolamenti, e costituiscono un ausilio per evitare danni all'immagine aziendale e le conseguenze che ne derivano. In sintesi, l’ERM supporta l'organizzazione nel raggiungimento delle mete desiderate evitando insidie e imprevisti di percorso.

Eventi - rischi e opportunità

Un evento può avere un impatto negativo, un impatto positivo, o entrambi. Eventi con impatti negativi costituiscono “rischi”, che possono ostacolare la creazione di valore o erodere quello esistente. Eventi con un impatto positivo possono compensare impatti negativi o possono costituire “opportunità”. Le opportunità sono possibilità che un evento si verifichi e influisca positivamente per il conseguimento degli obiettivi, contribuendo, così, alla creazione di valore oppure preservando quello esistente. Il management valuta le opportunità emerse, riconsiderando le strategie formulate in precedenza o i processi di definizione degli obiettivi in atto ed elaborando nuovi piani per cogliere i vantaggi che ne derivano.

Definizione dell’ERM

L’ERM, che tratta dei rischi e delle opportunità che influenzano la creazione o la preservazione di valore, è definito come segue:

“La gestione del rischio aziendale è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.”

Questa definizione riflette alcuni concetti fondamentali. L’ERM è:

• un processo continuo e pervasivo che interessa tutta l’organizzazione;
• svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale;
• utilizzato per la formulazione delle strategie;
• utilizzato in tutta l’organizzazione: sia nelle sue singole attività (in ogni livello e in ogni unità della struttura), che nella sua attività complessiva. Esso include una visione del rischio che considera l’azienda nel suo complesso;
• progettato per identificare eventi potenziali che potrebbero influire sull’attività aziendale e per gestire il rischio entro i limiti del rischio accettabile;
• in grado di fornire una ragionevole sicurezza al consiglio di amministrazione e al management;
• in grado di conseguire obiettivi relativi a una o più categorie distinte, ma che si possono sovrapporre.

Questa definizione è intenzionalmente estensiva e racchiude i concetti chiave, fondamentali per capire come le aziende devono gestire il rischio; fornisce i criteri di base da applicare in tutte le organizzazioni, quale che sia la loro natura. Si focalizza direttamente sul raggiungimento degli obiettivi di una specifica organizzazione e fornisce i criteri per valutare l'efficacia dell’ERM.

Conseguimento degli obiettivi

Nell’ambito della missione e della visione aziendale, il management definisce gli obiettivi strategici, sceglie la strategia e fissa gli obiettivi specifici, coerenti con la strategia, e li assegna a vari livelli della struttura organizzativa. L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle seguenti categorie:

• strategici

sono di natura generale e definiti ai livelli più elevati della struttura organizzativa, allineati e a supporto della missione aziendale;

• operativi

riguardano l’impiego efficace ed efficiente delle risorse aziendali;

• di reporting

riguardano l’affidabilità delle informazioni fornite dal reporting;

• di conformità

riguardano l’osservanza delle leggi e dei regolamenti in vigore.

Questa classificazione degli obiettivi aziendali consente di approfondire differenti aspetti della gestione del rischio. Queste categorie distinte, ma connesse o sovrapponibili (un determinato obiettivo può rientrare in più di una categoria) riguardano esigenze diverse dell'azienda e possono essere di competenza diretta di più manager. Questa classificazione consente inoltre di distinguere quanto ci si può attendere da ciascuna categoria di obiettivi.

Si ringrazia il “Committe of Sponsoring Organizations of Treadway Commission” - COSO per la divulgazione dell’informazione: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Italian.pdf

Engaged by COSO to lead the study, PricewaterhouseCoopers was assisted by an advisory council composed of representatives from the five COSO organizations. (tutti i marchi e loghi citati sono di proprietà delle rispettive aziende e/o enti).